Ataki hakerskie na polskie samorządy. W co inwestować?

Rozmawiamy z Agnieszką Olbrycht-Banach, Prezes Zarządu Śląska Sieć Metropolitalna Sp. z o.o., posiadającą 22-letnie doświadczenie zawodowe w samorządzie, w tym IT dla rozwiązań służących administracji publicznej. Od 17 lat zarządza zespołami ludzkimi, współtwórca nowoczesnych standardów wspierających zarządzanie w administracji samorządowej m.in. w zakresie informatyzacji usług publicznych, bezpieczeństwa informacji, finansów publicznych oraz polityki personalnej

Szymon Palczewski, CyberDefence24: Wicepremier i minister cyfryzacji Krzysztof Gawkowski wielokrotnie publicznie wskazywał, że samorządy należy uznać za „miękkie podbrzusze”. Tego typu określenie odnosi się zarówno do ryzyka dotyczącego sektora publicznego, jak i jego poziomu cyberbezpieczeństwa. Urzędy czy instytucje państwowe są celem różnego rodzaju cyberataków. Skąd Pani zdaniem wynika ich atrakcyjność? Co przyciąga sprawców?

Agnieszka Olbrycht-Banach, Prezes Zarządu, Śląska Sieć Metropolitalna Sp. z o.o.: Składa się na to kilka kwestii. Po pierwsze, tzw. dług technologiczny. O tym zjawisku mówi się już od dłuższego czasu. Istnieje przekonanie, że poziom bezpieczeństwa informacji i zabezpieczenia infrastruktury teleinformatycznej urzędów, stanowi punkt wyjściowy, cel do przeprowadzenia ataku.

Po drugie, pod pojęciem „administracji samorządowej” kryje się wiele różnorodnych jednostek. Wystarczy wskazać na m.in. publiczne żłobki, przedszkola, wodociągi, zakłady ciepłownicze czy urzędy. Przykłady można mnożyć. 

Kolejnym elementem jest to, że administracja publiczna to ogromna ilość wrażliwych danych o mieszkańcach. Każda z organizacji posiada niezwykle cenne dane z punktu widzenia nie tylko państwa, lokalnej społeczności, ale też poszczególnych mieszkańców. Można powiedzieć, że dysponują informacjami o obywatelach od ich narodzin (np. akt urodzenia i rejestr w Urzędzie Stanu Cywilnego – red.), przez dokumenty podatkowe, informacje zdrowotne (m.in. ośrodki zdrowia – red.) po wymeldowanie. 

Podsumowując administracja samorządowa posiada szeroki wachlarz wrażliwych danych\ o mieszkańcach, informacji dotyczących utrzymania infrastruktury krytycznej zapewniającej dostęp do wody, ciepła czy też zarządzania ruchem drogowym i transportem publicznym.

Wspomniała Pani o długu technologicznym. Widzi Pani poprawę w tym zakresie? Nadchodzi „lepsze jutro”?

Warto docenić programy oferowane przez rząd, w tym Ministerstwo Cyfryzacji, dzięki którym samorządy mogą ubiegać się o dofinansowanie na rozwój cyberbezpieczeństwa czy digitalizację. Mamy np. „Cyberbezpieczny Samorząd” i planowany „Cyberbezpieczne Wodociągi”. Instytucje publiczne poziomu lokalnego chętnie korzystają z oferowanych inicjatyw, dzięki czemu sytuacja ulega poprawie. 

Warto jednak dodać, że zazwyczaj tego typu programy przewidują alokację środków inwestycyjnych, po stronie samorządu pozostają koszty bieżące konieczne do utrzymania wdrożonych rozwiązań. 

Samorządy dostają pieniądze, kupują sprzęt, cyfryzują się. Przykładowo, przenoszą wrażliwe dane z papieru do sieci a to generuje ryzyko.

Jak wspomniałam, zakres danych, jakimi dysponują podmioty publiczne jest bardzo szeroki i zróżnicowany. Postęp technologiczny sprawił, że informacje zostały przeniesione do cyfrowych zasobów. Cyberprzestępcy doskonale wiedzą, co posiadają np. urzędy i gdzie są ich słabe punkty. Widzimy przykłady m.in.  kradzieży danych i żądania okupu.  

Ataki na polskie samorządy. Jakie są główne zagrożenia?

Ale to chyba nie tylko problem kradzieży danych?

Ryzyko dotyczy też samorządowej infrastruktury krytycznej. Wyobraźmy sobie cyberatak na wodociągi, w wyniku którego dochodzi do zatrucia wody. Albo wstrzymanie pracy oczyszczalni ścieków. To scenariusz sytuacji kryzysowej dużej wagi mogącej powstać na skutek potencjalnego ataku hakerskiego. 

