Cyberbezpieczeństwo
#CyberMagazyn: Systemy polskiej administracji pod ostrzałem. Tak atakowali cyberprzestępcy
Rok 2022 był wyjątkowo niespokojny w cyberprzestrzeni, także dla podmiotów administracji rządowej czy infrastruktury krytycznej. Zespół CSIRT GOV we wspomnianym okresie otrzymał w sumie 1,234 mln zgłoszeń o potencjalnym incydencie, w tym 21,56 tys. stanowiło realne zdarzenia w cyberprzestrzeni - wskazano w raporcie CSIRT GOV o stanie bezpieczeństwa w cyberprzestrzeni RP na 2022 rok.
CSIRT GOV, czyli Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego, prowadzony przez Szefa Agencji Bezpieczeństwa Wewnętrznego i obejmujący m.in. systemy teleinformatyczne organów administracji publicznej, opublikował raport podsumowujący stan polskiej cyberprzestrzeni w tym obszarze w 2022 roku.
Tym samym możemy dowiedzieć się, z jakimi zagrożeniami zmagały się podmioty administracji publicznej czy operatorzy infrastruktury krytycznej. Jednocześnie przypomniano, że analiza dotyczy szczególnego okresu dla polskiej cyberprzestrzeni, kiedy to obowiązywał (i jak informowaliśmy – nadal obowiązuje) trzeci stopień alarmowy CHARLIE-CRP, nakładając m.in. na administratorów systemów nowe obowiązki.
Czytaj też
Ile incydentów w 2022 roku?
Zespół CSIRT GOV w 2022 roku otrzymał w sumie 1,234 mln zgłoszeń o potencjalnym incydencie, który dotyczył obszaru jego kompetencji. To istotny wzrost w porównaniu do 2021 roku, kiedy to takich zgłoszeń było 762 175. Natomiast sposród wszystkich alertów w ubiegłym roku zanotowano 21 563 realnych zdarzeń w cyberprzestrzeni.
Najwięcej zgłoszeń pochodziło z systemu wczesnego ostrzegania ARAKIS GOV (łącznie ponad 1,2 mln zdarzeń), w tym 16,6 tys. dotyczyło faktycznych incydentów. Jednocześnie zespół CSIRT GOV zanotował 26 753 zgłoszenia, w tym 4 959 z nich było realnym incydentem.
Najwięcej zgłoszeń dotyczyło I i II kwartału ub.r., co wynikało m.in. z wprowadzenia stopni alarmowych: najpierw ALFA-CRP w styczniu, a następnie CHARLIE-CRP w lutym 2022 roku.
Jakie rodzaje incydentów występowały najczęściej w 2022 roku? Były to: wykorzystanie podatności – 2187 (co stanowi znaczny wzrost w stosunku do roku poprzedniego, w którym zarejestrowano 1148 incydentów tego rodzaju); socjotechnika – 1053, niedostępność – 826 (inne rodzaje to: publikacja; treści; atak, skanowanie, wirus).
Natomiast najwięcej incydentów dotyczyło infrastruktury krytycznej (1798); 809 – urzędów, a 599 - organów administracji państwowej.
„Biorąc pod uwagę zobrazowane powyżej dane dotyczące incydentów odnotowanych w roku 2022 dla poszczególnych sektorów krajowego systemu cyberbezpieczeństwa, zauważalnym jest, iż komponentem najbardziej narażonym na ataki wymierzone w sieci i systemy teleinformatyczne pozostaje niezmiennie infrastruktura krytyczna RP” – stwierdzono w raporcie.
Czytaj też
Nasilone ataki w związku z wojną w Ukrainie
Rok 2022 rok był pełen wyzwań dla całej branży cyberbezpieczeństwa, co wiąże się w oczywisty sposób z wojną w Ukrainie. „Sytuacja ta oraz wysiłki Rzeczpospolitej Polskiej czynione na rzecz wsparcia Ukrainy w sposób zdecydowany podniosły potencjalny, ale także faktyczny poziom zagrożenia bezpieczeństwa cyberprzestrzeni RP” – wskazano w publikacji.
Stąd CSIRT GOV, działając w okolicznościach stałego, podwyższonego zagrożenia, miał stanąć przed koniecznością „zapewnienia właściwego poziomu wsparcia bezpieczeństwa teleinformatycznego dla kluczowych elementów funkcjonowania państwa”.
