Czy można nie płacić okupu? Można, a nawet trzeba. Władze gminy Aleksandrów, doświadczonej atakiem ransomware, dzielą się swoimi doświadczeniami i radzą innym samorządowcom, jak się chronić przed podobnymi sytuacjami.
Wiosną zeszłego roku doszło do cyberataku na systemy informatyczne Urzędu Gminy Aleksandrów, wskutek którego zaszyfrowano bazy danych, z których korzystał również Gminny Ośrodek Pomocy Społecznej. Był to tydzień poprzedzający Wielkanoc, kiedy część mieszkańców gminy z niecierpliwością czekała na wypłatę pensji oraz innych świadczeń, które m.in. miały pozwolić im na zorganizowanie Świąt. Cyberprzestępcy zażądali okupu, jednak gmina nie zamierzała im ulegać. W jaki sposób udało się przywrócić działanie kluczowej infrastruktury IT i jakie wnioski z tej sytuacji mogą wyciągnąć przedstawiciele innych samorządów?
Aleksandrów to gmina wiejska w województwie lubelskim, wyróżniona w „Rankingu Samorządów”. Jest ona najmniejszą i najmłodszą gminą, której mieszkańcy, mimo swojej zaradności, nie posiadają wysokich dochodów. W wielu przypadkach to świadczenia socjalne są dla nich podstawowym źródłem utrzymania. Atak na zasoby informatyczne gminy sparaliżował również pracę Gminnego Ośrodka Pomocy Społecznej i mógł uniemożliwić wypłatę świadczeń w terminie, co – mając na uwadze zbliżające się Święta Wielkanocne – dodatkowo komplikowało sytuację.
Cyberatak i co dalej
Władze gminy zaalarmowała jedna z urzędniczek, która miała problemy z dostaniem się do zasobów z poziomu swojego komputera. Zwróciła się do informatyka, który z kolei zdiagnozował problem – atak ransomware, a następnie zgłosił sprawę wójtowi. Ten skontaktował się z miejscową policją, powiadomił właściwe instytucje, a następnie poszukiwał pomocy wśród innych samorządowców i specjalistów z obszaru technologii.
Sprawcy zażądali okupu za odszyfrowanie danych, jednak władze gminy Aleksandrów nie rozważały takiej możliwości. „To są pieniądze mieszkańców gminy, którymi nie mogę w ten sposób rozporządzać” – mówi Józef Biały, wójt gminy Aleksandrów. „Zaczęliśmy od znalezienia innej gminy, która zmagała się z podobnym problemem. Okazało się, że Kościerzyna w województwie pomorskim padła ofiarą cyberataku w przeszłości. Jej przedstawiciele przekazali nam kontakt do zespołu, który pomógł przywrócić ciągłość działania w Kościerzynie, zajmującego się właśnie atakami hakerskimi. Koordynator z firmy VS DATA z Gdyni był u nas już następnego dnia” – dodaje wójt.
Zespół Szybkiego Reagowania (RR) działający przy VS DATA zarekomendował szereg działań obejmujących zarówno komputery pracowników, jak i serwerownię oraz sieć. Zabezpieczono dowody i ślady przestępstwa, następnie wyczyszczono urządzenia ze złośliwego oprogramowania, przeniesiono dane na nowo skonfigurowane systemy i rozpoczęto proces przywracania najważniejszych baz danych – świadczeń społecznych. Dzięki sprawnej współpracy przywrócono działanie infrastruktury IT gminy w ciągu zaledwie trzech dni i w terminie wypłacono bardzo ważne dla mieszkańców świadczenia.
Zamiast płacić okup, lepiej zapłacić za unowocześnienie IT
W przywróceniu działania infrastruktury gminy Aleksandrów ważną rolę odegrali partnerzy, którzy nie tylko udostępnili niezbędny sprzęt na początkowym etapie prac, ale również zapewnili wsparcie specjalistów, którzy niejednokrotnie po godzinach pracy pomagali w odtworzeniu infrastruktury i danych. Jednym z nich był Tomasz Kułakowski, DC Technical Solutions Architect w firmie Cisco, który odpowiadał za przygotowanie nowych serwerów, przełączników i zapory dla gminy Aleksandrów.
