Jednostki samorządu terytorialnego powinny prowadzić szkolenia oraz testy z zakresu bezpieczeństwa informacji. Kontrolowane ataki phishingowe, a także sprecyzowanie zadań i obowiązków pracowników to ważne elementy ochrony przed cyberzagrożeniami.
Jednostki samorządu terytorialnego i ich organy są zobowiązane do stosowania zapisów ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (tekst jedn. DzU z 2023 r., poz. 57 ze zm.) oraz ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (tekst jedn. DzU z 2023 r., poz. 913 ze zm.). Z dokumentów tych wynika konieczność szkolenia pracowników, stosowania środków zapewniających ochronę, a także przeprowadzania testów badających poziom bezpieczeństwa informacji i konsekwencje naruszenia odpowiednich zasad (w tym odpowiedzialności prawnej). Nawet przyjmując, że wymienione obowiązki są odpowiednio realizowane, nie weryfikuje się ich skuteczności, ponieważ urzędy nie mają obowiązku wykonywania testów ewaluacyjnych. Z pomocą przychodzą kontrolowane testy phisingowe przeprowadzane na pracownikach.
Testy phishingowe
Przed rokiem Agencja Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) określiła 10 kierunków rozwoju zagrożeń cybernetycznych w perspektywie obecnej dekady. Na czwartej pozycji znalazły się błędy popełniane przez ludzi oraz używanie przestarzałych systemów. W 2022 r. przestępcy powszechnie wykorzystywali skrzynki pocztowe jako wektor ataku, m.in. przy zastosowaniu phishingu i spoofingu (podszycie się pod nadawcę wiadomości, do którego dochodzi w konsekwencji błędnej konfiguracji rekordów DNS SPF i DMARC lub ich braku).
W dobie dynamicznego rozwoju cyfrowego i nasilających się zagrożeń związanych z bezpieczeństwem informacji kontrolowany atak phishingowy staje się nieodłącznym elementem strategii ochrony przed cyberzagrożeniami. Dzięki testom organizacja może odpowiednio wcześnie ocenić, jak dobrze przygotowani są jej pracownicy do rozpoznawania i unikania zagrożeń. To pozwala na identyfikację słabych stron oraz wdrożenie odpowiednich działań korygujących. Im lepiej przygotowany jest personel, tym mniejsze prawdopodobieństwo udanego ataku. Testy phishingowe pozwalają także kształcić pracowników w rozpoznawaniu potencjalnie niebezpiecznych e-maili. Pomagają im zrozumieć, jak cenne są dane organizacji i dlaczego należy je chronić. Tym samym prowadzenie regularnych testów phishingowych minimalizuje ryzyko wystąpienia rzeczywistych ataków, a jednocześnie buduje zaufanie klientów, ponieważ organizacja w widoczny sposób podejmuje działania mające na celu ochronę przetwarzanych informacji. Z racji tego, że wyniki testów dostarczają wskazówek na temat ewentualnych luk w politykach i procedurach bezpieczeństwa, jednostka może odpowiednio zmodyfikować swoje strategie oraz stosowane środki bezpieczeństwa.
Kontrolowany atak phishingowy w praktyce
Do przeprowadzenia testowego ataku phishingowego wykorzystuje się specjalnie w tym celu stworzone narzędzia. Programy do symulacji phishingu są skalowalne i umożliwiają precyzyjne budowanie scenariuszy. Dzięki temu testy można dostosować do różnych grup pracowników, uwzględniając ich kompetencje oraz dostęp do poufnych danych, a także szczegółowo analizować wyniki, co umożliwia identyfikację obszarów wymagających poprawy.
W internecie dostępnych jest wiele darmowych lub komercyjnych systemów do prowadzenia kampanii phishingowych, takich jak Phishing Frenzy, Phishing AI, Fortinet Fortfish. W poniższej prezentacji wykorzystałem darmowe, ale zapewniające wiele zaawansowanych funkcji oprogramowanie GoPhish. Celem taktycznym kampanii będzie sprawdzenie, czy pracownicy postępują wystarczająco ostrożnie z wiadomościami e-mail, które nakłaniają do aktualizacji haseł i wydają się pochodzić z działu IT. Scenariusz przykładowego, symulowanego ataku phishingowego zmierzającego do przejęcia danych dostępowych do skrzynek pocztowych został przedstawiony poniżej.
1. Przygotowanie kampanii
- Pobieramy narzędzie w formie pliku gophish-v0.12.1-windows-64bit.zip, instalujemy i uruchamiamy.
- Otwieramy stronę pod adresem 127.0.0.1:3333 i logujemy się do panelu zarządzania, używając loginu admin i hasła wygenerowanego w trakcie uruchamiania systemu (do odczytania w CMD).
