W wyniku działań podjętych przez Urząd Gminy Kościerzyna zaszyfrowane po cyberataku dane zostały odzyskane, a awarię systemów informatycznych usunięto. Eksperci CERT Polska byli w stałym kontakcie z urzędnikami gminy.
CERT Polska analizując przedmiotowe zgłoszenie postępował zgodnie z przyjętą metodą działania dla tego typu przypadków. W pierwszym kroku zawsze analizowane są znane źródła, a także możliwości odwrócenia złośliwego procesu za pomocą narzędzi zwanych dekryptorami. Jeżeli takie nie są znane, a skala zagrożenia jest znacząca, CERT Polska dokonuje wnikliwej analizy działania dostarczonej próbki. W ocenie ekspertów NASK atak nie zagrażał innym gminom. Dodajmy, że w niektórych przypadkach, pomimo intensywnych działań analityków, odwrócenie procesu szyfrowania nie jest możliwe. Dlatego niezwykle ważna jest profilaktyka z zakresu przeciwdziałania infekcjom, a także właściwa konfiguracja środowiska w celu przywrócenia systemów po takim rodzaju ataku, co stanowi zadanie danego podmiotu.
- Mimo, że skutki incydentu ograniczone były do jednego podmiotu i nie wymagały koordynacji w ramach Krajowego Systemu Cyberbezpieczeństwa, podjęliśmy działania wykraczające poza obowiązki ustawowe, polegające na próbie stworzenia narzędzia do odzyskania zaszyfrowanych danych. Gmina zaangażowała do pomocy także podmioty prywatne. Utrzymywaliśmy stały kontakt z osobami pracującymi przy incydencie i mimo pewnych utrudnień, udało się odzyskać dane i odblokować systemy – narzędzia stworzyli równolegle eksperci z CERT Polska oraz jednej z firm prywatnych. Bardzo doceniamy gotowość do współpracy ze strony urzędu oraz bezinteresowne wsparcie podmiotów zaangażowanych przez gminę – mówi Przemysław Jaroszewski, kierownik zespołu CERT Polska w NASK. – Incydent w gminie Kościerzyna to ważny test dla działania współtworzonego przez nas Krajowego Systemu Cyberbezpieczeństwo na poziomie samorządowym. Pokazał nam miejsca, które wymagają korekty po naszej stronie i przypomniał, jak ważne jest odpowiednie zabezpieczenie urzędów – podkreśla Przemysław Jaroszewski.
Ustawa o Krajowym Systemie Cyberbezpieczeństwa (KSC) definiuje zadania, obowiązki i procedury działania dla podmiotów wskazanych, w tym dla Jednostek Samorządu Terytorialnego (JST). Wskazuje m.in., że JST jako podmioty publiczne mają obowiązek wyznaczenia osoby do kontaktu z podmiotami KSC (takimi jak CSIRT w NASK) oraz edukowanie pracowników i mieszkańców w zakresie cyberbezpieczeństwa. W przypadku cyberataku JST mają obowiązek zapewnić obsługę i zarządzanie incydentem – CSIRT w NASK w razie potrzeby udziela wsparcia eksperckiego w tym zakresie. Oznacza to w szczególności, że muszą mieć zdolności do wykrywania incydentów, a także do zgromadzenia informacji niezbędnych do jego analizy.
Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego (CSIRT) w NASK (dedykowany do obsługi incydentów, zgłaszanych przez JST) zapewnia koordynację obsługi incydentu, tzn. dba o pozyskanie informacji, które mogą pomóc podmiotowi w zarządzaniu incydentem, a także przekazuje stosowne informacje podmiotom zewnętrznym.
Według ustawy o KSC, CSIRT może pomóc podmiotowi w obsłudze incydentu na wniosek tego podmiotu i w uzasadnionym przypadku. Takimi przypadkami mogą być na przykład incydenty zupełnie nowe, przed którymi podmiot ten nie miał szansy się obronić. Mogą to być też incydenty, które potencjalnie będą się dalej rozprzestrzeniać i wymagają koordynacji pomiędzy sektorami.
- CERT Polska w NASK, współtworząc CSIRT, zawsze odpowiada na zgłoszone zapotrzebowanie gmin, podejmując działania, wykraczające poza obowiązki ustawowe. Każdy przypadek wymaga jednak oddzielnej analizy i dostosowania narzędzi oraz sposobu reakcji. Dlatego kluczowe jest współdziałanie po stronie pracowników urzędu. Zachęcamy jednocześnie gminy do systematycznej oceny własnych zasobów IT, do aktualizacji systemów i odpowiedniego zarządzania ryzkiem, w tym edukowania pracowników urzędów w zakresie cyberbezpieczeństwa i cyberhigieny – dodaje Przemysław Jaroszewski z CERT Polska w NASK.
Zgłaszanie incydentu do CSIRT NASK: www.incydent.cert.pl