Tematyce bezpieczeństwa infrastruktury IT w sektorze publicznym było poświęcone kolejne spotkanie GOVTech Klubu, wydarzenia organizowanego cyklicznie pod patronatem redakcji „Computerworld”. Ten temat od lat budzi kontrowersje i znajduje się na liście priorytetów rządowych. Dlaczego? Dziś, by sparaliżować pracę urzędu czy całego miasta, wystarczy tak naprawdę komputer i dostęp do sieci.

Jedno jest pewne: na poziomie całej Unii Europejskiej i NATO w ostatnich latach pojawiają się poważne inicjatywy zmierzające do wypracowania wspólnych mechanizmów obronnych przed cyberatakami. Mówiła o tym Magdalena Wrzosek, kierownik Zespołu Analiz Strategicznych i Wpływu Nowoczesnych Technologii, NASK. Nie należy jednak tracić z oczu działań na niższych poziomach. To w gminach, powiatach, szpitalach i innych jednostkach samorządowych potrzebna jest gruntowna analiza stanu bezpieczeństwa i poziomu edukacji na temat potencjalnych zagrożeń.

Zobacz również:

• Przeglądarka Chrome będzie jeszcze jakiś czas akceptować pliki cookie

Pizza, pendrive i Baltimore

„Świat się zmienia. W miarę, jak IT zaczyna być elementem biznesu i staje się systemem nerwowym każdego przedsiębiorstwa, tak samo w sektorze rządowym obserwujemy duże zmiany” – wyjaśniał Jacek Łęgiewicz z Samsunga. „Wcześniej wszyscy zdawali sobie sprawę, że trzeba chronić ropociągi czy gazociągi jako infrastrukturę krytyczną kraju. Teraz dochodzimy do momentu, w którym państwo zaczyna myśleć o IT jako o ważnym czynniku infrastruktury, który trzeba chronić."

Kilka lat temu idea cyberbezpieczeństwa i infrastruktury do zarządzania tymi ryzykami w każdym ministerstwie była realizowana osobno. Obecnie widać, że cyberbezpieczeństwo staje się istotnym elementem koncepcji bezpieczeństwa państwa

– dodał ekspert.

W maju br. oprogramowanie ransomware o nazwie Robin Hood zaatakowało amerykańskie miasto Baltimore, infekując 10 tys. miejskich komputerów. „Miasto nie może wystawiać rachunków, nie można płacić za parkowanie, niczego nie można sprzedać ani kupić” – tak opisywał sytuację Michał Kędzierski, architekt bezpieczeństwa z Netii. Systemy działały w zakresie służby zdrowia, służb ratowniczych i porządkowych, takich jak policja. Atak hakerski naraził miasto na milionowe straty finansowe, ale nie to jest w tym najistotniejsze – zaszyfrowanie komputerów ratusza pokazało, że nikt nie może czuć się bezpieczny.

Ekspert Netii odniósł się do polskich realiów miejskich, jako przykład podając jedną z miejskich aplikacji, do której – ze względu na luki – udaje się właściwie załadować zainfekowany załącznik. To dowód na to, że scenariusz z Baltimore może bez przeszkód wydarzyć się na polskim podwórku, i to przy użyciu zwykłego smartfona. Michał Kędzierski zauważył, że próby ataku na firmy czy urzędy często odbywają się nie bezpośrednio z sieci, ale m.in. poprzez zastosowanie „fizycznych” tricków. Życie dostarcza już takich przykładów jak porozrzucane na parkingu pendrivy (znajdą się pracownicy, którzy zechcą sprawdzić jego zawartość w pracy na komputerze…) czy nośniki pamięci, jakie mogą trafić do organizacji jako dodatek do dużego zamówienia na pizzę.

