Ani to pierwsza, ani z pewnością ostatnia gmina w Polsce, która została zaatakowana przez ransomware. W ślad za tym atakiem doszło również do wycieku danych osobowych.
Jak informuje na swojej stronie internetowej gmina Nowiny w jej urzędzie doszło najpierw do zaszyfrowania bazy danych programu kadrowo-finansowego (wykorzystano ransomware, w tym przypadku LockBit), a następnie do wycieku danych zawartych w tejże bazie danych. O całej sprawie, jak wynika z opublikowanego oświadczenia wójta Nowin, powiadomiony został UODO oraz CSIRT NASK. Wykradzione bazy danych zostały następnie opublikowane w sieci. O incydencie HackNotice informowało już 4 grudnia.
Zakres wycieku danych obejmuje obejmuje dane pracowników, byłych pracowników oraz kontrahentów urzędu. Są to imiona i nazwiska, numery PESEL, dane dotyczące dokumentu tożsamości, nazwiska rodowego matki pracowników, adresów zamieszkania, miejsca urodzenia, numerów telefonu oraz numerów rachunków bankowych. Całkiem sporo ważnych danych, trzeba przyznać.
Według opublikowanego oświadczenia do infekcji doszło po otwarciu przez pracownika gminy zainfekowanego linku. To jednak mało prawdopodobny scenariusz, a być może nieprecyzyjne sformułowanie, które wynika z niewiedzy. Do infekcji najczęściej dochodzi bowiem po próbie uruchomienia zainfekowanego pliku makro zawartego w załączniku wiadomości mailowej, lub pobraniu złośliwego oprogramowania z podstawionej witryny. Niewykluczone również, że przed odpaleniem ransomware atakujący od dłuższego czasu przebywali już w sieci urzędu, skąd mogli mieć dostęp do wielu innych danych.
Ransomware to oprogramowanie ograniczające dostęp (szyfruje dane na dysku) do systemu komputerowego i wymagające zapłacenia okupu, aby blokada została usunięta. Sposoby w jaki takie oprogramowanie może znaleźć się na komputerze ofiary i w efekcie zablokować dostęp do systemu są tożsame z tym, co opisywaliśmy już w poradnikach dotyczących np. phishingu. Może być to więc złośliwe oprogramowanie ukryte w załączniku do wiadomości i aktywujące się w systemie w momencie próby otwarcia. Ransomware może być jednak również ukryty w innych, pozornie niegroźnych programach, które np. ściągamy z sieci z niezbyt zaufanych źródeł.
NASK, w którego strukturach działa CSIRT po który podlegają jednostki samorządowe, przypomina, że podmioty publiczne, operatorzy usług kluczowych oraz dostawcy usług cyfrowych mają obowiązek raportować incydenty związane z bezpieczeństwem sieci komputerowych, np. przypadki infekcji złośliwym oprogramowaniem czy próby włamania lub wyłudzania danych. W tym celu (na mocy ustawy o KSC) konieczne jest wyznaczenie osoby lub osób, które będą się kontaktowały z właściwym CSIRT-em.
Nowiny nie są ani pierwszą, ani z pewnością ostatnią ofiarą cyberprzestępców. Z ostatnich incydentów można wymienić chociażby Urząd Miasta Otwocka, który w październiku padł ofiarą ransomware, lub Małopolski Urząd Marszałkowski, który w lutym tego roku został sparaliżowany, również w wyniku ataku oprogramowaniem wymuszającym okup.
{loadmoduleid 1123}
Zobacz więcej