Przedwyborcza eskalacja cyberataków w Polsce. Jesteśmy na cybernetycznej wojnie z Rosją

W ostatnich tygodniach cyberprzestępcy atakują podmioty zarządzające wodociągami, oczyszczalnie ścieków, kotłownie czy szpitale. To najgroźniejsze ataki dotyczące infrastruktury krytycznej, która zapewnia usługi kluczowe dla bezpieczeństwa państwa i ludności. Wicepremier i minister cyfryzacji Krzysztof Gawkowski zapewnia jednak, że 99 procent cyberataków jest zatrzymywanych, więc Polska jest bezpieczna.

Jednak NIK w najnowszym raporcie pokontrolnym wskazuje, że słabymi punktami w polskim systemie cyberbezpieczeństwa są samorządy i podległe im instytucje. Samorządy wciąż nie dbają tak, jak powinny, o bezpieczeństwo danych, czy zachowanie ciągłości w dostawie podstawowych usług.

Tuż przed świętami wielkanocnymi wicepremier Gawkowski poinformował, że

Na osiemnaście prób siedemnaście udaremniono. W każdym przypadku cyberprzestępcom chodziło o zablokowanie dostaw wody do mieszkań i instytucji publicznych.

„Nie jest atakowany już tylko system wejścia, żeby ukraść dane, tylko jest głębsza infiltracja po to, żeby coś zablokować albo wyłączyć na przykład wodę, albo energię – wyjaśniał Gawkowski w TVN24. – „Było duże zagrożenie, że ktoś nie dostanie wody albo nie będzie miał możliwości skorzystania z zasobów, które realizuje szczególnie administracja samorządowa”.

„Oni utoną w g…, mamy to gdzieś”

Wcześniej pracująca na rzecz Rosji grupa hakerska poinformowała również o włamaniach do kotłowni przemysłowej w Łodzi, do systemów zarządzania stacjami wody (m.in. w Tolkmicku i Małdytach) i oczyszczalni ścieków (m.in. w Witkowie, Kuźnicy).

Komunikaty o najnowszych włamaniach pojawiły się 14 kwietnia. Na upublicznionym w sieci nagraniu można było zobaczyć manipulacje przy parametrach centralnej przepompowni w oczyszczalni ścieków w Witkowie. Jak podał portal Cyberdefence24, włamywacze tak skomentowali materiał: „Niech Witkowo utonie w g…, oni utoną w g…, mamy to gdzieś”.

Tym też pochwalili się w sieci. I skomentowali: „Nie odcięliśmy tlenu pacjentom, chociaż mogliśmy”. To nieprawda, tlen dostarczany jest pacjentom za pomocą innych urządzeń i oddzielnej infrastruktury. Mimo to sytuacja mogła być niebezpieczna.

Testują poziom bezpieczeństwa?

Nie był to pierwszy tego rodzaju atak na szpital. W marcu podobny incydent dotknął szpital MSWiA w Krakowie. Cyberprzestępcy chcieli zaszyfrować dostęp do szpitalnych systemów zarządzania. Przestał działać system obsługujący dokumentacje medyczną, szpital musiał wstrzymać przyjęcia pacjentów.

Jak mówił później dla branżowego portalu Menedżer Zdrowia Michał Dybowski z Biura Bezpieczeństwa i Zrównoważonego Rozwoju Polskiej Federacji Szpitali, celem ataku była prawdopodobnie „ocena poziomu bezpieczeństwa w polskiej infrastrukturze krytycznej”.

Natomiast na początku marca cyberprzestępcy uderzyli w Polską Agencję Kosmiczną (POLSA). Włamali się do jej systemów informatycznych. POLSA zapewniła jednak, że dane po włamaniu zostały zabezpieczone. Ten atak także mógł być elementem sprawdzania zabezpieczeń polskiej infrastruktury. To częsty sposób działania cyberprzestępców:

Według wicepremiera Gawkowskiego za większością takich incydentów stoją Białoruś i Rosja. Ataki podejmują grupy cyberprzestępcze, realizujące zlecenia dla rządów tych państw i współpracujące z tamtejszymi służbami specjalnymi.

