Ponad 18 mln dolarów – tyle wyniosły straty Baltimore poniesione w wyniku ataku szyfrującego. Ransomware uderza nie tylko w instytucje w wielkich aglomeracjach, ale też tych mniejszych. Pod koniec 2019 roku jego ofiarami padły Urząd Gminy Kościerzyna i Urząd Gminy Lututów. Tuż przed Świętami Bożego Narodzenia hakerzy zaatakowali klinikę dziecięcą Budzik. Wszystkie te podmioty zetknęły się z widmem ogromnych strat. Co robić, by publiczne instytucje, czy prywatne firmy nie płaciły setek tysięcy, a nawet milionów złotych okupu? Jak zadbać o zabezpieczenie danych w instytucjach publicznych? Najprościej zainwestować w backup.
Wszystkie podmioty, zarówno publiczne jak i prywatne, muszą zwiększać wiedzę swoich pracowników w zakresie cyberbezpieczeństwa i korzystać z nowych technologii zabezpieczających dane. Błąd ludzki może przytrafić się zawsze i w każdej branży. Należy jednak pamiętać, że utrata danych może naprawdę dużo kosztować – chyba, że odpowiednio się na nią przygotujemy.
Gminy, urzędy i kliniki na celowniku hakerów…
Ataków na instytucje publiczne jest coraz więcej. Przypomnijmy sobie te najbardziej spektakularne.
Na kartach historii zapisał się cyberatak w 2015 roku na Pentagon – najważniejszą instytucję odpowiedzialną za bezpieczeństwo w USA. Wówczas cyberprzestępcy przejęli dane 4 tysięcy pracowników tej organizacji.
Trzy lata później świat obiegła informacja o ataku ransomware na urząd miejski w Atlancie. Za odblokowanie serwerów hakerzy zażądali 51 tys. dolarów. Faktyczne straty miasta wynikające z przestoju w działalności i utraty danych sięgnęły kwoty 2,7 mln $.
Cyberataki nie omijają polskich instytucji…
Tylko w grudniu 2019 roku doszło do trzech głośnych incydentów. Przyjrzyjmy się im bliżej.
Dane mieszkańców w wyniku ataku ransomware utracił Urząd Gminy w Kościerzynie. Hakerzy zaszyfrowali dane z komputerów urzędników, a to m.in. przełożyło się na wstrzymanie wypłat zasiłków. Pracownicy co prawda deklarowali, że wykonują swoje obowiązki ręcznie, ale prawda jest taka, że gdyby nie zaangażowanie specjalistów z zewnętrznych firm zajmujących się bezpieczeństwem w sieci, być może nie udałoby się odzyskać danych i powrócić do normalnego funkcjonowania instytucji.
Kilka dni później sytuacja powtórzyła się w Urzędzie Gminy Lututów. Hakerzy zaszyfrowali bazę danych dotyczącą zobowiązań podatników z tytułu czynszów i opłat komunalnych oraz zażądali okupu w wysokości 6 tys. dolarów.
Tuż przed Świętami Bożego Narodzenia ofiarą ataku ransomware padła Klinika Budzik. Wiadomo, że kampania rozpoczęła się od tajemniczych maili o rzekomych nieopłaconych fakturach. Maile zawierały zainfekowane linki, pisane były w języku angielskim a wysyłane z hiszpańskiego adresu. W skutek incydentu zablokowany został cały system informatyczny co mogło uniemożliwić placówce sporządzenie raportu dla NFZ, który jest jedynym źródłem utrzymania kliniki. Hakerzy zażądali okupu w wysokości 30 tys. zł. Władze placówki odmówiły zapłaty. Twierdzą, że udało im się odszyfrować dane. Takie sytuacje grożą nie tylko paraliżem instytucji publicznych i narażają je na ogromne straty finansowe i wizerunkowe. Brak odpowiednich zabezpieczeń danych w instytucjach publicznych to temat, który zagraża również obywatelom. Kto wie, w jaki sposób ich wykradzione dane mogą zostać wykorzystane przez przestępców?
Zabezpieczenie danych w instytucjach publicznych – oczekiwania a rzeczywistość
Chcemy wierzyć, że urzędy, uczelnie czy szpitale, którym powierzamy swoje dane (często te wrażliwe) przechowują je w należyty sposób. Niestety, nie chcemy generalizować, ale na rzeczywistość w polskiej administracji publicznej lepiej patrzeć w różowych okularach. Bo często jest ona dość ponura. Przestarzały sprzęt, nie aktualizowane oprogramowanie, brak planu zachowania ciągłości działania, nieświadomy zagrożeń personel. Do tego informatycy, którzy muszą zajmować się wszystkim. Od instalacji Office’a na komputerach kolegów po utrzymanie sieci. Bezpieczeństwo? Ochrona danych? Zwyczajnie nie mają na to czasu. I trudno się temu dziwić – budżet, który administracja publiczna przeznacza na cyberbezpieczeństwo jest zwyczajnie niewystarczający.
Czasami nie trzeba wiele…
Antywirus? Super! To absolutna podstawa, ale poza nim jest coś jeszcze. Coś, dzięki czemu udałoby się szybko przywrócić zaszyfrowane przez ransomware dane, uniknąć przestoju i ograniczyć straty wizerunkowe. Backup i disaster recovery. Proste, a skuteczne rozwiązanie które umożliwia nie tylko stworzenie kopii zapasowej kluczowych danych, ale także przywrócenie do działania krytycznych usług i systemów w momencie wystąpienia awarii.
