Cyfrowa Gmina: 3 najważniejsze elementy audytu cyberbezpieczeństwa

• Za chwilę zakończy się pierwsza runda konkursu Cyfrowa Gmina. Elementem obligatoryjnym każdego wniosku jest przeprowadzanie diagnozy cyberbezpieczeństwa JST.
• Ochrona stron internetowych, konfiguracja infrastruktury i dbałość o procedury – to 3 obszary, które trzeba poddać wnikliwym testom.
• Stan zabezpieczeń powinien być sprawdzany regularnie, a pracownicy stale informowani o nowych zagrożeniach i metodach stosowanych przez hakerów.

Już 17 listopada kończy się pierwsza runda naboru wniosków o dofinansowanie w ramach konkursu Cyfrowa Gmina. Każdy z nich musi uwzględniać działania związane ze zwiększeniem cyberbezpieczeństwa samorządu, a pierwszym krokiem, który będzie musiała wykonać każda jednostka, jest przeprowadzenie technicznej diagnozy systemów IT. To bardzo ważne, ponieważ pandemia i przyspieszenie cyfryzacji usług publicznych sprawiły, że samorządy coraz częściej są celem cyberprzestępców. Choć nie można zapominać, że i wcześniej nie były wolne od tego zagrożenia. Najbardziej spektakularne do tej pory ataki miały miejsce jesienią 2019 r., kiedy ataki ransomware sparaliżowały pracę kilku gmin.

– Konkurs Cyfrowa Gmina to ważny krok w kierunku zwiększenia bezpieczeństwa cyfrowego polskich JST, które z roku na rok są coraz bardziej narażone na ataki hakerskie. Dlatego cieszy mnie fakt, że audyt cyberbezpieczeństwa jest obowiązkowym działaniem. W końcu samorządy mają praktycznie nieograniczony dostęp do prawie wszystkich naszych danych osobowych, które jak wiadomo, są bardzo atrakcyjnym celem dla hakerów. W związku z tym lista działań, które trzeba przeprowadzić w ramach obligatoryjnej diagnozy, zawiera 32 pozycje. Szczególną uwagę proponuję poświęcić trzem obszarom – stronom internetowym JST, infrastrukturze oraz procedurom – mówi Patrycja Tatara, ekspert ds. cyberbezpieczeństwa w Sprint S.A.

Dlaczego bezpieczeństwo stron jest tak ważne?

Strona internetowa to nie tylko wizytówka i okno na świat, wokół którego możemy budować cyfrową społeczność i wspólnotę. To również platforma do przekazywania informacji obywatelom, udostępniania dokumentacji, także tej uwzględniającej dane wrażliwe. Jednocześnie jest niestety też furtką, przez którą mogą wkraść się cyberprzestępcy. Jeden ze wspomnianych wcześniej ataków ransomware był skuteczny właśnie dlatego, że strona internetowa gminy nie była dostatecznie zabezpieczona. To przez nią przestępcy wdarli się do systemu i go zablokowali.

Do często spotykanych uchybień należą brak certyfikatu TLS, otwarte porty czy publiczny dostęp do panelu logowania CMS lub baz danych. Jak sprawdzić, gdzie są luki i na jakie ataki jesteśmy podatni? Najlepszym sposobem są testy penetracyjne, tzw. pentesty. Polegają one na przeprowadzeniu symulowanego ataku. Warto je wykonywać regularnie, ponieważ metody ataku stale się zmieniają i najnowsze incydenty mogą wykorzystywać luki, z których nikt wcześniej nie zdawał sobie sprawy (nawet twórcy oprogramowania).

– Ważnym argumentem przemawiającym za cyklicznym przeprowadzaniem pentestów jest fakt, że zdecydowana większość skutecznych przypadków złamania zabezpieczeń, wykrywana jest średnio po 6 miesiącach od ich zaistnienia. Hakerzy często etapami penetrują nasz system, żeby nie wzbudzić za szybko podejrzeń i ukryć swoją obecność. To faza przygotowawcza przed właściwym atakiem. W efekcie mogą mieć dostęp do naszych danych i systemu miesiącami – dodaje Patrycja Tatara ze Sprint S.A.

Indywidualna konfiguracja i stale aktualizacje to klucz do zdrowiej infrastruktury

Odpowiednio zabezpieczone oprogramowanie to tylko jedna z wielu kwestii, które trzeba poddać diagnozie. Drugą niezwykle ważną jest konfiguracja połączeń sieciowych. Wiele urządzeń, a także programów zabezpieczających, choć ma już domyślnie ustawione wysokie poziomy filtrowania ruchu, to nie zawsze są one wystarczające dla JST. Samorządy wymagają ścisłej kontroli połączeń sieciowych. Dobrym rozwiązaniem jest między innymi segmentacja sieci, czyli oddzielenie od siebie poszczególnych typów ruchu w Internecie. Na przykład, można stworzyć osobne połączenie dla serwerów obsługujących stronę internetową i osobną infrastrukturę dla urządzeń, z których korzysta personel gminy.

Osobną kwestią jest stała kontrola okresów gwarancyjnych (wsparcia) i aktualizacji oprogramowania poszczególnych urządzeń – nie tylko komputerów, ale także serwerów i routerów.

Najważniejszy zawsze jest czynnik ludzki

Bardzo ważnym elementem układanki cyberbezpieczeństwa jest także System Zarządzania Bezpieczeństwem Informacji (SZBI). W końcu to my, użytkownicy jesteśmy najsłabszym ogniwem, które najczęściej starają się wykorzystać hakerzy. Zwłaszcza w przypadku ataków phishingowych, których częstotliwość drastycznie wzrasta z roku na rok. Podobnie, jak w przypadku poprzednich obszarów, także procedury powinny być testowane w praktyce. Może się okazać, że część pracowników ich nie zna lub są zupełnie nieskuteczne, lub nieprzystające do współczesnych zagrożeń.

– Regularne szkolenie pracowników, informowanie ich o nowych zagrożeniach i wspieranie budowania prawidłowych nawyków, to bezcenne narzędzia w walce z cyberzagrożeniami. Im więcej scenariuszy uwzględnimy w SZBI, tym lepiej. W końcu większość hakerów liczy na naszą nieuwagę. Często sięgają też po elementy socjotechniki, np. w zeszłym roku popularne było wysyłanie złośliwych linków zamaskowanych jako informacje o COVID-19. Starają się też podszyć pod znane marki czy instytucje. Czasem ich działania są tak subtelne i zaawansowane, że nie sposób się zorientować, że otrzymaliśmy fałszywą wiadomość. W takiej sytuacji odpowiednie procedury i narzędzia do reagowania na atak mogą okazać się bezcenne w ograniczeniu zasięgu szkód – zauważa Patrycja Tatara ze Sprint S.A.