Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Przetarg w urzędzie na odszyfrowanie danych po ransomware? Zapłata w PLN nie BTC ;-) Bohater? System geodezyjno- kartograficzny w Oświęcimiu
U schyłku ubiegłego roku cytowaliśmy geoforum:
Serwer z bazami danych Powiatowego Ośrodka Dokumentacji Geodezyjnej i Kartograficznej w Oświęcimiu został 13. października zablokowany przez hakerów – taką wiadomość otrzymali lokalni geodeci (…) W związku z tym nie ma możliwości zgłaszania prac, udostępniania materiałów, przyjmowania prac geodezyjnych do zasobu, a także składania projektów do uzgodnień na naradach koordynacyjnych.
Prawdopodobnie wystąpił jakiś problem z backupem, ponieważ pod koniec listopada 2020 roku ogłoszono takie postępowanie:
Odzyskanie zaszyfrowanych baz danych systemu geodezyjno- kartograficznego Starostwa Powiatowego w Oświęcimiu
oraz finalnie udzielono zamówienia (pdf):
Przedmiotem zamówienia jest odzyskanie zaszyfrowanych baz danych systemu geodezyjno- kartograficznego Starostwa Powiatowego w Oświęcimiu. Odzyskanie polega na całkowitym odszyfrowaniu danych oraz konwersji danych do bazy wynikowej, która będzie mogła zostać skutecznie zaimportowana do systemu geodezyjnego. Baza danych składa się z plików dbf, które zawierają zarówno dane geodezyjne z ewidencji gruntów i budynków oraz skany map, rastry oraz pliki dołączane za pomocą systemów informatycznych przez m.in. geodetów. Łącza pojemność bazy danych to ok 2 TB.
Z lektury dokumentu można dowiedzieć się kilku innych faktów (formatowanie oraz wytłuszczenia by sekurak):
- W nocy z 12.10 na 13.10.2020 r. przeprowadzony został atak hakerski na geodezyjną bazę danych Zamawiającego.
- W dniu 13.10.2020 r. zgłoszono popełnienie przestępstwa na Policję, która w ramach czynności operacyjnych zajęła odpowiedni
sprzęt i dane uniemożliwiając Zamawiającemu dokonywanie jakichkolwiek czynności, które mogłyby zmierzać do
wyłonienia podmiotu, który mógłby odzyskać bazę danych. - W dniu 19.10.2020 r. Zamawiający otrzymał informację od
Policji o możliwości dokonywania czynności, w wyniku których można było podjąć działania zmierzające do analizy
danych na uszkodzonych serwerach i plikach. - W dniu 15.10.2020 r. Zamawiający skontaktował się z 10 podmiotami
zajmującymi się odszyfrowywaniem danych. W dniu 20.10.2020 r. zaszyfrowane dane zostały przekazane do analizy dla dwóch firm, które podjęły próbę analizy rozszyfrowania danych. Z racji wielkości i skomplikowania problemu, analiza możliwości odzyskania danych trwała od 20.10.2020 do 29.10.2020 r. Firma MAGNES Danych sp. z o.o. w
dniu 26.10.2020 r. przesłała informację o możliwości odzyskania danych z bazy danych SGG wraz z kwotą, natomiast firma SENSUM w dniu 29.10.2020 r. przesłała informację, że jednak nie jest w stanie podjąć się skutecznie rozwiązaniu problemu.
Kwota wydana na obsługę ransomware to 620 000 PLN.
Pozostaje otwarte pytanie – czy zewnętrzna firma po prostu zapłaciła okup twórcom ransomware? A może wytworzyła dekryptor? Gdyby miał miejsce scenariusz pierwszy, to wszyscy w zasadzie są zadowoleni – urząd: odzyskał dane, przestępca – zarobił, firma zewnętrzna zarobiła. No dobra – podatnik stracił. Tzn. stracił trochę pieniędzy na okup/odszyfrowanie danych, jednak nie stracił dostępu do dość kluczowych danych – więc zapewne i tutaj zyskał…
Na koniec – napiszcie w komentarzach co myślicie o płaceniu okupu w kontekście ransomware. Płacić? Nie płacić? Dlaczego?
Np. w takim USA sprawa nie jest jasna – z jednej strony FBI zdecydowanie odradza płacenia okupu instytucjom rządowym – z drugiej strony czasem w ich imieniu negocjuje rabaty…
–ms
Uważam że płacenie okupu powinno być karane grzywną (np 10x kwota okupu), nielegalne powinny być też ubezpieczenia od ransomeware. W Stanach chcieli wprowadzić coś takiego, nie wiem jak się to ostatecznie skończyło. W każdym razie uważam że to jedyna droga żeby odciąć przestępców od pieniędzy. Na początku to prawo będzie bardzo bolesne, parę podmiotów pewnie nawet zniknie z rynku, ale w dłuższej perspektywie by się opłaciło.