- Tworzymy nową domenę łudząco podobną do testowanej np. nazwagminy.pl, enazwagminy.pl lub nazwagmina.nl.
- Ustalamy adres e-mail łudząco podobny do rzeczywistego adresu administratora testowanej organizacji np. it@enazwagminy.pl.
- Wprowadzamy nowy profil wysyłki, do którego wpisujemy adresata, adres i dane autoryzacyjne do serwera SMTP.
- Tworzymy fałszywą stronę logowania – identyczną lub bardzo podobną do rzeczywistej witryny naszej organizacji. Posłuży ona przechwyceniu danych logowania pracowników.
- Przygotowujemy fałszywego e-maila, który wydaje się pochodzić z działu IT naszej organizacji. E-mail powinien zawierać prośbę o natychmiastową zmianę hasła w związku z koniecznością zabezpieczenia konta z powodu upublicznienia aktualnych danych logowania w internecie. Podajemy procedurę z linkiem do panelu logowania, pod którym kryje się hiperłącze do naszego serwera w LAN.
- Konfigurujemy odpowiednie przekierowania portów na routerze.
- Określamy grupę docelową osób, które zostaną poddane testowi. Możemy wybrać pracowników z różnymi poziomami dostępu, aby ocenić adekwatność ich reakcji. Wprowadzamy także adresy e-mail.
2. Utworzenie nowej kampanii
- Wybieramy wcześniej przygotowany wzór wiadomości e-mail, fałszywą stronę internetową i datę, a następnie wysyłamy wiadomość do pracowników z naszej listy.
- Sprawdzamy, kto kliknął link w e-mailu i próbował podać dane logowania. W wiadomości można umieścić tzw. tracker, który poinformuje nas o każdym otworzeniu wiadomości.
3. Analiza wyników i edukacja
- Po zakończeniu kampanii (po 14 dniach) analizujemy wyniki, aby dowiedzieć się, ilu pracowników przeczytało wiadomość, a następnie zgłosiło zagrożenie lub zbagatelizowało wiadomość. Następnie sprawdzamy, którzy z nich kliknęli link i skutecznie podali dane logowania.
- Grupa użytkowników, którzy zbagatelizowali wiadomość, jest równie groźna jak ta, która podała pełne dane logowania. W przypadku rzeczywistej potrzeby zmiany hasła możemy przyjąć, że skrzynki pocztowe tych pracowników zostaną przejęte przez hakerów, ponieważ nie podejmą oni działań naprawczych. Dla osób, które podały swoje dane logowania lub kliknęły link, organizujemy dodatkowe szkolenia z zakresu bezpieczeństwa informacji, aby podnieść u nich świadomość zagrożeń i uniknąć podobnych incydentów w przyszłości.
- Tworzymy raport z kampanii, a wyniki przekazujemy kierownictwu oraz działowi bezpieczeństwa informacji w celu podjęcia odpowiednich kroków korygujących.
Powyższy scenariusz jest jedynie przykładem i powinien zostać dostosowany do konkretnych potrzeb oraz celów organizacji. Testowe kampanie phishingowe pozwalają na ocenę poziomu przygotowania pracowników, a także identyfikację obszarów wymagających poprawy w zakresie wiedzy oraz procedur dotyczących tego typu zagrożenia. Ważne jest, by kontrolowane ataki przeprowadzać z zachowaniem zasad etycznych i w pełnym porozumieniu z kierownictwem.
Zadania administratora
Ochrona przed atakami typu phishing jest niezwykle istotnym elementem strategii bezpieczeństwa informacji w każdej organizacji. Administratorzy sieci odgrywają newralgiczną rolę w tworzeniu i utrzymaniu środowiska, które minimalizuje ryzyko tego rodzaju ataków. Poniżej znajduje się wykaz obszarów, na które powinni zwrócić szczególną uwagę.
1. Filtracja e-maili
Jednym z pierwszych i najważniejszych kroków w zapobieganiu atakom phishingowym jest skuteczna filtracja e-maili. Administratorzy sieci powinni skonfigurować systemy filtracji w taki sposób, aby wykrywały i blokowały podejrzane wiadomości. To może obejmować następujące procedury:
- filtracja na podstawie reguł – konfiguracja reguł filtrowania e-maili przy uwzględnieniu charakterystycznych cech wiadomości phishingowych, takich jak podejrzane nagłówki, nadawcy z nieznanych źródeł i nieoczekiwane załączniki;
- wykorzystanie listy blokowanych adresów – aktualizowanie listy adresów e-mail, które są znane jako źródła phishingowych wiadomości powinno się odbywać w sposób zautomatyzowany.
