Kategorie

Co zrobić, aby zabezpieczyć urząd przed atakiem hakerów

Mariusz Gadomski
Internet, jednostki samorządowe
ShutterStock
Cyberprzestępcy coraz śmielej biorą na celownik jednostki administracji publicznej, włamując się do urzędowych komputerów i instalując w nich szkodliwe oprogramowanie. W wyniku takich „wizyt” wykradane są poufne dane, a z bankowych kont znikają pieniądze. Zdaniem specjalistów, zajmujących się bezpieczeństwem informatycznym, skala takich zjawisk będzie rosła.

Pod koniec kwietnia br. pracownica Urzędu Miejskiego w Urzędowie, przeglądając służbowe e-maile, natrafiła na wiadomość, wysłaną rzekomo przez Pocztę Polską. Nadawca informował, że kurier nie mógł dostarczyć przesyłki, ponieważ nikogo nie zastał pod wskazanym adresem. – Otrzymujemy wiele przesyłek i mogło się zdarzyć, że kurier dotarł do nas, gdy akurat nikogo nie było w urzędzie. Pod wiadomością był link do strony, gdzie można sprawdzić, co się dzieje z niedostarczoną przesyłką, oraz informacja o naliczaniu opłaty za przechowywanie przesyłki przez pocztę. Pracownica kliknęła w odnośnik. Tyle tylko, że została przekierowana nie na stronę Poczty Polskiej, niemającej ze zdarzeniem nic wspólnego, lecz na witrynę, która automatycznie zainstalowała w komputerze urzędu niebezpieczny wirus – mówi Radosław Wilczyński, informatyk z UM w Urzędowie.

Polecamy produkt: Gazeta Samorządu i Administracji

Reklama

Zainfekowany został nie tylko komputer, lecz także dyski sieciowe. Wirus sprawił, że część plików została zaszyfrowana. W rezultacie stały się one zupełnie nieczytelne dla pracowników, co sparaliżowało funkcjonowanie urzędu. Informatycy przez kilkanaście godzin usuwali zagrożenie. Celem hakerów nie było zrobienie urzędnikom „żartu”, ale pieniądze. Wysłali wiadomość, że odszyfrują dane, jeśli magistrat zapłaci haracz. Nie podali jednak kwoty. Później już się nie odezwali. Urząd Miejski powiadomił o zdarzeniu policję, która prowadzi w tej sprawie śledztwo.

W styczniu 2015 r. przykrą niespodziankę przeżyli pracownicy Urzędu Miejskiego w Jaworznie. W trakcie wykonywania elektronicznego przelewu bankowego z konta magistratu zniknęło 965 tys. zł. Podejrzewano działanie cyberprzestępców i poinformowano policję.

Okazało się, że do ataku hakerskiego na urzędy wykorzystany został serwer instytucji nadrzędnej, zajmującej się kontrolą jednostek samorządowych. Cyberprzestępcy zamieścili na nim zmodyfikowane oprogramowanie, które następnie zostało pobrane, w postaci aktualizacji, przez aplikację sprawozdawczą, wykorzystywaną przez wszystkie urzędy. W ten sposób hakerzy uzyskali loginy i hasła, wykorzystywane przez pracowników urzędów, które zostały potem zaatakowane, do logowania się na serwisach bankowych. W zakresie przejętych uprawnień uzyskali ponadto możliwość podglądu i modyfikacji operacji wykonywanych przez instytucje, które wzięli na swój celownik.

Na początku 2016 roku policja zatrzymała podejrzanych w tej sprawie. Pięciu z nich odpowie przed sądem za włamania komputerowe i kradzieże pieniędzy z kont urzędów.

Nie ma ochrony doskonałej

Reklama

– Wprawdzie to nie „słabość” systemu informatycznego Urzędu Miejskiego, lecz włamanie do komputera innej instytucji okazało się przyczyną kradzieży pieniędzy, to jednak atak cyberprzestępców był dla nas oczywistym powodem, by dokładnej przyjrzeć się wdrożonym w naszym urzędzie procedurom i uzupełnić je o dodatkowe zapisy. Oprócz tego przeprowadzono audyt systemów wewnętrznych oraz zorganizowano dodatkowe szkolenia dla pracowników, aby w przyszłości jeszcze lepiej zabezpieczyć się przed ewentualnymi atakami informatycznymi – informuje Marcin Miłek z Biura Promocji i Informacji Urzędu Miejskiego w Jaworznie.

Rzecz w tym, że nie istnieje system zabezpieczeń, który byłby w 100 procentach skuteczny i którego nie dałoby się złamać. Przykłady na to można znaleźć na całym świecie, gdzie ofiarami cyberprzestępców padają potężne instytucje. Hakerzy także doskonalą swoje umiejętności, żeby popełniać coraz bardziej wyrafinowane przestępstwa. – Bardzo niebezpieczne są tzw. wirusy zero, czyli takie, których w momencie, kiedy infekują komputery, system jeszcze nie rozpoznaje i w związku z tym bardzo trudno je unieszkodliwić. Niezwykle istotne z punktu widzenia bezpieczeństwa informatycznego jest też właściwe zachowanie pracowników, a szerzej wszystkich użytkowników komputerów. Nie powinni np. otwierać podejrzanych załączników e-mailowych lub wchodzić na nieznane strony, bo często jest to pułapka zastawiona przez cyberprzestępców. Zwracamy na to uwagę naszych pracowników, choć w natłoku codziennych obowiązków mogą się zdarzać nieprzewidziane sytuacje – mówi Radosław Wilczyński.

Polityka bezpieczeństwa plus infrastruktura

Z uwagi na dużą skalę oraz wrażliwość informacji, w jednostkach administracyjnych powinna istnieć polityka bezpieczeństwa wspierana infrastrukturą zabezpieczeń, na którą składają się m.in. takie systemy, jak firewalle nowej generacji, systemy antyspamowe, antywłamaniowe i wiele innych rozwiązań.

WAŻNE

Administracja publiczna przechowuje i przetwarza w swoich systemach informatycznych ogromne ilości danych. Głównie są to dane personalne obywateli: numery PESEL, adresy zamieszkania, numery dowodów osobistych, praw jazdy, paszportów, dane podatkowe i finansowe.


– Cyberzagrożenia stale się zmieniają i ewoluują. Zwiększa się liczba ataków oraz pojawiają się nowe techniki. Narzędzia i złośliwe oprogramowanie są coraz łatwiej dostępne, a jednocześnie bardziej zaawansowane. Dla ochrony przed szybko zmieniającymi się cyberzagrożeniami kluczowe jest wsparcie producenta zabezpieczeń w zakresie bieżących aktualizacji systemu – mówi Mariusz Rzepka, dyrektor Fortinet na Polskę, Ukrainę i Białoruś. Fortinet jest liderem rynku zintegrowanych i akcelerowanych sprzętowo systemów zarządzania zagrożeniami Unified Threat Management (UTM). Zabezpiecza strategiczne dane największych przedsiębiorstw oraz jednostek administracji publicznej na całym świecie.

Na zakup urządzenia UTM zdecydował się m.in. Urząd Marszałkowski Województwa Kujawsko-Pomorskiego. W związku z rozwojem urzędu konieczne było wdrożenie rozwiązania trwałego, o dużej skalowalności i takiego, które będzie można dostosować do zmieniającej się sytuacji lokalowej i personalnej.

– Poszukiwaliśmy systemu o szerokim zakresie funkcjonalności. Jednym wdrożeniem chcieliśmy objąć wiele obszarów związanych z bezpieczeństwem sieci zarówno lokalnej, jak i sieci WAN. Ważne było również, aby system pozwalał na centralne zarządzanie wieloma urządzeniami oraz zbieranie i przechowywanie wszystkich informacji ze wszystkich urządzeń z możliwością tworzenia zaawansowanych raportów – mówi Wojciech Rzemykowski, kierownik Biura Oprogramowania Urzędu Marszałkowskiego Województwa Kujawsko-Pomorskiego.

