Kategoria: INFO

W ostatnich miesiącach obserwujemy gwałtowny wzrost wykorzystania usług AI w aplikacjach i systemach teleinformatycznych. Jednocześnie rośnie skala nadużyć związanych z niewłaściwym zarządzaniem kluczami API. Opisany przypadek developera, który stracił 15 tys. dolarów przez wyciek klucza do usług AI, nie jest incydentem odosobnionym. To konkretny sygnał ostrzegawczy dla administracji publicznej. Jeśli w twojej jednostce wdrażasz integracje z usługami chmurowymi, modelami językowymi lub API dostawców takich jak Google, to zarządzasz realnym ryzykiem finansowym i operacyjnym. Błąd konfiguracyjny lub brak kontroli dostępu może skutkować nie tylko kosztami, ale także incydentem bezpieczeństwa danych.

Rys.1 Grafika „Wyciek klucza API” Źródło: Copilot M365

W analizowanym przypadku klucz API do usługi Google Gemini został ujawniony w publicznie dostępnym repozytorium kodu. Atakujący wykorzystali go do generowania zapytań na koszt właściciela. Mechanizm jest prosty. Klucz API działa jak token uwierzytelniający. Jeśli nie ograniczysz jego użycia, każdy kto go pozna, może korzystać z usług w twoim imieniu. W usługach rozliczanych per request oznacza to bezpośrednie straty finansowe. W środowisku JST konsekwencje mogą być poważniejsze. Atakujący może wykorzystać API do przetwarzania danych, testowania payloadów lub budowania kanałów komunikacji poza twoją kontrolą.

Wskazówki…

Zidentyfikuj wszystkie miejsca, w których używasz kluczy API. W praktyce znajdziesz je w kodzie aplikacji, skryptach automatyzujących, plikach konfiguracyjnych i pipeline CI CD. Najczęstszy błąd polega na przechowywaniu kluczy w repozytoriach Git. Nawet jeśli repozytorium jest prywatne, ryzyko wycieku istnieje. Wystarczy jeden błąd w uprawnieniach lub publikacja fragmentu kodu. W JST często spotykam sytuację, w której dostawca systemu zostawia klucz zaszyty w aplikacji, a administrator nie ma nad nim żadnej kontroli.

Wdrażaj restrykcje na poziomie dostawcy API. Każdy klucz powinien mieć ograniczenia. Ogranicz adresy IP, z których można go używać. Ogranicz domeny w przypadku aplikacji webowych. Włącz limity zapytań i budżety kosztowe. W usługach Google możesz ustawić quota oraz alerty billingowe. Jeśli ktoś zacznie generować nietypowy ruch, system powinien natychmiast cię powiadomić. Brak takich mechanizmów sprawił, że w opisanym przypadku koszt narastał przez dłuższy czas.

Zastosuj rotację kluczy. Klucz API nie jest statycznym elementem konfiguracji. Traktuj go jak hasło o wysokim poziomie uprzywilejowania. Wprowadź politykę rotacji co określony czas lub po każdym incydencie. Automatyzuj ten proces. W środowiskach produkcyjnych użyj menedżerów poświadczeń takich jak HashiCorp Vault, Azure Key Vault czy AWS Secrets Manager. W infrastrukturze on-premise możesz wykorzystać rozwiązania klasy KeePass w połączeniu z kontrolą dostępu i audytem.

Włącz monitoring i korelację zdarzeń. Integruj logi z usług API z systemem SIEM, na przykład Greylog, który planujesz wdrożyć. Analizuj wzorce ruchu. Szukaj anomalii takich jak nagły wzrost liczby zapytań, nietypowe godziny aktywności lub zapytania z nieznanych lokalizacji. W praktyce jeden dashboard z metrykami API pozwala wykryć incydent szybciej niż zgłoszenie z działu księgowości o wysokiej fakturze.

Zadbaj o bezpieczeństwo pipeline CI CD. Klucze API często trafiają do zmiennych środowiskowych w systemach takich jak GitLab CI czy Jenkins. Sprawdź kto ma do nich dostęp. Ogranicz możliwość ich odczytu. Włącz maskowanie wartości w logach. Atakujący często pozyskują hasła właśnie przez logi buildów.

