Ataki hakerskie ransomware największym czynnikiem ryzyka dla systemów informatycznych samorządów

Systemy informatyczne administracji publicznej coraz częściej stają się łatwym celem cyberprzestępców. Wynika to z faktu, iż organizacje rządowe i samorządowe relatywnie rzadko przeznaczają na cyberochronę środki finansowe odpowiednie do wymaganego obecnie poziomu zabezpieczeń. Jednocześnie, amerykański departament bezpieczeństwa wewnętrznego DHS CISA wskazał ransomware jako “największy cybernetyczny czynnik ryzyka” dla systemów informatycznych administracji Stanów Zjednoczonych. Wystarczy bowiem jeden zainfekowany użytkownik z najwyższym poziomem uprawnień, aby wyłączyć tysiące serwerów i spowodować tygodnie utrudnień dla milionów obywateli.

Ataki hakerów ransomware stają się ostatnio coraz bardziej wyrafinowane. Przekonały się o tym nie tak dawno organizacje publiczne w USA. W maju 2019 roku cyberprzestępcy przez dwa tygodnie blokowali dostęp do komputerów miasta Baltimore żądając okupu w wysokości stu tysięcy dolarów, paraliżując operacje online i utrudniając życie obywatelom. Koszt tego ataku – naprawę, usunięcie infekcji oraz przywrócenie systemów – oszacowano na 18 mln dolarów. Z kolei w sierpniu 2019 roku, celem podobnego ransomware – przestępstwa w cyberprzestrzeni zostało ponad dwadzieścia organizacji powiązanych z samorządem lokalnym w Teksasie. Niestety, przyjęty przez cyberprzestępców model ataków ciągle się rozwija, a granice geograficzne nie stanowią dla nich żadnej przeszkody.

Zwalczanie cyberprzestępczości – niezbędnik antyransomware dla instytucji samorządowych

“Pierwszą linią obrony jest zatrzymanie ataku zanim dotrze on do któregokolwiek systemu. Bezpośrednie koszty spowolnienia lub zatrzymania działań operacyjnych trudno ignorować – dlatego inwestycję związaną z kontrolerami bezpieczeństwa ransomware łatwo uzasadnić” – tłumaczy Ireneusz Wiśniewski, dyrektor zarządzający w F5 Poland, firmie specjalizującej się w cyberochronie. Ekspert proponuje też podstawowy „niezbędnik antyransomware” dla jednostek samorządu terytorialnego:

• Solidna strategia cyberochrony

Warto wdrożyć kulturę pracy opartą na zasadzie „najpierw bezpieczeństwo”. Koszt początkowy może się wydawać zniechęcający – szczególnie dla mniejszych jednostek, niemniej w porównaniu z kosztami ataku ransomware jest on znikomy.

• Uwierzytelnianie dla aplikacji sieciowych/internetowych

Pierwszym krokiem w zapobieganiu atakom ransomware jest ograniczenie możliwości logowania przez Internet solidną autoryzacją wieloskładnikową. Należy zatem upewnić się, że hasła domyślne i uwierzytelnianie, o którym wiadomo, że zostało naruszone (np. wyciek hasła, loginu), zostaną natychmiast usunięte – to działanie minimum.

• Szkolenia pracowników

Zespołowi należy przekazać wiedzę o przejawach występowania ataków opartych na ransomware, a także ich konsekwencjach. Priorytetem winien być szczególnie wzrost świadomości technik pishingowych (podszywania się hakerów pod instytucje, firmy) – podawanie w wątpliwość bezpieczeństwa załączników i linków z podejrzanych maili. Przestępcy najczęściej podszywają się pod znane marki takie jak Facebook, Microsoft Office Exchange czy Apple, ale równie dobrze mogą przedstawiać się jako duży dostawca energii elektrycznej czy spółka komunalna.

• Skanowanie i filtrowanie ruchu internetowego

Należy postawić na widoczność i kontekst szyfrowanego ruchu internetowego. Gdy złośliwe strony, załączniki czy ruch C&C (komunikacja z serwerami Command&Control) jest widoczny, można go automatycznie zablokować zanim nastąpi infekcja. Większość złośliwego oprogramowania jest utrzymywana na doskonale znanych (zaufanych) stronach, więc kluczowe jest deszyfrowanie ruchu SSL/TLS dla zapewnienia widoczności i możliwości sprawdzenia treści przez narzędzia ochrony.

• Tworzenie kopii zapasowych ważnych plików

Backup musi obejmować krytyczne systemy i obszary związane z danymi osobowymi. Kopie zapasowe powinny być także przechowywane offline dla ochrony przed atakiem ransomware. Wskazane są również symulacje odzyskiwania systemów po awarii, aby uniknąć takiego scenariusza jak w Baltimore.

• Separacja sieci

Najgroźniejsze wirusy malware i wirusy ransomware swobodnie łączą się z każdym dostępnym systemem, w chwili połączenia ich z siecią, dlatego też warto unikać płaskich struktur sieciowych. Zainfekowany system należy zatem przepuszczać przez filtr czy dodatkowe punkty dostępu, zanim wyjdzie on z lokalnej grupy zasobów.

• Pogłębiona ochrona cyberprzestrzeni

Warto też wprowadzić kilka różnych z natury, zazębiających się o siebie narzędzi (blokad-zapór), które mogą spowalniać i zatrzymywać wszystkie znane rodzaje ataków hakerskich.

“Dotychczas ataki ransomware uderzały w fizyczne komputery przeznaczone do ogólnych zadań, ale to tylko kwestia czasu, gdy staną się dużym problemem dla urządzeń IoT, smartfonów a także systemów chmurowych” – podsumowuje Ireneusz Wiśniewski.