Przegląd infrastruktury wykazał, że część komputerów wykorzystywanych w urzędzie należy wymienić na nowe, podobnie jak serwery znajdujące się w centrum danych. Poza firmą VS DATA, w przywrócenie działania infrastruktury IT gminy były aktywnie zaangażowane firmy Sygnity, Vmware, Veeam, Integrated Solutions, Microsoft oraz Cisco.
„Firma Cisco zaoferowała sprzęt. Następnie Integrated Solutions zaproponowało preferencyjne ceny za produkty, dzięki czemu mogliśmy unowocześnić naszą infrastrukturę IT. Przeznaczyliśmy na ten cel pieniądze, które musielibyśmy zapłacić w formie okupu przestępcom. W mojej ocenie jest to właściwa droga. Nie należy zasilać budżetów cyberprzestępców ze środków publicznych. Zamiast tego należy proaktywnie zabezpieczyć się przed podobnymi atakami w przyszłości, odpowiednio inwestując w rozwiązania umożliwiające ochronę” – przyznaje Józef Biały, wójt gminy Aleksandrów.
Jak samorządy mogą uchronić się przed cyberatakami
Skutki cyberataku na gminę Aleksandrów były dotkliwe. Jednak jak podkreślają eksperci z firmy Cisco, istniało wiele znacznie gorszych scenariuszy, które na szczęście się nie ziściły.
„Wskutek ataku urzędnicy stracili dostęp do zasobów. Na szczęście żadne dane nie zostały wykradzione. Należy pochwalić postawę osób, które jako pierwsze zwróciły uwagę, że coś jest nie tak. Cyberatak nastąpił pod koniec miesiąca, kiedy wypłacane są pensje urzędników i świadczenia dla mieszkańców. Wyobraźmy sobie, że w efekcie działania złośliwego oprogramowania zostają podmienione numery kont i pieniądze otrzymują cyberprzestępcy. Oznaczałoby to ogromne straty dla samorządu, ale przede wszystkim problemy dla mieszkańców” – tłumaczy Tomasz Kułakowski, architekt rozwiązań Data Center w Cisco Polska.
Reakcja gminy Aleksandrów stanowi przykład dla innych samorządów, jak należy postępować w przypadku cyberataku. Zdaniem ekspertów Cisco najważniejsze jest budowanie świadomości cyberzagrożeń, zarówno wśród decydentów, jak i urzędników. Z kolei wójt Aleksandrowa zwraca uwagę na ogromną rolę chmury, która umożliwia bezpieczne przechowywanie danych oraz tworzenie kopii zapasowych w innych lokalizacjach. Podkreśla również potrzebę inwestycji w rozwiązania najwyższej klasy, takie jak oferuje Cisco. W jego opinii, w obszarze cyberbezpieczeństwa nie można zadowalać się półśrodkami. „Samorządy nie powinny obawiać się technologii cloud computing. Obecnie poszukujemy partnera, sąsiednią gminę, której infrastrukturę moglibyśmy wykorzystać jako ośrodek zapasowy. Odwdzięczymy się tym samym, dzięki czemu obie strony zwiększą poziom bezpieczeństwa, nie tylko na wypadek cyberataku, ale również pożaru czy zalania” – podsumowuje Józef Biały.
Dla pełnej przejrzystości – powyższy tekst to artykuł sponsorowany i za jego publikację pobieramy wynagrodzenie.
Komentarze
Z ciekawości-kto sponsorował? Gmina czy cisco? :)
A gdzie był zespół CERT NASK? To nie oni powinni się tym zająć?
Otóż nie. Ani narzędzia ani środki dla CSIRT NASK na działania on site nie są przewidziane w ustawie. Najwyraźniej naszego Państwa nie stać na takie usługi, są ważniejsze wydatki.
Nie, to należy do kompetencji certu rządowego. Mogłeś sprawdzić, zamiast pytać się w formie sugerującej zarzut, bo tak jak to zrobiłeś teraz wpisujesz się w trollowsko-hejtersko-fakenewsową-proputinowską-i-foliarską retorykę.
