CSIRT GOV: Coraz więcej zagrożeń w cyberprzestrzeni: wzrost o 15 proc.

W minionym roku eksperci ABW otrzymali w sumie 762 175 zgłoszeń o potencjalnym wystąpieniu incydentu teleinformatycznego w obszarze kompetencyjnym, wchodzącym w zakres właściwości zespołu CSIRT GOV. Jest to wzrost w stosunku do poprzedniego roku, gdzie w sumie zarejestrowano 246 107 zgłoszeń.

Powodem tendencji wzrostowej jest zwiększająca się liczba alarmów systemu wczesnego ostrzegania, które bazują na sygnaturach ataków oraz danych dotyczących zagrożeń w cyberprzestrzeni. Wynika to także ze zwiększającej się liczby podmiotów wdrożonych do systemu wczesnego ostrzegania o zagrożeniach pochodzących z sieci. Jeśli chodzi o zarejestrowane incydenty faktyczne, to w 2021 r. odnotowano ich 26 899, co stanowi wzrost o około 15 proc. w porównaniu do poprzedniego roku, kiedy zarejestrowano 23 309 incydentów faktycznych.

Wśród incydentów najwięcej wirusów

W ubiegłym roku najwięcej incydentów sklasyfikowano jako wirus, podatność oraz socjotechnika.

Tak jak i w roku poprzednim, najliczniejszą kategorią jest wirus - to 24 171 incydentów faktycznych. Są to incydenty związane z wykryciem przepływów przez system wczesnego ostrzegania ARAKIS 3.0 GOV, które mogą świadczyć o infekcji stacji roboczej w instytucji administracji państwowej lub u operatora infrastruktury krytycznej.

Drugą najliczniejszą kategorią są podatności w zasobach IT – było takich incydentów 1 148. Są one rozumiane jako słabość systemu teleinformatycznego, błędy konfiguracyjne oraz brak odpowiedniej polityki bezpieczeństwa, związanej z aktualizacją oraz weryfikacją poprawnie wdrożonych rozwiązań teleinformatycznych.

Kolejna najliczniejsza kategoria to socjotechnika – 904 incydenty. Zalicza się do niej zagrożenia, które dotyczą kampanii phishingowych, podszywania się oraz ataków z zakresu inżynierii społecznej wymierzonych przeciwko użytkownikom systemów teleinformatycznych, które mają na celu wyłudzenie poufnych informacji, zainfekowanie komputera złośliwym oprogramowaniem, bądź nakłonienie użytkownika do określonych działań.

Następną kategorią jest niedostępność – 310 zarejestrowanych incydentów. W skład tej kategorii wchodzą zdarzenia dotyczące niedostępności witryn internetowych, ewentualnych awarii oraz prac technicznych.

W kategorii publikacja, stanowiącej 158 incydentów, znajdują się zgłoszenia dotyczące tzw. wycieków, tj. publikacji w sieci wykradzionych informacji czy innych treści. Incydenty oznaczone jako skanowanie, których zarejestrowano 118, dotyczyły rekonesansu infrastruktury teleinformatycznej administracji rządowej oraz infrastruktury krytycznej.

Kolejną kategorią są incydenty sklasyfikowane jako atak, czyli 74 incydenty, związane z wszelkiego rodzaju przeprowadzanymi atakami na systemy teleinformatyczne, np. DDoS, DoS, przełamanie zabezpieczeń. Ostatnią kategorią jest botnet, czyli zagrożenia dotyczące identyfikacji komputerów należących do sieci przejętych komputerów.

Ostrzeżenia CSIRT GOV

Zespół CSIRT GOV rozsyła też wiadomości ostrzegające do podmiotów, będących we właściwości CSIRT GOV, które zawierają informacje o podatnościach w systemach, o wskaźnikach kompromitacji czy kampaniach phishingowych.

W 2021 r. wysłano 115 takich wiadomości, wśród nich najwięcej było wiadomości zawierających wskaźniki kompromitacji (IoC) dotyczące wykrytych zagrożeń. Kolejną kategorią były informacje o różnego rodzaju podatnościach. Rozdysponowano także 14 ostrzeżeń o zidentyfikowanych kampaniach phishingowych, a także 5 innych ostrzeżeń, które informowały, np. o wprowadzeniu stopnia alarmowego ALFA-CRP oraz ostrzeżenie o podszyciu.

Chcemy być także bliżej Państwa – czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected]. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture.