Jednostki samorządu terytorialnego oraz przedsiębiorstwa niezmiennie pozostają na celowniku cyberprzestępców. Choć każdy incydent różni się od siebie, można wyszczególnić kilka wspólnych technik, które pozwalają atakującym uzyskać nieuprawniony dostęp do infrastruktury. Warto podkreślić, że mowa tutaj o aspektach technicznych oraz organizacyjnych, które składają się na cyberbezpieczeństwo w organizacji. Skuteczne schematy działania cyberprzestępców powtarzają się w atakach zarówno na większe, jak i mniejsze podmioty.
Cyberbezpieczeństwo w organizacji a ataki ransomware
Jednym z najpoważniejszych zagrożeń dla administracji publicznej i przedsiębiorców niezmiennie pozostają ataki ransomware. Zazwyczaj takie incydenty polegają na kradzieży plików, szyfrowaniu danych organizacji oraz żądaniu okupu za niepublikowanie informacji i odszyfrowanie dokumentów. W raporcie CERT Polska za 2024 rok stwierdzono zarejestrowanie 147 ataków ransomware. Ponad połowa zgłoszeń pochodziła od podmiotów biznesowych, a 17% zdarzeń dotyczyło podmiotów publicznych. Zespół działający w strukturze NASK przekazał, że w ubiegłym roku ofiarami tego rodzaju kampanii cyberprzestępców było 14 instytucji z sektora administracji publicznej.
#zobacztez
Socjotechnika
Niezależnie od rodzaju organizacji jesteśmy narażeni na ataki socjotechniczne – wymuszające na osobie podjęcie określonego działania. Mowa tutaj głównie o phishingu, czyli podszywaniu się pod daną organizację, zazwyczaj w celu kradzieży danych logowania.
W Raporcie o stanie bezpieczeństwa cyberprzestrzeni RP w 2024 roku, opublikowanym przez CSIRT GOV (prowadzonym przez Szefa ABW), poinformowano o odnotowaniu 815 incydentów zakwalifikowanych jako „ataki socjotechniczne ukierunkowane na operatorów infrastruktury krytycznej bądź administrację państwową”. W opracowaniu wskazano, że celem takich działań było wykradanie danych logowania oraz dystrybucja złośliwego oprogramowania.
Podobny obraz wyłania się ze wspomnianego już raportu CERT Polska. Phishing odpowiadał za 39% wszystkich incydentów zarejestrowanych przez CERT w ubiegłym roku. Nie jest to nic nowego, ponieważ w 2023 i 2022 roku phishing odpowiadał kolejno za 51,6% oraz 64% obsłużonych incydentów.
Podatności w oprogramowaniu
Programy wykorzystywane zarówno w przedsiębiorstwach, jak i administracji publicznej powinny być przede wszystkim regularnie aktualizowane. Pozwoli to uniknąć wielu ataków, opierających się na wykorzystywaniu luk w oprogramowaniu. Podatności mogą pojawić się w aplikacjach desktopowych (uruchamianych na komputerze użytkownika) i w fizycznych urządzeniach, niejednokrotnie służących docelowo do zwiększenia poziomu cyberbezpieczeństwa (np. zaporach ogniowych).
W 2023 oraz 2024 roku CERT Polska wielokrotnie alarmował o wykryciu podatności w oprogramowaniu różnych dostawców. W raporcie sprzed dwóch lat wymieniono krytyczne luki w Microsoft Outlook (CVE-2023-23397), Fortigate SSL-VPN (CVE-2023-27997) oraz Cisco IOS XE (CVE-2023-20198). Wszystkie z nich były aktywnie wykorzystywane przez cyberprzestępców, co oznaczało, że mogą im pomóc w przeprowadzaniu ataków na polskie organizacje wykorzystujące dane rozwiązanie. Wymienione podatności umożliwiały m.in. odzyskanie haseł użytkowników do Outlooka czy zdalne wykonywanie kodu (RCE) na urządzeniach.
Zeszłoroczne opracowanie CERT-u wyróżnia przede wszystkim podatności dotyczące urządzeń służących do połączenia przez VPN oraz zapory ogniowe (tzw. firewall). Niektóre z nich były aktywnie wykorzystywane przez atakujących i pozwoliły m.in. na przeprowadzenie ataku ransomware czy uzyskanie dostępu do infrastruktury na kilka miesięcy.
Orzeczenia UODO również pozwalają na wykazanie tego, jak cyberprzestępcy uzyskują nieuprawniony dostęp do infrastruktury. Decyzja Prezesa UODO z maja 2024 roku (DKN.5112.35.2021), dotycząca kary dla firmy za naruszenie ochrony danych osobowych, wymienia wprost wektor ataku ransomware – było nim przełamanie zabezpieczeń urządzeń brzegowych, które miało być możliwe poprzez brak aktualizacji. Nie wykluczono również możliwości wystąpienia phishingu.
W decyzji z czerwca 2022 roku (DKN.5131.56.2021) administrator danych (firma medyczna) stwierdziła, że atak ransomware był możliwy poprzez usługę zdalnego pulpitu (RDP). Wektor nie został wówczas uwzględniony w analizie ryzyka.
Podobne incydenty miały miejsce również w jednostkach samorządu terytorialnego. W maju 2023 roku (DKN.5131.56.2022) w orzeczeniu PUODO wskazano, że Urząd Miasta Z. nie udowodnił regularnego aktualizowania bazy wirusów, co miało stanowić podatność systemu informatycznego, umożliwiającą przeprowadzenie ataku ransomware. Stwierdzono również, że burmistrz nie dostosował się do procedur, które sam określił, dotyczących aktualizowania oprogramowania antywirusowego.