@Ciekawski
CERT? No coś Ty?!? Chcesz, żeby nikt nie zarobił? ;)
@eski Mos
Poczytaj o gminie Kościerzyna. Im akurat CERT mógł pomóc?
PS Ciekawe skąd pewność, że dane nie poleciały w świat?
Problem w tym, że zarówno wójt jak i cała rada gminy (która decyduje o budżecie) miała głęboko w poważaniu stronę informatyczną w jednostce. Informatyk ma robić wszystko co jest w jakikolwiek, nawet luźni sposób, powiązane z technologią, bo przecież inni nie są informatykami i nie muszą się na tym znać (przynieś, zanieś, pozamiataj, dup… podetrzyj). Informatyk na pewno słyszał, „nie ma kasy, obcięli nam z województwa, radź sobie itp.” Znam to z wieloletniego doświadczenia. Dopiero jak dostali po du…ie to zaczęli myśleć, jak w oczy zajrzały prokuratorskie zarzuty. W firmach i jednostkach budżetowych dalej panuje przeświadczenie, że wydatki na informatyzację, w szczególności na infrastrukturę zabezpieczającą i pensję do fachowców to tylko niepotrzebne wydatki, mimo że cyfryzacja i informatyzacja już nie postępuje tylko galopuje. A chyba ulubionym sloganem takich para…ów jak ten wójt to „W końcu nie ma ludzi nie zastąpionych, a na miejsce każdego czeka już dziesięciu fachowców”. Widać po urządzenie wojewódzkim w krakowie.
U mnie zdarza się bulwers, jak zasugeruję, że „fajnie jakby pani sama przyniosła kompa na reinstalkę, bo nie jestem w stanie tylko nosić kompów”. Informatyk, to jest spec od:
– noszenia kompów, przeprowadzek,
– wymiany tonerów,
– czyszczenia monitorów,
– wiercenia dziur na kable,
– reinstalek prywatnych kompów,
– aktualizacji map w GPS-ach,
– przenoszenia kontaktów i zdjęć ze starego telefonu,
– robienia spisu treści w DOC-u z pracą magisterską i poprawy formatowania spacjami,
– odzyskiwania danych z pena dostanego na konferencji,
– systemów monitoringu i kontroli dostępu do pomieszczeń
– systemów + sieci + kopii. To co, że nie zdąży w godzinach pracy! Mógł się sprężyć, łajza jeden!
;)
Coś w tym jest. Jednak w jakichś małych urzędach i spółkach miejskich jest lepiej. Ja po objęciu stanowiska w takiej „spółce” miałem tonę rzeczy do poprawienia. Gdy człowiek wszystko ogarnie i zrobi tak jak powinno być praca jest o wiele prostsza i przyjemniejsza. Akurat u mnie szef jest nietechniczny, ale ufa mi gdy mówię co trzeba wymienić albo zrobić. I nagle dało się postawić UTMa zamiast firewalla na ruterze operatora, dało się zakupić nowy serwer a ze starego zrobić backup offline, który raz na tydzień łączy się z LANem i zrzuca wszystko, żeby w razie jakiegoś ransomware był świeży backup gotowy do startu w kilkadziesiąt minut. Ponadto kopia danych na dyskach zamykanych w sejfie, osobny komputer zbierający codzień zrzut folderów roboczych z udziału sieciowego oraz Historię plików z komputerów pracowników na wypadek awarii/usunięcia danych. A na koniec chociaż symboliczny BitLocker szyfrujący dyski w komputerach na wypadek kradzieży oraz szyfrowany sprzętowo pendrive dla osoby, która zabiera dane osobowe ze sobą. Może trochę przesadzone, ale przynajmniej mogę wieczorem spokojnie zasnąć, wiedząc że zrobiłem co mogłem, aby dane były bezpieczne.
Milan, z ciekawości zapytam bo w arcie tego nie pisze. Jak się deszyfruje pliki zaszyfrowane w ten sposób. O ile wiem, to dobre ransomware nie przechowuje nawet hashy kluczy na maszynie targetu a algorytmy są mocne.
Chwila , chwila.
Połowa tych spraw to odpłatnie po godzinach.
