Trwa gorączka kampanii wyborczej do parlamentu, a w przyszłym roku czekają nas wybory samorządowe. Z perspektywy polityków cyfrowe bezpieczeństwo, niezależnie od szczebla administracji, którego dotyczy, ma niezwykle istotne znaczenie.
Przestępcy chętnie biorą na cel jednostki publiczne, w tym administrację centralną i samorządową. Do podejmowania wymierzonych w nie działań zachęca ich wiele czynników. Są to między innymi konieczność zapewnienia przez nie ciągłości świadczenia usług publicznych, a także dysponowanie zasobami wrażliwych i cennych danych obywateli. Nie bez znaczenia pozostaje również wymiar czysto polityczny, gdyż jak zwraca uwagę ekspert Stormshield, skuteczny atak wymierzony w podmioty publiczne obniży poziom zaufania do osób nimi kierujących, co może mieć istotne przełożenie na preferencje wyborców.
Ekspert w dziedzinie cyberbezpieczeństwa ze Stormshield Aleksander Kostuch w prezentuje zagadnienia odnoszące się do sfery cyberbezpieczeństwa Polaków, które powinny zostać ujęte w programach wyborczych.
Ochrona reputacji w kontekście wyborów – ryzyko utraty zaufania w efekcie skutecznego cyberataku
Niedawnym, głośnym przykładem przestępczej działalności wymierzonej w samorząd było zablokowanie aplikacji ŚKUP (Śląska Karta Usług Publicznych) Górnośląsko-Zagłębiowskiej Metropolii. W efekcie ataku przestały działać portal i aplikacja „Mobilny ŚKUP”, System Dynamicznej Informacji Pasażerskiej oraz znajdujące się w autobusach i tramwajach kasowniki z czytnikami kart, na których zakodowane są elektroniczne bilety. Pasażerowie byli proszeni o samodzielne kasowanie ich papierowych wersji, poprzez wpisanie długopisem daty i godziny przejazdu. Sytuacja kuriozalna, w trzeciej dekadzie XXI wieku.
Podobny incydent pod koniec 2022 roku dotknął Urząd Marszałkowski Województwa Mazowieckiego (UMWM). Działania objęły tam cyberatak ransomware na system Elektronicznego Zarządzania Dokumentami. Nie milkną również echa „afery mejlowej”, która jest przedmiotem dyskusji publicznej i bieżącej walki politycznej. Głośnym zagranicznym przykładem potencjalnego wpływu działalności cyberprzestępczej na zaufanie do organów państwa był ujawniony w sierpniu br., złożony atak na Brytyjską Komisję Wyborczą, w wyniku którego „wrogim podmiotom” udało się uzyskać dostęp do milionów danych wyborców.
Podobne do opisanych incydenty mogą skutkować czasowym brakiem dostępności określonych usług publicznych, nieterminowym załatwianiem spraw czy problemami w kontakcie z pracownikami przy wykorzystaniu internetowych kanałów komunikacji. Dodatkowo, jak wskazywała rzeczniczka prasowa UMWM, w ich przypadku „zdarzenie mogło doprowadzić do utraty dostępności danych osobowych”. Rosnąca skala zagrożenia, wielkość potencjalnych szkód – szacowana często w milionach złotych, a w przypadku incydentów dotykających podmiotów centralnych przekładająca się na bezpieczeństwo państwa – i fakt, że zagrożenie to jest powszechne, co sprawia, że temat ten nie powinien być ignorowany.
Cyberatak związany jest niemal zawsze z groźbą wycieku wrażliwych danych, więc poza skutkiem w postaci zakłócenia ciągłości usług należy wziąć pod uwagę ryzyko prawne, w postaci sankcji ze strony organów państwowych czy postępowania sądowego podejmowanego przez poszkodowanych. Jednak równie istotne jest ryzyko utraty reputacji, czego skutki z perspektywy osób prowadzących działalność publiczną mogą być poważne. – zwraca uwagę Aleksander Kostuch, ze Stormshield.
Cyfryzacja w połączeniu z dbałością o bezpieczeństwo
Administracja coraz chętniej korzysta z dobrodziejstw cyfryzacji, jednak wiele instytucji jest niedofinansowanych w obszarze IT. Objawia się to na przykład brakiem jasno określonej polityki bezpieczeństwa, regulaminów i procedur. Bolączką są również braki kadrowe w działach informatycznych.
