Polityka i prawo
Szkocka agencja od tygodni walczy z ransowmare. Bezskutecznie
Szkocka Agencja Ochrony Środowiska padła ofiarą kampanii ransomware, w wyniku której od miesiąca nie jest w stanie wrócić do sprawnego funkcjonowania. Cyberatak przeprowadzili najprawdopodobniej hakerzy zorganizowanej międzynarodowej grupy cyberprzestępczej – wynika z ustaleń prowadzonego dochodzenia. Podczas operacji wykradziono również dane z wewnętrznych zasobów Agencji.
Szkocka Agencja Ochrony Środowiska (ang. Scottish Environment Protection Agency – SEPA) potwierdziła, że w zeszłym miesiącu padła ofiarą ataku hakerskiego, podczas którego wrogi aktor wykorzystał oprogramowanie ransomware do sparaliżowania jej działalności oraz wyłudzenia środków finansowych. Zgodnie z oficjalnym komunikatem za operację odpowiada „międzynarodowa zorganizowana grupa cyberprzestępcza”, której udało się również wykraść 1,2 GB danych z wewnętrznej bazy Agencji.
Cyberatak został przeprowadzony w Wigilię (24 grudnia ub.) a SEPA od razu po wykryciu incydentu wprowadziła procedury bezpieczeństwa. Nawiązano również współpracę ze szkocką policją, rządem oraz Narodowym Centrum Cyberbezpieczeństwa, aby zwiększyć skuteczność reakcji na wrogą kampanię.
W wyniku działań hakerów Agencja została zmuszona do odizolowania części infrastruktury i przejścia do trybu offline. Jak wskazano w komunikacie, niektóre urządzenia oraz systemy zostały „poważnie naruszone”, co utrudnia prowadzenie czynności naprawczych.
Obecnie nie działa m.in. poczta e-mail Agencji, wirtualny harmonogram personelu, szereg specjalistycznych narzędzi raportowania oraz część wewnętrznych systemów i baz danych.
Pomimo szybkich działań w celu odizolowania naszych systemów, specjaliści ds. cyberbezpieczeństwa, współpracując z SEPA, rządem, policją i National Cyber Security Centre, potwierdzili powagę trwającego incydentu. Partnerzy potwierdzili, że SEPA nadal jest przedmiotem trwającego ataku ransomware, który może być prowadzony przez międzynarodowe zorganizowane grupy cyberprzestępcze, których celem jest zakłócanie usług publicznych i wyłudzanie środków finansowych.
Podczas cyberataku doszło również do kradzieży informacji. Specjaliści zajmujący się incydentem odkryli, że hakerzy pozyskali 1,2 GB danych oraz mogli uzyskać dostęp do co najmniej czterech tysięcy plików.
Trwają prace specjalistów ds. cyberbezpieczeństwa, których celem jest zidentyfikowanie skradzionych danych. Chociaż nie znamy i być może nigdy nie poznamy wszystkich szczegółów dotyczących kradzieży, na chwilę obecną wiemy, że zebrane dowody sugerują, że kradzież informacji dotyczy wielu obszarów biznesowych.
W związku z naruszeniem bezpieczeństwa danych utworzono specjalny zespół ekspercki w celu odkrycia szczegółów wrogiej kampanii, w tym utraty informacji biznesowych. Agencja chce mieć pewność, do jakich konkretnie plików hakerzy mieli dostęp oraz którzy jej partnerzy mogli ucierpieć na skutek incydentu. W przypadku wykrycia podmiotów współposzkodowanych SEPA deklaruje szybki kontakt oraz wolę współpracy w rozwiązaniu problemu.
Niestety nie jesteśmy pierwszą i ostatnią krajową organizacją, na którą polują międzynarodowi przestępcy. Cyberprzestępczość to rosnący trend. Koncentrujemy się na wspieraniu naszych ludzi, naszych partnerów, ochronie środowiska Szkocji, a po zakończeniu dochodzenia podzielimy się z czasem pozyskanymi informacjami z partnerami z sektora publicznego, prywatnego i zaprzyjaźnionymi organizacjami non-profit.
Ransomware stanowiło jedno z głównych zagrożeń w sieci, jakiego nasilenie obserwowano w ostatnich miesiącach. Tego typu operacje były, są i będą szczególnie niebezpieczne w przypadku sektora ochrony zdrowia, która stoi na pierwszej linii frontu w walce z pandemią koronawirusa. Sparaliżowanie szpitali lub innego typu placówek medycznych może mieć bezpośredni wpływ na zdrowie a nawet życie pacjentów. Z kolei zakłócenie pracy instytucji badawczych oraz producentów szczepionek przeciwko COVID-19 utrudni ich sprawną dystrybucję, opóźniając tym samym cały proces szczepienia.
Przykładem może być cyberatak wymierzony na Pogotowie Ratunkowe we Wrocławiu, który miał miejsce pod koniec grudnia ub. Wówczas miało dojść do zakłócenia funkcjonowania systemu odpowiedzialnego za wsparcie pracy dyspozytorów pogotowia.
Medialne doniesienia potwierdził na łamach naszego portalu Waldemar Serafin, Inspektor Danych Osobowych wrocławskiego pogotowia, który wskazał, że rzeczywiście doszło do infekcji złośliwym oprogramowaniem. Jak dodał, sprawa została skierowana do właściwej miejscowo Prokuratury Wrocław Krzyki-Zachód.