Przejdź do treści
Strona główna » Blog » Ransomware w urzędzie gminy

Ransomware w urzędzie gminy

Ransomware może spowodować sporo kłopotów, nie tylko w urzędzie gminy. Atak ten może się też wiązać z naruszeniem ochrony danych osobowych i reakcją Prezesa UODO. Tak było w przypadku jednej z gmin, która stała się celem takiego ataku. W wyniku ransomware i okoliczności towarzyszących tej sytuacji, Prezes UODO ukarał wójta gminy karą finansową w wysokości 30.000 zł. Z tego wpisu dowiesz się, na co dokładnie zwrócił uwagę polski organ nadzorczy.

Czym jest ransomware?

Ransomware to rodzaj ataku, polegający na zaszyfrowaniu danych. Najczęściej jest połączony z żądaniem okupu za odszyfrowanie tych danych. Zapewnienie ciągłości działań w przypadku ransomware jest tworzenie kopii zapasowych, które umożliwiają szybkie odtworzenie zaszyfrowanych danych. Za chwilę do tego wrócimy.

Nieaktualne oprogramowanie

Prezes UODO stwierdził w wyniku postępowania, że jedną z przyczyn zdarzenia było nieaktualne oprogramowanie zainstalowane na serwerze. Bieżące aktualizowanie systemów jest jednym z najistotniejszych elementów zapewnienia bezpieczeństwa, bez niego systemy mogą zawierać podatności, które stanowią furtkę dla takich ataków. Należy jednak zaznaczyć, że aktualizacje same w sobie również mogą zawierać podatności. Może więc zaistnieć sytuacja, w której – po wyważeniu ryzyka – lepszym rozwiązaniem jest pozostanie w dotychczasowej wersji i zaktualizowanie jej po załataniu nieprawidłowości przez producenta.

Skuteczne kopie zapasowe

W sprawie pojawiły się także problemy z kopiami zapasowymi. Wprawdzie były one wykonywane, jednak – jak zaznaczył Prezes UODO w decyzji – nie tak często, jak zakładały to procedury. Serwer, na którym były tworzone backup’y uległ też awarii, co skutecznie uniemożliwiło odzyskanie zaszyfrowanych danych. Skutkowało to koniecznością ich odtworzenia z dokumentacji papierowej.

Należy pamiętać, że samo tworzenie kopii zapasowych nie wystarczy. Konieczne jest także testowanie możliwości ich skutecznego przywrócenia. Może się bowiem okazać, że utworzone kopie są całkowicie nieprzydatne, o czym dowiedzielibyśmy się, gdyby były sprawdzane.

Regularne testowanie środków technicznych

Wreszcie Prezes UODO zwraca uwagę na konieczność testowania środków technicznych. Prawidłowo przeprowadzona analiza ryzyka pozwala na zidentyfikowanie zagrożeń, ocenę prawdopodobieństwa i skutków ich wystąpienia oraz zaproponowanie środków ograniczających ryzyko. Smutną prawdą jest natomiast, że nawet najlepiej dobrane zabezpieczenia mogą stracić swoją użyteczność lub po prostu nie zadziałać.

Z tego powodu środki te należy testować, mierzyć i oceniać w celu weryfikacji ich skuteczności. Wbrew opiniom wielu administratorów, analiza ryzyka nie jest czynnością jednorazową. To ciągły proces, który wymaga dostosowywania rozwiązań do zmieniającego się dynamicznie świata.

Zgodnie ze stanowiskiem, które wyraził Prezes UODO w decyzji, tego testowania w sprawie zabrakło.

Jaką lekcję możesz z tego wyciągnąć?

Analizuj ryzyko. Niech to nie będzie jednorazowa ocena, a stały proces, w wyniku którego będziesz dopasowywać odpowiednie środki zabezpieczeń. Kiedy już je wdrożysz, koniecznie testuj ich skuteczność, a jeżeli nie działają, zastąp je.

Pamiętaj o bieżących aktualizacjach. Chodzi o system operacyjny, wykorzystywane aplikacje czy oprogramowanie antywirusowe. W przypadku tego ostatniego wystarczy, że nie zaktualizujesz bazy wirusów, a ten trafi akurat na Ciebie. Każda aplikacja może zawierać w sobie podatności, a Twoim zadaniem jako administratora danych jest dbanie o to, aby te luki były jak najszybciej łatane.

Wykonuj kopie zapasowe danych. Pomogą Ci one w zapewnieniu ciągłości działania Twojej organizacji nie tylko w przypadku ransomware, ale też w innych przypadkach, np. awarii serwera. Bardzo istotne jest, aby kopie były możliwe do odtworzenia, dlatego zaplanuj okresowe testy skuteczności przywrócenia backup’ów.

✅Link do decyzji👉https://www.uodo.gov.pl/decyzje/DKN.5131.56.2022

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *