Istotne zakłócenia w funkcjonowaniu Służby Publicznej Walonii (Service Public de Wallonie, SPW) utrzymują się już piąty dzień po wykryciu poważnego włamania do infrastruktury informatycznej tej instytucji. Atak spowodował konieczność izolacji systemów, co nadal wpływa na dostępność wielu kluczowych usług dla mieszkańców regionu.
Stan obecny i wpływ na usługi
Władze SPW opublikowały komunikat prasowy, w którym informują o finalizacji planu zapewnienia ciągłości usług dla użytkowników. Zgodnie z przekazanymi informacjami, instytucja jest w stanie realizować swoje podstawowe zadania związane z drogami, drogami wodnymi, zaporami i lotniskami. Działają również systemy płatności faktur i pobierania należności.
Funkcjonują prawidłowo również takie usługi jak:
- służby Departamentu Natury i Lasów (DNF)
- policja środowiskowa
- usługi pierwszego kontaktu
- punkty obsługi obywateli
Inne usługi działają z ograniczeniami, choć nie są całkowicie sparaliżowane:
- wydawanie pozwoleń na budowę i ochronę środowiska
- zarządzanie dotacjami europejskimi
Najbardziej dotknięte zakłóceniami są:
- platforma MonEspace, która uniemożliwia składanie wniosków o premie lub plany płatności podatków
- wszystkie premie mieszkaniowe
- PAC on Web (elektroniczny system pomocy dla rolników)
Strategia odzyskiwania i ekspertyza
SPW współpracuje zarówno z Microsoftem, jak i z Centrum Cyberbezpieczeństwa Belgii (CCB), co ma pozwolić na szybsze opracowanie harmonogramu przywrócenia usług informatycznych.
Laurie-Anne Bourdain, wiceprezes komitetu zarządzającego ISC2 (amerykańskiej organizacji specjalizującej się w certyfikacji w dziedzinie cyberbezpieczeństwa), komentuje sytuację i udziela wyjaśnień dotyczących procedur stosowanych w takich przypadkach.
Dlaczego konieczne było odłączenie usług?
Według ekspertki, musiało dojść co najmniej do rozpoczęcia włamania, które wymagało tego odłączenia. „To działanie pozwala przede wszystkim na przerwanie połączenia, które haker może mieć z centrum dowodzenia oraz zapobiega kontynuowaniu lub rozpoczęciu wycieku danych. Ta faza izolacji jest absolutnie niezbędna. To była słuszna decyzja” – wyjaśnia Bourdain.
Pozytywnym aspektem jest to, że SPW pracuje już nad stworzeniem nowego, bezpiecznego środowiska, co sugeruje, że szkody nie są zbyt rozległe. Nie ma również informacji o wycieku danych obywateli, co jest istotne, ponieważ takie dane są bardzo poszukiwane i sprzedawane na czarnym rynku.
Jak wykrywa się ataki informatyczne?
Zespół ds. bezpieczeństwa każdej instytucji odgrywa kluczową rolę w wykrywaniu ataków. Istnieją systemy pozwalające na wykrywanie anomalii w zachowaniu, takich jak dziwne działania na kontach użytkowników czy nietypowe transfery danych. Anomalie te mogą być analizowane automatycznie lub przez człowieka. Czasami sam napastnik ujawnia swoją obecność, zazwyczaj by się pochwalić.
Cele ataku bez żądania okupu
Według SPW, na obecnym etapie nie pojawiło się żadne żądanie okupu. Bourdain sugeruje, że mogła to być próba destabilizacji politycznej lub sytuacja, w której haker został wykryty przed pełnym rozwinięciem ataku. „Myślę, że może to być atak typu 'kopanie i ukrywanie się’. Ten rodzaj ataku pozwala hakerowi na poznanie sieci i zainstalowanie się, aby później przeprowadzić poważniejszy atak. To nie jest niezwykłe. Statystyki pokazują, że między momentem ataku a jego wykryciem może minąć nawet rok” – tłumaczy ekspertka.
Wnioski na przyszłość
Czy tego typu incydenty powinny skłonić nas do przemyślenia naszych infrastruktur informatycznych? Bourdain wskazuje, że istnieją systemy duplikowane w czasie rzeczywistym, ale są one bardzo kosztowne. Takie rozwiązania stosuje się w niektórych sektorach, np. w bankowości, gdzie wpływ awarii na klientów i firmę byłby zbyt duży.
Ekspertka zwraca uwagę, że atak nastąpił tuż przed długim weekendem, co jest dość typowe. Piątek jest zazwyczaj dniem, w którym odnotowuje się najwięcej ataków. Przywrócenie usług informatycznych wymaga czasu, co jest normalne, choć uciążliwe dla użytkowników.
Na przyszłość konieczne jest zapewnienie, aby zabezpieczenie usług cyfrowych było zgodne z zaleceniami i wymogami rządowymi oraz europejskimi. Ważne jest również ciągłe szkolenie personelu. Utrzymywanie procedur manualnych, które mogą zastąpić procedury cyfrowe, jest również istotne przy cyfryzacji usług.
