Wiosną zeszłego roku doszło do cyberataku na systemy informatyczne Urzędu Gminy Aleksandrów, wskutek którego zaszyfrowano bazy danych, z których korzystał również Gminny Ośrodek Pomocy Społecznej. Był to tydzień poprzedzający Wielkanoc, kiedy część mieszkańców gminy z niecierpliwością czekała na wypłatę pensji oraz innych świadczeń, które m.in. miały pozwolić im na zorganizowanie Świąt. Cyberprzestępcy zażądali okupu, jednak gmina nie zamierzała im ulegać. W jaki sposób udało się przywrócić działanie kluczowej infrastruktury IT i jakie wnioski z tej sytuacji mogą wyciągnąć przedstawiciele innych samorządów?
Aleksandrów to gmina wiejska w województwie lubelskim, wyróżniona w „Rankingu Samorządów”. Jest ona najmniejszą i najmłodszą gminą, której mieszkańcy, mimo swojej zaradności, nie posiadają wysokich dochodów. W wielu przypadkach to świadczenia socjalne są dla nich podstawowym źródłem utrzymania. Atak na zasoby informatyczne gminy sparaliżował również pracę Gminnego Ośrodka Pomocy Społecznej i mógł uniemożliwić wypłatę świadczeń w terminie, co – mając na uwadze zbliżające się Święta Wielkanocne – dodatkowo komplikowało sytuację.
Cyberatak i co dalej
Władze gminy zaalarmowała jedna z urzędniczek, która miała problemy z dostaniem się do zasobów z poziomu swojego komputera. Zwróciła się do informatyka, który z kolei zdiagnozował problem – atak ransomware, a następnie zgłosił sprawę wójtowi. Ten skontaktował się z miejscową policją, powiadomił właściwe instytucje, a następnie poszukiwał pomocy wśród innych samorządowców i specjalistów z obszaru technologii.
Sprawcy zażądali okupu za odszyfrowanie danych, jednak władze gminy Aleksandrów nie rozważały takiej możliwości.
„To są pieniądze mieszkańców gminy, którymi nie mogę w ten sposób rozporządzać” – mówi Józef Biały, wójt gminy Aleksandrów.
„Zaczęliśmy od znalezienia innej gminy, która zmagała się z podobnym problemem. Okazało się, że Kościerzyna w województwie pomorskim padła ofiarą cyberataku w przeszłości. Jej przedstawiciele przekazali nam kontakt do zespołu, który pomógł przywrócić ciągłość działania w Kościerzynie, zajmującego się właśnie atakami hakerskimi. Koordynator z firmy VS DATA z Gdyni był u nas już następnego dnia” – dodaje wójt.
Zespół Szybkiego Reagowania (RR) działający przy VS DATA zarekomendował szereg działań obejmujących zarówno komputery pracowników, jak i serwerownię oraz sieć. Zabezpieczono dowody i ślady przestępstwa, następnie wyczyszczono urządzenia ze złośliwego oprogramowania, przeniesiono dane na nowo skonfigurowano systemy i rozpoczęto proces przywracania najważniejszych baz danych – świadczeń społecznych. Dzięki sprawnej współpracy przywrócono działanie infrastruktury IT gminy w ciągu zaledwie trzech dni i w terminie wypłacono bardzo ważne dla mieszkańców świadczenia.
Zamiast płacić okup, lepiej zapłacić za unowocześnienie IT
W przywróceniu działania infrastruktury gminy Aleksandrów ważną rolę odegrali partnerzy, którzy nie tylko udostępnili niezbędny sprzęt na początkowym etapie prac, ale również zapewnili wsparcie specjalistów, którzy niejednokrotnie po godzinach pracy pomagali w odtworzeniu infrastruktury i danych. Jednym z nich był Tomasz Kułakowski, DC Technical Solutions Architect w firmie Cisco, który odpowiadał za przygotowanie nowych serwerów, przełączników i zapory dla gminy Aleksandrów.
Przegląd infrastruktury wykazał, że część komputerów wykorzystywanych w urzędzie należy wymienić na nowe, podobnie jak serwery znajdujące się w centrum danych. Poza firmą VS DATA, w przywrócenie działania infrastruktury IT gminy były aktywnie zaangażowane firmy Sygnity, Vmware, Veeam, Integrated Solutions, Microsoft oraz Cisco.
„Firma Cisco zaoferowała sprzęt. Następnie, Integrated Solutions zaproponowało preferencyjne ceny za produkty, dzięki czemu mogliśmy unowocześnić naszą infrastrukturę IT. Przeznaczyliśmy na ten cel pieniądze, które musielibyśmy zapłacić w formie okupu przestępcom. W mojej ocenie jest to właściwa droga. Nie należy zasilać budżetów cyberprzestępców ze środków publicznych. Zamiast tego, należy proaktywnie zabezpieczyć się przed podobnymi atakami w przyszłości, odpowiednio inwestując w rozwiązania umożliwiające ochronę” – przyznaje Józef Biały, wójt gminy Aleksandrów.
Jak samorządy mogą uchronić się przed cyberatakami
Skutki cyberataku na gminę Aleksandrów były dotkliwe. Jednak jak podkreślają eksperci z firmy Cisco, istniało wiele znacznie gorszych scenariuszy, które na szczęście się nie ziściły.
„Wskutek ataku urzędnicy stracili dostęp do zasobów. Na szczęście żadne dane nie zostały wykradzione. Należy pochwalić postawę osób, które jako pierwsze zwróciły uwagę, że coś jest nie tak. Cyberatak nastąpił pod koniec miesiąca, kiedy wypłacane są pensje urzędników i świadczenia dla mieszkańców. Wyobraźmy sobie, że w efekcie działania złośliwego oprogramowania zostają podmienione numery kont i pieniądze otrzymują cyberprzestępcy. Oznaczałoby to ogromne straty dla samorządu, ale przede wszystkim problemy dla mieszkańców” – tłumaczy Tomasz Kułakowski, architekt rozwiązań Data Center w Cisco Polska.
Reakcja gminy Aleksandrów stanowi przykład dla innych samorządów, jak należy postępować w przypadku cyberataku. Zdaniem ekspertów Cisco najważniejsze jest budowanie świadomości cyberzagrożeń, zarówno wśród decydentów, jak i urzędników. Z kolei wójt Aleksandrowa zwraca uwagę na ogromną rolę chmury, która umożliwia bezpieczne przechowywanie danych oraz tworzenie kopii zapasowych w innych lokalizacjach. Podkreśla również potrzebę inwestycji w rozwiązania najwyższej klasy, takie jak oferuje Cisco. W jego opinii, w obszarze cyberbezpieczeństwa nie można zadowalać się półśrodkami.
„Samorządy nie powinny obawiać się technologii cloud computing. Obecnie poszukujemy partnera, sąsiednią gminę, której infrastrukturę moglibyśmy wykorzystać jako ośrodek zapasowy. Odwdzięczymy się tym samym, dzięki czemu obie strony zwiększą poziom bezpieczeństwa, nie tylko na wypadek cyberataku, ale również pożaru czy zalania” – podsumowuje Józef Biały.