24/05/2022

Jak
prawidłowo przeprowadzić audyt bezpieczeństwa IT w gminie?  


Dlaczego hakerzy atakują gminy?  
Przyczyny, dla których hakerzy interesują się jednostkami samorządu terytorialnego są różne. Można jednak wymienić kilka najważniejszych. O jakich mowa? Spójrz niżej:  
  • gminy mogą być „punktem wyjścia” do dalszych ataków, 
  • samorządy gromadzą wiele cennych danych – zwłaszcza osobowych, 
  • zabezpieczenia gmin postrzegane są jako słabsze niż w przypadku firm, 
  • gminy nie posiadają zazwyczaj rozbudowanych zespołów IT, 
  • przyspieszenie (zwłaszcza w pandemii) cyfryzacji usług publicznych. 
Jaka jest skala cyberataków na samorządy? 
Co najmniej 14% samorządów padło ofiarą ataków hakerskich i to tylko w 2020 roku. To 388 ataków w ciągu roku, czyli średnio 1 dziennie. Jak widzisz, łakomym kąskiem dla cyberprzestępców są urzędy zlokalizowane w małych miejscowościach. Nie tylko duże i znane powszechnie JST.  
Jakie urzędy atakują hakerzy? 
Spójrz na przykłady cyberataków, odnotowanych w JST, które zestawiliśmy dla ciebie: 
  • Wyciek danych urzędu gminy w Nowinach (woj. świętokrzyskie) 
W grudniu 2021 roku urząd gminy w Nowinach otrzymał informację o kradzieży danych osobowych z programu kadrowo-płacowego. Na szczęście urzędnicy szybko zareagowali i skontaktowali się z Urzędem Ochrony Danych Osobowych, Inspektorem Danych Osobowych oraz z osobami, których dane były zagrożone. Po incydencie podniesiono w urzędzie poziom ochrony systemu IT.  
  • Blokada dostępu do danych w Urzędzie Gminy w Kościerzynie 
Cyberprzestępcy w listopadzie 2019 roku zaatakowali Urząd Gminy w Kościerzynie. Hakerzy zaszyfrowali dostęp do danych i zażądali okupu za ich odblokowanie. To klasyczny przykład ataku ransomware, który hakerzy stosują najczęściej wobec samorządów. 
  • Atak ransomware na Urząd Miasta Otwock 
Ofiarą działań hakerów w październiku 2021 roku padł Urząd Miasta Otwock. Hakerzy zaszyfrowali dostęp do systemów w urzędzie, podobnie jak w Kościerzynie.  
Jak ważne jest bezpieczeństwo strony internetowej gminy? 
Strona internetowa to wizytówka gminy i jej okno na świat, wokół którego możemy budować cyfrową społeczność i wspólnotę. To również platforma do:  
  • przekazywania informacji obywatelom,  
    udostępniania dokumentacji,  
  • przekazywania dokumentów zawierających dane wrażliwe. 
Gminna strona to niestety także furtka dla cyberprzestępców. Jeden ze wspomnianych wcześniej ataków ransomware był skuteczny właśnie dlatego, że strona internetowa gminy nie była dostatecznie zabezpieczona. To przez nią przestępcy wdarli się do systemu i go zablokowali.
Jakie są słabe punkty zabezpieczeń stron internetowych urzędów gmin?  
Do najczęściej powtarzanych błędów należą:  
  • brak certyfikatu TLS, 
  • otwarte porty, 
  • publiczny dostęp do panelu logowania CMS, 
  • publiczny dostęp do baz danych.  
Jak sprawdzić, gdzie są luki i na jakie ataki narażona jest gmina?  
Audyty i testy bezpieczeństwa – sposób na wykrycie luk 
Najlepszym sposobem są audyty i testy penetracyjne, czyli tzw. pentesty. Polegają one na przeprowadzeniu symulowanego cyberataku.  
Wykrycie słabych punktów zabezpieczeń infrastruktury IT w gminie to pierwszy krok do podniesienia poziomu cyberbezpieczeństwa w urzędzie.  

Pamiętaj!

Żeby audyty i testy bezpieczeństwa były skuteczne, warto je wykonywać regularnie. Metody ataków hakerskich stale się zmieniają i najnowsze incydenty mogą wykorzystywać luki, z których nikt wcześniej nie zdawał sobie sprawy. Nawet twórcy oprogramowania! 

