ABW: rośnie liczba ataków na cyberbezpieczeństwo
9191 incydentów komputerowych, które mogły mieć niekorzystny wpływ na cyberbezpieczeństwo zarejestrowano od końca sierpnia 2018 r. do 21 lipca 2019 r. - wynika z raportu działającego w ABW Zespołu Reagowania na Incydenty Bezpieczeństwa Komputerowego CSIRT GOV. Z raportu, do którego dotarła PAP wynika, że ich liczba rośnie - w całym 2018 r. było 6,2 tys. takich incydentów, a w 2017 r. 5,8 tys.
CSIRT GOV, który działa w Agencji Bezpieczeństwa Wewnętrznego ma w swoich kompetencjach zapewnienie bezpieczeństwa informatycznego instytucji państwowych - administracji publicznej oraz obiektów infrastruktury krytycznej kraju. Do zespołu CSIRT zgłaszane są przypadki podejrzenia naruszenia bezpieczeństwa sieci i zasobów informatycznych w instytucjach domeny państwowej (gov.pl).
Do sierpnia 2018 r. i wejścia w życie ustawy o krajowym systemie cyberbezpieczeństwa zadania ochrony rządowej cyberprzestrzeni należały do Zespołu Reagowania na Incydenty Komputerowe CERT.GOV.PL przekształconego wówczas w CSIRT GOV.
Zespół apeluje o stałe aktualizowanie wykorzystywanego oprogramowania, a także stosowanie systemów wykrywania i zapobiegania włamaniom oraz oprogramowania antywirusowego uznanych producentów, posiadających mechanizmy aktualizacji baz danych.
ABW przypomina, że ciągła edukacja pracowników o zagrożeniach w cyberprzestrzeni, a także opracowanie i stosowanie wewnętrznych procedur postępowania, które umożliwią natychmiastową reakcję na incydent i zminimalizowanie jego negatywnych skutków.
Według raportu w pierwszych 11 miesiącach działania CSIRT GOV - do sierpnia 2018 r. najczęściej rejestrowanymi typami incydentów były złośliwe oprogramowanie - 40 proc., niedostępność usługi - 23,3 proc., skanowanie - 12 proc, a w dalszej kolejności z kilkuprocentowym udziałem w także phishing, spam, podatność systemu, atak, błędna konfiguracja, podszycie i włamanie.
Najwięcej 44,6 proc. zgłoszeń analizowanych przez CSIRT GOV - 4089 przypadków - dotyczyło wykrycia złośliwego oprogramowania, w tym oprogramowania szyfrującego dyski twarde dla wymuszenia okupu, a także trojanów bankowych, które podszywają się pod strony internetowe bankowości elektronicznej i wyłudzają dane logowania do przelewów.
W analizowanych przez ABW przypadkach zdecydowana większość wirusów tworzona była na platformę z rodziny Microsoft Windows.
Do rozpowszechniania wirusów korzystano ze złośliwych załączników do wiadomości e-mail, których autorzy bazowali na strachu odbiorców przed windykacją zaległych należności. W rozsyłanych przez nich fałszywych wiadomościach znajdowały się wezwania do uregulowania opłat za faktury lub składki. Po otworzeniu zainfekowanego załącznika następowała infekcja stacji roboczej.
Atakujący podszywali się przeważnie pod firmy świadczące usługi telefonii komórkowej, Zakład Ubezpieczeń Społecznych lub operatorów energii elektrycznej - wynika z raportu CSIRT GOV.
2185 zgłoszeń (23,8 proc.) dotyczyło niedostępności usług. Najczęstszym skutkiem ataków polegających na zablokowaniu usługi jest utrata wizerunku instytucji lub narażenie jej na koszty, a także wywołanie niepoprawnego działania systemów bezpieczeństwa w celu przeprowadzenia kolejnego ataku.
12,3 proc. zgłoszeń (1132 przypadki) dotyczyły skanowania w celu wykrycia podatności systemu na atak oraz wyboru optymalnej formy ataku.
792 incydenty (8,6 proc.) dotyczyły samych pracowników instytucji podlegających zespołowi CSIRT GOV - „byli oni celem zakrojonych na szeroką skalę kampanii phishingowych, ukierunkowanych bezpośrednio na administrację publiczną i operatorów infrastruktury krytycznej” - podano w raporcie.
Zakres tych kampanii miał obejmować m.in. pozyskanie wrażliwych danych, takich jak dane logowania do kont bankowych, czy próby przejęcia stacji roboczych. ABW zwraca uwagę, że przy takim ataku zagrożenie niekoniecznie musi być związane z pracą i zadaniami danej instytucji, ale może w sposób pośredni narazić jej integralność i bezpieczeństwo.
Część zgłoszeń dotyczyła zjawiska określanego jako spam, czyli masowego rozsyłania niepożądanych informacji (494 przypadków - 5,4 proc.). 268 incydentów (2,9 proc.) polegało na poszukiwaniu podatności, czyli słabości systemu wynikającej m.in. z błędnej konfiguracji systemu lub braku bieżącej aktualizacji oprogramowania.
Zespół CSIRT GOV odnotował także po kilkadziesiąt zgłoszeń incydentów związanych z nieaktualną wersją oprogramowania lub błędną konfiguracją, podszyciem przy wykorzystaniu wizerunku podmiotu w cyberprzestrzeni oraz włamaniem poprzez wykorzystanie ujawnionej podatności w celu uzyskania nieautoryzowanego dostępu do zasobów infrastruktury sieciowej.
Poniżej procenta wszystkich incydentów analizowanych przez CSIRT GOV w instytucjach państwowych i obiektach infrastruktury krytycznej (87 zgłoszeń) dotyczyło prób uniemożliwienia prawidłowego funkcjonowania systemów komputerowych lub usług sieciowych poprzez zajęcie wszystkich dostępnych zasobów.
Z raportu ABW wynika, że przez 11 miesięcy zespół CSIRT GOV odnotował także po kilkadziesiąt zgłoszeń incydentów związanych z nieaktualną wersją oprogramowania lub błędną konfiguracją, podszyciem przy wykorzystaniu wizerunku podmiotu w cyberprzestrzeni oraz włamaniem - uzyskaniem nieautoryzowanego dostępu do zasobów infrastruktury sieciowej z wykorzystaniem ujawnionej podatności.
W kraju tę samą rangę co zespół w ABW mają CSIRT MON doglądający sieci wojskowej i CSIRT NASK zajmujący się pozostałym obszarem polskiego internetu.
Aleksander Główczewski (PAP), sek