Polskie gminy same proszą się o ataki hakerskie. Eksperci publikują raport wstydu

Najnowszy raport dotyczy gmin w zachodniopomorskim, ale niestety naiwnością byłoby sądzenie, że to wyjątek. Wyniki kontroli „Zapewnienie bezpieczeństwa teleinformatycznego przez jednostki samorządu terytorialnego województwa zachodniopomorskiego” mrożą krew w żyłach. Objęto nią cztery urzędy gmin o liczbie mieszkańców do 10 tys. osób.

Jak raportuje NIK kontrola miała przede wszystkim sprawdzić, w jaki sposób zorganizowano ochronę przed cyberzagrożeniami, czy urzędy prawidłowo zarządzały środowiskiem informatycznym, czy i w jaki sposób urzędy reagowały na pojawiające się incydenty teleinformatyczne oraz jaki był stan wiedzy pracowników na temat bezpiecznego korzystania z systemów informatycznych.

W jednym z badanych urzędów przez 2 lata, a w trzech przez prawie 4 lata, nie wyznaczono osoby odpowiedzialnej za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa, która byłaby odpowiedzialna za zgłaszanie i obsługę cyberataków.

Połowa skontrolowanych urzędów nie przygotowała procedury odtworzenia utraconych zasobów na wypadek cyberataku. Kopie zapasowe, owszem, powstawały, ale nie były weryfikowane pod kątem kompletności i możliwości odtworzenia danych. W jednym z urzędów kopia zapasowa była utworzona w taki sposób, że w przypadku zawirusowania serwera głównego i tak zostałaby automatycznie zainfekowana. W innym przypadku, mimo że urząd posiadał odpowiednie oprogramowanie zabezpieczające, zostało one tak skonfigurowane, że nie zapewniało urzędowi ochrony.

W skontrolowanych urzędach nie stworzono zinwentaryzowanego środowiska informatycznego, a w połowie przypadków wykorzystywano nieaktualne oprogramowanie. Luki w oprogramowaniu umożliwiały zdalne przejęcie kontroli nad systemem przez cyberprzestępców. Kontrola NIK wykazała również wykorzystywanie usług chmurowych w urzędach bez jakiegokolwiek określenia zasad i kontroli w tym zakresie.

W jednej z gmin serwer znajdował się po prostu w szafie. Otwartej. Znajdującej się w przechodnim biurze jednego z urzędników. NIK zauważa, że będący na widoku serwer jest nie tylko niechroniony przed nieuprawnionym dostępem, ale nawet przed przypadkowym uszkodzeniem.

Raport ujawnia jeszcze niepokojące – delikatnie mówiąc – liczby. 60 proc. pracowników nie potrafiło rozpoznać sytuacji, w której mogliby stać się ofiarą phishingu, a 75 proc. pracowników nie znało zasad tworzenia bezpiecznego hasła. Czy w takim razie kogoś jeszcze dziwi, dlaczego na oficjalnym facebookowym profilu Piekar Śląskich przez pewien czas publikowane były treści dla dorosłych? Mieliśmy w praktyce pokazane, że problem dotyczy nie tylko zachodniopomorskich gmin.

Według raportu NIK 78 proc. pracowników nie potrafiło rozpoznać symptomów zawirusowania komputera, a 94 proc. pracowników nie wiedziało jakie należy podjąć czynności w przypadku zawirusowania komputera. Tyle samo pracowników nie znało konsekwencji nieostrożnego wykorzystywania serwisów społecznościowych.

Więcej na temat popularnych scenariuszy oszustw piszemy na Spider's Web:

Kontrola skupia się na zachodniopomorskich gminach, ale już wcześniej mieliśmy sygnały z całej Polski, że urzędnicy nie są gotowi na ataki cyberprzestępców. W 2023 r. UODO ukarało grzywną nieujawnione polskie miasto za wyciek danych ok. 9,4 tys. osób. Według urzędu „nie przewidziano procedur tworzenia kopii zapasowych, nie był wykonywany regularny backup serwerów, aplikacji, plików, konfiguracji, a także nie były przeprowadzane testy możliwości odtworzenia kopii”. Brzmi znajomo, prawda?

Przekonał się o tym Olsztyn, gdzie atak doprowadził do wyłączenia systemów sterowania ruchem, zablokowania biletomatów czy ograniczenia dostępu do systemu informacji pasażerskiej. Co więcej, miasto do dziś walczy ze skutkami i do tej pory nie udało się w pełni naprawić portalu związanego z olsztyńską kartą miejską. W usunięciu problemów pomogło Olsztynowi 3 mln dotacji rządowej. To najlepiej pokazuje, jak kosztowne mogą być konsekwencje ignorowania tematu cyberbezpieczeństwa.