Miesięcznik informatyków i menedżerów IT sektora publicznego

Eryk Chilmon

Bilans bezpieczeństwa cyfrowego

W podmiotach publicznych statystycznie największe cyberzagrożenie stanowią e-maile zawierające złośliwe załączniki. Analitycy ostrzegają jednak przed nowymi kategoriami ataków, w tym takimi, które wykorzystują sztuczną inteligencję.

Źródła ataków na sieci monitorowane przez ARAKIS 3.0 GOV

Urzędy coraz częściej są brane na cel przez grupy przestępcze, które szukają okazji do zainfekowania podmiotów dysponujących środkami finansowymi i danymi osobowymi. Jest to duże wyzwanie dla pracowników administracji publicznej odpowiedzialnych za cyberbezpieczeństwo, bo nie tylko muszą oni sprostać rygorystycznym wymogom w zakresie ochrony danych, ale też zazwyczaj funkcjonują w ramach ograniczonego budżetu. Niedobory w tym obszarze są dobrze znane, tak samo jak ich skutki, o których było głośno w ostatnich latach. Zaniedbania w zakresie ochrony zasobów elektronicznych w podmiotach publicznych napiętnowała też Najwyższa Izba Kontroli (więcej na ten temat w artykule „Co wykazała kontrola bezpieczeństwa w samorządach”, „IT w Administracji” 2019, nr 2).

Niestety, należy się spodziewać, że kłopotów będzie przybywać, ponieważ aktywność hakerów rośnie. Raporty publikowane przez firmy i instytucje wyspecjalizowane w zapewnianiu cyberbezpieczeństwa nie pozostawiają żadnych złudzeń – cyfrowe otoczenie sektora publicznego jest coraz bardziej wrogie.

Pierwszy front

Papierkiem lakmusowym sytuacji w cyberprzestrzeni jest sektor finansowy. Główną motywacją działania przestępców są pieniądze, dlatego wręcz szturmują oni instytucje związane z przepływem środków finansowych, opracowując przy tym coraz to bardziej wymyślne metody ataku. W ciągu 12 miesięcy aż 81% przedsiębiorstw z branży finansowej wykryło cyberatak, którego padły ofiarą, a 26% odkryło ich więcej niż pięć – czytamy w raporcie „Cyber Threat Lands­cape for the Finance Sector” firmy F-Secure opublikowanym w sierpniu br. Ataki na instytucje finansowe, poza kradzieżą gotówki, mają na celu przejęcie danych oraz naruszanie ich integralności i sabotaż, m.in. poprzez zakłócanie pracy systemów lub niszczenie informacji. Skradzione dane finansowe mogą zostać wykorzystane do szantażu lub różnych rodzajów manipulacji. Jako najpopularniejsze techniki ataku wskazano ransomware i distributed denial-of-service (DDoS).

Kradzież danych finansowych ma na celu monitorowanie działalności konkretnych osób czy dużych transakcji międzynarodowych. W ciągu ostatnich trzech lat z tego typu incydentami wiązano głównie Koreę Północną. Taktyki, techniki i procedury stosowane przez agresywne państwa upowszechniły się jednak także wśród grup cyberprzestępców. Kradną oni dane uwierzytelniające banków, wysyłają fałszywe wnioski o przelewy, autoryzują nielegalne wypłaty z bankomatów.

Należy przypomnieć, że również polski sektor finansowy musiał się zmierzyć z potężną falą cybertaków. W 2017 r. włamywacze uzyskali dostęp do stacji roboczych oraz serwerów kilku banków i wykradli z nich dane. Atak został skierowany również na stronę Komisji Nadzoru Finansowego. Później okazało się, że celem napaści było łącznie 31 krajów (więcej na ten temat w artykule „Banki i KNF na celowniku przestępców”, „IT w Administracji” 2017, nr 3). Jak dotąd był to najpoważniejszy atak na polską infrastrukturę finansową.

Obecnie wart odnotowania jest wzrost liczby ataków typu formjacking. Z opracowanego przez F5 Labs raportu „Application Protection Report 2019” dowiadujemy się, że formularze online, strony logowania i koszyki zakupów są coraz częściej przejmowane przez cyberprzestępców polujących na personalne dane finansowe. Formjacking stanowił aż 71% wszystkich analizowanych przez F5 Labs naruszeń danych w sieci w 2018 r. Z kolei raport firmy Symantec „2019 Internet Security Threat Report” podaje, że ofiarą formjackingu co miesiąc pada 4800 stron internetowych.

