Media robią prezent cyberprzestępcom? Służby ostrzegają

Incydent incydentowi nierówny: ciężko porównać np. atak DDoS do ransomware z racji na poważne różnice w odczuwalnych skutkach. A informowanie o nich bywa skomplikowane zarówno z perspektywy instytucji państwowych, przedsiębiorstw oraz mediów.

ABW o informowaniu o incydentach

„Wśród głównych zagrożeń identyfikowanych przez Zespół CSIRT GOV wymienić można ataki na dostępność usług (DoS/DDoS) oraz zagrożenia wynikające z podatności stosowanych produktów i usług” - przekazała nam Agencja Bezpieczeństwa Wewnętrznego.

Podkreśliła przy tym, że niektóre z wymienionych ataków trwają „niemal stale”, lecz dzięki bieżącej mitygacji ze strony atakowanych podmiotów i organizacji pośredniczących, użytkownicy końcowi nie odczuwają skutków ich występowania.

Widzieliśmy to doskonale podczas ubiegłorocznych ataków DDoS na strony polskich służb (m.in. CBA, Agencji Wywiadu czy BBN), gdzie niedostępność witryn trwała maksymalnie kilka minut.

„Często skutki ataków DDoS są znikome - godzinna przerwa w dostępności witryny Senatu zostanie zauważona może przez 10 osób tak długo, jak nie napiszą o niej media. (…) Media opisujące atak (lub politycy opowiadający o nim w telewizji) tak naprawdę realizują cele napastników - bez tego „wsparcia” atak przeszedłby niezauważony, a cel sprawców nie zostałby osiągnięty” - stwierdził niedawno na naszych łamach Adam Haertle z Zaufanej Trzeciej Strony, w kontekście informowania o atakach DDoS.

CBZC i ABW o roli mediów

Centralne Biuro Zwalczania Cyberprzestępczości (CBZC) zwróciło uwagę na znaczenie medialnych kampanii prewencyjnych dotyczących cyberataków, które powinny odbywać się jak najczęściej. „Podniesie to poziom wiedzy obywateli” - kwituje CBZC.

Rolą mediów jest informowanie o różnego rodzaju zdarzeniach. (...) Rola mediów w kontekście cyberbezpieczeństwa jest kluczowa, ponieważ wpływają one na świadomość społeczną, zachowania użytkowników oraz reakcje instytucji.
Centralne Biuro Zwalczania Cyberprzestępczości

Biuro zaznaczyło przy tym, że media powinny unikać „ujawniania szczegółów technicznych, które mogłyby zostać wykorzystane przez cyberprzestępców (np. dokładnych luk, konfiguracji systemów)”.

Podkreślono też konieczność potwierdzania informacji w wiarygodnych źródłach, oddzielania faktów od spekulacji i podawania kontekstu danego zdarzenia. Mowa tu o wyjaśnianiu czym jest rodzaj danego ataku, jakie są jego skutki oraz wskazywaniu metod ochrony kont użytkowników.

Z kolei ABW zaznaczyło, że nie jest instytucją uprawnioną do oceny pracy mediów, ale…

„Niewątpliwie cieszy nas, że media coraz częściej próbują informować obywateli RP o incydentach dotyczących systemów teleinformatycznych. Dobrze, jeśli działania te służą realizacji funkcji informacyjnej i opisują dany incydent w oparciu o rzeczywiście zaistniałe fakty, uwzględniając wszystkie okoliczności zdarzenia. Niedobrze, jeśli ich celem jest przede wszystkim uzyskanie rozgłosu” - przekazała nam Agencja.

ABW a infosfera oraz sektor wodno-kanalizacyjny

„Aby nie wywoływać paniki u obywateli, należy w każdym wypadku weryfikować informacje i ocenić, na ile dany incydent/wydarzenie jest rzeczywiście istotne dla potencjalnego adresata informacji” - podkreśliło ABW w kontekście stałych prób ingerencji zewnętrznych podmiotów w polską infosferę, co opisano w „Raporcie o stanie bezpieczeństwa cyberprzestrzeni RP” z 2024 r.

Agencja odniosła się również do ataków na polski sektor wodno-kanalizacyjny, których przyrost widzimy od drugiej połowy 2024 roku, kiedy to byliśmy świadkami manipulowania parametrami technicznymi stacji uzdatniania wody oraz oczyszczalni ścieków.