Jeżeli chcą, to nie w godzinach pracy i nie za darmo.
Jeżeli ten informatyk na to się godzi w ramach pracy, to jest sam sobie winien.
Racja! Tylko weź się postaw Halinie, jeżeli jej mąż jest komendantem policji, szwagier pracuje w urzędzie pracy, a kuzyn jest proboszczem :) .
Oczywiście jedna zapłaci bez marudzenia, ale dla innej to jakbyś ją opluł. Nie „czy może mi pan naprawić?”, tylko „zerknie pan na lapka, wpadnę przed 15:00”. Jej się należy. Już nie mówiąc o tym, że skoro się znasz, to lubisz… a skoro lubisz, to przecież za to się nie płaci. Z resztą tylko klikasz. Hydraulik, to przynajmniej coś robi.
Umowę na stałe dostaje się teraz po 3 latach. Po 3 latach nadstawiania, nie będziesz już umiał odmawiać.
Ale warto próbować. Dobrze jak szef jest wyrozumiały i ma zaufanie.
Dodam jeszcze jakie są reakcje Grażynek na odebranie lokalnego admina:
– to już nie mogę sama zainstalować programu do PIT-ów?
– nie
– ale…
– NIE!!!
… i już jest „zły informatyk”, wróg każdego pracownika. Taki gość jest sam przeciw wszystkim.
Dla tych, którzy twierdzą „to zmień pracę, nie siedź w budżetówce”: informatyk w budżetówce, to nie jest „gość po informatyce”, tylko technik. Czyli człowiek na swoim miejscu. Tyle, że olewany i nierozumiany przez przełożonych, więc „używany” w złym celu.
Niestety tak to wygląda w urzędach. W sumie nie ma się co dziwić jak rządzić gminą czy miastem może indolent intelektualny wystarczy tylko że ma poparcie. Najczęściej tacy nie mają jakiegokolwiek pojęcia o obowiązujących przepisach. A to Burmistrz/Wójt jest odpowiada prawnie niemal za wszystko.
Jako przysłowiowy „dupochron” co rok przygotowywałem pismo na temat planowanych zakupów na system telefinformatyczny. Jak zawsze dostawałem odpowiedź na piśmie że nie ma pieniędzy bo to i tamto…
Miałem wtedy w razie draki podkładkę że to Wójt nie zapewnił odpowiednich środków na IT. Skończyło by się pewnie i tak dyscyplinarką ale nie zarzutami prawnymi…
Na szczęście już nie pracuję w samorządzie. Szkoda było nerwów..
Brawo. Kto przyjdzie do Gminy na informatyka za 2 tyś do ręki… paciotki Wójta chyba tylko :-(
Taka prośba serdeczna: jak publikujecie tekst sponsorowany to niech on będzie zredagowany przez osobę, która posługuje się językiem polskim na poziomie zaawansowanym. Konstrukcyjnie i składniowo to poziom słabego ucznia 4 klasy podstawówki.
Miodek sie uwa znalazl 😂
Generalnie akcja na medal – mamy problem, mamy szybką reakcję, mamy nową jakość i to za cenę niższą niż okup.
I jakbym miał się czepiać, to tego samouwielbienia. Ja wiem że jak robić modernizację to ad razu „oczko” wyżej i na lata, ale czy naprawdę gmina potrzebuje sprzętu klasy Cisco? Bo ransomware nie wkradł się przez routery i switche, tylko jakiś urzędnik kliknął w linka, a na to już nie ma rady :-) Szkoda że kasa nie poszła na dodatkowe szkolenia a największy profit miały firmy – bo nie ma to jak faktura za pracę na cito i w warunkach bojowych :-)
Podsumowanie tego artykułu:
Nic nie rób, na nic nie wydawaj. Jak cię zaszyfrują to rzuci się masa firm, których specjaliści chętnie i po godzinach ci pomogą za darmo. Aha. I nie rób przypadkiem przetargów na np. macierze. Jak cię zaszyfrują to dostaniesz preferencyjne warunki.
Zawsze trzeba miec dobre uzasadnienie wydatkow. Jak co dziala to po co kupowac nowe?