Atak hakerski na systemy informatyczne w Olsztynie zapewnił miastu środki na przeciwdziałanie skutkom, ale nie wyciszył pytań dotyczących bezpieczeństwa cyfrowego. Znany lokalny radny, Jarosław Babalski, zwraca się do prezydenta z serią pytań dotyczących tego paraliżującego incydentu.
Czas na przejrzystość: interpelacja radnego Babalskiego
W związku ze zdarzeniem z 24 na 25 czerwca 2023 roku, które sparaliżowało poprawne funkcjonowanie komunikacji publicznej w Olsztynie, radny Babalski postawił szereg pytań prezydentowi Grzymowiczowi.
Pytania te dotyczą takich kwestii jak podstawy do zakomunikowania opinii publicznej o hakerskim ataku, rodzaju ataku, szkód spowodowanych atakiem, zastosowanych zabezpieczeń i procedur, a także konsekwencji dla funkcjonowania Centrali Nadzoru Ruchu. Babalski pyta również o kwestie związane z wyciekiem danych wrażliwych, współpracą z firmą “Sprint”, która zbudowała system ITS, oraz o procedury zabezpieczające i szkolenia.
Kłopoty z systemem ITS: nowe fundusze, nowe pytania
Olsztyńscy radni zgodzili się na zmianę tegorocznego budżetu miasta, aby uwzględnić dodatkowe fundusze otrzymane na przywrócenie działalności systemu ITS. System ten przestał działać prawie 3 tygodnie temu po cyberataku na serwery Zarządu Dróg Zieleni i Transportu w Olsztynie. Na razie nie wiadomo, jak szybko zostanie przywrócona działalność systemu ITS.
Włam na serwery: prace trwają, ale kiedy koniec?
Zespoły informatyczne i specjaliści IT, w tym z CERT NASK, pracują nad przywróceniem pełnej funkcjonalności systemów informatycznych ZDZiT. Pierwsze efekty są już widoczne, ale wymagają dodatkowych testów przed wdrożeniem. Priorytetem jest przywrócenie kolejnych kanałów sprzedaży biletów komunikacji miejskiej.
Mieszkańcy Olsztyna od dłuższego czasu skarżą się na problemy z zakupem papierowych biletów. Z powodu awarii biletomatów, liczba punktów sprzedaży drastycznie się skurczyła. Ponadto, nie jest jasne, według jakiego rozkładu jazdy obecnie funkcjonuje komunikacja miejska. Przed awarią, priorytet komunikacji miejskiej nadawał ITS.
Wyzwanie bezpieczeństwa cyfrowego
Atak hakerski na Olsztyn pokazuje, jak poważnym zagrożeniem mogą być cyberataki dla funkcjonowania miasta. Kwestie poruszone przez radnego Babalskiego podkreślają, jak ważne jest zrozumienie i odpowiednie zarządzanie zagrożeniami cyfrowymi. Bez jasnych i wyczerpujących odpowiedzi, mieszkańcy Olsztyna mogą nadal czuć się niespokojni o cyfrowe bezpieczeństwo ich miasta.
Poniżej pełna lista pytań radnego Babalskiego do prezydenta Olsztyna Piotra Grzymowicza, wysłane 14 lipca 2023 r.:
1. Na jakiej podstawie zakomunikowano opinii publicznej, że był to atak hakerski? Dlaczego wykluczono inne powody np. błąd pracownika powodujący błędy w kodzie źródłowym oprogramowania lub np. wprowadzenie złośliwego oprogramowania poprzez używanie nieautoryzowanych zewnętrznych nośników danych typu pendrive (proszę podać przesłanki potwierdzające świadome działania osób trzecich).
2. Jeżeli jednak jak ogłoszono opinii publicznej był to atak hakerski, to jaki – Czy był to atak typu DDoS czy typu ransomware ?