Wdrożenie rozwiązania pozwoliło na stworzenie wspólnej sieci dla wszystkich komputerów w urzędzie. Udało się scentralizować systemy informatyczne w jednej lokalizacji (głównej serwerowni), co zmniejszyło liczbę punktów, w których mogą pojawić się awarie.

Inteligentne miasto i zagrożenia

Koncepcja „inteligentnych miast” zakłada wykorzystanie technologii informacyjno-komunikacyjnych w celu zwiększenia interaktywności i wydajności infrastruktury miejskiej i jej komponentów składowych. Najbardziej inteligentnym polskim miastem od 100 tys. do 500 tys. mieszkańców w 2015 roku okazał się Lublin, wyróżniony tym tytułem podczas „Smart City Forum” – corocznego spotkania firm z sektora informatycznego i telekomunikacyjnego. Lublin został doceniony m.in. za inwestycje w inteligentny system sterowania ruchem oraz rozwiązania w transporcie zbiorowym. Jednakże miasto ma jeszcze bardziej śmiałe plany.

– Chcielibyśmy jak najszybciej udostępnić na zewnątrz cały zasób IT, jaki mamy w mieście. W tym celu musimy stworzyć procedury, uwzględniające wszystkich, którzy te dane wykorzystają z pożytkiem dla Lublina i jego mieszkańców – mówi Mariusz Sagan, dyrektor Wydziału Strategii i Obsługi Inwestorów UM w Lublinie.

Ale „smart city” to również łakomy kąsek dla hakerów. W rozwoju koncepcji inteligentnych miast jedno jest pewne – będziemy mieli do czynienia z coraz większą ilością generowanych, przetwarzanych i przechowywanych danych. Firmy i instytucje, które te dane wykorzystują, będą doświadczać jeszcze większego zalewu informacji. Niestety, tego typu dane będą również atrakcyjnym celem dla cyberprzestępców.

MARIUSZ GADOMSKI

specjalista w dziedzinie administracji i samorządu terytorialnego

Polecamy serwis: Organizacja

Źródło: Gazeta Samorządu i Administracji
Czy ten artykuł był przydatny?
tak
nie
Dziękujemy za powiadomienie
Jeśli nie znalazłeś odpowiedzi na swoje pytania w tym artykule, powiedz jak możemy to poprawić.
UWAGA: Ten formularz nie służy wysyłaniu zgłoszeń . Wykorzystamy go aby poprawić artykuł.
Jeśli masz dodatkowe pytania prosimy o kontakt

Komentarze(0)

Uwaga, Twój komentarz może pojawić się z opóźnieniem do 10 minut. Zanim dodasz komentarz -zapoznaj się z zasadami komentowania artykułów.
    QR Code
    Sektor publiczny
    1 sty 2000
    24 cze 2021
    Zakres dat:
    Zapisz się na newsletter
    Zobacz przykładowy newsletter
    Zapisz się
    Wpisz poprawny e-mail

    Polski Ład. Program Inwestycji Strategicznych

    Polski Ład. Program Inwestycji Strategicznych to bezzwrotne dofinansowania inwestycji publicznych realizowanych przez gminy, powiaty, miasta i województwa w całej Polsce. To program, który jest zbudowany wokół głównych założeń Polskiego Ładu.

    Wynagrodzenia w budżetówce 2022

    Wynagrodzenia w budżetówce 2022. Projekt ustawy budżetowej na rok 2022 przewiduje podniesienie płacy minimalnej do 3000 zł brutto. Mimo to, wynagrodzenia w sferze budżetowej mają być zamrożone i wyniosą tyle samo co w roku 2021. Jak sytuacja wpłynie na samorządy?

    Wpływ pandemii na firmy, edukację, urzędy, styl życia [RAPORT]

    Wpływ pandemii na firmy, edukację, urzędy. Jak zmieniło się nasze życie w ciągu ostatnich kilkunastu miesięcy? Sprawdź 6 trendów nowej rzeczywistości widocznych w Raporcie #RegionyNEXERY2021.

