Październik 2015 roku. Strona internetowa Biuletynu Informacji Publicznej w Brzegu zostaje podmieniona na witrynę z szyderczym stwierdzeniem "let's put a smile on that face". Hakerzy podpisują się jako "Silent Cybers". Miesiąc wcześniej jeden z wrześniowych poranków zaczyna się od zmasowanego ataku na internetowe BIP-y kilkunastu gmin i powiatów z okolic Olsztyna. A jeszcze w sierpniu przejęta zostaje strona urzędu miasta Toruń, i to tuż przed oficjalnym startem Elektronicznej Platformy Usług Administracji Publicznej.
Atak hakerski może się skończyć podmianą witryny, ale konsekwencje mogą być również znacznie poważniejsze. Przed kilkoma dniami prokuratura zakończyła kilkumiesięczne śledztwo w sprawie cyberoszustw, przez które pięć śląskich gmin straciło w sumie ponad 2 miliony złotych. Hakerzy stworzyli specjalny program podmieniający numer rachunku, na który samorządy wysyłały przelewy. Wysłane pieniądze, zamiast docierać do adresata, przepadały jak kamień w wodę.
Ta historia nie jest wyjątkiem. Samorządy regularnie stają się celem e-ataków. Mimo tego co trzeci urząd samorządowy nie ma na wyposażeniu nawet podstawowego zabezpieczenia przed cyberatakami, jakim jest firewall. Jeśli urzędnicy już sięgają po jakieś oprogramowanie tego rodzaju, to jest to zwyczajny antyspam. Takie wyniki przynosi badanie przeprowadzone przez PBS na zlecenie firmy Fortinet na 200 urzędnikach odpowiedzialnych za informatykę w mniejszych i większych urzędach samorządowych. Oficjalnie oczywiście zapewniają oni, że jest u nich bezpiecznie (tak twierdzi aż dwie trzecie z nich), ale już odpowiedź na pytanie o to, jak o to bezpieczeństwo urząd zadbał, niestety pokazuje smutną prawdę: lokalne urzędy na swoim cyberbezpieczeństwie niebezpiecznie oszczędzają.
- A braki w systemie bezpieczeństwa lub niezachowywanie jego aktualności są skrzętnie wykorzystywane przez cyberprzestępców - mówi Mariusz Rzepka, dyrektor na Polskę, Białoruś i Ukrainę w firmie Fortinet, która dostarcza narzędzia do tworzenia cyberzabezpieczeń, i wspomina Urząd Miejski Jaworzna, który w wyniku ataku z podmianą numerów kont stracił niemal milion złotych. - Znane są też przypadki paraliżowania działania czy podmieniania treści samorządowych stron internetowych, co miało miejsce m. in. w Płocku oraz Toruniu - dodaje Rzepka.
Dlaczego więc urzędy nie inwestują w cyberbezpieczeństwo? Dla blisko dwóch trzecich przepytanych urzędników wytłumaczeniem są pieniądze a konkretnie ich brak. Jednak Mirosław Maj z Fundacji Bezpieczna Cyberprzestrzeń wskazuje również na inne powody. - Podstawowy problem to wciąż niska świadomość tych zagrożeń. W samorządach naprawdę potrzebna jest praca u podstaw, w tych najmniejszych urzędach gminnych przecież często zatrudniany bywa tylko jeden informatyk zajmujący się wszystkim od spraw gwarancyjnych, sprzętowych, poprzez e-administrację, na dbaniu o bezpieczeństwo sieciowe kończąc. Moim zdaniem to błąd, powinni być specjalni pracownicy odpowiedzialni tylko za aspekty bezpieczeństwa - tłumaczy w rozmowie z dziennik.pl Maj i dodaje: Ale nie ma co liczyć na to, że samorządy, szczególnie te mniejsze, same wypracują takie rozwiązania. Nie chodzi o to, by narzucać szczegółowe metody, ale jednak podstawowe wytyczne powinny być opracowane odgórnie dla całego samorządu. Dzięki temu i większe, i mniejsze urzędy wiedziałyby, jakie mają obowiązki, jakie rozwiązania wdrażać - tłumaczy nam ekspert i dodaje, że w jego ocenie ewidentnie za opracowanie takich zasad powinno być odpowiedzialne Ministerstwo Cyfryzacji.