Pani zdaniem, jakie są główne cyberzagrożenia, z jakimi musi zmagać się administracja samorządowa?

Jednym z bardziej powszechnych ataków jest atak typu DDoS (ang.distributed denial of service) czyli atak na system komputerowy lub usługę sieciową poprzez generowanie tak dużej liczby zapytań, że ostatecznie paraliżuje to funkcjonowanie sieci atakowanego. 

Z innych głośniejszych przykładów, odnotowanych w tej przestrzeni, należy wspomnieć o kilku przypadkach ataków na systemy wspierające transport publiczny. Efekt to chaos w życiu codziennym mieszkańców, brak możliwości dojazdu lub spóźnienie do pracy czy szkoły, brak możliwości dokonania płatności za przejazd. Z punktu widzenia jednostki zarządzającej czy administrującej to dodatkowy, ogromny nakład pracy poświęcony na przywrócenie poprawnego działania tych systemów. Niejednokrotnie oznacza to częściową utratę wizerunku i co ważniejsze pogodzenie się z częściową utratą danych. 

Kolejny przykład popularnych ataków to phishing (podszywanie się pod inną osobę lub instytucję w celu wyłudzenia poufnych informacji), którego skutki mogą spowodować np.: wygenerowanie lub zatwierdzenie przelewu na konto przygotowane przez cyberprzestępców. 

Zdarzają się też przypadki uzyskania dostęp do danych o naszych dzieciach przez atakujących, po włamaniu do zasobów administracyjnych szkoły. 

W Gliwicach też macie z nimi do czynienia?

Tak, odnotowaliśmy tego typu kampanie i interweniowaliśmy

Jak zakończył się ten przypadek?

Na szczęście udało się w dobrym momencie zmitygować atak.

Wspomniała Pani o DDoS-ach i ransomware. Czy jest jeszcze coś, co przykuwa Pani uwagę?

Wrócę tutaj do długu technologicznego i bezpieczeństwa infrastruktury IT. W przypadku administracji wydatkowanie środków publicznych jest obwarowane przepisami o zamówieniach publicznych, a co za tym idzie często jedynym kryterium wyboru wykonawcy stanowi cena. W przypadku infrastruktury IT jest to jeden z elementów ryzyka i potencjalnych podatności możliwych do zaatakowania.  

Może Pani podać jakiś przykład?

Warto wskazać na systemy monitoringu obiektowego, które działają np. na terenach przedszkoli i szkół. Są przypadki, gdzie grupy przestępcze przełamują ich zabezpieczenia\ i np. pozyskują nagrania. 

Jako Spółka przyglądamy się tego typu zagadnieniom, ponieważ w ramach prowadzonej działalności zarządzamy infrastrukturą wykorzystywaną na rzecz monitorowania bezpieczeństwa mieszkańców Gliwic. 

Co można zrobić dla cyberbezpieczeństwa?

Budowanie świadomości jest niezwykle ważne. A jakie jeszcze inne inicjatywy podejmujecie na rzecz cyberbezpieczeństwa w Waszym regionie?

Na wstępie podkreśliłabym, że jako Śląska Sieć Metropolitalna Sp. z o.o. jesteśmy samorządowym operatorem telekomunikacyjnym i zarządzając siecią szerokopasmową jesteśmy odpowiedzialni za zabezpieczenie łączności miasta Gliwice.

Jednym z ważniejszych projektów, którego etap wdrożenia został ukończony w poprzednim roku i jest kontynuowany na poziomie utrzymaniowym to Standaryzacja teleinformatyczna w oparciu o własne DATA CENTER miejskich jednostek organizacyjnych. 

Procesem standaryzacji zostały objęte wszystkie placówki oświatowe, jednostki pomocy społecznej i pozostałe jednostki budżetowe w obszarze infrastruktury teleinformatycznej, bezpieczeństwa teleinformatycznego, rozwiązań chmury lokalnej a także bieżącego wsparcia teleinformatycznego.

Staramy się spoglądać na cyberbezpieczeństwo z wielu perspektyw: od zarządzania infrastrukturą IT, po wdrożenie odpowiednich procedur opartych o normy ISO, budowanie świadomości, szkoleń personelu.

W 2024 r. spółka uzyskała certyfikację Zintegrowanego Systemu Zarządzania Bezpieczeństwem Informacji i Ciągłością Działania (ZSZ), składającego się z:

• Systemu Zarządzania Bezpieczeństwem Informacji zgodnego z międzynarodowym standardem PN-EN ISO/IEC 27001:2023-08 (nowe wydanie normy), oraz
• Systemu Zarządzania Ciągłością Działania w (SZCD) zgodnego z międzynarodowym standardem PN-EN ISO 22301:2020-04. 