Przeprowadź audyt kodu i repozytoriów. Użyj narzędzi do skanowania sekretów takich jak Gitleaks, TruffleHog lub GitGuardian. Te narzędzia wykrywają klucze API, tokeny i hasła w historii repozytoriów. W JST, gdzie projekty często mają długą historię i wielu wykonawców, takie skanowanie ujawnia realne problemy. Jeśli znajdziesz klucz w historii Git, uznaj go za skompromitowany i natychmiast go unieważnij.

Zwróć uwagę na aspekt odpowiedzialności dostawców. Jeśli korzystasz z oprogramowania od zewnętrznych firm, wymagaj w umowach stosowania bezpiecznego zarządzania sekretami. Wprowadź zapisy o zakazie hardcodowania kluczy API. Wymagaj dokumentacji dotyczącej rotacji i przechowywania kluczy. W praktyce to ty odpowiadasz za incydent, nawet jeśli błąd popełnił wykonawca.

Przygotuj procedurę reagowania. Jeśli wykryjesz nadużycie klucza API, działaj natychmiast. Unieważnij klucz, przeanalizuj logi, oszacuj zakres nadużycia i sprawdź, czy doszło do przetwarzania danych. W JST może to oznaczać konieczność zgłoszenia incydentu do UODO. Czas reakcji ma znaczenie zarówno dla ograniczenia kosztów, jak i skutków prawnych.

W kontekście jednostek sektora finansów publicznych musisz brać pod uwagę ryzyko naruszenia dyscypliny finansów publicznych. Nieautoryzowane wykorzystanie klucza API, które generuje koszty usług chmurowych, może zostać zakwalifikowane jako wydatkowanie środków publicznych bez podstawy prawnej lub bez zachowania zasad należytej staranności. Jeśli nie wdrożysz mechanizmów kontroli kosztów, limitów i monitoringu, trudno będzie wykazać, że działałeś w sposób gospodarny i zgodny z przepisami. W praktyce oznacza to potencjalną odpowiedzialność kierownika jednostki lub osoby zarządzającej systemem, zwłaszcza gdy incydent wynika z zaniedbań organizacyjnych lub braku procedur bezpieczeństwa. Dlatego traktuj zarządzanie kluczami API nie tylko jako element cyberbezpieczeństwa, ale także jako obszar kontroli finansowej i zgodności z przepisami.

Opisany przypadek pokazuje, że granica między błędem deweloperskim a incydentem bezpieczeństwa finansowego jest cienka. W twojej roli nie wystarczy ufać, że dostawca zadbał o szczegóły. Musisz aktywnie zarządzać kluczami API, monitorować ich użycie i wymuszać dobre praktyki. To obszar, który bezpośrednio wpływa na bezpieczeństwo systemów i budżet jednostki. Należy pamiętać, że wydajemy publiczne pieniądze.

Źródła:

TechRadar.com; US$15K bill destroyed a solo developer’s startup – how hackers are using leaked Google API keys to go wild with Gemini AI for free;

 

 

AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI, oraz opracowane przez człowieka.

W pracy w urzędzie masz dostęp do danych mieszkańców. To oznacza realną odpowiedzialność. Naruszenie danych może zdarzyć się każdemu. Wystarczy wysłać maila do niewłaściwej osoby, zgubić dokument albo źle ustawić uprawnienia w systemie. Kluczowe jest to, co zrobisz dalej. Masz konkretne obowiązki i bardzo mało czasu na reakcję. Ten tekst pokaże ci krok po kroku, komu zgłosić naruszenie, kiedy masz to zrobić i jak podjąć właściwą decyzję. 

Rys.1 Grafika skarga Źródło: Copilot M365

Naruszenie to każda sytuacja, w której dane osobowe trafiają tam, gdzie nie powinny. Może to być utrata dokumentów, nieuprawniony dostęp do systemu albo przypadkowe ujawnienie danych. Przykład z życia. Pracownik wysyła listę uczestników szkolenia do biblioteki, ale wpisuje zły adres mailowy. Dane trafiają do obcej osoby. To jest naruszenie. Jeśli pracujesz w JST, nie działaj sam. Zgłoś incydent do administratora danych (AD) lub inspektora ochrony danych (IOD). To oni odpowiadają za formalne zgłoszenie.

Nie każde naruszenie AD musisz zgłaszać na zewnątrz. Najpierw odpowiedz sobie na jedno pytanie. Czy ta sytuacja może zaszkodzić osobie, której dane dotyczą. Urząd Ochrony Danych Osobowych wskazuje jasno. Jeśli ryzyko jest realne, masz obowiązek zgłoszenia. Zgodnie z art. 33 ust. 1 rozporządzenia 2016/679, w sytuacji gdy zaistniałe naruszenie skutkuje ryzykiem naruszenia praw lub wolności osób fizycznych, administratorzy zobligowani są do zgłoszenia naruszenia krajowemu organowi nadzorczemu, którym w Rzeczypospolitej Polskiej jest Prezes Urzędu Ochrony Danych Osobowych (Prezes UODO).

Przykład. Zgubiłeś kartkę z imieniem i nazwiskiem. Ryzyko jest niewielkie. Zgubiłeś dokument z numerem PESEL i adresem. Ryzyko jest wysokie. W takim przypadku działasz dalej. Pamiętaj o jednej rzeczy. Nawet jeśli uznasz, że ryzyko jest znikome, zapisz swoją analizę. Organ nadzorczy może o to zapytać.

Jeżeli naruszenie dotyczy danych osób w różnych krajach UE, Prezes UODO może być, ale nie musi być wiodącym (czyli właściwym dla administratora) organem nadzorczym. W przypadku transgranicznego naruszenia danych administrator powinien dokonać analizy, czy wiodącym organem nadzorczym w odniesieniu do czynności przetwarzania, które zostały objęte naruszeniem, jest Prezes UODO, czy też może inny europejski organ nadzorczy.  

Kiedy masz zgłosić naruszenie?

Tu nie ma miejsca na zwłokę. Masz maksymalnie 72 godziny od momentu wykrycia naruszenia.

To oznacza, że liczysz czas od chwili, gdy dowiedziałeś się o problemie, a nie od momentu jego powstania. Jeśli nie zdążysz w terminie, nadal zgłaszasz naruszenie. Musisz tylko wyjaśnić, dlaczego się spóźniłeś.

Zanim zgłosisz naruszenie do UODO, zbierz konkretne dane. Opisz co się stało, ilu osób dotyczy problem, jakie dane wyciekły i co już zrobiłeś, żeby ograniczyć skutki. Nie czekaj na pełny obraz sytuacji. Jeśli nie masz wszystkich informacji, zgłoś to, co wiesz. Resztę możesz uzupełnić później.

Kiedy informujesz osoby, których dane dotyczą?

Jeśli ryzyko jest wysokie, informujesz bezpośrednio mieszkańców. Robisz to szybko i jasno.

Przykład. Wyciekły dane z numerami PESEL. Informujesz poszkodowane osoby, żeby mogły zastrzec dokumenty i zabezpieczyć się przed kradzieżą tożsamości. Jeśli ryzyko jest niskie, nie musisz informować osób. Wystarczy dokumentacja wewnętrzna.

Przykładowy komunikat o naruszeniu ochrony danych osobowych

Informujemy, że w Urzędzie doszło do naruszenia ochrony danych osobowych mieszkańców. Zdarzenie polegało na nieuprawnionym dostępie do danych zawierających imię, nazwisko, adres zamieszkania oraz numer PESEL.

Po wykryciu incydentu natychmiast podjęliśmy działania zabezpieczające. Zablokowaliśmy źródło naruszenia, zabezpieczyliśmy systemy oraz rozpoczęliśmy szczegółową analizę zdarzenia. Sprawę zgłosiliśmy do Prezesa Urzędu Ochrony Danych Osobowych. Obecnie wprowadzamy dodatkowe zabezpieczenia w systemach informatycznych oraz procedurach obsługi danych. Przeprowadzamy audyt bezpieczeństwa i szkolenia dla pracowników, aby ograniczyć ryzyko podobnych zdarzeń w przyszłości.

Dane, które wyciekły, mogą zostać wykorzystane do prób wyłudzeń lub kradzieży tożsamości. Osoba nieuprawniona może próbować zaciągnąć zobowiązania finansowe lub podszyć się pod Ciebie.

Co możesz zrobić aby zminimalizować ryzyko…

• Zastrzeż swój numer PESEL. Możesz to zrobić przez profil zaufany lub w urzędzie gminy. To najważniejszy krok, który utrudnia wykorzystanie Twoich danych.

