Niewiedza groźniejsza od hakerów

Sytuacja sprzed pięciu lat. Pół miliona złotych miało trafić na konta dwóch firm budowlanych, które na zlecenie gminy Rząśnia w woj. łódzkim wybudowały drogę i plac zabaw. I choć pieniądze zostały wysłane – gmina się nie ociągała – ostatecznie nie trafiły do adresatów. Na pierwszy rzut oka dane przelewów się zgadzały: zostali wpisani właściwi odbiorcy, tytuły wpłat i kwoty. Jedynie numery kont były błędne, co wyszło na jaw po jakimś czasie. Przestępcy podmienili je w ostatniej chwili, w momencie zatwierdzania przelewów. Osoba, które fizycznie wykonywała operację, nie miała o niczym pojęcia.

Podobnym sposobem hakerzy okradli gminę Gidle, również w woj. łódzkim, również w 2014 roku. Wzbogacili się o 317 tys. zł, przekierowując urzędowe przelewy na inne konto. Choć taka kwota nie rujnuje budżetu gminy, zmusza ją do dokonania w nim istotnych przesunięć. Do tego wizerunkowo wygląda to fatalnie. Jak okazało się niespełna dwa lata później, za obu sytuacjami stała ta sama grupa. W międzyczasie udało im się okraść trzy inne gminy, a łączna wartość ich łupu przekroczyła dwa miliony złotych. Pięciu oskarżonych w tej sprawie przyznało się do winy.

Zagrać na nosie, zamiast okraść

Co prawda o atakach hakerskich i kradzieży pieniędzy z wirtualnych kont słyszy się dużo, to jednak news z rodzaju „hakerzy okradli gminę” należy raczej do rzadkości. Od kilku lat tego typu sytuacji w polskich samorządach nie było. – Raczej mało kto interesuje się samorządami, chyba że początkujący hakerzy. Dla poważnego gracza serwery gminne to jest żaden interes. Z jego punktu widzenia nie ma na nich nic ciekawego – mówi Tomasz Dygała, dyrektor ds. audytu w firmie Aesco Group, świadczącej usługi dla sektora publicznego i przedsiębiorstw komunalnych. – Prędzej dojdzie do drobnego włamu, polegającego np. na podmienieniu informacji na stronie urzędu, ewentualnie zaszyfrowania danych – dodaje.

CZYTAJ TAKŻE: Inteligentne budynki zagrożone cyberatakami

I rzeczywiście, takie cyberataki co jakiś czas się zdarzają. Hakerzy w 2018 r. zaatakowali stronę Urzędu Gminy w Gorzkowicach i straszyli mieszkańców komunikatem o wodzie skażonej uranem. – Godzina tego ataku została wybrana bardzo umiejętnie, bo było to zaraz po godzinach pracy urzędu – mówił wtedy mediom wójt gminy Alojzy Włodarczyk. Z kolei we wrześniu tego roku hakerzy zaszyfrowali dane na serwerach Gminnego Ośrodka Pomocy Społecznej w Nowej Rudzie, przez co zasiłki społeczne, w tym 500+, były wypłacane z opóźnieniem. – Istotny jest fakt, iż żadne dane nie wypłynęły poza obręb Ośrodka, lecz zostały zaszyfrowane w taki sposób, że nie ma możliwości ich odzyskania. Jedynym wyjściem z sytuacji jest ręczne wprowadzenie na nowo wszystkich danych, co wymaga czasu – tłumaczyła kierownik GOPS w Nowej Rudzie Renata Wolan-Niemczyk.

Być może nie mówimy o spektakularnych popisach wirtuozerów łamania cyfrowych zabezpieczeń ani o kradzieżach, o których media piszą miesiącami. Niemniej jednak każdy zewnętrzny atak na gminę wiąże się z potencjalnymi stratami. – To powód, dla którego dodatkowe serwery i bieżące robienie kopii zapasowych są dla samorządów koniecznością. Bo jeśli dane zostaną zaszyfrowane, a nie było kopii zapasowej, trzeba je odtworzyć ręcznie. Najczęściej będzie to czasochłonne, a w tym czasie działania gminy będą jeśli nie zupełnie sparaliżowane, to mocno ograniczone. Wstrzymane zostaną na przykład wypłaty świadczeń, mieszkańcy nie będą mogli załatwić wielu spraw – tłumaczy Tomasz Dygała.

Robert Kośla, dyrektor Departamentu Cyberbezpieczeństwa Ministerstwa Cyfryzacji, podkreśla, że tutaj w grę dodatkowo wchodzi aspekt wizerunkowy. – Atak hakerski, którego konsekwencje odczuwają mieszkańcy, stawia w złym świetle urząd lub samego burmistrza czy wójta. W oczach ludzi nie jest on w stanie obronić systemów, które służą mieszkańcom jego gminy – mówi. Do tego dochodzi kwestia prawna – jeśli wskutek cyberataku dojdzie na przykład do wycieku danych osobowych, to dla gminy może oznaczać bardzo dotkliwe kary wynikające z rozporządzenia o ochronie danych osobowych.

Karteczka z hasłem

W powszechnym przekonaniu cyberzagrożenia są w zasadzie tożsame z atakami hakerskimi. Tymczasem okazuje się, że być może nawet większym zagrożeniem jest zwykła ludzka niefrasobliwość, często wynikająca z braku świadomości i odpowiedniej edukacji. – Klasyką są żółte karteczki z hasłami dostępów do kont, które użytkownicy przyklejają do monitorów. Pół biedy, jeśli robią to w domu. Gorzej, kiedy mówimy o pracowniku administracji publicznej – mówiła podczas Kongresu Gospodarczego Lubuskie 2019 Jolanta Uździcka, dyrektor sprzedaży i marketingu w firmie Sinersio Polska, która m.in. wspiera samorządy w dostępie do infrastruktury informatycznej i przechowywaniu danych.