Jak przyznano w publikacji, zespół CSIRT GOV zaobserwował zwiększoną intensywność działań cyberprzestępców, którzy zintensyfikowali ataki wymierzone w infrastrukturę teleinformatyczną, należącą do administracji państwowej lub podmiotów infrastruktury krytycznej. Szczególnie częste miały być ataki DDoS (atak typu rozproszona odmowa usługi – red.), kampanie phishingowe o charakterze socjotechnicznym oraz próby wykorzystania podatności, by zyskać dostęp do danych wrażliwych lub nieautoryzowanej kontroli nad systemami – czytamy.
Kampanie DDoS realizowały grupy haktywistyczne, takie jak NoName057(16), Killnet, CyberArmia Ludowa, których celem było ograniczenie dostępności witryn. Ich motywacje były stricte propagandowe (chodziło m.in. o zyskanie rozgłosu za pośrednictwem mediów społecznościowych), by podkreślić własną „siłę” i „sprawczość”, a pokazać rzekomą słabość drugiej strony.
Celem ataków - poza infrastrukturą informatyczną administracji państwowej - były także sektory kluczowe dla gospodarki, takie jak np. energia lub transport (szczególnie kolejowy lub lotniczy). Wśród podmiotów, które znalazły się na celowniku znalazły się m.in. strony polskich instytucji należących do Sądu Najwyższego, Naczelnego Sądu Administracyjnego, Sejmu RP, Prezydenta RP; ataki DDoS dotyczyły też m.in. strony internetowej Narodowego Banku Polskiego, Policji czy operatorów sieci komórkowych, komend Policji, czy administracji podatkowej.
Pojedyncze incydenty o charakterze dezinformacyjnym miały obejmować też m.in. domeny pasazer.gov.pl, należącej do Urzędu Transportu Kolejowego (na stronie umieszczono treść o tematyce antyukraińskiej, w tym propagandowe grafiki, a pod kampanią podpisała się prorosyjska grupa haktywistyczna NoName057(16)).
Czytaj też
Socjotechnika ciągle w cenie
Ponadto, stałym trendem są kampanie socjotechniczne, których celem jest użytkownik internetu, ale i przedstawiciele dokładnie wybranych podmiotów. Chodzi o pozyskanie danych uwierzytelniających, które z kolei umożliwią dostęp do systemu. Celem ataków były też próby dystrybucji złośliwego oprogramowania czy uzyskania dostępu do systemów informatycznych, by realizować dalej działania cyberprzestępcze.
Kolejnym sposobem działania oszustów były masowa rejestracja domen o nazwach przypominających oficjalne domeny rządowe, by stosować je do phishingu lub dezinformacji. Takie strony dotyczyły m.in. kampanii szczepień na COVID-19, ale też aspektów finansowych czy kwestii rozliczenia się z podatku PIT. Stałym elementem działań jest również podszywanie się pod Pocztę Polską lub innych operatorów usług kurierskich. Standardem było też „udawanie” domen rządowych takich jak np. gov-pl(.)top; govpl(.)site; info-gov(.)pl; info-gov(.)info oraz info-gov(.)com. Nie od dziś wiadomo, że cyberprzestępcy wykorzystują podmioty rządowe, znane firmy i marki, by podszyć się i wyłudzić dane dostępowe.
Czytaj też
Nowe obowiązki
W związku z wprowadzeniem stopni alarmowych – jak przypomniano - CSIRT GOV we wskazanym okresie miał nowe obowiązki. Mowa o m.in.:
- wzmożonym monitorowaniu stanu bezpieczeństwa systemów teleinformatycznych organów administracji publicznej oraz systemów teleinformatycznych, wchodzących w skład infrastruktury krytycznej;
- dokonaniu weryfikacji kanałów łączności oraz punktów kontaktowych między CSIRT GOV, a innymi podmiotami krajowego systemu cyberbezpieczeństwa;
- stałym utrzymywaniu podwyższonej gotowości do reagowania na incydenty.
Przyszłość bez optymizmu
W raporcie jasno wskazano, że nie ma co patrzeć w przyszłość z optymizmem: 2022 rok to "ciągle utrzymująca się perspektywa dużego ryzyka występowania zagrożeń podyktowanych konfliktem zbrojnym w Ukrainie".
Jak prognozuje zespół CSIRT GOV, zagrożenia bazują na przygotowywaniu kolejnych odsłon kampanii phishingowych, a grupy cyberprzestępcze i haktywistyczne dostosowują swoje działania do atakowania systemów i sieci. Trzeba się też liczyć z próbami wykorzystywania podatności oraz luk typu 0-day. Ryzykiem wciąż są ataki DDoS i ransomware. Podsumowując, jedynym ratunkiem - poza oczywistą cyberochroną - jest stała czujność.
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].