3. W jakim stopniu ten atak dokonał szkód (np.) ?
A. awarię sieci IT w firmie,
B. wstrzymanie możliwości świadczenia usług (proszę wyszczególnić),
C. odwrócenie uwagi od innego ataku, np. kradzieży danych,
D. zatrzymanie pracy serwerów,
E. awarię urządzeń sieciowych (takie są oznaki zewnętrzne).
4. Czy w związku z obowiązującymi stopniami alarmowymi stosowano odpowiednie zabezpieczenia i procedury adekwatne do obowiązujących poziomów stopni alarmowych CRP (w kontekście bezpieczeństwa cyberprzestrzeni – CHARLIE–CRP).
5. Kto (jakie instytucje) zajęły się wyjaśnieniem tego zdarzenia ?
6. Skoro jak widzimy to zdarzenie „spustoszyło” dotychczas działający system (ITS / tablice elektroniczne, biletomaty, kamery), to proszę podać jakie to spowodowało konsekwencje w funkcjonowaniu Centrali Nadzoru Ruchu?
7. Czy prawdą jest, że wyciekły dane wrażliwe (osobowe)?
8. System ITS zbudowała firma „Sprint”. Co na tę awarię rzeczona firma. Czy miasto kontynuuje współpracę celem obsługi zakupionego (o ile mnie pamięć nie myli) w 2017 roku systemu ?
9. Czy umowa z firmą obejmowała również ServiceDesk czyli wsparcie, zarządzanie oraz nadzór nad obsługą procesów związanych z:
A. bieżącym utrzymaniem;
B. naprawami serwisowymi;
C. przeglądami okresowymi;
D. legalizacją przyrządów.
10. Czy umowa obejmowała również ochronę przed atakami hakerskimi jak i naprawę ewentualnych skutków ataków hakerskich (jeżeli tak to na jak długi czas) ?
11. Czy miasto miało procedury zabezpieczające przed ingerencją zewnętrzną w funkcjonujący system (jakie)?:
A. Czy stosowano np. firewall
B. Czy stosowano narzędzia EDR np. gromadzenie i przechowywanie informacji o zagrożeniach, wykrywanie podejrzanego ruchu i wyszukiwanie jego korelacji z innymi zdarzeniami, blokowanie złośliwego ruchu i możliwości jego rozprzestrzeniania, dostarczanie możliwości i wskazówek rozwiązania problemu, czy zastosowano np. WAF ?
12. Czy prowadzono ćwiczenia symulacje na ewentualność ataku hakerskiego?
13. Czy przeprowadzono audyty bezpieczeństwa IT (internet technology) oraz testy bezpieczeństwa systemów IT np. testy penetracyjne lub testy typu blackbox, whitebox, greybox (jeżeli tak to jak często) ?
14. Czy prowadzono audyt funkcjonowania i aktualizacji oprogramowania ITS (jaki, kiedy, przez kogo)?
15. Jakie są koszty finansowe (dzienne) tego paraliżu?
16. Czy odpowiednio informowano pracowników mających styczność z ITS do właściwego zachowania we względu na poziom alarmowy CRP (gdzie to jest odzwierciedlone) ?
17. Czy prowadzono specjalistyczne szkolenia (kto to robił, gdzie to jest odzwierciedlone) z zasad bezpieczeństwa osób odpowiedzialnych na infrastrukturę ITS ?
Ło panie, to żeś kawalkadę pytań wystrzelił. Prezydent na to odpowie… za jakiś rok. Piszecie, że “Priorytetem jest przywrócenie kolejnych kanałów sprzedaży biletów”, a mi się wydaje, że priorytetem jest doprowadzenie sygnalizacji świetlnej do porządku. Biletów nie trzeba koniecznie już teraz sprzedawać. Wystarczy na ten czas zrobić darmową komunikację. I na koniec proponuję zmianę nazwy ZDZiT na samo ZZ. Niech oni może sobie tylko zielenią zarządzają, a infrastrukturą niech się zajmie ktoś kompetentny.
kto jest odpowiedzialny za brak danych z kopii bezpieczeństwa??? co z RODO ?