2. Regularne aktualizacje
Administratorzy sieci powinni być odpowiedzialni za systematyczne aktualizacje oprogramowania i systemów operacyjnych w organizacji. Aktualizacje są istotne, ponieważ poprawiają bezpieczeństwo, eliminując znane luki i podatności, które mogłyby zostać wykorzystane przez
cyberprzestępców do przeprowadzania ataków. W tym kontekście ważne jest:
- zarządzanie podatnościami – monitorowanie bieżących informacji dotyczących podatności i dostosowywanie strategii w celu minimalizacji ryzyka ataków;
- prowadzenie testów penetracyjnych – regularne testy penetracyjne pomagają zidentyfikować potencjalne luki w zabezpieczeniach sieci i systemów.
3. Zabezpieczenie warstwy aplikacyjnej
Specjaliści IT powinni inwestować w rozwiązania ochrony warstwy aplikacyjnej, które mogą pomóc w blokowaniu ataków phishingowych jeszcze przed dostarczeniem ich do skrzynek odbiorczych pracowników. Należy uwzględnić:
- wykrywanie anomalii – wykorzystanie narzędzi, które mogą wskazywać podejrzane zachowania takie jak próby logowania lub aktywność sieciowa;
zastosowanie WAF-a – wdrożenie
- firewalla aplikacji internetowych umożliwia blokowanie ataków, w tym prób phishingu, na poziomie aplikacji internetowych.
4. Monitorowanie ruchu sieciowego
Skuteczne monitorowanie ruchu sieciowego jest kluczowym elementem zapobiegania atakom phishingowym. W związku z tym zaleca się:
- analizowanie logów – regularne analizy logów sieciowych i systemowych umożliwiają wykrycie podejrzanej aktywności;
- używanie narzędzi SIEM – wdrożenie narzędzi do zarządzania informacjami o zdarzeniach bezpieczeństwa daje możliwość identyfikacji niebezpieczeństw i zareagowania na nie w odpowiedni sposób.
5. Edukacja pracowników
Administratorzy sieci powinni współpracować z działami HR oraz bezpieczeństwa informacji organizacji w celu edukowania personelu. Obejmuje to:
- organizowanie regularnych szkoleń z zakresu bezpieczeństwa cyfrowego, podczas których pracownicy uczą się rozpoznawania ataków phishingowych i reagowania na nie;
- prowadzenie testów phishingowych – regularne testy na pracownikach pozwalają ocenić ich zdolność do rozpoznawania i unikania phishingowych wiadomości.
6. Reagowanie na incydenty
W przypadku podejrzenia ataku phishingowego administratorzy sieci powinni być przygotowani do szybkiego i skutecznego reagowania. Oznacza to:
- natychmiastowe izolowanie potencjalnego incydentu, a także analizowanie jego zakresu i wpływu;
- odbudowę – przywracanie usług oraz systemów po incydencie do normalnej pracy z uwzględnieniem niezbędnych modyfikacji w celu przygotowania na podobne ataki w przyszłości.
Zapobieganie atakom phishingowym wymaga wieloaspektowego podejścia i współpracy między różnymi działami organizacji, w tym administratora sieci. Odgrywa on kluczową rolę w tworzeniu oraz utrzymywaniu infrastruktury, która minimalizuje ryzyko ataków, ale równie istotna jest jego rola edukacyjna i gotowość do szybkiego reagowania w przypadku incydentów. W dzisiejszym świecie, w którym cyberprzestępczość stale ewoluuje, dbanie przez administratora o bezpieczeństwo informacji jest priorytetem dla każdej organizacji.
Pracownicy organizacji
Nawet najbardziej wyrafinowane systemy zabezpieczeń wdrażane przez specjalistów IT nie ochronią systemu teleinformatycznego przed błędami oraz brakiem wiedzy pracowników organizacji. Użytkownicy końcowi odgrywają kluczową rolę w zapobieganiu incydentom bezpieczeństwa informacji, dlatego warto szczegółowo omówić ich zadania i obowiązki w kontekście ochrony przed phishingiem. Poniżej znajduje się lista obszarów, na które należy zwrócić uwagę.
1. Edukacja i rozwijanie świadomości zagrożeń:
- uczestnictwo w szkoleniach – użytkownicy powinni aktywnie uczestniczyć w szkoleniach z zakresu bezpieczeństwa informacji, które pomagają zrozumieć zagrożenia związane z phishingiem i nauczyć się, jak je rozpoznawać;
- aportowanie podejrzanych e-maili – pracownicy muszą być zachęcani do zgłaszania podejrzanych e-maili do działu IT lub bezpieczeństwa (pomaga to w szybkim reagowaniu na potencjalne ataki).