Bardzo ważne orzeczenie dotyczy naruszenia ochrony danych w firmie ubezpieczeniowej wskutek kradzieży danych logowania, co poskutkowało nieuprawnionym wyeksportowaniem bazy danych (DKN.5131.50.2021). Zdarzenie zostało opisane jako „noszące znamiona działania hakerskiego”. Doszło również do opublikowania skradzionych danych. PUODO podkreślił także, że w analizie ryzyka nie uwzględniono możliwości „niezamierzonej replikacji danych” oraz ich późniejszej publikacji. Incydent pokazuje konieczność wykorzystywania dwuetapowego uwierzytelniania, które może zapobiec wielu próbom nieuprawnionego dostępu do danych. Należy również podkreślić rolę szyfrowania plików.
Minimalizowanie ryzyka
Cyberbezpieczeństwo nie musi być drogie, lecz na pewno zaniedbanie tego aspektu może spowodować duże koszty finansowe. Wspomniane wyżej incydenty oraz podatności jednoznacznie pokazują, że aktualizacje oprogramowania są kluczowe dla zachowania pożądanego poziomu zabezpieczeń. Należy przy tym podkreślić, że dotyczy to nie tylko systemów operacyjnych stacji roboczych (komputerów), lecz również m.in. firewalli oraz aplikacji.
Ogólne rozporządzenie o ochronie danych (RODO) w praktyce pokazuje, że ochrona danych osobowych wymaga sporządzenia odpowiedniej analizy ryzyka. Co ważne, stosowanie środków technicznych bez analizy ryzyka nie pozwala na wykazanie zgodności przetwarzania z RODO, szczególnie w zakresie rozliczalności, wynikającej z art. 5 ust 2 Rozporządzenia. Taka sytuacja miała miejsce w jednej z warszawskich uczelni, co potwierdza decyzja PUODO (DKN.5131.26.2023). Uczelnia nie miała „sformalizowanej” analizy ryzyka.
Artykuł 32 ust. 1 RODO narzuca administratorowi danych konieczność m.in. regularnego testowania i oceniania skuteczności stosowanych środków technicznych. Jest to bardzo ważne w kontekście dzisiejszych zagrożeń w cyberprzestrzeni, które nieustannie ewoluują. Jednokrotne sporządzenie audytu infrastruktury informatycznej nie może zagwarantować wykazania regularnego testowania stosowanych rozwiązań. W przypadku MŚP oraz JST takie działania mogą obejmować np.:
- przegląd uprawnień kont;
- testowanie odtwarzania kopii zapasowych;
- weryfikację korzystania z dwuetapowego uwierzytelniania;
- kontrolę szyfrowania danych;
- analizę zgodności środków technicznych z analizą ryzyka (pod kątem spełniania procedur).
Realne zagrożenie
Obecnie przyjmuje się, że nie ma organizacji „zbyt małej, aby paść ofiarą cyberprzestępców”. Dobrze pokazują to incydenty np. w ośrodkach pomocy społecznej, powiatowych urzędach pracy czy przedsiębiorstwach, które były atakowane przez znane grupy ransomware, odpowiedzialne za bardzo poważne incydenty.
Według raportu „Zamek z papieru. Cyberbezpieczeństwo w polskich firmach” autorstwa Grant Thornton z listopada 2024 roku w ciągu pięciu lat znacznie wzrósł odsetek przedsiębiorstw, które odnotowały incydenty bezpieczeństwa, które mogły wpłynąć na ciągłość działania. W 2019 roku wystąpienie takiego zdarzenia zanotowało 28% polskich firm, a w 2024 roku było to już 40%.
W ramach badania ankietowego „Barometru Cyberbezpieczeństwa” KPMG z lutego 2025 roku jako największe ryzyko określono wyciek danych wskutek działania złośliwego oprogramowania. Na drugim miejscu znalazło się wyłudzanie danych uwierzytelniających za pomocą phishingu.
Jeżeli już dojdzie do incydentu w naszej organizacji, warto niezwłocznie zgłosić się do odpowiedniego CSIRT-u, czyli Zespołu Reagowania na Incydenty Bezpieczeństwa Komputerowego. W przypadku zdecydowanej większości MŚP oraz JST odpowiednim CSIRT-em będzie CERT Polska, realizujący zadania CSIRT NASK. Operatorzy usług kluczowych oraz podmioty publiczne są zobowiązane do dokonania zgłoszenia osoby kontaktowej, co wynika z art. 9 ust. 1 oraz art. 22 ust. 1 pkt 5 obowiązującej Ustawy o Krajowym Systemie Cyberbezpieczeństwa.
W przypadku naruszenia ochrony danych osobowych powinniśmy zgłosić je UODO w ciągu 72 godzin od stwierdzenia wystąpienia takiego zdarzenia, o czym mówi art. 33 RODO. Jesteśmy również zobowiązani do poinformowania o tym fakcie osób, których dotyczy naruszenie, co podkreślono w art. 34 Rozporządzenia.
Cyberbezpieczeństwo warto rozpatrywać nie tylko na płaszczyźnie technicznej, lecz również organizacyjnej. Niezależnie od rodzaju organizacji, pracownicy nie powinni mieć oporów przed zgłaszaniem incydentów do określonej osoby lub działu.