• Sprawdzaj swoją historię kredytową. Skorzystaj z raportów BIK. Zwracaj uwagę na próby zaciągania zobowiązań, których nie rozpoznajesz.

• Uważaj na podejrzane telefony i wiadomości. Oszust może podawać się za pracownika banku lub urzędu i próbować wyłudzić dodatkowe informacje.

• Zgłaszaj każdą podejrzaną sytuację. Jeśli ktoś próbuje wykorzystać Twoje dane, skontaktuj się z policją lub swoim bankiem.

• Rozważ włączenie alertów w banku. Dzięki nim szybko dowiesz się o próbach użycia Twoich danych.

Jeśli masz pytania lub potrzebujesz pomocy, skontaktuj się z nami:

Urząd Gminy w ……….

…………………………….

Każde zgłoszenie traktujemy poważnie. Możesz uzyskać informacje o zakresie naruszenia oraz wsparcie w zabezpieczeniu swoich danych.

Najczęstsze błędy w urzędach

Pierwszy błąd to brak reakcji. Pracownik dostrzega problem, ale liczy, że nikt się nie dowie.

Drugi błąd to zbyt późne zgłoszenie. 72 godziny mijają szybciej niż myślisz.

Trzeci błąd to brak dokumentacji. Nawet jeśli nie zgłaszasz naruszenia, musisz mieć zapis analizy.

Czwarty błąd to działanie w pojedynkę. Zawsze informuj inspektora ochrony danych.

Co powinieneś zrobić w praktyce?

Zauważyłeś incydent. Zatrzymaj go. Zablokuj dostęp, wycofaj maila, zabezpiecz dokumenty.

Zgłoś sprawę do przełożonego lub IOD.

Oceń ryzyko. Jeśli istnieje, przygotuj zgłoszenie do UODO.

Pilnuj czasu. 72 godziny to twój realny limit.

Zapisz wszystko. Każdą decyzję i każdy krok.

Taka reakcja pokazuje, że urząd działa odpowiedzialnie i chroni mieszkańców.

Źródła:

uodo.gov.pl; Komu należy zgłosić zaistniałe naruszenie ochrony danych osobowych?

AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI, oraz opracowane przez człowieka.

W sieci zostawiasz swoje dane każdego dnia. Podajesz je w urzędzie, sklepie internetowym czy przy rejestracji wizyty lekarskiej. Masz prawo oczekiwać, że będą bezpieczne. Gdy ktoś je wykorzysta niezgodnie z prawem, możesz zareagować. Jednym z najważniejszych narzędzi jest skarga do Urzędu Ochrony Danych Osobowych. To prostsze niż myślisz. W tym tekście znajdziesz konkretne wskazówki, które pozwolą ci skutecznie złożyć skargę i zadbać o swoje dane.

 

Rys.1 Grafika skarga Źródło: @UODOgov_pl / X https://x.com/UODOgov_pl/status/2039297098571534414?s=20

Kiedy możesz złożyć skargę?

Złóż skargę, gdy ktoś naruszy twoje prawa związane z danymi osobowymi. Przykłady są bardzo konkretne. Firma wysyła ci reklamy bez twojej zgody lub udostępnia twoje dane osobom trzecim. Pracodawca przetwarza więcej danych niż powinien. Bank nie chce usunąć twoich danych pomimo wniosku. Jeśli czujesz, że ktoś działa niezgodnie z przepisami RODO, masz podstawę do działania.

Zanim wyślesz skargę najpierw skontaktuj się z podmiotem, który przetwarza twoje dane. Napisz wniosek o wyjaśnienie sprawy lub o realizację twojego prawa, na przykład dostępu do danych albo ich usunięcia. Daj czas na odpowiedź. Prawo przewiduje zwykle miesiąc. Zachowaj kopie wiadomości. Będzie to dowód, że próbowałeś rozwiązać sprawę bez udziału UODO.

Jak przygotować skargę?

Opisz swoją sprawę jasno i konkretnie. Podaj, kto przetwarza twoje dane i na czym polega problem. Wskaż, kiedy doszło do naruszenia. Dołącz dowody. Mogą to być maile, zrzuty ekranu, odpowiedzi firmy. Podaj swoje dane kontaktowe. Nie pisz ogólnie. Zamiast „naruszono moje dane” napisz „firma X wysłała mi 12 wiadomości marketingowych bez zgody między 1 a 15 marca”.

