System ŚKUP nie obronił się przed cyberatakiem, skutkiem czego pasażerowie przez kilka dni pozbawieni byli możliwości korzystania z uprawnień, jakie daje karta. Mniej więcej w tym samym czasie premier przedłużył obowiązywanie alarmu Charlie CRP, związanego m.in. z zagrożeniem cyberterroryzmem. Jak się okazuje, nasze miejskie systemy również są atakowane, m.in. z adresów w Chinach i Federacji Rosyjskiej.
Najczęściej atakują boty
Dla Miasta Gliwice operatorem telekomunikacyjnym i firmą wspierającą obszar cyberbezpieczeństwa miejskich systemów jest Śląska Sieć Metropolitalna. Działający w ramach ŚSM zespół NOC – Network Operations Center obserwuje w sposób nieprzerwany dziesiątki tysięcy ataków sieciowych w ciągu każdej godziny. Tak wielka ilość ataków wynika bezpośrednio z obsługiwanych przez SSM kilku tysięcy publicznych adresów IP.
Znakomita większość z nich to działania zautomatyzowane odbywające się przy minimalnym udziale lub wręcz bez udziału człowieka. Jest to stan typowy z punktu widzenia każdego średniej wielkości operatora telekomunikacyjnego. Część spośród ataków nie wymaga podejmowania działań wykraczających poza konsekwentne stosowanie dobrych praktyk branżowych, pewną ilość stanowią ataki wprost, celowo nieskuteczne, mające na celu wywołanie paniki i doprowadzenie tym samym do popełnienia błędu ludzkiego. Kategorią najciekawszą, ale i najgroźniejszą, są działania wykonywane świadomie przy udziale osób posiadających plan wielofazowy, zdolnych do kontrreakcji na próby mitygacji (aktywne przeciwdziałanie) ze strony zespołu NOC. Takie ataki można śmiało nazwać celowo wymierzonymi w infrastrukturę Miasta Gliwice. Tego typu ataków Śląska Sieć Metropolitalna rejestruje najmniej, przy czym częstość ich występowania jest silnie zróżnicowana i silnie uzależniona zarówno od czynników zewnętrznych, jak i bieżącej aktywności miejskich jednostek organizacyjnych.
Do najczęściej rejestrowanych ataków należą: skanowanie portów (metoda ustalania gdzie i w jaki sposób, w infrastrukturze atakowanego, uruchomiono usługi potencjalnie podatne na atak i osiągalne z punktu widzenia Internetu), ataki DDoS (Distributed Denial of Service – metoda ataku polegająca na wysyłaniu z tysięcy komputerów, a czasami nawet z dziesiątek lub nawet setek tysięcy, równoczesnych zapytań do serwisu internetowego atakowanego, powodująca jego przeciążenie, a w konsekwencji zablokowanie serwisu. Zwykle ataki przeprowadzane są z udziałem tzw. Botnetów), ataki słownikowe (Dictionary Attack) oraz phishing (haker próbuje wyłudzić od ofiary wrażliwe informacje. Ich celem jest kradzież loginów, haseł, a w konsekwencji wrażliwych informacji zaatakowanego).
- Jak widać, zagrożeń jest bez liku. Cyberbezpieczeństwo jest jednym z celów strategicznych w obszarze bezpieczeństwa Miasta i rolą Spółki jest stałe zapewnianie cyberochrony kluczowym obszarom działania Miasta, jego mieszkańcom oraz przedsiębiorcom – mówi prezes Śląskiej Sieci Metropolitalnej, Agnieszka Olbrycht-Banach. - To obszar wymagający stałego rozwoju i rozbudowy. Dzięki realizacji założeń przedsięwzięcia standaryzacji infrastruktury teleinformatycznej w Miejskich Jednostkach Organizacyjnych, przy wykorzystaniu infrastruktury Data Center, można śmiało powiedzieć, że poziom cyberbezpieczeństwa stale rośnie – podkreśla.
„Imperium” atakuje?
Ataki prowadzone są praktycznie z całego świata, ale najczęściej użytkownik „atakującego” komputera nie jest nawet świadomy tego, że komputer został zainfekowany i bierze udział w ataku. Faktyczne źródło, odpowiedzialne za jego organizację pozostaje zazwyczaj nieznane i trudne do zidentyfikowania. Nie jest zaskoczeniem, iż najwięcej niepożądanego ruchu w sieci jest generowane z adresacji przypisanej do Chińskiej Republiki Ludowej. Federacja Rosyjska jest jednym z poważniejszych rejestrowanych przez NOC wektorów ataku.
- Nie odnotowaliśmy zdecydowanego zwiększenia liczby ataków po wybuchu wojny. Można przyjąć, że ich ilość zwiększyła się o ok. 10%, przy czym większa liczba ataków wynika z ogólnej tendencji wzrostowej na tym polu obserwowanej już w ubiegłych latach – mówi Dyrektor IT, Tomasz Król.
Choć początek konfliktu zbrojnego na Ukrainie nie wiązał się z drastyczną zmianą ilości ataków, wymagał wzmożonej czujności oraz realizacji przez ŚSM obowiązków związanych z wprowadzeniem przez Prezesa Rady Ministrów na terytorium Polski trzeciego stopnia alarmowego CHARLIE CRP, będącego odpowiedzią na zagrożenia wystąpienia zdarzenia o charakterze terrorystycznym dotyczącym systemów teleinformatycznych organów administracji publicznej.
Warto przy tym wiedzieć, że w świecie objętym tak szeroką cyfryzacją, wykupienie wirtualnej infrastruktury, zlokalizowanej nawet na sąsiednim kontynencie, nie jest dla instytucji o większych zasobach finansowych żadnym problemem, a co za tym idzie przypisywanie faktycznego źródła ataku do obserwowanej w praktyce ścieżki jego realizacji, może być nie miarodajne.
Miasto pod cyber-ostrzałem?
Jeżeli chodzi o sam Urząd Miejski w Gliwicach, w ramach monitorowania sieci ŚSM zauważa, że najczęstszą formą ataków są automatyczne próby skanowania portów w celu odnalezienia ewentualnych podatności oraz ataki słownikowe. .
Ataki słownikowe (Dictionary Attack) – to w uproszczeniu metoda polegająca na próbie „zgadnięcia” hasła do danego serwisu internetowego, np. hasła do konta e-mail. Próby są ponawiane do skutku. ŚSM jest w ciągłym kontakcie z Wydziałem Informatyki UM, z którym wymienia się regularnie informacjami o zauważonych zagrożeniach.
Czy nasze dane są bezpieczne?
Wydarzenia ostatnich lat zdają się potwierdzać tezę, iż nie ma systemów informatycznych, które byłyby w 100% bezpieczne i odporne na ataki hackerskie. Skutecznie były atakowane największe instytucje na świecie. Dlatego ŚSM stosuje i stale rozwija nowoczesne i uznane rozwiązania techniczne oraz organizacyjne służące zapewnieniu bezpieczeństwa teleinformatycznego nadzorowanej infrastruktury.
- Spółka wdrożyła, utrzymuje i udoskonala także System Zarządzania Bezpieczeństwem Informacji, a dojrzałość tego sytemu została uznana w procesie certyfikacji wedle standardu międzynarodowego ISO/IEC 27001:2017-06 – wyjaśnia Agnieszka Olbrycht-Banach. - Jednocześnie na bieżąco śledzimy przygotowywane zmiany do ustawy o Krajowym Systemie Cyberbezpieczeństwa wynikające z dyrektyw unijnych, których skutkiem będzie m.in. rozszerzenie listy podmiotów, które są zobowiązane do utworzenia dedykowanych dodatkowych struktur SOC (Security Operations Center) poza funkcjonującą strukturą NOC, tj. zespołów analizujących występujące w sieci zdarzenia i incydenty bezpieczeństwa we współpracy z regionalnymi i krajowymi ich odpowiednikami. Zespół specjalistów to jedno, ale kluczowe są także odpowiednie narzędzia informatyczne oraz wydajne i bezpieczne środowisko pracy – dodaje.
Bardzo istotne stało się również nawiązanie współpracy z NASK w ramach Projektu OSE (Ogólnopolska Sieć Edukacyjna). W chwili obecnej ŚSM wraz z Wydziałem Edukacji UM w Gliwicach, jako jeden z Operatorów ściśle współpracujących w ramach projektu ogólnopolskiego OSE, dostarcza dedykowaną podsieć edukacyjną do wszystkich szkół zlokalizowanych na terenie Miasta Gliwice. Należy zauważyć, że podsieć ta jest zabezpieczana również przez ekspertów NASK.
Adriana Urgacz-Kuźniak
Komentarze (0) Skomentuj