Tę obserwację wspierają twarde dane. Jak pokazuje raport NIK z maja 2019 r. o cyberbezpieczeństwie w samorządach, w ponad 80 proc. skontrolowanych urzędów wystąpiły nieprawidłowości w zarządzaniu uprawnieniami użytkowników w systemach informatycznych. – Oznacza to na przykład, że skarbnik ma dane dostępowe wójta, bo wójt postanowił delegować na niego wykonywanie przelewów. Przykłady gmin, gdzie tak się postępuje, można mnożyć, natomiast najczęściej po uświadomieniu im, że z takim postępowaniem wiąże się ogromne ryzyko oraz po wysłaniu wójta na klęczkach do Częstochowy, żeby podziękował za uczciwego skarbnika, zaczyna się uważne patrzenie na każdy przelew – mówi Tomasz Dygała.

Eksperci zgodnie wskazują, że nieuważność i pewna naiwność urzędników (choć trzeba uczciwie powiedzieć, że w równym stopniu dotyczy to firm z sektora prywatnego) to nie tylko swobodne dzielenie się hasłami dostępów, ale też otwieranie załączników z podejrzanych maili albo korzystanie na urzędowych komputerach z pendrive’ów niewiadomego pochodzenia. W obu przypadkach o zainfekowanie złośliwym oprogramowaniem nietrudno, zaś konsekwencje takich nieostrożnych działań mogą być bardzo dotkliwe.

Edukacja i nowe technologie

Co zatem mogą i powinni robić samorządowcy, aby lepiej dbać o bezpieczeństwo, nawet jeśli w gminnej kasie brakuje pieniędzy na pełnoetatowego informatyka (lub najlepiej kilku)? – Podczas ostatniego Kongresu Gospodarczego w Zielonej Górzej jeden z uczestników, pracownik samorządu lokalnego, powiedział, że nie branie udziału w szkoleniach to ich największy problem, bo najczęściej nie są w stanie tego sfinansować, a samodzielne poszukiwanie wiedzy to często działanie po omacku i konieczność odsiewania ziaren od plew – mówi Jolanta Uździcka z Sinersio Polska.

Ministerstwo Cyfryzacji również dostrzega ten problem. Stąd właśnie uruchomienie w tym roku cyklu szkoleń „Cyberbezpieczeństwo w samorządach” oraz generalnie – mocniejsze postawienie na edukację w tym zakresie. Poza udziałem w szkoleniach i ćwiczeniach samorządowcy już dziś mogą zapoznać się na rządowych stronach z opracowaniami dotyczącymi zgłaszania incydentów bezpieczeństwa oraz najlepszych praktyk w zakresie ochrony danych.

CZYTAJ TAKŻE: Samorządy powinny przechodzić na chmurę

W planach jest jeszcze jedna rzecz, która może znacznie przyczynić się do poprawy cyberbezpieczeństwa administracji publicznej. Mowa o przeniesieniu danych do tak zwanej publicznej chmury obliczeniowej. Rządowy przetarg na usługę cloud computingu ma zostać ogłoszony na początku przyszłego roku. Zastosowanie chmury obliczeniowej miałoby w pewnym zakresie przenieść ciężar związany z cyberbezpieczeństwem z jednostek samorządowych na dostawcę usługi, który musi spełniać określone wymagania, dostarczać technologie i pomagać w konfiguracji dostępu do usług. – Edukacja i świadomość, stosowanie się do najlepszych praktyk oraz nowoczesne rozwiązania technologiczne powinny znacząco wpłynąć na zwiększenie bezpieczeństwa danych publicznych – przekonuje Robert Kośla.

Agnieszka Aleksiejczuk

dyrektor Departamentu Społeczeństwa Informacyjnego Urzędu Marszałkowskiego Województwa Podlaskiego

Samorządy stanowią bardzo ważny filar administracji publicznej. To w urzędach miast i gmin, starostwach powiatowych mieszkańcy codziennie załatwiają swoje bieżące sprawy, coraz częściej wykorzystując do tego drogę elektroniczną. Zatem świadomość i odpowiednie kompetencje w zakresie cyberbezpieczeństwa kadr administracji samorządowej mają kluczowe znaczenie dla właściwej realizacji usług publicznych. Tu warto zwrócić uwagę na dwa istotne aspekty. Pierwszy to budowanie świadomości kadr zarządzających i ich roli w kształtowaniu polityk bezpieczeństwa nie tylko w rozumieniu poprawności czy kompletności zapisów, ale przede wszystkim praktycznego wykorzystywania tego narzędzia w codziennej pracy. Drugi to budowanie kompetencji kadr IT w urzędach. W samorządach mamy w tym zakresie dosyć duże dysproporcje, wynikające przede wszystkim ze zróżnicowania jednostek oraz szerokiego wachlarza realizowanych zadań. Dopiero połączenie tych dwóch ważnych elementów może sprawić, że dbałość o zabezpieczanie stosowanych środków na cyberbepieczeństwo w budżetach JST będzie czymś bezdyskusyjnym, a wręcz obowiązkowym. W konsekwencji zapewni to trwały „samorządowy” wkład w budowę krajowego systemu cyberbezpieczeństwa.

Joanna Witkowska