Jak złożyć skargę?

Masz kilka możliwości. Możesz wysłać skargę pocztą tradycyjną do UODO. Możesz złożyć ją elektronicznie przez e-doręczenia. Możesz też dostarczyć ją osobiście. Formularz nie jest obowiązkowy, ale ułatwia sprawę. Najważniejsze jest, aby pismo zawierało opis zdarzenia, twoje żądanie i dowody.

Urząd Ochrony Danych Osobowych

ul. Stanisława Moniuszki 1A, 00-014 Warszawa

tel. 22 531-03-00

Adres do doręczeń elektronicznych UODO AE:PL-67085-31860-RWFHC-35

Następnie UODO analizuje skargę i sprawdza, czy doszło do naruszenia. Może poprosić cię o uzupełnienie informacji. Może też zwrócić się do firmy lub instytucji o wyjaśnienia. W razie stwierdzenia naruszenia urząd może nakazać zmianę działania, usunięcie danych albo nałożyć karę finansową. Postępowanie trwa, ale masz prawo pytać o jego stan. Otrzymasz informacje o przebiegu postępowania. Możesz też dostarczać nowe dowody. Jeśli nie zgadzasz się z decyzją, możesz ją zaskarżyć do sądu administracyjnego.

Praktyczne wskazówki

Rób zrzuty ekranu od razu, gdy zauważysz naruszenie. Zapisuj daty i godziny. Korzystaj z prostego języka. Pisz krótko i na temat. Dołącz tylko potrzebne dokumenty. Jeśli sprawa dotyczy dzieci lub osób starszych, opisz to wprost. To pomaga w ocenie sytuacji. Ten mechanizm działa. Jeśli z niego skorzystasz, chronisz nie tylko siebie, ale też innych.

Źródła:

uodo.gov.pl; Składanie skarg za pomocą e-doręczeń

X; Każda osoba ma prawo złożyć skargę do Prezesa UODO

AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI, oraz opracowane przez człowieka.

W wielu gminach występuje podobny problem. Mieszkańcy mają dostęp do Internetu, ale nie potrafią w pełni bezpiecznie z niego korzystać. Starsze osoby boją się załatwiać sprawy online. Rodzice nie wiedzą, jak chronić dzieci w sieci. Część mieszkańców nie potrafi skorzystać z usług publicznych przez Internet. Teraz pojawia się realna szansa, aby to zmienić. Program Klubów Rozwoju Cyfrowego daje twojej gminie konkretne środki na stworzenie miejsca, w którym mieszkańcy nauczą się praktycznych umiejętności cyfrowych. Program realizowany przez Centrum Projektów Polska Cyfrowa zakłada wsparcie dla gmin, które chcą rozwijać kompetencje swoich mieszkańców. Do podziału jest ponad 975 mln zł. To nie jest projekt teoretyczny. To konkretne pieniądze na działania lokalne, które możesz wdrożyć u siebie.

 

Rys.1 Grafika „KRC” Źródło: https://www.gov.pl/

Klub Rozwoju Cyfrowego to nie musi być nowa instytucja. Możesz go uruchomić w bibliotece, domu kultury lub urzędzie. Wystarczy miejsce, dostęp do Internetu i osoba, która poprowadzi zajęcia. Mieszkańcy przychodzą tam po praktyczną wiedzę. Uczą się jak założyć profil zaufany, jak skorzystać z e-usług, jak rozpoznać oszustwo w Internecie. To są umiejętności, które od razu wykorzystują w życiu.

Z perspektywy urzędu zyskujesz więcej niż tylko zadowolonych mieszkańców. Jeśli nauczysz ludzi korzystania z usług online, zmniejszysz kolejki w urzędzie. Pracownicy będą mieli więcej czasu na trudniejsze sprawy. To realna poprawa organizacji pracy. W jednej z gmin pilotażowych liczba wizyt w urzędzie w sprawach prostych spadła, bo mieszkańcy zaczęli załatwiać je samodzielnie przez Internet.