2. Rozpoznawanie podejrzanych e-maili:
- sprawdzanie adresu nadawcy – użytkownicy powinni zawsze dokładnie sprawdzać adres e-mail nadawcy. Wiadomości phishingowe często używają adresów podobnych do tych, które są znane pracownikom;
- rozumienie ostrzeżeń o zagrożeniach – pracownicy muszą mieć świadomość roli ostrzeżeń o potencjalnych zagrożeniach, które pojawiają się w ich skrzynkach pocztowych; nigdy ich nie ignorować i zawsze działać zgodnie z zawartymi w nich zaleceniami.
- analizowanie treści wiadomości – użytkownicy powinni być w stanie rozpoznać podejrzane cechy treści e-maili, takie jak prośby o podanie poufnych informacji, nietypowe żądania lub podkreślanie pilności odpowiedzi.
3. Zachowanie ostrożności w przypadku linków i załączników:
- powstrzymanie się przed klikaniem linków – użytkownicy powinni unikać klikania linków w e-mailach, które są nieoczekiwane lub wyglądają podejrzanie (przed kliknięciem należy dokładnie sprawdzić prawdziwy adres hiperłącza);
- nieufanie nieznanym załącznikom – załączniki w e-mailach pochodzące z niezweryfikowanych źródeł mogą być nosicielami złośliwego oprogramowania.
4. Stosowanie bezpiecznych haseł i uwierzytelnienia dwuskładnikowego:
- silne hasła – pracownicy powinni używać trudnych do odgadnięcia haseł do kont, zwłaszcza jeśli przechowywane są na nich ważne dane przygotowane zgodnie z wytycznymi CERT.PL z 2022 r.;
- uwierzytelnienie dwuskładnikowe (2FA/MFA) – jeśli to możliwe, należy aktywować logowanie dwuetapowe na kontach pracowników (to dodatkowa warstwa ochrony, która utrudnia nieautoryzowany dostęp).
5. Zachowanie ostrożności w przypadku podejrzanych zachowań i komunikatów:
- nieoczekiwane prośby – użytkownicy muszą taktować jako potencjalne zagrożenie e-maile, które zawierają prośby o przekazanie poufnych informacji, dokonanie płatności lub wykonanie innych nieoczekiwanych działań;
- socjotechniki – wiadomości phishingowe często wykorzystują reguły wpływu społecznego, manipulując emocjami i odwołując się do autorytetów (użytkownicy powinni mieć świadomość stosowania takich taktyk).
6. Aktualizacje oraz oprogramowanie antywirusowe:
- regularne aktualizacje – użytkownicy muszą aktualizować swoje systemy operacyjne, przeglądarki internetowe i oprogramowanie antywirusowe (aktualizacje są ważnym komponentem bezpieczeństwa informacji).
7. Korzystanie z bezpiecznych źródeł:
- ostrożność wobec nieznanych źródeł – użytkownicy powinni unikać korzystania z nieznanych źródeł informacji i niepewnych witryn internetowych;
- weryfikacja przy udzielaniu informacji – przed przekazaniem poufnych informacji online użytkownicy muszą mieć pewność, że komunikują się z prawdziwą instytucją lub osobą.
Użytkownicy końcowi odgrywają strategiczną rolę w zapobieganiu atakom phishingowym. Ich ostrożność i świadomość zagrożeń, a także ciągła edukacja są niezbędne do budowy skutecznej obrony przed phishingiem. Współpraca między pracownikami a działem IT i bezpieczeństwa informacji jest kluczowa dla zwiększenia poziomu ochrony przed tym rodzajem zagrożenia. Warto pamiętać, że każdy pracownik może stanowić pierwszą linię obrony przed atakami phishingowymi.
Test i procedury korygujące
Wyniki przeprowadzonego przeze mnie w mojej organizacji testu (według zaprezentowanego wcześniej scenariusza) wskazują na nieprawidłowe zachowania użytkowników lub całkowity brak reakcji. Patrząc przez pryzmat cyklicznych szkoleń, jakie prowadzimy, nie spodziewałem się takiej sytuacji. Dlatego zachęcam wszystkich administratorów do przeprowadzenia testowej kampanii phishingowej w celu poznania realnych umiejętności pracowników jednostki. Analiza wyników i wdrożenie procedur korygujących bezpośrednio przełożą się na wzrost cyberbezpieczeństwa oraz pozwolą oddalić w czasie ewentualność incydentu.
Autor
Witold Bzdęga
Autor od blisko 20 lat jest informatykiem w administracji i oświacie. Obecnie pełni tę funkcję w Urzędzie Miasta i Gminy Skoki. Od 14 lat prowadzi firmę IT wspierającą samorządy, jednostki kultury i opieki społecznej. Jest autorem publikacji z zakresu IT, nauczycielem, trenerem z wieloletnim doświadczeniem. Przeszkolił ponad 1000 pracowników administracji samorządowej oraz nauczycieli.