Każdy popełnia błędy i każdemu może wlecieć malware i narobić szkód. Każdy prędzej czy później zetknie się z ransomeware. Ale robienie backupów i ich testowanie to dzisiaj nie jest magia. Owszem, wymaga to czasu i środków, ale są one nieporównywalnie mniejsze do potencjalnej kwoty okupu. Dlatego jakoś nie mam współczucia dla instytucji które nie są w stanie podnieść się z backupów.
I jak udowodnisz, że ktoś zapłacił ten okup? Przecież to łatwo ukryć, i jest to w interesie i płacącego, i otrzymującego ten okup przestępcy…
Ale jak łatwo ukryć w Urzędzie 650 000 zł???
Wiesz o czym piszesz?
Właśnie dlatego rozpisujesz przetarg. Zewnetrzna firma przelicza okup z BTC na zł i wystawia fakturę, którą możesz sobie zaksięgować jako koszty usługi odszyfrowania i udawać, że nie masz pojęcia, że zapłaciłeś pośrednikowi, który przytulił sobie marżę za załatwienie tematu z przestępcą.
„ale są one nieporównywalnie mniejsze do potencjalnej kwoty okupu.” – UAHAHHAHAHAHAHAHAHHAHAHHA. Lubie dobry żart z rana.
Ps.
Reszty bredni nie komentuje, bo nie warto.
Ubezpieczenia są już normą (w dużych firmach). Ransomeware jest objęty zakresem niektórych ubezpieczeń teleinformatycznych od incydentów cyberbezpieczeństwa. Nie wiem czemu miałyby być zakazane. Nie rozumiem uzasadnienia.
@ Marek
> Uważam że płacenie okupu powinno być karane grzywną (…)
> Dlatego jakoś nie mam współczucia dla instytucji które nie są w stanie podnieść się z backupów.
Założyli mi pancerną kłódkę na jaja i chcą okup. Pier…, nie będę płacił!
Właśnie ubezpieczenie od ransomware może być krokiem na przód:
1. Ubezpieczyciel będzie wymagał pewnego stopnia zabezpieczenia na poziomie wartości danych
2. Wydatki na bezpieczeństwo będą obniżać kwotę ubezpieczenia
3. Biznes zauważy zysk z inwestycji w bezpieczeństwo
bo informatycy sa zbednym wydatkiem a backup to wogole po co to komu :)
„Łącza pojemność bazy danych to ok 2 TB” – tak dosłownie jest napisane w PDF-ie z „ogłoszeniem o udzieleniu zamówienia – usługi”.
W tym powiatowym ośrodku nie sprawdzają ani backupów, ani wystawianych dokumentów!
Uważam że informatycy w urzędach są leniwi nic im się nie chce jak coś zainstalują to już jest przez lata i nic nie zmieniają, nie szkolą się ani też nie szkolą urzędników, aby Pani w urzędzie np. nie klikala w podejrzane maile…Płacenie okupu to tragedia, bo z czyich to będzie pieniędzy w instytucjach Państwowych… Z naszych… A tylko będzie jeszcze motywować przestępców… Kościerzyna, która jakiś czas temu też padła ofiarą ransomware pomogli bezinteresownie eksperci z Kaspersky trzeba wiedzieć do kogo się zwrócić o pomoc a nie robić przetargi i marnować publiczne pieniądze przez własne niedbalstwo
Zacznijmy od tego, że w rzadko którym urzędzie (poza tymi największymi) jest jakiś informatyk. Są owszem stanowiska „informatyk” ale pracują na nich ludzie, których wiedza ogranicza się do tego co było w ogłoszeniu o pracę „znajomość systemu windows + matura”, której to znajomości i tak nikt nie sprawdza bo komisja oceniająca kandydata też nie ma żadnej wiedzy. Nikt inny za takie pieniądze do pracy w urzędzie i tak nie przyjdzie. To też się wiąże z brakiem funduszy szkoleniowych a do szkolenia się samemu to najpierw trzeba mieć motywację. Więc koło się zamyka. Kupując tani towar kupujemy szmelc na naprawy którego wydamy więcej niż na zakup droższego. A administracja to też towar i podlega prawom rynku. A co do „darmowej pomocy ekspertów” to prędzej uwierzę w płaską ziemię (chyba, że firma miała w tym urzędzie jakąś kluczową sprawę do załatwienia albo ktoś miał tam krewnego na dyrektorskim stołku, który obawiał się utraty intratnej posadki).
Z tymi „leniwymi informatykami z Urzędu” to Pani pojechała… Nie chcą się szkolić? Naprawdę?
Niestety widać brak jakiegokolwiek pojęcia jak wygląda rzeczywistości w Starostwie Powiatowym. Pracuję w takim miejscu ponad 25 lat, każde szkolenie trzeba „wychodzić” itp. Ludzie którzy pracują „przy” komputerach też po 25 lat nie chcą się uczyć, mają problemy z podstawową obsługą komputera, systemów itp…
Ręce i cycki opadają.
