Rośnie zagrożenie cyberatakami, o czym dość regularnie informują m.in. politycy. Świeżym przykładem takiego zdarzenia są działania wymierzone w szpital MSWiA w Krakowie, które wymusiły na pracownikach pracę analogową. Warto przy tej okazji przypomnieć, że w ostatnich latach ofiarami takich zdarzeń padały podmioty odpowiedzialne za transport publiczny w Krakowie, Olsztynie oraz na Śląsku. Jak przedstawia się ich sytuacja po kilku miesiącach/kwartałach od tych destrukcyjnych zdarzeń?
W Krakowie trwa śledztwo, część informacji jest niejawna
Najświeższym przypadkiem z przywołanej listy jest atak hakerski na MPK w Krakowie. Miał on miejsce na początku grudnia ubiegłego roku. W jego efekcie czasowo przestały działać systemy informatyczne Miejskiego Przedsiębiorstwa Komunikacyjnego w stolicy Małopolski. Mowa m.in. o rozwiązaniach odpowiedzialnych za sprzedaż biletów oraz stronie internetowej przedsiębiorstwa.
Z informacji pozyskanych w spółce wynika, że hakerzy próbowali zniszczyć systemy, odpowiadające za prawidłowe funkcjonowanie m.in. zajezdni oraz stacji obsługi tramwajów i autobusów MPK. Celem ich działania był po prostu paraliż krakowskiej komunikacji miejskiej. Tego udało się jednak uniknąć za sprawą odpowiednich zabezpieczeń.
Biuro prasowe MPK podało, że systemy, z których korzystają pasażerowie, zostały przywrócone 8 i 9 grudnia (atak miał miejsce 3 grudnia). Wcześniej zabezpieczono dowody. W tym samym czasie zaczęto też przywracać systemy wewnętrzne, przy zachowaniu właściwej kolejności: od krytycznych do mniej ważnych. Z uzyskanych informacji wynika, że prace w tym zakresie wciąż trwają, ale dotyczą systemów, które nie wpływają na podstawowe działanie spółki.
Nad przywracaniem systemów informatycznych pracują nie tylko informatycy MPK, ale też specjaliści z Centrum Obsługi Informatycznej Urzędu Miasta Krakowa, pracownicy firm zewnętrznych oraz służby Ministerstwa Cyfryzacji, w tym NASK (Naukowa i Akademicka Sieć Komputerowa – Państwowy Instytut Badawczy). MPK w Krakowie współpracuje też z policją oraz ABW, a sam atak jest przedmiotem śledztwa, więc część informacji na jego temat nie może być podawana.
Przedstawiciel przedsiębiorstwa przekonuje, że przed atakiem stosowano wysoki poziom zabezpieczeń, ale zdarzenie pokazało, że nie był on wystarczający, więc zdecydowano się na wdrożenie nowych narzędzi i procedur. O czym konkretnie mowa? W tym miejscu spółka zasłania się tajemnicą i wyjaśnia, że „jednym z elementów możliwego ataku cyberprzestępców jest kwestia udostepnienia informacji o zakupie specjalistycznego oprogramowania”. Te informacje mogą po prostu być użyteczne dla hakerów.
Na Śląsku ucierpiał stary system. Nowy jest pozbawiony jego wad
W lutym 2023 roku miejsce miał
atak hakerski na system ŚKUP wykorzystywany w przejazdach komunikacją miejską organizowanych przez Zarząd Transportu Metropolitalnego na terenie Górnośląsko-Zagłębiowskiej Metropolii. Szczęście w nieszczęściu polegało na tym, że rozwiązanie to zmierzało wówczas do końca swojego żywota. Uruchamiany był nowy system, bo poprzedni uchodził za archaiczny – w ten sposób określił go nawet przedstawiciel GZM.
Z uzyskanych informacji wynika, że praca przy odtwarzaniu systemu trwała około 10 dni. Atak nie przyniósł trwałych szkód, a jego konsekwencją były przede wszystkim… liczne reklamacje pasażerów. Hakerom nie udało się ponoć pozyskać danych i skończyło się na zaszyfrowaniu dysków. Nie odnotowano nawet spadku sprzedaży biletów, bo uruchomiono inne kanały sprzedaży. Zdarzenie z lutego 2023 roku nie miało podobno wpływu na datę uruchomienia oraz działanie nowego systemu.
Przedstawiciel GZM poinformował nas, że przeprowadzony atak miał raczej charakter automatyczny. Hakerzy nie kontaktowali się np. w sprawie okupu. Do odtwarzania systemu zostali zaangażowani informatycy GZM, eksperci Asseco (firma obsługująca system) oraz podmiotów, z którymi współpracowano przy utrzymaniu tych systemów. Padło jednak zapewnienie, że nie wiązało się to z dodatkowymi kosztami.
Także i w tym przypadku zaangażowali się spece od cyberbezpieczeństwa z NASK oraz policja. Ta ostatnia finalnie umorzyła sprawę. Z ataku podobno wyciągnięto wnioski, ale nowy system ma być pozbawiony słabości ŚKUP. Doświadczeniami z ataku podzielono się z podmiotami, które były tym zainteresowane – mowa głównie o spółkach samorządowych, ale też firmie zajmującej się bezpieczeństwem systemów IT.