Brak należytej dbałości o system bezpieczeństwa IT to proszenie się o kłopoty. Im bardziej cyfrowi się stajemy, tym bardziej rośnie przestrzeń do potencjalnego ataku. Z uwagi na motywacje grup przestępczych czarny scenariusz jest jak najbardziej możliwy. Zwróćmy również uwagę, że kwestia bezpieczeństwa, pojmowana w ujęciu ekonomicznym i geopolitycznym, stały się jedną z osi trwającej kampanii wyborczej. A przecież sfera bezpieczeństwa cyfrowego w coraz większym stopniu pozostaje przedmiotem troski obywateli, co jest pozytywnym efektem konsekwentnych działań związanych z promowaniem tych zagadnień – komentuje ekspert Stormshield.
Aby móc zapewnić odpowiedni poziom bezpieczeństwa, z perspektywy administracji kluczowe są odpowiednie rozwiązania techniczne, na przykład firewalle oraz nieustanne podnoszenie kompetencji pracowników. To jednak wiąże się z kosztami.
Niestety poziom wydatków najczęściej kształtowany jest doraźnie. W budżetach administracji publicznej uwzględniane są koszty aktualizacji użytkowanych na bieżąco systemów antywirusowych, firewalli oraz audytu systemów zabezpieczeń, które są konieczne. – mówi Aleksander Kostuch.
Jak wskazuje, praktyka szukania oszczędności w myśl zasady „bo przecież wszystko działa”, obejmująca zaniechanie inwestycji w rozwiązania podnoszące poziom zabezpieczenia sieci i systemów czy rezygnację z konsultacji z ekspertami mogą okazać się krótkowzroczne i bardzo bolesne.
Nie jest to optymalna taktyka. Również z uwagi na zbliżającą się nieuchronnie adaptację do krajowego systemu prawnego rozwiązań ujętych w dyrektywie NIS2, kwestię wydatków na cyberbezpieczeństwo administracja publiczna powinna traktować priorytetowo. Podmioty, które nie będą przestrzegać dyrektywy, mogą być ukarane grzywnami. – dodaje Aleksander Kostuch.
Sfera cyfrowa ma coraz większy udział w codziennym życiu. Wielu z nas posługuje się aplikacjami bankowymi, opłaca podatki, umawia się do lekarza, a także korzysta z innych możliwości załatwiania spraw przez Internet. Funkcjonowanie tego systemu opiera się o przetwarzanie ogromnej liczby danych, wrażliwych i niezwykle cennych, niezależnie czy patrzymy na to z perspektywy ich właścicieli czy przestępców chcących wejść w ich posiadanie. Rośnie świadomość społeczeństwa i wydaje się, że warto postawić pytanie: „Czy cyberbezpieczeństwo powinno stać się jednym z tematów kampanii wyborczej?”.
Postawienie tego pytania wydaje się zasadne, gdy spojrzymy na dane np. zespołu CSIRT NASK, który wskazuje, że najwyższą dynamikę wzrostu liczby ataków i incydentów w obszarze cyberbezpieczeństwa odnotowano w grudniu 2022 roku. Było ich wówczas ok. 85 tysięcy, co w porównaniu z analogicznym miesiącem 2021 r. oznaczało ponad czterokrotny wzrost. Ludzie oczekują od osób sprawujących funkcje publiczne, niezależnie od opcji politycznej, jaką reprezentują, aby swoją pracą tworzyli warunki dogodne do życia i rozwoju społecznego. Współcześnie nie może to pomijać zagadnień związanych z bezpieczeństwem cyfrowym. – podsumowuje Aleksander Kostuch.
Jakie zagadnienia dotyczące sfery cyberbezpieczeństwa powinny zostać ujęte przez polityków w propozycjach programowych, aby była to z perspektywy specjalistów dobra propozycja?
1. Opracowanie krajowej strategii ds. cyberbezpieczeństwa i strategii obrony cywilnej przed cyberatakami, w tym procedur reagowania na ataki oraz przywracania usług w razie zakłóceń, które obejmowałyby priorytety w tej dziedzinie i środki ich realizacji.
2. Rozwijanie programów edukacyjnych i szkoleń z zakresu cyberbezpieczeństwa na różnych poziomach edukacji oraz w ramach szkoleń zawodowych, co jest kluczowe dla ochrony interesów narodowych i społecznych.
3. Promowanie współpracy międzynarodowej, w tym wymiany informacji i wspólnych działań w przypadku cyberataków.
4. Promowanie dalszego wdrażania mechanizmów ochrony krytycznej infrastruktury przed cyberatakami, w szczególności uwzględniające produkcję oraz łańcuchy dostaw dla żywności, energetyki, komunikacji i opieki zdrowotnej.