Ingram uczestniczyła w poniedziałkowej dyskusji podczas konferencji CYBERSEC EXPO & FORUM w Katowicach poświęconej cyberbezpieczeństwu państwa i administracji samorządowej. Mówiła o wadze praktycznych przygotowań do cyberataków, kluczowych dla podejmowania właściwych decyzji.

„Każda jednostka samorządu terytorialnego ma prawie pewność, że będzie przedmiotem ataków w dającej się przewidzieć przyszłości. W związku z tym, mając świadomość, że to się wydarzy, istotne jest przygotowanie się na wypadek tego ataku praktycznie” - powiedziała ekspertka.

Oceniła, że procedury w chwili ataku mają de facto wartość papieru, na których je wydrukowano. „Dlatego, że procedury to teoria, a praktyka to testowanie i ćwiczenia. O procedurę pyta audytor, a haker sprawdza, czy ta procedura działa” - stwierdziła.

Uściśliła, że jeżeli jednostki samorządu bądź spółki miejskie staną się celem ataku, pracownicy muszą być już przeszkoleni z zachowania się.

„Tu zdaje się albo się oblewa w ciągu pierwszych 60 minut od uzyskania wiedzy o cyberincydencie. Wejście do środowiska infrastruktury jednostki samorządu trwa bardzo krótko. Najlepsze grupy hakerskie potrafią się tam dostać w 72 minuty. Zazwyczaj trwa to kilka dni” - zaznaczyła Ingram.

Podała, że ponad 50 proc. ataków odbywa się przez dostęp zdalny i przez niezabezpieczony VPN. W drugiej kolejności jest to skutek phishingu, gdy urzędnik kliknie w link, w który nie powinien. Haker najczęściej dostaje się do środowiska, uzyskuje uprawnienia i wykrada co cenniejsze dane, najpierw kopiując, a potem szyfrując.

Specjalistka z Łukasiewicz AI przypomniała, że z perspektywy grup hakerskich opłacalność ataku tkwi w możliwości handlu danymi, albo uzyskania okupu. Zastrzegła, że samo dostanie się do środowiska danej jednostki nie jest jeszcze porażką - z tym trzeba się liczyć.

„Atak ma konsekwencje, gdy nie zadziałają procedury i nie jesteśmy w stanie odtworzyć usług krytycznych wystarczająco szybko. Dla obywatela najważniejsze jest, czy on ma dostęp do usług, czy może mieć ten dostęp przywrócony w krótkim horyzoncie, a także czy jego dane nie zostały wykradzione i nie jest on narażony na konsekwencje” - podkreśliła Ingram.

Stąd w momencie wykrycia ataku należy podejmować szybkie decyzje według procedur, a zgodnie z zasadami dyrektywy NIS2 za zarządzanie w trakcie kryzysu czy ataku IT odpowiada kierownik jednostki.

„Wójt, burmistrz, prezydent ma wiedzieć, jak postępować w trakcie cyberincydentu. To z kierownikiem jednostki należy ćwiczyć procedury zachowania się po ataku, w tym decyzje o odłączaniu systemów, utrzymaniu usług krytycznych, podjęcia negocjacji z hakerem oraz o komunikacji z mieszkańcami. Komunikujemy mieszkańcom, co się dzieje, a przede wszystkim zgłaszamy incydent do właściwych służb, do NASK, do CERT, na policję” - wyjaśniła ekspertka.

Pytana, czy niewielka jednostka samorządu może dbać o cyberbezpieczeństwo stosunkowo tanio, potwierdziła. Wskazała na rozwiązania logowania z uwierzytelnianiem wieloskładnikowym (MFA), łatania podatności, posiadania i testowania kopii danych offline, posiadania kopii odpowiednio zidentyfikowanych usług krytycznych z regularnymi testami ich odtworzenia, a także szkolenia i przeglądy uprawnień.

Oceniła, że takie podstawy, możliwe do wprowadzenia nawet przez jednostki z jednym informatykiem, mogą ograniczać możliwości skutecznego ataku o ponad 50 proc. Droższe, ale bardziej skuteczne, jest np. wprowadzenie modelu Zero Trust czy segmentacji sieci.

Ekspertka doradziła korzystanie przez samorządy z rozwiązań pozwalających na korzystanie z kompetencji w postaci zakupu usług, zamiast tworzenia etatów.

„Można też współdzielić specjalistów i bardzo dobrze działa tu partnerstwo z instytutami i z uczelniami. Instytuty badawcze, także Łukasiewicz AI, nie konkurują z samorządami o nic innego, poza wspólnym bezpieczeństwem” - zaakcentowała Monika Ingram.

Polska Agencja Prasowa jest jednym z patronów medialnych CYBERSEC EXPO & FORUM.

mtb/ mam/