Generalnie świadomość cyberzagrożeń jest w sektorze finansowym bardzo duża. Według F-Secure aż 90% podmiotów z tej branży korzysta z usług doradczych w zakresie cyberbezpieczeństwa, aby zwiększyć swoje możliwości przeciwdziałania atakom. Znacznie więcej słabych punktów hakerzy znajdują w sektorze MŚP. – Sektor MŚP jest postrzegany jako łatwy cel, gdyż nie ma tak zaawansowanej infrastruktury czy procedur bezpieczeństwa jak duże przedsiębiorstwa. Cyberprzestępcy wiedzą, że małym firmom brakuje budżetów na wyszkolony personel, który mógłby zarządzać zagrożeniami i na nie reagować – tłumaczy Mateusz Macierzyński, menedżer ds. systemów ITS w firmie Konica Minolta. Na baczności muszą się też mieć małe i średnie urzędy, które mają podobną charakterystykę do sektora MŚP. A jak wynika z opublikowanego w maju br. raportu Zespołu Reagowania na Incydenty Bezpieczeństwa Komputerowego CSIRT GOV, który działa w Agencji Bezpieczeństwa Wewnętrznego, skala ataków na sektor publiczny rośnie z roku na rok.

Alarm dla administracji

Dokładnie 6236 przypadków faktycznego naruszenia bezpieczeństwa teleinformatycznego w instytucjach państwowych odnotował CSIRT GOV w 2018 r. Zgłoszeń o potencjalnym wystąpieniu incydentów komputerowych odnotowano aż 31 865, podczas gdy rok wcześniej było ich 28 281. Cyberprzestępcy bardzo często w celu propagacji złośliwego oprogramowania wykorzystują elementy inżynierii społecznej, np. złośliwe załączniki w wiadomościach e-mail. Takie wiadomości zaklasyfikowano do kategorii Wirus i incydentów tego typu było najwięcej. Drugą najczęściej występującą kategorią w 2018 r. była Błędna konfiguracja urządzenia – odnotowano w jej ramach 1138 incydentów. Trzeba podkreślić, że ten rodzaj zagrożenia bezpieczeństwa, choć nie wynika z ingerencji zewnętrznej w system, w wielu przypadkach może stanowić furtkę do przeprowadzenia skutecznego ataku. Incydenty z trzeciej najczęściej występującej kategorii – Skanowanie – polegają na wysyłaniu pakietów TCP do dowolnych typów urządzeń sieciowych w celu sprawdzenia otwartych portów oraz dostępnych usług.

Wśród najistotniejszych (krytycznych oraz wysokich) podatności zidentyfikowanych w ramach przeprowadzonych przez CSIRT GOV ocen bezpieczeństwa systemów teleinformatycznych znalazły się m.in.: serwery FTP umożliwiające anonimowe logowanie oraz nieograniczony dostęp do zgromadzonych na nich danych; hosty akceptujące połączenia z wykorzystaniem szyfrowania SSL 2.0 i/lub 3.0, co pozwala na przeprowadzenie ataków typu man-in-the-middle; zagrożenia typu XSS pozwalające atakującemu na wysłanie złośliwego kodu poprzez podatną aplikację WWW do innego użytkownika; niewspierana przez producenta wersja systemu operacyjnego zainstalowanego na zdalnym hoście; wersja wykorzystywanego PHP, która nie jest wspierana przez producenta; błąd SQL Injection mogący pozwalać atakującemu na podmianę struktury logicznej zapytania SQL kierowanego do produkcyjnej bazy danych, z której korzysta witryna WWW; możliwość wstrzyknięcia w podatny system dowolnego nagłówka HTTP typu Host i przepisania adresów na każdej stronie tak, aby kierowały do jego spreparowanych zasobów; podatność pozwalająca na zastosowanie ataku man-in-the-middle w komunikacji HTTPS wykorzystującej bibliotekę Open SSL.

[...]

Autor jest redaktorem prowadzącym „IT w Administracji”.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma. Zapraszamy do składania zamówień na prenumeratę i numery archiwalne.
 
 

Polecamy

Biblioteka Informacja Publiczna

Specjalistyczne publikacje książkowe dla pracowników administracji publicznej

więcej