Atak to pieniądz

Paweł Burakowski, ekspert ds. bezpieczeństwa z Samsung R&D Institute, podaje, że – według danych za rok 2017 – 65% polskich firm i instytucji doświadczyło cyberataku na urządzenia końcowe. Jedna trzecia tych incydentów została zapoczątkowana wewnątrz organizacji – to pracownicy, którzy świadomie lub nie zagrozili firmie. Niemal połowa ataków przyniosła wymierne straty finansowe. Tylko jednak firma na 10 organizacji miała ubezpieczenie na wypadek cyberataku. Czy wspomniane przez przedstawiciela Samsunga ubezpieczenie od cyberataku załatwia sprawę? A co z danymi, które przepadają i być może mają kluczowe znaczenia w działalności organizacji czy urzędu?

Marek Stodolak, menedżer odpowiedzialny za klientów korporacyjnych wCommvault, zwracał uwagę na znaczenie backupu w całym procesie zabezpieczania newralgicznych danych instytucji publicznych. „Według ekspertów przewidywany koszt związany z odtworzeniem danych, ale też z wywołanymi przestojami, to globalnie w skali tego roku 11 mld USD. Rok temu było to 8 mld USD, więc taki wzrost daje do myślenia” – wyjaśniał. I dodał: „Ważne, by mieć opracowany plan działania wobec takiego ataku jak w Baltimore. Trzeba wiedzieć, gdzie są serwery, kto za nie odpowiada, gdzie znajduje się ostatnia bezpieczna kopia”.

Sposobów na stawianie czoła atakom cybernetycznym jest wiele. Duża ich część opiera się na zastosowaniu najnowszych rozwiązań technologicznych, takich jak choćby wdrożenie w organizacji najnowszej generacji antywirusów opartych na mechanizmach sztucznej inteligencji. Wspominał o tym Michał Kędzierski z Netii. Chodzi o to, by antywirusy przestały działać sygnaturowo, opierając się na bazach, a potrafiły leczyć problem u źródła. W ciągu godziny na świecie jest tworzonych tyle nowych wersji złośliwego oprogramowania, że tradycyjny sposób działania antywirusów przestaje być skuteczny.

Wiedza niekoniecznie tajemna

Jedna cecha charakterystyczna jest wspólna dla większości ataków cybernetycznych: wykorzystanie ludzkiej słabości, niewiedzy lub beztroski. Kłania się więc edukacja użytkowników i budowanie w nich świadomości potencjalnych zagrożeń. „Najlepszą zasadą dla administratora jest ograniczone zaufanie i założenie, że wszystko może się zdarzyć. Zawsze mówimy, że wolimy, by ktoś do nas zadzwonił 15 razy bez powodu, niż raz zignorował podejrzanego e-maila” – mówił Krzysztof Szmigielski, kierownik Sekcji Informatyki w warszawskim Szpitalu Wolskim.

Systemy są tak dobre jak jego najsłabsze ogniwo, czyli człowiek. Czy tak jest na wszystkich poziomach administracji publicznej? „Odnoszę wrażenie, że o ile na poziomie administracji centralnej pewne rzeczy mogą być skutecznie egzekwowane, o tyle na poziomie tzw. niskiego GOV, czyli jednostek samorządowych, szpitali, szkół, czeka nas praca u podstaw” – stwierdził Krzysztof Szmigielski. „Tam nawet nie ma co mówić o bezpieczeństwie, ale trzeba mówić o informatyzacji jako takiej”.

Z kolei Jacek Łęgiewicz stwierdził, że edukacja na temat bezpieczeństwa w cyberświecie powinna zaczynać się już w szkołach.

Dla wielu młodych ludzi – użytkowników smartfonów – ich urządzenia to cały świat. Złamanie zabezpieczeń w telefonie to wejście w prywatny świat. Dlatego od wczesnego wieku należy wyrabiać w młodych ludziach nawyki związane z bezpieczeństwem.

O wiele trudniej jest egzekwować pewne rzeczy od dorosłych. Tu musi odbywać się budowanie świadomości zagrożeń, ale – jak zauważył Marek Stodolak – nie można całej odpowiedzialności przerzucać na użytkownika końcowego. „Administratorzy, którzy odpowiadają za bezpieczeństwo naszych systemów, muszą poważnie podchodzić do zagrożeń, jakie istnieją w świecie cyfrowym. Ale nie wymagajmy od użytkowników, by mieli taką wiedzę jak administratorzy i osoby odpowiedzialne za IT. To naszą rolą jest mówić im, że np. e-mail z zawirusowaną fakturą nie powinien być otworzony” – stwierdził ekspert z Commvault.

