Gminy na celowniku

Seria kradzieży pieniędzy z rachunków bankowych różnych gmin stawia pod znakiem zapytania bezpieczeństwo lokalnych instytucjach samorządowych.

Zainteresowanie przestępczego podziemia włamaniami do instytucji komercyjnych oraz sektora publicznego obserwowano już kilka lat temu. Początkowo dotyczyło to jedynie kradzieży danych. Obecnie zaszły duże zmiany – przedsiębiorstwa komercyjne są coraz lepiej zabezpieczone, a zatem cyberprzestępcy znaleźli nową niszę - są nią organizacje samorządowe. Instytucje takie jak gminy korzystają z bankowości elektronicznej na słabo zabezpieczonych komputerach, przy ogólnie niskim poziomie świadomości użytkowników.

Jak odbywa się atak

Atak rozpoczyna się najczęściej od phishingu. Otrzymanie wiadomości e-mail z odpowiednio spreparowaną treścią zawierającą atrakcyjne informacje sprawia, że nieświadomy użytkownik zostaje skierowany na stronę, na której jest złośliwe oprogramowanie. Malware może wtedy zostać zainstalowane za pomocą sztuczek socjotechnicznych, takich jak zachęcenie do rzekomej aktualizacji wtyczki Flash albo przez wykorzystanie jednej z podatności systemu operacyjnego lub aplikacji. Po zainstalowaniu jednego z popularnych trojanów bankowych przestępcy przejmują login i hasło do systemów bankowości elektronicznej. Po zalogowaniu użytkownika złodzieje podmieniają stronę transakcyjną banku za pomocą odpowiedniego modułu w koniu trojańskim, zmieniają lub wprowadzają nowy przelew zdefiniowany, który mogą później wykonać bez potwierdzania hasłem jednorazowym, tokenem lub wiadomością SMS. Następnie przeprowadzają serię przelewów wewnątrz banku lub za pomocą systemu SORBNET na rachunek podstawionej osoby. Ta osoba z kolei podejmuje środki i przekazuje je za granicę (np. na Ukrainę lub do Rosji) za pomocą usług firm takich jak Western Union. Aby jeszcze bardziej utrudnić poszukiwanie, docelowy rachunek jest zakładany na osobę z innego miasta, z którą podpisywana jest umowa o pracę z fikcyjnym pracodawcą. Okradziona organizacja jest bezradna, a szkody liczone są w setkach tysięcy złotych.

Zobacz również:

Złodzieje ukradli pół miliona złotych

Zagrożenie kradzieżą pieniędzy z systemów bankowości elektronicznej stosowanych w gminach jest coraz poważniejsze. Przykładem takich ataków były głośne kradzieże:

  • grudzień 2013 r., gmina Błażowa – kradzież 250 tys. zł;
  • luty 2014 r, gmina Gidle – kradzież ponad 300 tys. zł;
  • październik 2014 r., gmina Rząśnia – kradzież niemal 500 tys. zł.

Prawdopodobnie takich zdarzeń było więcej, ale nie wszystkie kradzieże zostały ujawnione i nagłośnione. Niekiedy część środków udaje się odzyskać, zanim podstawione osoby zdążą zrealizować transfer za granicę.

Gmina jest łatwym celem

Problem bezpieczeństwa IT w gminach jest na tyle poważny, że wymaga niezwłocznych działań. Mimo obracania środkami liczonymi w milionach złotych gminy nie posiadają działu bezpieczeństwa, nie mogą samodzielnie zatrudnić specjalistów w tym zakresie, gdyż nie dysponują wystarczającym budżetem ani na podobny dział, ani nawet na rozbudowanie IT.

Stacje robocze w gminach często wykorzystują nieaktualne instalacje Windows XP (ten system nie ma już powszechnie dostępnego wsparcia technicznego i nie są dostarczane poprawki bezpieczeństwa), ich konfiguracja jest niewłaściwa z punktu widzenia bezpieczeństwa (użytkownicy pracują na uprawnieniach administratora), ludzie są niedoszkoleni, a systemy bankowości elektronicznej zostały wdrożone z pominięciem zabezpieczeń proceduralnych. Niedostatki te sprawiają, że przejęcie komputera w urzędzie gminy jest równie proste jak w przypadku komputera domowego. Sprawę pogarsza jeszcze fakt, że gminy korzystają z usług różnych banków i nie ma jednolitych procedur ani wytycznych bezpieczeństwa odnośnie do bankowości elektronicznej.