Nawiązując z kolei do przywołanego przez Pana Redaktora sektora wodno-kanalizacyjnego, informujemy, że Zespół CSIRT GOV stale koordynuje obsługę incydentów występujących u operatorów infrastruktury krytycznej oraz prowadzi działania prewencyjne. Wskazane obiekty, poza standardowym środowiskiem teleinformatycznym (korporacyjnym), posiadają również środowisko automatyki przemysłowej (OT), które należy właściwie zabezpieczać. Należy też pamiętać, że nie wszystkie z tych obiektów stanowią elementy infrastruktury krytycznej, tym samym nie pozostają we właściwości rzeczowej Zespołu CSIRT GOV, ale innych zespołów CSIRT poziomu krajowego – głównie CSIRT NASK.
Agencja Bezpieczeństwa Wewnętrznego

CBZC o sektorze wodno-kanalizacyjnym

Centralne Biuro Zwalczania Cyberprzestępczości wskazało na różnicę względem tradycyjnych ataków, m.in. z racji na wykorzystanie systemów OT. Wśród zagrożeń wymieniono:

• przerwy w ciągłości dostaw wody;
• zagrożenie obniżenie jakości wody;
• zagrożone zdrowie i życie ludzi;
• skażenie wody;
• zalania;
• katastrofy środowiskowe.

Zagrożenia w sektorze wodno-kanalizacyjnym, który należy do infrastruktury krytycznej, różnią się od tradycyjnych ataków tym, że prowadzą do realnych skutków fizycznych i zagrożeń zdrowia publicznego. Systemy OT są trudniejsze do zabezpieczenia i aktualizacji, a czas reakcji ma kluczowe znaczenie. Informowanie o takich incydentach powinno być szybkie, spójne i pozbawione szczegółów technicznych, z naciskiem na bezpieczeństwo mieszkańców.
Centralne Biuro Zwalczania Cyberprzestępczości

CBZC o przeciwdziałaniu i dobrych praktykach

Biuro wyrożniło trzy poziomy informowania o przeciwdziałaniu zagrożeniom:

• techniczny: zabezpieczenia systemów i sieci;
• organizacyjny: procedury, polityki bezpieczeństwa wewnętrzne firm;
• ludzki: edukacja i świadomość użytkowników.

Wskazało również dobre praktyki - zarówno dla użytkowników i administratorów systemów. W pierwszej grupie wyróżniono:

• stosowanie silnych, unikalnych haseł;
• korzystanie z menedżerów haseł;
• włączanie dwuskładnikowego logowania;
• ostrożność wobec e-maili i linków (phishing);
• aktualizowanie systemów i aplikacji;
• instalowanie oprogramowania wyłącznie z zaufanych źródeł;
• nieudostępnianie danych wrażliwych;
• zgłaszanie podejrzanych zdarzeń administratorowi.

Administratorom systemów zalecono z kolei:

• regularne aktualizacje systemów i usług;
• zasada minimalnych uprawnień (Least Privilege);
• monitorowanie logów i anomalii;
• tworzenie i testowanie kopii zapasowych;
• dokumentowanie konfiguracji i zmian;
• szkolenia pracowników;
• wdrażanie polityk bezpieczeństwa;
• plan reagowania na incydenty (Incident Response Plan);
• testy awaryjne i symulacje ataków.

„Nawet najlepsze zabezpieczenia techniczne nie zastąpią świadomości zagrożeń, odpowiednich nawyków i kultury bezpieczeństwa, dlatego kluczowe są: kampanie edukacyjne/prewencyjne, szkolenia cykliczne, współpraca mediów, instytucji i ekspertów i transparentna komunikacja o zagrożeniach” - skwitowało CZBC.

Lekcja dla nas wszystkich

Perspektywy ABW i CBZC są szczególnie ważne wobec wszechobecnej dezinformacji. Służby podkreślają wiele ważnych aspektów.

Pamiętajmy, że incydenty warto zgłaszać do odpowiednich CSIRT-ów - w przypadku osób fizycznych jest nim CSIRT NASK (art. 30 Ustawy o Krajowym Systemie Cyberbezpieczeństwa), którego zadania pełni CERT Polska. W przypadku podejrzanych SMS-ów możemy przekazać je na numer 8080, co serdecznie zalecamy.

Osoby, które chcą się z nami anonimowo skontaktować, zapraszamy do  formularza w zakładce „Kontakt” (u dołu strony). Przypominamy, że na bazie art. 5 oraz art. 15 Prawa Prasowego, każdy może udzielać informacji bez podawania swojej tożsamości.