Olsztyn: był paraliż, ale nie utracono danych
Trzecim zdarzeniem, któremu warto się przyjrzeć był atak na system informatyczny Zarządu Dróg, Zieleni i Transportu (ZDZiT) w Olsztynie. Informatyk wykrył nieautoryzowany ruch na administrowanych serwerach 24 czerwca 2023 roku. Wstępna analiza wykazała wówczas, że doszło do złamania zabezpieczeń, zaszyfrowania danych oraz uszkodzenia ich nośników.
Dla mieszkańców miasta efekty tego zdarzenia szybko stały się odczuwalne. Nie działały m.in. biletomaty oraz parkomaty, systemy sterowania ruchem, oświetleniem czy monitoringiem, ale też strona internetowa ZDZiT. Dostęp do systemu informacji pasażerskiej był ograniczony, nie można też było kupić biletów miesięcznych. Alternatywą był zakup biletów w wersji papierowej lub skorzystanie z aplikacji podmiotów zewnętrznych, np. SkyCash.
W celu usunięcia tej awarii utworzono specjalny zespół roboczy, wdrożono też zmiany organizacyjne w obsłudze informatycznej ZDZiT. Nie obyło się bez wsparcia NASK: do prac włączył się działający w ramach tego podmiotu CERT, czyli zespół reagowania na zagrożenia w sieci. Po wstępnej analizie zabrano się za usuwanie (etapami) szkód. W pierwszej kolejności uruchomiono Biuletyn Informacji Publicznej i stronę internetową ZDZiT, a także stronę rozkładu jazdy (stworzono ją na nowo).
Przedstawiciel olsztyńskiego ZDZiT zapewnił, że obecnie wszystkie usługi działają i są rozwijane. Jednocześnie analiza zdarzenia miała wykazać, że nie doszło do utraty danych ani środków finansowych.
Miasto przedstawiło listę wyzwań i wydatków
Reprezentujące ZDZiT służby wyjaśniły, co okazało się największym wyzwaniem, gdy stwierdzono atak. Listę otwierają zapewnienie dostępności kadr informatycznych oraz aktualizacja aktywów i zasobów informacyjnych ZDZiT. Na liście pojawiły się także:
- Weryfikacja wszystkich informatycznych nośników danych (na serwerach, macierzach, stacjach roboczych oraz nośników zewnętrznych zawierających kopie zapasowe);
- Zapewnienie finansowania na adekwatnym poziomie;
- Opracowanie opisów przedmiotów zamówienia oraz przeprowadzenia postępowań zamówień publicznych;
- Zrozumienie z pracownikami ZDZiT, wykonawcami oraz najwyższym kierownictwem Gminy.
Po cyberataku podpisana została umowa pomiędzy Gminą Olsztyn a NASK-PIB w sprawie wsparcia. Dotyczyła ona dotacji w wysokości przeszło 3 mln zł. Gmina informuje, że wykorzystano niemal całość tych środków, konkretnie 3 095 830,08 zł. Na co przeznaczono te pieniądze? Także i w tym przypadku pojawiła się dość konkretna odpowiedź.
Grupa wydatków I. Odtworzenie utraconych danych:
1) Odtworzenie utraconych danych poprzez aktualizację systemu FareGoData;
2) Usługi eksperckie w zakresie rekonfiguracji oprogramowania SIEM;
3) Usługi eksperckie w zakresie rekonfiguracji oprogramowania Veeam.
Grupa wydatków II. Sprzęt sieciowy i serwerowy:
4) Przełączniki sieciowe;
5) Macierz talerzowa / półka macierzy;
6) Serwer do backupu;
7) Serwery rack pod wirtualizację (dwuprocesorowe);
8) Przełączniki FC;
9) VMware Enterprise plus;
10) Strimer do kopii bezpieczeństwa.
Grupa wydatków III. Sprzęt i oprogramowanie komputerowe:
11) Sprzęt komputerowy / lic. CAL i Office;
12) Bloker do wykonywania kopii binarnych;
13) Oprogramowanie EDR;
14) Licencje na FortiToken.
Konsekwencją cyberataku była m.in. wymiana (ewentualnie aktualizacja lub przekonfigurowanie) istotnej części zasobów IT. W tym kontekście wymienia się sieć informatyczną, infrastrukturę serwerową, systemy teleinformatyczne i stacje robocze użytkowników. Zmodyfikowano np. proces dostępu do danych, zawarto też nowe umowy m.in. w zakresie aktualizacji, rozbudowy oraz wsparcia technicznego na część systemów teleinformatycznych. Pracownicy NASK-PIB przeprowadzili również szkolenia z zakresu zagrożeń związanych z cyberbezpieczeństwem obejmujące pracowników ZDZiT i innych jednostek organizacyjnych oraz najwyższego kierownictwa Gminy Olsztyn.
Służby nadal badają sprawę. Na razie nie są znane źródła ataku
Zawiadomienia będące konsekwencją zdarzenia zgłoszono m.in. do Urzędu Ochrony Danych Osobowych, policji czy prokuratury. Cyberatakiem zainteresowała się także ABW. Z uzyskanych przez nas informacji wynika, że podmioty te nadal analizują zebrane informacje i materiały. Żaden ze wspomnianych podmiotów nie wskazał jeszcze przyczyny i źródła ataku. W pierwszych dniach po ataku pojawił się mail w sprawie okupu, ale potem nie były wysuwane dodatkowe żądania.
Doświadczeniami z usuwana skutków incydentu podzielono się z przedstawicielami innych miast podczas konferencji zorganizowanej w 2024 r. przez Forum Organizatorów Transportu i ZDZIT, a także podczas ogólnopolskiej konferencji Cyber.gov.
Zapisz
się do newslettera:
