CERT: Więcej cyberataków na polską administrację w 2014 r.

Wzrosła liczba incydentów związanych z cyberbezpieczeństwem administracji publicznej, są one groźniejsze - wynika z raportu o stanie bezpieczeństwa polskiej cyberprzestrzeni w 2014 r. opublikowanego przez zespół cert.gov.pl.

Cert.gov.pl - Rządowy Zespół Reagowania na Incydenty Komputerowe - działa w ramach Agencji Bezpieczeństwa Wewnętrznego i odpowiada za rozwijanie zdolności jednostek administracji publicznej do ochrony przed cyberzagrożeniami. Jednym z jego zadań jest monitorowanie zagrożeń w sieci; co roku publikuje raport na ten temat.

„Oprócz wzrostu ilościowego obserwujemy także istotny postęp jakościowy w prowadzonych atakach. Upraszczając: nie dość, że ataków jest więcej, to mogą one aktualnie być także znacznie groźniejsze” - podkreślono w raporcie, z którym zapoznała się PAP. Dodano, że „istotnym czynnikiem pozostaje udział grup kierowanych i sponsorowanych przez obce państwa”.

Z raportu wynika, że analogicznie do poprzednich lat najwyższe miejsce wśród incydentów bezpieczeństwa zajęły działania związane botnetami: w 2014 r. zarejestrowano 4681 takich przypadków; w 2013 r. było to 4270 przypadków. Botnet to sieć zarażonych komputerów (nazywanych także komputerami zombie albo botami), których celem jest wykonywanie rozkazów cyberprzestępców. Botnety najczęściej są wykorzystywane do tzw. ataków DDoS, czyli zablokowania dostępu do usługi w internecie np. banku, portalu aukcyjnego czy sklepu online, rozsyłania niechcianej poczty email, czyli tzw. spamu, kradzieży poufnych danych, wyprowadzenia środków z kont bankowości elektronicznej.

Raport pokazał, że system ARAKIS-GOV (system wczesnego ostrzegania o zagrożeniach w internecie, który powstał na potrzeby wsparcia ochrony zasobów teleinformatycznych administracji państwowej) zanotował w 2014 r. 28 322 alarmów, czyli blisko o 10 tys. więcej niż w 2013 r., kiedy to liczba alarmów wyniosła 18 317.

Jak wynika z raportu, prawie dwukrotnie w stosunku do 2013 r. wzrosła liczba incydentów o priorytecie wysokim – z 644 w 2013 r. do 1140 w ubiegłym roku. Trzykrotnie wzrosła liczba incydentów o priorytecie średnim z 4773 w 2013 r. do 13 896 w 2014 r. Niewiele za to wzrosła liczba incydentów o priorytecie niskim z 12 900 w 2013 r. do 13 286 w 2014 r.

Dane gromadzone przez system ARAKIS-GOV pozwalają także na lokalizację geograficzną adresów IP, z których wykonywano ataki na polskie sieci administracji publicznej. Należy jednak pamiętać, że specyfika protokołu internetowego nie pozwala na bezpośrednie łączenie geograficznej lokalizacji adresów IP ze zleceniodawcą tych ataków.

Do najbardziej aktywnych pod względem liczby generowanych połączeń należą adresy IP przypisane do Chin – 28 proc. i Holandii – 14 proc. Na trzecim miejscu znalazły się Stany Zjednoczone – 13 proc. Z kolei z Federacji Rosyjskiej pochodziło 2 proc. ruchu.

Zespół cert.gov.pl odnotował w 2014 r. 119 incydentów określanych jako „inżynieria społeczna”, co w porównaniu do 2013 r. stanowi wzrost o 350 proc. (w 2013 r. zarejestrowano 34 takie incydenty). Eksperci cert.gov.pl wskazali 24 incydenty, które w ich ocenie były atakami phishingowymi prowadzonymi na szeroką skalę i skierowanymi m.in. w systemy administracji publicznej. Phishing jest to metoda oszustwa, w której przestępca podszywa się pod inną osobę lub instytucję w celu wyłudzenia określonych informacji.

Jak zaznaczono w raporcie, ataki były prowadzone z wykorzystaniem technik mających na celu wyłudzenie danych wrażliwych za pośrednictwem wiadomości e-mail lub fałszywych stron internetowych, a także instalacji złośliwego oprogramowania.

W działaniach skierowanych do instytucji publicznych wykorzystywany był wizerunek znanych firm, instytucji prowadzących sprzedaż w internecie lub pośredniczących, jak np. firmy kurierskie, serwisy aukcyjne czy rezerwacyjne, banki, operatorzy telekomunikacyjni. Z raportu wynika, że szczególnie w czerwcu i lipcu 2014 r. wzrosła ilość kampanii phishingowych.

„Na uwagę zasługuje fakt, że w pierwszej połowie roku przeważały w tego typu kampaniach wiadomości próbujące nakłonić użytkowników do ujawnienia informacji wrażliwych za pośrednictwem e-mail lub specjalnie spreparowanych stron internetowych. Natomiast w drugiej połowie roku 2014 rozsyłane wiadomości w większości zawierały załączniki o charakterze złośliwym” – zaznaczono w raporcie. Najczęściej złośliwe oprogramowanie było ukryte w dokumentach pakietu oprogramowania biurowego Microsoft Office albo PDF.

Po atakach typu DDoS (ataki, które blokują dostęp do danej strony internetowej - PAP) przeprowadzonych w sierpniu 2014 r. na strony internetowe kancelarii prezydenta i GPW, a także na niektóre witryny instytucji administracji państwowej eksperci przeanalizowali stan bezpieczeństwa serwerów hostujących strony WWW należące do kilkudziesięciu głównych instytucji administracji państwowej.

„Wskazać należy, że wiele instytucji zadanie utrzymania swoich stron internetowych zleciło podmiotom zewnętrznym. W związku z czym w razie ewentualnego ataku DDoS na stronę instytucji, nie jest istotny jej wewnętrzny stan zabezpieczeń, ale stan zabezpieczeń oferowanych przez usługodawcę w ramach zawartej umowy. (...) Niestety, dostrzegalne nadal jest kierowanie się przy wyborze oferty, głównie kryterium najniższej ceny kosztem zabezpieczeń(...) czy też brak wprowadzenia odpowiedzialności firmy hostującej za zapewnienie ciągłości działania powierzonego serwisu” – napisali autorzy raportu.

W 2014 r. eksperci z zespołu cert.gov.pl zidentyfikowali 446 błędów w ramach przebadanych 34 stron internetowych należących do 12 instytucji państwowych. 18 proc. z tych błędów zawierało przynajmniej jedną podatność, którą należało uznać za krytyczną dla bezpieczeństwa serwera i publikowanych na stronie internetowej treści. 14 z 34 przebadanych strony zabezpieczonych było skutecznie i nie stwierdzono w nich żadnych poważanych podatności.(PAP)