Patrząc na nasze 15-letnie doświadczenie i zakres działalności przygotowujemy się do pełnienia funkcji Lokalnego Centrum Cyberbezpieczeństwa, o których mówi projekt nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa. 

Wymieniła Pani pomysł tworzenia Lokalnych Centrów Cyberbezpieczeństwa. Pani zdaniem to rozwiązanie, które sprawdzi się w praktyce?

Uważam, że to bardzo dobry pomysł. W mojej opinii, ich powołanie stanowi naturalny krok dla ewolucji ośrodków/spółek takich jak nasza, z korzyścią dla samorządów. Posiadają już zasoby, kadry, doświadczenie, wypracowane procedury itp. 

Co ważne, występują w wielu miejscach w Polsce. Jednak ich działalność obecnie ogranicza się jedynie do obszaru określonej miejscowości. Procedowane przepisy pozwoliłyby wyjść szczerzej i objąć też okoliczne samorządy. 

Inwestycja na Śląsku

Moją uwagę przykuł też wątek dotyczący data center. W tym roku ma ruszyć u Was projekt Miejskiego Data Center. Może Pani zdradzić coś więcej o inwestycji?

To jest nasza priorytetowa inwestycja, jeśli chodzi o strategię rozwojową spółki, ale też zapewnienie odpowiedniego poziomu cyberbezpieczeństwa poprzez modernizację lokalnej infrastruktury IT. 

Oczywiście już teraz posiadamy data center, lecz nie jest ono perspektywiczne, dlatego zdecydowaliśmy się na wybudowanie nowego obiektu. Pozyskaliśmy już działkę i w tym roku ruszyło projektowanie. 

Kiedy realnie może ruszyć budowa?

Liczymy, że stanie się to w przyszłym roku.

Kto skorzysta na inwestycji?

W pierwszej kolejności zabezpieczamy usługi na rzecz Miasta Gliwice i wszystkich podmiotów podległych miastu.  W perspektywie chcemy wyjść z ofertą do pozostałych samorządów, a także do powstających w przyszłości Lokalnych Centrów Cyberbezpieczeństwa w Polsce. Uważamy, iż budowanie wzajemnego sieciowania, chociażby poprzez usługi backupu danych, komunikowania się wzajemnego o podatnościach czy występujących incydentach będzie wzmacniać odporność samorządów.

Co ważne, inwestycja obejmuje budowę nie tylko data center, ale również stworzenie profesjonalnych warunków dla działających już zespołów SOC i NOC. Dodatkowo znajdzie się również „zaplecze techniczne”, w postaci warsztatu do np. spawania światłowodów czy bieżących prac serwisowych. 

Rozumiem, że nowa inwestycja powstanie na terenie Gliwic?

Tak. Posiadamy działkę w tzw. Nowych Gliwicach, które potocznie nazywa się u nas „gliwicką Doliną Krzemową”. Jest tu wiele terenów inwestycyjnych, gdzie już teraz działalność prowadzi wiele firm technologicznych. 

Do kiedy inwestycja ma zostać zakończona?

Jeśli chodzi o I etap, czyli budowa miejskiego Data Center, to perspektywa 4 lat.

To nie jest mała inwestycja. Z jakimi wyzwaniami musieliście i musicie się mierzyć?

Kluczowe było znalezienie lokalizacji. Szukaliśmy jej przez ponad rok. Zależało nam, aby zapewniała bezpieczeństwo, spełniała warunki normy m.in. EN50600 (np. zagwarantowanie dróg dojazdowych do obiektu), istotnym był również fakt, że nie chcieliśmy zaburzyć układu urbanistycznego w mieście. 

A jeśli chodzi o energię, jak zamierzacie sobie poradzić? Działalność tego typu data center to „energochłonny biznes”.

Wykorzystamy technologie OZE, a także rozwiązania pozwalające na odzyskiwanie ciepła. Opracowaliśmy z PEC Gliwice nowatorski projekt odzyskiwania ciepła na rzecz mieszkańców. 

W związku z rozbudową Waszej infrastruktury i przenosinami do nowego obiektu, zamierzacie wzmocnić się kadrowo i poszerzyć zespół specjalistów?

HR-owo cały czas się wzmacniamy. Prowadzimy rekrutacje, inwestujemy w kadry Spółki i staramy się prowadzić politykę HR, która jest atrakcyjna dla naszych pracowników.  Jako Spółka stawiamy na nasz zespół, rozwój pracowników, staramy się zapewniać im dostęp do ciągle zmieniającej się wiedzy. 

Współpracujemy z różnymi podmiotami, w tym z Politechniką Śląską, aby stale wymieniać się doświadczeniami i wiedzą. 

Dlaczego tak ważne jest, aby powstawały kolejne Lokalne Data Center?

