Co roku w Polsce jest 6 mln prób cyberataków. Urzędy jednak nie przestrzegają podstawowych zasad bezpieczeństwa komputerowego

Z ostatniej kontroli przeprowadzonej przez Najwyższą Izbę Kontroli wynika, że polskie urzędy masowo nie przestrzegają podstawowych norm bezpieczeństwa komputerowego, przez co narażają się na wyciek wrażliwych danych. Przeszło 80 proc. placówek poddanych kontroli niewłaściwie zarządza uprawnieniami użytkowników, a w aż 57 proc. przypadków pracownicy nie przestrzegają narzuconych norm bezpieczeństwa. Wdrożenie ustawy o krajowym systemie cyberbezpieczeństwa ma zagwarantować, że ewentualne incydenty będą zgłaszane zaraz po ich wykryciu, umożliwiając tym samym błyskawiczne zniwelowanie zagrożenia.

– Poziom cyberbezpieczeństwa urzędu może stanowić o poziomie zaufania obywatela i o możliwości wykonywania swoich obowiązków. Cyberbezpieczeństwo jest w pewien sposób niedoinwestowane, nie jest postrzegane jako obszar, który jest równie ważny, jak wszystkie inne inwestycje w budżetach lokalnych. To jest nasza praca od jakiegoś czasu, żeby pokazywać, że w budżecie danej jednostki cyberbezpieczeństwo musi być traktowane na równi z pozostałymi obszarami, jak płace, wydatki na budynek, ogrzewanie i wszystkie inne – mówi agencji informacyjnej Newseria Innowacje Karol Okoński, podsekretarz stanu w Ministerstwie Cyfryzacji.

Jak wynika z raportu opracowanego przez Związek Cyfrowa Polska, zagrożenie ze strony cyberprzestępców jest ogromne. Z badań wynika, że tylko w 2017 roku doszło do 6 mln prób cyberataków, a w ciągu ostatnich sześciu lat liczba ataków na komputery stacjonarne i przenośne wzrosła aż o 232 proc. O skali i niebezpieczeństwie, na jakie wystawione są urzędy, przekonali się niedawno urzędnicy Baltimore. Na początku maja 2019 roku cyberprzestępcy wykorzystali złośliwe oprogramowanie, aby wymusić od władz Baltimore wypłatę okupu. Kiedy przedstawiciele urzędu miejskiego nie zgodzili się na zapłatę, hakerzy zablokowali systemy administracyjne, płatnicze i komunikacyjne, paraliżując funkcjonowanie całego miasta na kilka dni.

Cyberprzestępcy najchętniej obierają za cel smartfony, laptopy czy drukarki, które zwykle są słabiej zabezpieczone przez atakami hackerskimi, a w przetargach na systemy teleinformatyczne dla jednostek administracyjnych nie uwzględnia się wymagań związanych z dostarczaniem certyfikatów cyberbezpieczeństwa.  

– Kompetencje osób i płace w urzędach są często niższe niż te, które oferują firmy komercyjne. Brak wystarczającej obsługi przez specjalistów IT też ewidentnie jest jedną z przyczyn. Staramy się trochę stymulować ten rynek poprzez fakt wpływania na to, że tych specjalistów IT po prostu będzie coraz więcej, bo widzimy, że wszystkie sektory gospodarki i administracji ich potrzebują – podkreśla Karol Okoński.

Aby odpowiedzieć na najpilniejsze wyzwania związane z zachowaniem bezpieczeństwa komputerowego, w ubiegłym roku przyjęto ustawę o krajowym systemie cyberbezpieczeństwa, która obliguje jednostki samorządowe do zgłaszania przypadków cyberataków w ciągu 24 godzin od ich wykrycia do odpowiedniego Zespołu Reagowania na Incydenty Bezpieczeństwa Komputerowego. Wejście ustawy w życie jest elementem wdrożenia wymogów unijnej dyrektywy NIS opisującej regulacje dotyczące zapewnienia wysokiego poziomu bezpieczeństwa sieci i systemów informatycznych w krajach Unii Europejskiej.

Skalę zagrożenia ze strony cyberprzestępców dobrze oddaje raport opracowany przez Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego CSIRT GOV przy Agencji Bezpieczeństwa Wewnętrznego. Urzędnicy ABW w ramach rocznego sprawozdania zbadali, jak często polskie urzędy mierzyły się z atakami hakerskimi. W 2018 roku doszło do 6 236 przypadków naruszenia bezpieczeństwa teleinformatycznego państwowych jednostek administracyjnych. Wszystkich prób ataków było blisko 32 tys., o 3,5 tys. więcej niż w 2017 roku.

Jeden z głośniejszych ataków, z którym mieliśmy do czynienia w ciągu ostatnich kilkunastu miesięcy, był wycelowany w System Rejestrów Państwowych. Hakerzy wykorzystali awarię SRP, aby przypuścić zmasowany atak DDoS, blokując tym samym dostęp m.in. do baz dowodów osobistych czy PESEL.

W raporcie NIK wskazano najgroźniejsze zaniechania, przez które urzędy narażają się na ataki. W przeszło połowie urzędów nie przestrzega się norm bezpieczeństwa m.in. w zakresie stosowania haseł o odpowiedniej długości; większość urzędów korzysta także z komputerów pracujących na systemie operacyjnym, który nie jest już wspierany przez producenta. W co trzecim urzędzie nie ustalono zasad dotyczących korzystania ze służbowych urządzeń mobilnych, a 70 proc. jednostek nie przeprowadza obowiązkowych rocznych audytów bezpieczeństwa.

– W naszych kampaniach informacyjnych, które nabrały pewnej intensywności w tym roku, chcemy informować i zbudować wiedzę dotyczącą cyberbezpieczeństwa na wszelkim etapie i w przestrzeni publicznej. Również poprzez uwzględnienie tego w programach szkolnych, aby podstawowe zachowania co do cyberbezpieczeństwa były po prostu jak najbardziej naturalne dla każdego z nas – zapowiada podsekretarz stanu w Ministerstwie Cyfryzacji.

Według analityków z firmy Markets and Markets  wartość globalnego rynku cyberbezpieczeństwa w 2017 roku wyniosła 127,63 mld dol. Przewiduje się, że do 2023 roku wzrośnie ona do 248,26mld dol. przy średniorocznym tempie wzrostu na poziomie 10,2 proc.