    Ile mieszkań czynszowych budują najbogatsze miasta w Polsce? [RAPORT]

    Budowa mieszkań to kosztowne przedsięwzięcie, na które wiele miast nie może sobie pozwolić. Ale są i takie, które radzą sobie całkiem nieźle. Sprawdziliśmy, czy ich władze myślą o potrzebach mieszkaniowych mniej zamożnych mieszkańców?

    Nadużywanie teleporad przez lekarzy rodzinnych

    Nadużywanie teleporad przez lekarzy rodzinnych. Minister zdrowia Adam Niedzielski zdecydował, by z 70 placówkami podstawowej opieki zdrowotnej, w których udział teleporad wyniósł ponad 90 proc. nie przedłużyć umów. Minister wskazał, że główną barierą dla pacjentów w dostępie do lekarzy POZ jest w tej chwili nadużywanie teleporad przez lekarzy rodzinnych.

    Nowe limity osób na koncertach i wydarzeniach sportowych od 26 czerwca 2021 r.

    Limity na koncertach i wydarzeniach sportowych będą większe od 26 czerwca 2021 roku. Ile osób będzie mogło wejść na widownię?

    CEEB – obowiązek składania deklaracji od 1 lipca 2021 r.

    CEEB – obowiązek składania deklaracji od 1 lipca 2021 r. Czym jest deklaracja źródeł ciepła? Kogo dotyczy deklaracja? Jak można złożyć deklarację? Jakie są obowiązki gmin związane z Centralną Ewidencją Emisyjności Budynków?

    Akademie praktyczne – nowa kategoria uczelni zawodowych

    Akademie praktyczne – nowa kategoria uczelni zawodowych. Jak będą funkcjonować?

    Narodowy Program Rozwoju Czytelnictwa 2.0 na lata 2021–2025

    Narodowy Program Rozwoju Czytelnictwa 2.0 na lata 2021–2025. Ponad miliard złotych zostanie przeznaczonych w ramach Narodowego Programu Rozwoju Czytelnictwa (NPRCz) 2.0 na różne formy wsparcia i promocji czytelnictwa w Polsce.

    Wnioski paszportowe od 26 czerwca można składać w soboty

    Wnioski paszportowe - w związku ze zwiększonym zainteresowaniem sprawami paszportowymi, MSWiA przekazało wojewodom dyspozycję wydłużenia godzin pracy urzędów wojewódzkich. Wnioski paszportowe będzie można składać także w soboty, natomiast w dni powszednie obsługa będzie się odbywać w wydłużonych godzinach.

    Remont mieszkania spółdzielczego

    Remont mieszkania spółdzielczego. Spółdzielnia pozostaje właścicielem mieszkań użytkowanych na podstawie własnościowego i lokatorskiego prawa spółdzielczego. Warto wyjaśnić, czy remont takich lokali może być problematyczny.

    Kiedy wyniki egzaminu ósmoklasisty 2021?

    Wyniki egzaminu ósmoklasisty 2021 – kiedy? Gdzie i jak sprawdzić wyniki egzaminu ósmoklasisty? Przedstawiamy ważne informacje dla uczniów kończących w tym roku szkołę podstawową.

    Unijny Certyfikat COVID - jak pobrać na telefon?

    Unijny Certyfikat COVID - tzw. paszport covidowy (szczepionkowy) od dziś jest już dostępny w aplikacji mObywatel i można go pobrać na telefon komórkowy. Jak pobrać paszport covidowy?

    Rządowy Fundusz Polski Ład: Program Inwestycji Strategicznych dla samorządów

    Rządowy Fundusz Polski Ład: Program Inwestycji Strategicznych. Rusza nowy rządowy program, który zapewni pieniądze na inwestycje dla samorządów. Na co i na jakich zasadach będzie można otrzymać dofinansowanie?

    Dodatkowe zajęcia wspomagające w szkole - dla kogo, na jakich zasadach?