Moim zdaniem, samorządy myśląc o ciągłości działania oraz o bezpieczeństwie informacji, które są w ich posiadaniu muszą sobie odpowiedzieć, czy poziom ryzyka przekazywania swoich danych do podmiotów komercyjnych jest dla nich do zaakceptowania. Są to decyzje strategiczne, bo bezpośrednio wpływają na budżet, jak również, tak jak już wspomniałam, na bezpieczeństwo.

Pewnym jest, że centralizowanie usług IT w skali danego miasta ma wiele zalet, poczynając od oszczędności finansowej, ale równie istotnym jest profesjonalizacja tych usług. Centra usług wspólnych w obszarze IT siłą rzeczy skupiają się właśnie na tych procesach. Jest to dla nich główna działalność, tak jak w placówce oświatowej kształcenie dzieci i młodzieży. 

„Drogowskaz dla miasta”

Wasza spółka podpisała również list intencyjny z miastem Gliwice i Politechniką Śląską w sprawie opracowania lokalnej strategii cyberbezpieczeństwa. Może Pani zdradzić co w niej się znajdzie?

W ramach powołanego Komitetu Sterującego spośród przedstawicieli Urzędu Miejskiego w Gliwiach, Politechniki Śląskiej i Śląskiej Sieci Metropolitalnej sp. z o.o. pracujemy nad stworzeniem strategii cyberbezpieczeństwa dla Miasta Gliwice, która będzie drogowskazem dla miasta do budowania bezpiecznej cyberprzestrzeni. Wokół naszego zainteresowania znajdują się m.in.: budowanie odporności miejskich systemów informacyjnych, zabezpieczanie infrastruktury krytycznej miasta czy cyberświadomość miejskich kadr.

I jak Wam idzie?

Jesteśmy po kilku posiedzeniach komitetu pracującego nad strategią. Zdiagnozowaliśmy stan aktualny i przeszliśmy do zdefiniowania celów strategicznych. Co ważne, czerpiemy nie tylko z naszych doświadczeń – miasta Gliwice – ale również innych regionów kraju. Ważnym punktem odniesienia jest Strategia Cyfryzacji Polski, którą traktujemy jako drogowskaz.

Jaką perspektywę czasu będzie zakładała wspomniana strategia?

Średniookresową. W tym roku chcemy zakończyć prace nad dokumentem. 

Co powinny robić samorządy?

Słowem podsumowania, Pani zdaniem na jakich filarach powinien opierać się „cyberbezpieczny samorząd”?

Cyberbezpieczny samorząd to taki, który może normalnie funkcjonować i realizować swoje ustawowe obowiązki w obliczu narastających zagrożeń bezpieczeństwa i wyzwań jakie niesie nasza obecna rzeczywistość. Aby osiągnąć taki stan bezpieczeństwa, niewątpliwie należy w pierwszej kolejności zidentyfikować najpoważniejsze luki i zagrożenia dla danego samorządu, tak aby na podstawie tej diagnozy w jak najlepszy sposób zagospodarować dostępne środki finansowe, zasoby ludzkie i techniczne. Dla różnych samorządów plan działań w zależności od „miejsca” w którym znajduje się dana jednostka może być różny. Jednak zawsze można wyróżnić kilka obszarów podstawowych działań poprawiających bezpieczeństwo.

I tak, jak już wszyscy wiemy, najsłabszym ogniwem bywa człowiek, dlatego niezbędne są szkolenia, aby wszyscy pracownicy samorządu mieli świadomość czyhających zagrożeń i sposobów ich rozpoznawania i reagowania na nie, gdy się już pojawią.

Drugim istotnym obszarem bezpieczeństwa jest technologia i specjaliści, którzy potrafią ją obsłużyć. 

Trzecim są procedury, polityki, testy, audyty itp., czyli sfera formalna która porządkuje reguluje, nadzoruje i uskutecznia wszystkie działania bezpieczeństwa.

A poza tym aspektem „miękkim”? Na co nie tyle warto, co trzeba postawić?

Zdecydowanie obszar technologiczny. W przypadku samorządów mówimy o tzw. „długu technologicznym”. Jego likwidacja jest trudna i wymaga znaczących środków finansowych. Nie da się osiągnąć zadowalających efektów w rok czy dwa. 

Jednak stworzenie rozważnego planu, przeanalizowanie ryzyka i bieżącej sytuacji, zdefiniowanie krytycznych punktów, pozwala na stopniowe osiąganie celów, podnosząc tym samym poziom cyberbezpieczeństwa. 

Bardzo ważne jest posiadanie też odpowiednich procedur i organizowanie regularnych testów. Możemy np. prowadzić kontrolowane cyberataki, testy penetracyjne, testy wewnętrzne, aby z jednej strony zachować czujność, a z drugiej być świadomym słabych punktów. 

Bardzo dziękuję za rozmowę.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:[email protected].