• admin@kibc
• 25 marca 2026
• Brak komentarzy

Pełnomocnik Rządu do Spraw Cyberbezpieczeństwa oraz minister Cyfryzacji Krzysztof Gawkowski wydał zalecenia dla podmiotów Krajowego Systemu Cyberbezpieczeństwa. Wytyczne powstały w odpowiedzi na intensyfikację działań grup hakerskich, które w ostatnim czasie obrały za cel przede wszystkim sektor ochrony zdrowia. Publikacja ma na celu dostarczenie podmiotom KSC konkretnych narzędzi i instrukcji, które pozwolą wykryć obecność intruza w sieci oraz zapobiec kradzieży danych lub ich zaszyfrowaniu w wyniku ataku typu ransomware. Materiał jest owocem współpracy Ministerstwa Cyfryzacji z kluczowymi zespołami reagowania: CSIRT CeZ, CSIRT NASK oraz CSIRT GOV.

Ochrona brzegu sieci i bezpieczny dostęp zdalny

W obszarze ochrony styków sieci z internetem, Pełnomocnik kładzie nacisk na absolutną konieczność aktualizacji oprogramowania układowego (firmware) firewalli. W praktyce oznacza to, że każde urządzenie chroniące sieć musi posiadać najnowsze poprawki bezpieczeństwa, ponieważ hakerzy często wykorzystują luki w starszych wersjach systemów, by ominąć zabezpieczenia. Dostęp administracyjny do tych urządzeń powinien być możliwy wyłącznie z wydzielonej, odseparowanej sieci zarządzającej, co uniemożliwia przejęcie kontroli nad infrastrukturą z poziomu zwykłej stacji roboczej.

Kluczowym zaleceniem jest całkowita eliminacja protokołu RDP (Remote Desktop Protocol) dostępnego bezpośrednio z internetu. RDP to popularne narzędzie do pracy zdalnej, które bez odpowiedniej ochrony jest bardzo podatne na ataki typu „brute force” (odgadywanie haseł). Zamiast tego, każdy dostęp zdalny musi odbywać się przez szyfrowany tunel VPN. Dodatkowo, Pełnomocnik wymaga wdrożenia uwierzytelniania wieloskładnikowego (MFA). W praktyce oznacza to, że samo hasło nie wystarczy – użytkownik musi potwierdzić logowanie np. kodem z aplikacji w telefonie. Kolejnym elementem jest „Geo-blocking”, czyli techniczne zablokowanie ruchu sieciowego pochodzącego z krajów spoza Europy lub Polski, co znacząco zawęża pole działania dla grup hakerskich operujących z odległych regionów świata.

Zarządzanie tożsamością i ochrona Active Directory

Większość organizacji opiera swoją strukturę o usługę Active Directory (AD). Zalecenia wskazują na konieczność wprowadzenia bezwzględnego zakazu logowania się kontami z uprawnieniami Administratora Domeny na zwykłych stacjach roboczych. W praktyce chroni to przed tzw. kradzieżą tokenów – jeśli haker przejmie kontrolę nad komputerem pracownika, na którym wcześniej zalogował się administrator, może przejąć jego uprawnienia i opanować całą sieć.

Ministerstwo rekomenduje również wdrożenie systemów klasy PAM (Privileged Access Management). Są to narzędzia, które izolują sesje administratorów i pozwalają na automatyczne zarządzanie ich dostępem bez konieczności ręcznego sprawdzania każdego ruchu. Ważnym aspektem jest też higiena haseł: dla kont kluczowych powinny one mieć od 16 do 20 znaków. Tak długie hasła są praktycznie niemożliwe do złamania metodami siłowymi w rozsądnym czasie. Dodatkowo, zaleca się monitorowanie pliku „NTDS.dit”, który jest sercem bazy danych AD; każda nieautoryzowana próba dostępu do niego powinna natychmiast wyzwolić alarm w systemie monitoringu.

Prewencja na punktach końcowych i monitoring

W dokumencie podkreślono, że krytycznym błędem prowadzącym do udanych ataków jest ignorowanie alertów z programów antywirusowych (AV/EDR). Zalecenie codziennego przeglądu logów pod kątem wykrycia złośliwego oprogramowania (malware) ma na celu wyłapanie infekcji w jej wczesnej fazie, zanim haker zacznie szyfrować pliki. Nowoczesne podejście zakłada przejście na rozwiązania klasy EDR/XDR, które w przeciwieństwie do tradycyjnych antywirusów, nie szukają tylko znanych wirusów, ale analizują podejrzane zachowania procesów w czasie rzeczywistym.

Równolegle, organizacje powinny wdrażać centralizację logów. W praktyce polega to na przesyłaniu informacji o wszystkich zdarzeniach w sieci do jednego, bezpiecznego „kolektora”, gdzie logi są przechowywane przez minimum rok. Pozwala to na przeprowadzenie skutecznej analizy śledczej (forensics) nawet wiele miesięcy po wystąpieniu incydentu.

Strategia bezpiecznych kopii zapasowych

System tworzenia kopii zapasowych jest ostatnią linią obrony przed ransomware. Pełnomocnik wskazuje, że system ten nie może pracować na poświadczeniach domenowych. Oznacza to, że jeśli haker przejmie kontrolę nad siecią (domeną), nie powinien mieć automatycznego dostępu do serwera backupu. Najważniejszym technicznie zaleceniem jest wdrożenie trybu WORM (Write Once, Read Many). Jest to mechanizm, który sprawia, że raz zapisanych danych nie da się zmodyfikować ani usunąć przez określony czas, nawet jeśli ktoś posiada uprawnienia administratora. Dzięki temu kopie zapasowe pozostają bezpieczne, nawet gdy cała reszta infrastruktury zostanie zaszyfrowana.

Wykrywanie eksfiltracji danych

Na koniec dokument zwraca uwagę na monitorowanie narzędzi takich jak „rclone” czy „WinSCP”. Choć są to legalne programy do przesyłania plików, ich nagłe pojawienie się na serwerach lub stacjach roboczych często świadczy o tym, że haker przygotowuje się do kradzieży (eksfiltracji) danych z organizacji. Szybka reakcja na obecność tych narzędzi może zapobiec wyciekowi wrażliwych informacji do internetu.

Z pełną treścią komunikatu można zapoznać się pod poniższym linkiem:
Komunikat Pełnomocnika Rządu ds. Cyberbezpieczeństwa – czytaj