Dlaczego audyty i testy bezpieczeństwa trzeba przeprowadzać cyklicznie? 
Zdecydowana większość skutecznych przypadków złamania zabezpieczeń, wykrywana jest średnio po 6 miesiącach od ich zaistnienia. Hakerzy często etapami penetrują system, żeby nie wzbudzić za szybko podejrzeń i ukryć swoją obecność. To faza przygotowawcza przed właściwym atakiem. W efekcie miesiącami mogą mieć dostęp do danych przechowywanych przez gminę i jej infrastruktury IT.  
Indywidualna konfiguracja i stałe aktualizacje 
Żeby audyt przyniósł rezultat, którego oczekujesz – czyli wzrost poziomu cyberbezpieczeństwa w gminie – diagnozie trzeba poddać przynajmniej kilka najważniejszych kwestii. Odpowiedniego zabezpieczenie oprogramowania to nie wszystko. Zwróć uwagę również na inne aspekty, które zebraliśmy dla ciebie poniżej.  
  • Konfiguracja połączeń sieciowych 
Wiele urządzeń, a także programów zabezpieczających, choć mają już domyślnie ustawione wysokie poziomy filtrowania ruchu, to nie zawsze odpowiadają one potrzebom JST. Dlaczego? Samorządy wymagają ścisłej kontroli połączeń sieciowych. Dobrym rozwiązaniem jest m.in. segmentacja sieci, czyli separacja konkretnych grup urządzeń. Na przykład, można stworzyć osobne połączenie dla serwerów obsługujących stronę internetową i osobną infrastrukturę dla urządzeń, z których korzystacie jako personel gminy. 
  • Stała kontrola okresów gwarancyjnych (wsparcia) 
To osobna, bardzo ważna kwestia. Pamiętaj o okresach gwarancyjnych urządzeń, których używa gmina oraz aktualizacji ich oprogramowania. Chodzi nie tylko o komputery, ale także o serwery, routery, firewalle i wszystkie urządzenia podłączone do sieci.  
Wkład personelu w cyberbezpieczeństwo gminy  
Bardzo ważny element układanki cyfrowego bezpieczeństwa w gminie to także System Zarządzania Bezpieczeństwem Informacji (SZBI). Inaczej mówiąc, to… ludzie. W końcu to my, użytkownicy jesteśmy najsłabszym ogniwem, których najczęściej starają się wykorzystać hakerzy. Zwłaszcza w przypadku ataków phishingowych, których częstotliwość drastycznie wzrasta z roku na rok. Podobnie jak w przypadku poprzednich obszarów, także procedury powinny być testowane w praktyce. Może się okazać, że część pracowników gminy ich nie zna lub są zupełnie nieskuteczne. Albo nieadekwatne do współczesnych zagrożeń.  Dlatego w ramach audytów i testów bezpieczeństwa, bardzo ważne jest regularne szkolenie pracowników, informowanie ich o nowych zagrożeniach i wspieranie budowania prawidłowych nawyków. To bezcenne narzędzia w walce z cyberzagrożeniami. Im więcej scenariuszy uwzględnisz w SZBI, tym lepiej. W końcu większość hakerów liczy na nieuwagę – twoją lub innych pracowników gminy.  
Hakerzy często sięgają też po elementy socjotechniki, np. wysyłają złośliwe linki z fałszywych adresów e-mail. Starają się też podszyć pod znane marki czy instytucje. Czasem ich działania są tak subtelne i zaawansowane, że trudno się zorientować czy wiadomość, która trafiła do twojej skrzynki, jest fałszywa. W takiej sytuacji odpowiednie procedury i narzędzia do reagowania na atak mogą okazać się bezcenne w ograniczeniu zasięgu szkód.  
Jak wygląda szkolenie personelu gminy w zakresie bezpieczeństwa IT? 
Z pewnością zastanawiasz się teraz jak powinno wyglądać takie szkolenie pracowników w zakresie bezpieczeństwa IT.  
O tym, że powinny się odbywać cyklicznie, już wspominaliśmy. Z doświadczenia wiemy, że w ten sposób dobre praktyki staną się nawykiem w twoim zespole.
Praktyka pokazuje, że najlepiej sprawdzają się szkolenia w formie warsztatów.  
  1. Zewnętrzni specjaliści badają poziom wiedzy i sposób reakcji uczestników. 
  2. Następny krok to przekazywanie wiedzy o właściwych reakcjach na cyberataki. 
  3. Po części teoretycznej specjaliści sprawdzają wzrost umiejętności uczestników po szkoleniu.
  4. Ostatni krok to ocena skuteczności szkolenia.  

Warto podkreślić jeszcze jedno – szkolenia w twojej gminie powinny obejmować wszystkich pracowników zatrudnionych w instytucji. Nie tylko działu IT.  To właśnie „szeregowi” pracownicy są na pierwszej linii ataków cyberprzestępców. 

Pamiętaj!

Nawet najlepsze oprogramowanie i najwyższej jakości oraz generacji zabezpieczenia nie zdadzą się na nic, kiedy nie stosujesz się do podstawowych zasad bezpieczeństwa.
Techniki wyłudzania danych, które hakerzy stosują wobec pracowników JST, to social engineering.  
Ten rodzaj manipulacji wykorzystuje:  
  • działanie ludzkiej psychiki,  
  • naturalne reakcje każdego człowieka, 
  • brak wiedzy o cyberzagrożeniach lub jej niski poziom. 
Jak widzisz, wszyscy pracownicy mogą mieć kluczowy wkład w cyberbezpieczeństwo gminy.  

Wiesz już więcej o audytach i testach cyberbezpieczeństwa w gminie. Zastanawiasz się nad przeprowadzaniem ich u siebie?  


Udostępnij:

Realizacja Happy Business

© 2024 | Sprint S.A. Wszystkie prawa zastrzeżone.