Gmina Kościerzyna odszyfrowana. Urząd wrócił do pracy
Gmina Kościerzyna dzięki pracy CERT Polska oraz podmiotu prywatnego wróciła do normalnej pracy. Komputery urzędu zostały odszyfrowane po zaatakowaniu ich przez oprogramowanie ransomware.
Gmina Kościerzyna przez kilkanaście dni funkcjonowała bez dostępu do komputerów. Ich dyski zostały zaszyfrowane w celu wymuszenia okupu, w rezultacie Urząd Gminy Kościerzyna nie był w stanie realizować wielu działań, a wszelkie prace były prowadzone powoli i ręcznie.
Do pomocy z odszyfrowaniem dysków i powrotem do normalnej pracy wezwany został zespół CERT Polska. Grupa odpowiedzialna za cyberbezpieczeństwo w naszym kraju poinformowała samorządowców, że nie ma jeszcze dostępnych narzędzi wyspecjalizowanych w neutralizowaniu danego ransomware.
Przemysław Jaroszewski, kierownik CERT Polska w NASK, podsumował działania zespołu w walce o przywrócenie zdolności urzędu do realizowania swoich działań, mimo że wykraczało to poza ustawowe obowiązki organizacji.
Mimo, że skutki incydentu ograniczone były do jednego podmiotu i nie wymagały koordynacji w ramach Krajowego Systemu Cyberbezpieczeństwa, podjęliśmy działania wykraczające poza obowiązki ustawowe, polegające na próbie stworzenia narzędzia do odzyskania zaszyfrowanych danych. Gmina zaangażowała do pomocy także podmioty prywatne. Utrzymywaliśmy stały kontakt z osobami pracującymi przy incydencie i mimo pewnych utrudnień, udało się odzyskać dane i odblokować systemy – narzędzia stworzyli równolegle eksperci z CERT Polska oraz jednej z firm prywatnych. Bardzo doceniamy gotowość do współpracy ze strony urzędu oraz bezinteresowne wsparcie podmiotów zaangażowanych przez gminę.
Gmina Kościerzyna uwolniła się od ransomware
Gmina Kościerzyna mogła więc odetchnąć z ulgą. Specjaliści odblokowali komputery urzędu, co pozwoliło na powrót do normalnego funkcjonowania i obsługi mieszkańców.
CERT Polska podkreśla, że wydarzenie było okazją do sprawdzenia, jak w praktyce działa system reagowania w przypadku cyberataków na Jednostki Samorządów Terytorialnych.
Incydent w gminie Kościerzyna to ważny test dla działania współtworzonego przez nas Krajowego Systemu Cyberbezpieczeństwo na poziomie samorządowym. Pokazał nam miejsca, które wymagają korekty po naszej stronie i przypomniał, jak ważne jest odpowiednie zabezpieczenie urzędów. CERT Polska w NASK, współtworząc CSIRT, zawsze odpowiada na zgłoszone zapotrzebowanie gmin, podejmując działania, wykraczające poza obowiązki ustawowe. Każdy przypadek wymaga jednak oddzielnej analizy i dostosowania narzędzi oraz sposobu reakcji. Dlatego kluczowe jest współdziałanie po stronie pracowników urzędu. Zachęcamy jednocześnie gminy do systematycznej oceny własnych zasobów IT, do aktualizacji systemów i odpowiedniego zarządzania ryzykiem, w tym edukowania pracowników urzędów w zakresie cyberbezpieczeństwa i cyberhigieny.
Gmina Kościerzyna służyć będzie w najbliższych latach jako podwójny przykład. Po pierwsze, inne Jednostki Samorządu Terytorialnego będą uczone na przykładach, jakich błędów unikać, żeby nie paść ofiarą ataku. Po drugie zaś, CERT Polska będzie tłumaczyć, jak współpracować ze specjalistami, żeby jak najszybciej zażegnać niebezpieczeństwo.
Obecnie systemy komputerowe Gminy Kościerzyna są zabezpieczane najwyższej klasy urządzeniami, które zapobiegną podobnym atakom hakerskim w przyszłości. Prowadzone jest postępowanie prokuratorskie zmierzające do ustalenia sprawców przestępstwa. O incydencie został też poinformowany Urząd Ochrony Danych Osobowych.
Jak zdradziła gmina Kościerzyna, komputery urzędu zaatakował ransomware znany jako Trojan.Win32.Schoolboy.gen.