Jacek Skorupka, Information Security andBusiness Continuity Manager w firmie Citibank International Limted, członek zarządu stowarzyszenia ISSA Polska mówi: „W kraju istnieje prawie 2500 gmin, z czego ponad połowa to są niewielkie gminy. Celem działania gminy jest przede wszystkim zapewnienie usług mieszkańcom i rozbudowa infrastruktury. Małej organizacji, takiej jak gmina wiejska, nie stać na budowę działu bezpieczeństwa i na zatrudnienie specjalistów, których zarobki musiałyby być na poziomie wójta czy burmistrza. Występuje także deficyt specjalistów z tej dziedziny, w mniejszych regionach takiej wiedzy po prostu nie ma. Moim zdaniem potrzebne jest rozwiązanie systemowe. Należałoby scentralizować funkcje bezpieczeństwa informacji na poziomie samorządu, w obrębie regionu. Taka jednostka (np. na szczeblu wojewódzkim) wspierałaby gminy zarówno wiedzą, standardami, jak i konkretnymi usługami. Jest tu dużo miejsca dla usług wspólnych, dostarczanych na poziomie województwa. Byłyby to np. wspólne zespoły wykonujące testy bezpieczeństwa, kampanie budowy świadomości i zabezpieczenia techniczne – jedna infrastruktura AV oraz hostingowa, filtrowanie treści. Jestem przekonany, że należy uczyć się od sektora prywatnego. Kiedyś także w małych oddziałach było własne IT i eksploatowano specyficzne systemy, teraz nikomu nie przyszłoby to nawet do głowy”

Jak zabezpieczyć konto gminy

Środki ulokowane na rachunkach bankowych w różnych instytucjach mogą być łatwym celem dla przestępców. Przedstawiamy listę prostych środków zaradczych.

Stosować dwuskładnikowe uwierzytelnienie

W dobie złośliwego oprogramowania przechwytującego wciskane klawisze, statyczne hasło, nawet maskowane nie stanowią żadnego zabezpieczenia.

Nie wolno zatem korzystać z usług banków, które nie oferują zabezpieczenia w postaci dwuskładnikowego uwierzytelnienia (hasła SMS, hasła jednorazowe,karta podpisu elektronicznego). Należy poprawnie używać tego uwierzytelnienia, np. wkładając kartę lub klucz USB jedynie na czas podpisywania konkretnych operacji.

Nie korzystać z przelewów zdefiniowanych

Niektóre banki umożliwiają przeprowadzenie przelewów za pomocą definicji odbiorców. Jeśli taki przelew zdefiniowany można zmienić bez autoryzacji, a następnie wykonać, to nie należy z tej opcji korzystać. Zazwyczaj korzystanie ze zdefiniowanych przelewów utrudnia kontrolę.

Sprawdzać numery rachunków docelowych

Złośliwe oprogramowanie jest w stanie w locie podmienić stronę WWW przedstawianą końcowemu użytkownikowi. Taki atak można jednak wykryć, jeśli bank oferuje potwierdzenie przelewów za pomocą wiadomości SMS, zawierających szczegóły operacji.

Wprowadzić podpis na dwie ręce

Większości kradzieży można było uniknąć, gdyby wprowadzono restrykcyjnie przestrzeganą zasadę zatwierdzania przelewów przez dwie osoby. W tym modelu jedna osoba przygotowuje przelew, wprowadzając dane do systemu bankowego, i podpisuje paczkę za pomocą swoich uprawnień. Druga osoba sprawdza tę paczkę i może jedynie zatwierdzić lub zablokować zlecenie przelewu środków. Jeśli przy tym wprowadzi się dwuskładnikowe uwierzytelnienie za pomocą haseł SMS wysyłanych na telefon komórkowy, to ryzyko kradzieży spada.

Systemy private banking

Razem z rozwojem stron transakcyjnych obsługiwanych przez internet radykalnie zmalała popularność systemów bankowości firmowej, łączących się przez modem lub VPN. Obecnie jednak takie systemy wyposażone w dodatkowe zabezpieczenia mogą być sensowną alternatywą, gdyż korzysta się w nich z komputerów odłączonych od internetu, podpis z reguły przeprowadza się z użyciem karty elektronicznej w przeznaczonej do tego celu aplikacji. Przykładem takiego systemu jest Multicash. Należy jednak zadbać o bezpieczeństwo komputera służącego do obsługi tego systemu i nie wolno korzystać z niego do przeglądania stron internetowych ani do wykonywania zadań biurowych.

Duże operacje jedynie przy dokumentach papierowych

Dokumenty papierowe mogą wydać się anachronizmem w dobie transakcyjnych serwisów elektronicznych, ale mogą być uzasadnione do czasu poprawy bezpieczeństwa IT. Większe operacje (np. o kwocie ponad 10 tys. zł) przeprowadza się wtedy tymczasowo w siedzibie banku, z użyciem dokumentów papierowych. Nie jest to jednak rozwiązanie docelowe.


IBM Think Digital Summit Poland, 16-17 września 2020
TOP 200