Po serii ataków ransomware na polskie instytucje publiczne część z nich tłumaczyła się posiadaniem antywirusa. Jego rolą jest co prawda blokowanie złośliwych programów i ochrona użytkownika w sieci, ale skuteczność nie jest stuprocentowa. Ponadto, mówimy tutaj o administracji publicznej – sektorze, któremu powierzane są miliony danych o użytkownikach. Program do backupu i disaster recovery jest najskuteczniejszym sposobem na odzyskanie kontroli nad zainfekowanymi urządzeniami, dlatego powinien być podstawą bezpieczeństwa IT w każdej organizacji, zwłaszcza użytku publicznego. Niestety, okazało się, że tych rozwiązań zabrakło. A szkoda, bo pozwoliłyby na szybkie odzyskanie danych oraz przywrócenie krytycznych systemów i usług, a tym samym uniknięcie strat finansowych i wizerunkowych.
Patrz: Ochrona przed ransomware w trzech krokach
Zabezpieczenie danych w instytucjach publicznych krok po kroku
Jest kilka podstawowych działań, które każdy podmiot powinien stosować, by jak najbardziej chronić swoje dane.
- Cyberedukacja – szkolenie pracowników z zakresu bezpieczeństwa w sieci i wykrywania zagrożeń pomoże m.in. w identyfikacji prób ataków. Umiejętność rozpoznawania podejrzanych wiadomości to fundament – phishing wciąż jest ulubionym narzędziem w rękach przestępców.
- Aktualizacja systemów i oprogramowania. Te przestarzałe posiadają luki, które chętnie wykorzystują hakerzy.
- Tworzenie bezpiecznych, różnych haseł i ich regularna zmiana. Korzystanie z managera haseł.
- Nie można zapominać też o programie antywirusowym, który jest pierwszą linią obrony. Gdy ta zawiedzie, w pogotowiu czeka…
- …backup. Musi być on wszędzie tam, gdzie przetwarzane są dane, zwłaszcza te kluczowe i wrażliwe. W momencie ataku pozwoli na uniknięcie zapłaty okupu i przywrócenie danych z kopii zapasowej. Ograniczy tym samym straty materialne i wizerunkowe.
- Reguła 3-2-1 – tej zasady powinny się trzymać zwłaszcza instytucje publiczne. Mówi ona o tym, żeby przechowywać przynajmniej trzy kopie swoich danych, w dwóch różnych miejscach, z czego przynajmniej jedno powinno znajdować się poza siedzibą firmy.
Chmura nad administracją
Poza siedzibą, czyli gdzie? Dobrym miejscem jest chmura. Niestety, w raporcie „Chmura nad Polską. Potencjał, wyzwania, korzyści” czytamy, że w 2018 r. jedynie 12,3 % (!) wszystkich jednostek administracji publicznej w Polsce korzystało z chmury. Najlepiej wypadły urzędy marszałkowskie (53%), najgorzej – urzędy gminy (10%).
Na szczęście, obserwujemy coraz więcej pozytywnych przykładów korzystania z chmury przez instytucje publiczne. Cała idea e-państwa opiera się przecież na wykorzystaniu możliwości cloud computingu. Wszelkie systemy, w których obywatel może złożyć wniosek online i podpisać go przez internet wykorzystują właśnie chmurę obliczeniową. Jest ona powszechniejsza, niż nam się wydaje.
Dlaczego więc nie skorzystać z możliwości zabezpieczenia danych w chmurze? Cloud backup daje instytucjom praktycznie te same funkcjonalności co backup lokalny – szyfrowanie algorytmem AES, transmisja z wykorzystaniem SSL, kompresja, retencja i wersjonowanie. W pakiecie wyszkolony zespół i centrum danych, które zapewnia odpowiedni poziom infrastruktury. W ten sposób bezpieczeństwo częściowo delegowane jest na zewnątrz, co przy ograniczonych zasobach ludzkich może okazać się jedną z ważniejszych wartości dla administracji publicznej (Więcej: Xopero Cloud).
Złoty środek
Wybór programu do backupu dla administracji publicznej powinien być poprzedzony analizą potrzeb i infrastruktury IT, wymagań oraz procesów wewnętrznych. Backup lokalny z pewnością będzie szybszym rozwiązaniem (prędkość tworzenia kopii zapasowej nie zależy tutaj od przepustowości łącza internetowego), które lepiej zabezpiecza duże wolumeny danych.
Backup nie zawsze też będzie wiązał się z ogromnymi nakładami finansowymi i inwestycją w sprzęt. Niektóre rozwiązania (np. Xopero Backup&Restore) mogą zostać wdrożone na niemalże dowolnej infrastrukturze IT, w której serwerem backupu może być praktycznie każda maszyna pracująca pod kontrolą systemu Windows. Wniosek? Backup wcale nie musi być kosztowny.
Najlepsze rozwiązanie? Backup hybrydowy, czyli połączenie możliwości cloud backupu i rozwiązań lokalnych, które zapewnia najwyższy poziom bezpieczeństwa.