KOLEJNY ATAK NA URZĄD MIASTA - URUCHOMIONO PROCEDURY KRYZYSOWE

Atak na urząd miasta nie jest już incydentem wyjątkowym. To scenariusz, który może dotknąć każdą jednostkę samorządu terytorialnego. Z informacji opublikowanych przez Polską Agencję Prasową wynika, że w jednym z urzędów doszło do naruszenia bezpieczeństwa systemów IT, a na poziomie centralnym uruchomiono procedury kryzysowe. Sprawą zajęły się CSIRT NASK, UODO oraz organy ścigania. Jeśli odpowiadasz za infrastrukturę IT w JST, potraktuj ten przypadek jako sygnał ostrzegawczy. Twój system nie jest anonimowy w sieci. Jest celem. Masz ograniczony czas na reakcję, gdy incydent już wystąpi.

 Źródło: Designed by Freepik

Atak objął systemy informatyczne urzędu. Najczęściej w takich przypadkach dochodzi do kompromitacji kont uprzywilejowanych lub wykorzystania podatności w usługach dostępnych z sieci publicznej. Typowy wektor wejścia to phishing lub podatność w VPN, RDP albo serwer aplikacyjny. Po uzyskaniu dostępu napastnik wykonuje ruch boczny i przejmuje kolejne zasoby.

Z punktu widzenia informatyka kluczowe jest jedno pytanie. Jak szybko wykrywasz incydent. W wielu JST czas wykrycia liczony jest w dniach lub tygodniach. Według raportów branżowych średni czas obecności atakującego w sieci to ponad 20 dni. W tym czasie napastnik mapuje środowisko, zbiera dane i przygotowuje eskalację. Jeśli nie masz centralnego systemu zbierania logów i korelacji zdarzeń, działasz w ciemno.

Sprawdź swoje logowanie zdarzeń. Windows Event ID 4624, 4625, 4672 oraz 4720 to podstawowe sygnały aktywności kont. Jeśli nie analizujesz ich automatycznie, nie zobaczysz ataku. Wdrożenie systemu klasy SIEM, np. Greylog, Wazuh czy Elastic, pozwala na korelację i alertowanie w czasie rzeczywistym.

Zadbaj o segmentację sieci. Jeśli użytkownik z referatu budownictwa ma dostęp do serwera finansowego, to błąd architektoniczny. VLAN bez kontroli ruchu nie wystarczy. Wprowadź polityki firewall między segmentami. Wymuś zasadę least privilege. Każdy dostęp musi mieć uzasadnienie.

Przeanalizuj dostęp zdalny. RDP wystawione do Internetu to zaproszenie dla atakującego. Jeśli musisz używać zdalnego dostępu, wdróż VPN z MFA. Sprawdź logi logowań. Wiele ataków zaczyna się od prostych prób brute force.

Zabezpiecz kopie zapasowe. W incydentach ransomware to jedyny element, który pozwala wrócić do działania. Backup musi być offline lub w modelu immutable. Testuj odtwarzanie. W praktyce wiele JST posiada backup, którego nie da się użyć.

Zwróć uwagę na użytkownika końcowego. Phishing nadal działa. Wystarczy jedno kliknięcie. Szkolenia powinny być cykliczne i oparte na symulacjach. Przykład z życia. W jednej z gmin przeprowadzono test phishingowy. Ponad 40 procent pracowników kliknęło w link. To nie jest problem ludzi. To problem procesu i świadomości.

Wprowadź procedury reagowania. Jeśli nie masz playbooka na incydent, stracisz czas na improwizację. Określ, kto podejmuje decyzje, kto izoluje systemy, kto komunikuje się z kierownictwem. W ataku liczą się minuty. Odłącz zainfekowaną stację od sieci. Zablokuj konta. Zabezpiecz logi. Nie wyłączaj systemu bez analizy, bo stracisz ślady.

Monitoruj aktualizacje. Wiele ataków wykorzystuje znane podatności. Brak patchowania to najprostsza droga do kompromitacji. W środowisku Windows użyj WSUS lub Intune. Dla urządzeń sieciowych wprowadź harmonogram aktualizacji firmware.

Patrz na incydent jak na proces, nie jednorazowe zdarzenie. Atak na urząd miasta pokazał, że reakcja musi być wielopoziomowa. Ty odpowiadasz za pierwszy poziom. Masz wpływ na architekturę, monitoring i procedury. Jeśli tego nie zrobisz, kolejne komunikaty mogą dotyczyć twojej jednostki.

Źródła:
Serwis Samorządowy PAP; Atak hakerski na urząd miasta. Ministerstwo wdraża procedury kryzysowe

CyberDefence24; Cyberatak na Urząd Miasta w Myszkowie. Ryzyko wycieku danych

AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI, oraz opracowane przez człowieka.