    Dodatkowe zajęcia wspomagające w szkole - dla kogo, na jakich zasadach? Czy mogą być one prowadzone w formie zdalnej? Z jakich przedmiotów organizuje się zajęcia wspomagające? Jak poinformować o nich rodziców? Jak prawidłowo wyliczyć przysługującą szkole liczbę zajęć wspomagających? Ministerstwo Edukacji i Nauki odpowiada na najczęściej pojawiające się pytania dotyczące dodatkowych lekcji po powrocie do szkół.

    Zmiany w programie Aktywna tablica 2020-2024

    Aktywna tablica 2020-2024 - zmiany. Proponowane nowe rozwiązania dotyczą m.in. wprowadzenia nowego rodzaju sprzętu, który będzie można zakupić w ramach programu i rozszerzenia na kolejne lata (2021-2024) możliwości zakupu laptopów wraz ze sprzętem umożliwiającym przetwarzanie wizerunku i głosu. Trwają konsultacje społeczne, opinie można przesyłać do 9 lipca 2021 r.

    Do kiedy Spis Powszechny?

    Spis Powszechny – do kiedy trwa? Do kiedy można się spisać przez Internet? Czy każdy domownik musi się spisać osobno? Jakie kary grożą za brak udziału w spisie ludności i mieszkań w 2021 roku?

    Nieskuteczność systemów Compliance, systemów Whistleblowingu lub ochrony danych osobowych - przyczyny

    Nieskuteczność systemów. Czy da się zlikwidować ryzyko compliance lub ryzyko naruszenia danych osobowych? Jakie są powody pozorności lub nieskuteczności systemów?

    Program Kangur - autobusy elektryczne dla gmin wiejskich

    Program Kangur - autobusy elektryczne dla gmin wiejskich. Dzięki wsparciu NFOŚiGW, w wysokości prawie 40 mln zł, autobusy elektryczne będą woziły dzieci do szkół w kolejnych 16 gminach.

    Czyste Powietrze - zmiany w programie, koniec dotacji na piece węglowe

    Czyste Powietrze - co się zmieni w programie? Do kiedy można jeszcze uzyskać dotację na piece węglowe?

    Pakiet psychologiczny – rekomendacje dla uczelni dotyczące pomocy studentom

    Pakiet psychologiczny. Na podstawie przekazanych przez uczelnie informacji na temat udzielanego w okresie epidemii wsparcia studentom, Ministerstwo Edukacji i Nauki opracowało poniższe zalecenia w zakresie zwiększenia pomocy psychologicznej.

    Nauczyciel w Polsce - pasja czy zawód? Raport o statusie nauczycieli w Polsce 2021

    Nauczyciel w Polsce - pasja czy zawód? Raport o statusie nauczycieli w Polsce 2021. Nauczyciel to zawód często oceniany. Ale czy doceniany? W raporcie zbadano, co myślą o nauczycielach rodzice, uczniowie, a także oni sami o swojej pracy.

    Domowa Opieka Medyczna - Pulsoksymetr i PulsoCare

    Domowa Opieka Medyczna to program mający na celu zdalne monitorowanie stanu zdrowia Pacjentów. Program wykorzystuje pulsoksymetr jako narzędzie diagnostyczne i aplikację PulsoCare do przekazywania i monitoringu danych.

    CEEB - zadania gmin związane ze spisem źródeł ciepła

    CEEB - zadania gmin związane ze spisem źródeł ciepła. W jakim terminie gmina powinna wprowadzić dane do ewidencji? Ile czasu ma urzędnik na wprowadzenie danych z deklaracji do systemu? Czy każdy pracownik urzędu może wprowadzać dane do CEEB? Czy przewidziano finansowanie dla gmin?

    Centralna Ewidencja Emisyjności Budynków (CEEB) - od kiedy, deklaracja

    Centralna Ewidencja Emisyjności Budynków (CEEB) - od kiedy, jak złożyć deklarację źródeł ciepła? Przedstawiamy najważniejsze informacje o nowym obowiązku, który będzie spoczywał na właścicielach i zarządcach budynków.