Incydent cyberbezpieczeństwa na Mazowszu

Potwierdziły się wczorajsze informacje na temat incydentu cyberbezpieczeństwa w gminach, miastach i powiatach na terenie województwa mazowieckiego. Na stronie Urzędu Marszałkowskiego pojawiła się właśnie oficjalna informacja w tej sprawie. Celem ataku złośliwego oprogramowania szyfrującego padła część infrastruktury projektowej, z której korzystają samorządy.

Na chwilę obecną nie potwierdzono pozyskania danych osobowych przez osoby trzecie. Trwają działania mające na celu ustalenie pozostałych okoliczności zdarzenia – czytamy na stronie mazovia.pl.

Jednocześnie Urząd podjął czynności w celu jak najszybszego odzyskania danych z kopii zapasowych. Informacje na temat incydentu samorządy otrzymały wczoraj w korespondencji mailowej. Jak wynika z nieoficjalnych danych, atak polegał na zaszyfrowaniu serwerów i skutkuje brakiem dostępu do systemów informatycznych wdrażanych w projektach oraz serwerów FTP. Urząd zarekomendował, aby samorządy wyłączyły serwery fizyczne z trzech projektów systemu poddanemu atakowi w celu zapobiegania eskalacji zdarzenia. Są to: „Rozwój elektronicznej administracji w samorządach województwa mazowieckiego wspomagającej niwelowanie dwudzielności potencjału województwa” (Projekt EA), „Przyspieszenie wzrostu konkurencyjności województwa mazowieckiego, przez budowanie społeczeństwa informacyjnego i gospodarki opartej na wiedzy poprzez stworzenie zintegrowanych baz wiedzy o Mazowszu” (Projekt BW) oraz „Regionalne partnerstwo samorządów Mazowsza dla aktywizacji społeczeństwa informacyjnego w zakresie e-administracji i geoinformacji” (Projekt ASI) oraz odłączenie zasilania na urządzeniu UTM.
Co ten atak oznacza w praktyce?

Celem ataku padł ważny z punktu widzenia mieszkańców system obiegu dokumentacji EZD (Elektroniczne Zarządzanie Dokumentacją). Mowa o wnioskach, pismach, wszystkich toczących się sprawach pomiędzy urzędem, a mieszkańcami. Jeśli zatem dana gmina, powiat czy miasto korzystało z systemu EZD wnioskodawcy mogą liczyć się z opóźnieniami w załatwieniu swoich spraw. Atak na EZD oznacza bowiem w praktyce brak dostępności usługi. Na dzień dzisiejszy nie wiadomo jak długo potrwa proces przywracania działania najistotniejszego z punktu widzenia petentów systemu.
Co dalej?

Urząd Marszałkowski zgłosił już zdarzenie do CSIRT NASK zgodnie z przepisami ustawy o Krajowym Systemie Cyberbezpieczeństwa. Z racji, iż każde przerwanie świadczenia usług traktowane jest jako incydent w podmiocie publicznym oraz ze względu na fakt, iż samorządy są administratorami danych osobowych również na nich spoczywa obowiązek zgłoszenia incydentu do CSIRT NASK, jeśli potwierdzą zaatakowanie również ich serwerów.

Wiadomo, że z infrastruktury projektowej objętej atakiem korzysta na co dzień ponad 200 samorządów z Mazowsza. Ile z nich padło ofiarą ransomware dowiemy się zapewne w ciągu kilku najbliższych dni, jeśli nie godzin.