Nie komplikuj startu. Zacznij od diagnozy. Sprawdź, kto w twojej gminie najbardziej potrzebuje wsparcia. Seniorzy, osoby bezrobotne, rodzice dzieci w wieku szkolnym. Porozmawiaj z dyrektorami szkół i bibliotek. Oni wiedzą, jakie są realne potrzeby. Na tej podstawie zaplanuj program zajęć.

Zadbaj o prosty program. Nie zaczynaj od teorii. Pokaż mieszkańcom konkrety. Jak zapłacić podatek online. Jak umówić wizytę u lekarza przez Internet. Jak sprawdzić konto w ZUS. Jeśli uczestnik po zajęciach potrafi zrobić jedną rzecz samodzielnie, to jest sukces.

W projekcie masz środki nie tylko na zajęcia. Możesz sfinansować sprzęt, wynagrodzenia dla prowadzących i działania informacyjne. To ważne, bo bez promocji mieszkańcy nie przyjdą. Wykorzystaj lokalne kanały, stronę urzędu, Facebook, ogłoszenia w sołectwach. Zaproś ludzi konkretnym komunikatem: Przyjdź, bądź cyberodporny i naucz się korzystać z telefonu i Internetu.

Nabór wniosków już ruszył i ma określone terminy. Dokumenty składasz elektronicznie. Jeśli nie masz doświadczenia w projektach unijnych, skorzystaj z pomocy WOKISS. To praktyczne wsparcie, które pomaga uniknąć błędów formalnych i odciąży twój zespół.

Nie odkładaj decyzji na później. Projekty cyfrowe często przegrywają z inwestycjami infrastrukturalnymi. Droga czy kanalizacja są bardziej widoczne. Kompetencje cyfrowe dają równie realny efekt. Mieszkaniec, który radzi sobie w świecie cyfrowym, jest bardziej samodzielny i mniej zależny od urzędu.

Masz teraz narzędzie i finansowanie. Od twojej decyzji zależy, czy mieszkańcy twojej gminy będą tylko użytkownikami technologii, czy świadomymi jej uczestnikami.

Źródła:

samorzad.pap.pl; Ponad 975 mln złotych na zakładanie klubów rozwoju cyfrowego w gminach

gov.pl; Kluby Rozwoju Cyfrowego

gov.pl; Projekt Kluby Rozwoju Cyfrowego – wsparcie

gov.pl; Nabór wniosków FERS.01.09

funduszeunijne.gov.pl; Rozwój kompetencji cyfrowych

AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI, oraz opracowane przez człowieka.

Atak na urząd miasta nie jest już incydentem wyjątkowym. To scenariusz, który może dotknąć każdą jednostkę samorządu terytorialnego. Z informacji opublikowanych przez Polską Agencję Prasową wynika, że w jednym z urzędów doszło do naruszenia bezpieczeństwa systemów IT, a na poziomie centralnym uruchomiono procedury kryzysowe. Sprawą zajęły się CSIRT NASK, UODO oraz organy ścigania. Jeśli odpowiadasz za infrastrukturę IT w JST, potraktuj ten przypadek jako sygnał ostrzegawczy. Twój system nie jest anonimowy w sieci. Jest celem. Masz ograniczony czas na reakcję, gdy incydent już wystąpi.

Rys.1 Grafika „cyberatak” Źródło: Designed by Freepik

Atak objął systemy informatyczne urzędu. Najczęściej w takich przypadkach dochodzi do kompromitacji kont uprzywilejowanych lub wykorzystania podatności w usługach dostępnych z sieci publicznej. Typowy wektor wejścia to phishing lub podatność w VPN, RDP albo serwer aplikacyjny. Po uzyskaniu dostępu napastnik wykonuje ruch boczny i przejmuje kolejne zasoby.

Z punktu widzenia informatyka kluczowe jest jedno pytanie. Jak szybko wykrywasz incydent. W wielu JST czas wykrycia liczony jest w dniach lub tygodniach. Według raportów branżowych średni czas obecności atakującego w sieci to ponad 20 dni. W tym czasie napastnik mapuje środowisko, zbiera dane i przygotowuje eskalację. Jeśli nie masz centralnego systemu zbierania logów i korelacji zdarzeń, działasz w ciemno.

Sprawdź swoje logowanie zdarzeń. Windows Event ID 4624, 4625, 4672 oraz 4720 to podstawowe sygnały aktywności kont. Jeśli nie analizujesz ich automatycznie, nie zobaczysz ataku. Wdrożenie systemu klasy SIEM, np. Greylog, Wazuh czy Elastic, pozwala na korelację i alertowanie w czasie rzeczywistym.

Zadbaj o segmentację sieci. Jeśli użytkownik z referatu budownictwa ma dostęp do serwera finansowego, to błąd architektoniczny. VLAN bez kontroli ruchu nie wystarczy. Wprowadź polityki firewall między segmentami. Wymuś zasadę least privilege. Każdy dostęp musi mieć uzasadnienie.

Przeanalizuj dostęp zdalny. RDP wystawione do Internetu to zaproszenie dla atakującego. Jeśli musisz używać zdalnego dostępu, wdróż VPN z MFA. Sprawdź logi logowań. Wiele ataków zaczyna się od prostych prób brute force.

Zabezpiecz kopie zapasowe. W incydentach ransomware to jedyny element, który pozwala wrócić do działania. Backup musi być offline lub w modelu immutable. Testuj odtwarzanie. W praktyce wiele JST posiada backup, którego nie da się użyć.

Zwróć uwagę na użytkownika końcowego. Phishing nadal działa. Wystarczy jedno kliknięcie. Szkolenia powinny być cykliczne i oparte na symulacjach. Przykład z życia. W jednej z gmin przeprowadzono test phishingowy. Ponad 40 procent pracowników kliknęło w link. To nie jest problem ludzi. To problem procesu i świadomości.

Wprowadź procedury reagowania. Jeśli nie masz playbooka na incydent, stracisz czas na improwizację. Określ, kto podejmuje decyzje, kto izoluje systemy, kto komunikuje się z kierownictwem. W ataku liczą się minuty. Odłącz zainfekowaną stację od sieci. Zablokuj konta. Zabezpiecz logi. Nie wyłączaj systemu bez analizy, bo stracisz ślady.

Monitoruj aktualizacje. Wiele ataków wykorzystuje znane podatności. Brak patchowania to najprostsza droga do kompromitacji. W środowisku Windows użyj WSUS lub Intune. Dla urządzeń sieciowych wprowadź harmonogram aktualizacji firmware.

Patrz na incydent jak na proces, nie jednorazowe zdarzenie. Atak na urząd miasta pokazał, że reakcja musi być wielopoziomowa. Ty odpowiadasz za pierwszy poziom. Masz wpływ na architekturę, monitoring i procedury. Jeśli tego nie zrobisz, kolejne komunikaty mogą dotyczyć twojej jednostki.

Źródła:
Serwis Samorządowy PAP; Atak hakerski na urząd miasta. Ministerstwo wdraża procedury kryzysowe

CyberDefence24; Cyberatak na Urząd Miasta w Myszkowie. Ryzyko wycieku danych

AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI, oraz opracowane przez człowieka.

 

Rząd utrzymuje w Polsce stopień alarmowy BRAVO oraz BRAVO CRP. Dla wielu mieszkańców to tylko komunikat w mediach. Dla administracji publicznej to wyraźny sygnał. Państwo oczekuje większej czujności i konkretnych działań w obszarze bezpieczeństwa. Dotyczy to także cyberprzestrzeni. Właśnie tam coraz częściej dochodzi do prób ataków na instytucje publiczne. Urząd gminy, szkoła czy ośrodek pomocy społecznej korzystają z systemów informatycznych każdego dnia. Każdy z nich może stać się celem cyberataku. Dlatego pytanie o bezpieczeństwo systemów w samorządzie nie jest dziś teorią. To pytanie o ciągłość pracy urzędu i ochronę danych mieszkańców.

Rys.1 Grafika „Alarm” Źródło: https://www.gov.pl

Stopień alarmowy BRAVO oznacza zwiększone ryzyko zdarzenia o charakterze terrorystycznym. Stopień BRAVO CRP dotyczy cyberprzestrzeni. Administracja publiczna ma wtedy prowadzić wzmożony monitoring bezpieczeństwa systemów informatycznych i reagować na podejrzane zdarzenia.

W praktyce oznacza to jedno. Każda jednostka samorządu terytorialnego powinna sprawdzić, czy jest przygotowana na incydent cyfrowy.