Cyberatak na partię

W kwietniu, w przedświątecznym tygodniu pojawiły się także doniesienia o włamaniach na skrzynki mailowe i do baz danych. Tego rodzaju cyberincydenty zgłosiły m.in.: Zakład Gospodarki Komunalnej w Gorzycach oraz Instytut Immunologii i Terapii Doświadczalnej Polskiej Akademii Nauk.

Nieco wcześniej, bo 2 kwietnia, premier Donald Tusk poinformował o cyberataku na system informatyczny Platformy Obywatelskiej. Przestępcy usiłowali dostać się do danych, zgromadzonych na urządzeniach należących do pracowników biura partii, jak i do sztabu wyborczego Rafała Trzaskowskiego.

Ataki takie jak ten na pracowników Platformy Obywatelskiej łatwo zlekceważyć. Trzeba jednak pamiętać, że

Uważa się, że za każdą z nich stała Rosja. Pierwsza to wyciek maili sztabowców Hillary Clinton w 2016 roku, gdy konkurowała ona w wyborach prezydenckich z Donaldem Trumpem. Na bazie wykradzionej korespondencji, którą później opublikowano w sieci, powstała teoria spiskowa, nazywana #PizzaGate. Opierała się ona na nieprawdziwej historii o tym, że sztabowcy Clinton to szajka pedofilów, która porywa dzieci i ukrywa je w jednej z waszyngtońskich pizzerii. Nie brakowało ludzi, którzy w to uwierzyli. Jeden z Amerykanów przyszedł nawet do wskazywanej pizzerii z bronią, by uwolnić dzieci, których rzecz jasna wcale tam nie było.

Chcieli uderzyć w Trzaskowskiego

Mniej dramatyczny przebieg miała afera w 2017 roku po wykradzeniu maili sztabowców Emmanuela Macrona, wówczas po raz pierwszy kandydującego w wyborach prezydenckich we Francji. Korespondencję także upubliczniono w internecie, ale stało się to tuż przed głosowaniem, a informację o mailach rozpowszechniały w sieci głównie konta anglojęzyczne. W rezultacie wyciek nie zaszkodził Macronowi, który wygrał w wyborach.

Trzecia afera to polska afera mailowa, czyli włamanie na skrzynkę mailową ówczesnego szefa Kancelarii Premiera Michała Dworczyka oraz innych polityków. Także w tym przypadku ślady cyfrowe prowadzą na Wschód – do Białorusi i Rosji.

Tym razem, jak poinformował wicepremier Gawkowski, celem ataku byli najbliżsi współpracownicy kandydata na prezydenta Rafała Trzaskowskiego.

„To się nie udało, bo parasol wyborczy zadziałał” – podkreślił Gawkowski. I dodał, że zidentyfikowano kierunek ataku. Stała za nim jedna z grup hakerskich, powiązanych z rosyjskim wywiadem wojskowym GRU.

Czy Polska jest bezpieczna?

Jednocześnie jednak Gawkowski zapewnił, że 99 procent cyberataków, ukierunkowanych na Polskę, jest zatrzymywanych.

„Polska jest bezpieczna” – mówił przed świętami wielkanocnymi, prezentując dane dotyczące cyberataków w 2024 roku.

Tylko że kiedy zajrzymy do najnowszego raportu Najwyższej Izby Kontroli, dotyczącego cyberbezpieczeństwa w samorządach, okaże się, że z bezpieczeństwem w tym zakresie nie jest wcale za dobrze. Inspektorzy NIK przedstawili długą listę nieprawidłowości.

„Samorządy w dużej mierze nie identyfikowały zbiorów danych wymagających zabezpieczenia, nie przygotowywały dokumentów kluczowych dla bezpieczeństwa systemów informatycznych, a jeśli je przygotowały, to nie testowały skuteczności przyjętych zabezpieczeń. Ponadto w 71 proc. kontrolowanych urzędów stwierdzono, że nie były one przygotowane do zapewnienia ciągłości działania systemów informatycznych” – napisano w podsumowaniu kontroli.

