Samorządy na celowniku hakerów. Czyli jak wygląda cyberbezpieczeństwo w realu

Krajowy System Cyberbezpieczeństwa miał być odpowiedzią na zagrożenia związane między innymi z atakami hakerów. Przyjęcie ustawy przez polski parlament było wymuszone unijną dyrektywą dotyczącą wysokiego stopnia zabezpieczeń sieci informatycznych.

Ustawą wprowadzono procedury, które obowiązują urzędy publiczne w sytuacjach, kiedy dochodzi do ataków hakerskich. Nowe wymogi bezpieczeństwa muszą być spełnione również w samorządach.

Z raportu firmy Fortinet zajmującej się tematyką cyberbezpieczeństwa wynika, że „samorządy lokalne często dysponują bardzo ograniczonymi zasobami. Nierzadko posiadają one starszy sprzęt lub oprogramowanie. W dodatku - jak czytamy w raporcie - na rynku pracy specjaliści od bezpieczeństwa IT są w ogóle trudno dostępni, a ich wynagrodzenia wysokie. W tej sytuacji urzędy nie mają szans na ściągnięcie do siebie odpowiednio wykwalifikowanego personelu.”

Kosztowne rozwiązania

Eksperci Fortinet oceniają, że aby samorządy lokalne i gminy mogły dalej rozwijać swoje cyfrowe usługi bez ryzyka dla bezpieczeństwa danych, osoby za nie odpowiedzialne muszą „określić potrzeby i wdrożyć rozwiązania, które umożliwią im jak najlepsze wykorzystanie ograniczonych zasobów”.

- Warto w tym celu stosować zintegrowane rozwiązania ochronne, które są bardziej efektywne kosztowo oraz łatwiejsze do wdrażania i administrowania, niż zatrudnienie grona ekspertów odpowiedzialnych za ochronę środowiska IT. Jeśli wszystkimi elementami infrastruktury można zarządzać za pomocą centralnego interfejsu, godziny pracy przeznaczone na zabezpieczanie są znacząco redukowane, a koszty mogą być znacznie niższe - mówi Jolanta Malak, dyrektor Fortinet w Polsce.

Zhakowany ratusz

Od czasu przyjęcia ustawy o Krajowym Systemie Cyberbezpieczeństwa nie doszło w Polsce do ataku hakerskiego na instytucję publiczną na skalę masową. A podobne sytuacje miały miejsce wcześniej. By przypomnieć tylko incydent z 2015 roku, kiedy to zhakowany został serwis internetowy toruńskiego ratusza.

Użytkownicy, którzy chcieli odwiedzić stronę urzędu miasta 30 sierpnia 2015 roku, widzieli zamiast informacji o urzędzie maskę Guya Fawkesa, będącą symbolem grupy Anonymous, internetowych aktywistów.

Na czarnym tle widniał też napis, który można przetłumaczyć z angielskiego: „Nikt nie da ci wolności, nikt nie da równości i sprawiedliwości. Jesteś człowiekiem, więc sam je zdobądź”.

Jak dziś wygląda ochrona danych w urzędach? Niektóre, jak na przykład włocławski magistrat, bronią informacji na ten temat, uznając, że ta tajemnica jest właśnie... częścią strategii obrony przed atakami.

- Nie ujawniamy takich danych właśnie ze względów bezpieczeństwa - mówi Aleksandra Bartoszewska, z biura komunikacji Urzędu Miasta Włocławka. - Wytyczne polityki ochrony danych osobowych w urzędzie precyzuje zarządzenie wewnętrzne prezydenta miasta. Role i odpowiedzialności w zakresie zapewnienia ochrony informacji są przypisane m.in. Inspektorowi Ochrony Danych i Administratorom Systemu Informatycznego. W urzędzie działa również Regulamin Ochrony Danych - dodaje Bartoszewska.

Z kolei Urząd Miasta w Grudziądzu prowadzi kilka miejsc przetwarzania danych.

- Dane są chronione zgodnie z obowiązującymi przepisami regulującymi aspekty merytoryczne i unormowania co do procedur ochrony danych osobowych - mówi Beata Adwent, rzecznik prasowy prezydenta Grudziądza.

Systemy informatyczne ratusza są wyposażone w urządzenia sterujące i kontrolujące wewnętrzny ruch sieciowy i - jak podkreśla rzeczniczka - w tzw. UTM, czyli firewalle, programy chroniące dane na „styku z internetem”. - Do przetwarzania danych są dopuszczone osoby, które posiadają upoważnienia. Są wprowadzone zabezpieczenia fizyczne budynku urzędu w postaci monitoringu CCTV - mówi Beata Adwent.