Czy Twoje systemy są aktualne

Najprostszy sposób ataku to wykorzystanie starego oprogramowania. W wielu urzędach systemy aktualizuje się dopiero wtedy, gdy coś przestaje działać. To błąd. Aktualizacje usuwają luki bezpieczeństwa. Hakerzy często wykorzystują właśnie te znane błędy. Sprawdź więc w swojej jednostce trzy rzeczy. Czy systemy mają włączone automatyczne aktualizacje. Czy aktualizujesz oprogramowanie serwerowe. Czy ktoś odpowiada za kontrolę tych procesów.

Czy pracownicy wiedzą, jak wygląda atak

W większości przypadków atak zaczyna się od wiadomości e-mail. Pracownik dostaje fakturę, wezwanie do zapłaty albo informację o przesyłce. Otwiera załącznik. W tym momencie uruchamia złośliwy program. W wielu urzędach takie sytuacje zdarzają się regularnie. Wystarczy jedno kliknięcie, aby zainfekować sieć urzędu.

Dlatego szkolenia z cyberbezpieczeństwa nie są formalnością. Powinny pokazywać konkretne przykłady, prawdziwe wiadomości phishingowe. Pracownik musi wiedzieć jak rozpoznać podejrzany adres nadawcy albo dziwny link.

Dobrym rozwiązaniem jest prosta zasada. Jeśli wiadomość wzbudza niepokój, nie otwieraj załącznika. Zgłoś ją do administratora systemu.

Czy masz kopię zapasową danych

Ataki ransomware stały się codziennością. Haker blokuje dostęp do systemu i żąda okupu za odblokowanie danych. Ofiarami takich ataków były już urzędy w Europie i w Polsce.

Jedyna realna ochrona to kopia zapasowa danych. Musi być wykonywana regularnie. Musi być przechowywana poza głównym systemem. Jeśli kopia znajduje się na tym samym serwerze co dane, atakujący zablokuje wszystko.

Sprawdź więc jedną rzecz. Czy jesteś w stanie przywrócić system z kopii zapasowej w ciągu jednego dnia. Jeśli odpowiedź brzmi nie, to znak że procedury wymagają poprawy.

Czy urząd monitoruje swoją sieć

Stopień BRAVO CRP oznacza wzmożony monitoring systemów. W wielu JST monitoring ogranicza się do sprawdzania czy serwer działa. To za mało.

Administrator powinien widzieć, kto loguje się do systemów. Powinien wiedzieć czy ktoś próbuje wielokrotnie odgadnąć hasło. Powinien otrzymywać alert, gdy pojawia się nietypowa aktywność w sieci.

Przykład z życia. W jednym z urzędów administrator zauważył w logach kilkaset prób logowania z zagranicznego adresu IP. Szybka blokada adresu zatrzymała próbę włamania. Bez monitoringu nikt nie zauważyłby problemu.

Czy masz plan działania

Największym problemem w czasie incydentu jest chaos. Nikt nie wie, kto podejmuje decyzje. Nikt nie wie, czy trzeba wyłączyć system. Nikt nie wie, kogo powiadomić.

Dlatego każda jednostka powinna mieć prosty plan reagowania na incydent. Dokument nie musi być długi. Wystarczy kilka punktów.

• Kto zgłasza incydent.

• Kto odpowiada za decyzję o odłączeniu systemu od sieci.

• Kto kontaktuje się z zespołem reagowania na incydenty.

• Kto informuje kierownictwo jednostki.

W sytuacji kryzysowej takie informacje oszczędzają cenny czas.

Bezpieczeństwo zaczyna się od codziennych decyzji

Stopień alarmowy BRAVO CRP nie oznacza, że atak jest pewny. Oznacza zwiększone ryzyko. Państwo daje sygnał, aby instytucje publiczne działały ostrożniej. Dla pracownika samorządu to dobra okazja, aby spojrzeć na bezpieczeństwo systemów w swojej jednostce. Czasem wystarczy kilka prostych działań. Aktualizacja systemu. Szkolenie pracowników. Sprawdzenie kopii zapasowych. Każdy z tych kroków zwiększa bezpieczeństwo danych mieszkańców i stabilność pracy urzędu.

Źródła:
Gov.pl; Ministerstwo Spraw Wewnętrznych i Administracji; Stopnie alarmowe BRAVO i BRAVO CRP na terenie całego kraju wciąż obowiązują

AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI, oraz opracowane przez człowieka.