NIK: w samorządach nie jest dobrze

Czym to grozi? Dziś większość systemów zarządzających infrastrukturą krytyczną to systemy informatyczne. To one odpowiadają choćby za pracę pomp w wodociągach, przepompowni w oczyszczalniach ścieków, zapobiegają tzw. blackoutom (nagłym awariom w dostawach prądu) na przykład przez automatyczne ograniczenie zużycia energii elektrycznej. Wystarczy zmienić w nich ustawienia czy też zwyczajnie je wyłączyć, abyśmy nie mieli w domach wody czy prądu.

Żeby tak się nie stało, niezbędne jest takie zabezpieczenie systemów informatycznych, by zapewnić ciągłość ich działania.

W dwunastu urzędach wykryto nawet fizyczne braki w zabezpieczeniu serwerowni przed czynnikami zewnętrznymi i niepożądanymi osobami. Nie dbano też wystarczająco o bezpieczeństwo danych, będących w posiadaniu urzędu.

Niektóre problemy samorządów wynikały z braku odpowiedniego sprzętu. Ale inne były wynikiem dużej niefrasobliwości w podejściu do cyberbezpieczeństwa. Na przykład w Urzędzie Miasta w Otwocku dziesięć osób, które już nie pracowało w urzędzie, miało wciąż aktywne konta w informatycznym systemie zarządzania dokumentacją. Jedna z nich wciąż mogła korzystać z systemu do wystawiania faktur i umów. Takie aktywne konta, z których nikt na co dzień nie korzysta, to świetna furtka dla cyberprzestępców, poszukujących dojścia do systemu.

To jest wojna cybernetyczna

Słabo wygląda też ochrona kopii zapasowych danych z samorządowych systemów. W siedmiu kontrolowanych urzędów stwierdzono, iż kopie przechowywano w serwerowniach.

A więc w razie pożaru w budynku, gdzie znajdują się serwery, urząd straciłby i oryginały, i kopie. W trzech urzędach w ogóle nie tworzono kopii zapasowych lub robiono to niezgodnie z procedurami. Natomiast w dziesięciu samorządach nie przeszkolono pracowników z zakresu bezpieczeństwa informacji.

Im bliżej wyborów prezydenckich, tym większe będzie prawdopodobieństwo cyberataków na infrastrukturę krytyczną, w tym tę niezbędną do przeprowadzenia głosowania. To skutek wojny informacyjnej, która Rosja prowadzi z Polską i innymi krajami zachodnimi, wspierającymi Ukrainę. Cyberprzestępcy intensywnie atakują też Ukrainę, nie jesteśmy więc w tej wojnie sami. Teraz jednak najważniejsze jest zabezpieczenie bezpieczeństwa państwa i wyborów oraz zadbanie o ciągłość dostaw podstawowych usług.

Zabezpieczanie wyborów

Tomasz Siemoniak, szef MSWiA, zapewnił, że ABW i policja już w tej chwili prowadzą działania, których celem jest ochrona lokali wyborczych i całego procesu głosowania. Także serwery Państwowej Komisji Wyborczej są zabezpieczone. Natomiast Gawkowski wyliczał:

„Po pierwsze – Krajowe Biuro Wyborcze zostało objęte specjalnym nadzorem przez Agencję Bezpieczeństwa Wewnętrznego i tak dzieje się też w Państwowej Komisji Wyborczej. Po drugie – zostały powołane specjalne zespoły do spraw przeciwdziałania dezinformacji, ale również kontaktów z platformami, żeby tych dezinformacji nie powielać”.

Przed nami kluczowy miesiąc. Zagrożenie cyberatakami i dezinformacją będą rosnąć z dnia na dzień. Poza systemowymi działaniami państwa ogromne znaczenie będzie miało też zachowanie każdego obywatela.

Najważniejsze sposoby obrony w tej sytuacji to:

• krytyczne myślenie,
• nierozpowszechnianie niesprawdzonych informacji nawet wtedy, gdy wywołują one silne emocje,
• reagowanie na nietypowe zdarzenia sieciowe przez zgłaszanie ich do odpowiednich służb.