Jak rozmawiać z biznesem?

Nawet najlepsza wiedza specjalistów IT nie wystarczy, gdy instytucja napotyka opór ze strony działu „biznesowego”. „Problemem w cyberbezpieczeństwie instytucji publicznych są środki. Często instytucje są po prostu niedofinansowane” – zauważył Marek Stodolak. Z tym można sobie czasem poradzić, czego przykładem są działania Krzysztofa Szmigielskiego, który czasem stosuje „rozpoznanie bojem”. „W momencie, gdy padł nasz serwer pocztowy, biznes zrozumiał, jak bardzo jednak jest to ważny element w działaniu szpitala. Więc środki się znalazły” – mówił.

Istotne więc wydaje się przekonanie działów operacyjnych do inwestycji w bezpieczeństwo IT. Najlepiej mówić do nich językiem odpowiednio dostosowanym i przekazywać im trafne argumenty.

Wydarzenia zza oceanu nie przemawiają tak bardzo do wyobraźni burmistrza czy dyrektora miejskiej instytucji jak skuteczne użycie języka zagrożeń realnych dla danej instytucji lub języka korzyści biznesowych. „Zajmowałem się wcześniej systemami ochrony przed wyciekiem informacji. Zauważyłem, że biznes często chce żyć w przeświadczeniu, że nic się nie dzieje i organizacja jest chroniona. Edukacja wraz z prostymi przykładami zagrożeń są często sposobem na skuteczne wybicie ich ze swojego zamkniętego świata” – dodał Michał Kędzierski.

Wiem, co mam

Ważną kwestią jest też świadomość przedmiotu, który ma zostać objęty ochroną. Wiele organizacji sektora publicznego po prostu nie wie, jakie dane są dla nich krytyczne, i chce zabezpieczać wszystko. A często wszystko oznacza nic… „Odwiedzając instytucje publiczne, faktycznie słyszymy, że niezwykle istotne jest zabezpieczenie wszystkiego. Ale jeśli nie wiemy, co mamy wewnątrz własnej serwerowni, jeśli nie wiemy, które dane są wrażliwe, to trudno stwierdzić, jakie środki zapewnią nam bezpieczeństwo” – zauważył Marek Stodolak. Z tą opinią zgadza się Michał Kędzierski: „Podczas jednej z konsultacji u klienta zdziwienie wywołało moje pytanie: Co chcecie chronić i co jest krytyczne? Odpowiedzi szukano przez trzy miesiące, po czym usłyszałem, że krytyczne jest wszystko”. Problemem jest więc brak wskaźników, co należy uznać za element krytyczny, wymagający zabezpieczenia.

Czy światowa lekcja, jaka jest właśnie udzielana poprzez wydarzenia w Stanach Zjednoczonych i na Ukrainie (ale też i w Polsce), pozwoli sektorowi publicznemu wyciągnąć właściwe wnioski i bardziej poważnie przyjrzeć się cyberbezpieczeństwu? Joanna Karczewska z ISACA Warsaw Chapter nie widzi tego w różowych kolorach. „Odnoszę wrażenie, że nie tylko nie korzystamy ze światowych doświadczeń, ale i z naszych własnych. Zmarnowaliśmy już swoją szansę związaną z RODO” – powiedziała. „Ten temat budził zainteresowanie kierownictwa firm, instytucji podmiotów publicznych. To był tak nagłośniony temat, że wszyscy nawet mieli pieniądze na audyty. Ale temat został przejęty przez prawników, skupiliśmy się na klauzulach. Dziś znów się zastanawiamy, jak mamy budować świadomość bezpieczeństwa, czyli powracamy do punktu wyjścia”.