Na takie komentarze jak komentarz Pani, także.
Trzeba być cieniasem, aby pracować w jednym miejscu 25 lat. A już super cieniasem, aby pracować w budżetówce.
bez przesady, my znamy takie osoby i są OK :-)
I czego to dowodzi? Ja znam informatyka z budżetówki, który zastanawiał się czy zrobić sieć na switch-ach czy na przełącznikach. Znam też informatyka z budżetówki, któremu naprawiam co jakiś czas kompa i laptopa, a nie mówię tu tu o wylogowywaniu KBC z płyty. Znam też informatyków z budżetówki dla których zestawianie VPN-a między dwoma oddziałami urzędu to jak wejścia na rękach z zawiązanym oczami na Mont Everest.
Gdyby byli tak dobrzy, to dawno pracowali by u was.
PS.
Owszem zdarzają się perełki, ale większość to znajomi i rodzina królika, który akurat jest przy korycie.
Tu jeden z przykładów jak działa budżetówka i firmy państwowe.https://businessinsider.com.pl/wiadomosci/spolka-jeszcze-nie-zbudowala-zadnego-domu-z-drewna-ale-zarzad-zarobil-juz-pol-miliona/37jd70j
>Trzeba być cieniasem, aby pracować w jednym miejscu 25 lat.
Zdajesz sobie sprawę, że Stephen Hawking pracował w tym samy miejscu 30?
A Jarosław K. od 28 lat pracuje w budynku na Wiejskiej.
Czasem masz do wyboru albo kasę i brak czasu prywatnego albo pracę za mniejsze pieniądze i 8 godzin i w domu z rodziną.
Sam pracuje kilkanaście lat w JST i faktem jest że na wydatki w IT jest ciągła walka, czasem to walka z wiatrakami.
Ale nie powiesz, że nie ma marnowania pieniędzy.
Budżetówka nieraz przepłaca, daje się naciągać przedstawicielom firm, kupuje coś na wyrost. A potem sprzęt leży i się kurzy aż straci wartość i będzie go można wyrzucić.
„Czasem masz do wyboru albo kasę i brak czasu prywatnego albo pracę za mniejsze pieniądze i 8 godzin i w domu z rodziną.” – można sobie to tak tłumaczyć. Jeszcze tylko dopisz, że przez kilkanaście lat napisałeś do kilkudziesięciu firm podania o pracę i zawsze miałeś do wybory kasę, ale za pracę 20h na dobę 7 dni w tygodniu.
Nigdy nie miałem takiego wyboru, zawsze była to kasa i 8 godzinny dzień pracy i sporo czasu dla rodziny i prywatnego. Oczywiście czasami z WŁASNEGO WYBORU zasuwa się i w nocy i w weekendy oraz czasami w święta, co w budżetówce jest nie do pomyślenia, ale to tylko dlatego, że tak jest szybciej, sprawniej i nikt mi nie przeszkadza. Oczywiście za pracę w święta i w dni wolne od pracy mam płacone extra lub odbieram sobie w formie dnia wolnego w tygodniu.
PS.
W tym JST masz oczywiście dodatkowy pakiet zdrowotny dla ciebie i rodziny oraz służbowy samochód z opcją do użytku prywatnego?
Trzeba być zaburzonym i bardzo niezrealizowanymi życiowo, a napewno zawodowo, żeby obrażać specjalistów pracujących w budżetówce za to że są w budżetówce. Wszystkich pan wrzuca do jednego worka? A na jakiej podstawie. Jakaś pojedyncza obserwacja? Tak powstają stereotypy Polaka pijaka i złodzieja właśnie. Tak, pracuję w budżetówce w IT na pół etatu, co oprócz niewielkiej pensji załatwia mi też ZUS, a to ma już znaczenie w mojej działalności gospodarczej dzięki której obsługuję kilkanaście innych firm na stałe. Niech mi pan uwierzy, że znam więcej ludzi z branży, którzy tak robią. Nie wpadł pan na to? Zapewniam, że nie mam kłopotów z zestawieniem połączeń VPN :-) Masowo też stawiam linuxowe hosty pod maszyny wirtualne i implementuje rozwiązania chmurowe. Gdyby pana ocena była słuszna, to nie utrzymałbym się na rynku ponad 25 lat i pewnie musiałbym naprawiać komputery na zlecenie takich jak ja. Pozdrawiam.
Specjalista w budżetówce to oksymoron.
PS
„Tak, pracuję w budżetówce w IT na pół etatu, co oprócz niewielkiej pensji załatwia mi też ZUS, a to ma już znaczenie w mojej działalności gospodarczej dzięki której obsługuję dzięki której obsługuję kilkanaście innych firm na stałe.” – to właśnie potwierdziło moją opinię o byciu cieniasem. Obsługujesz kilkanaście firm i musisz pracować na pół etatu w budżetówce robisz jakieś „fikołki” bo nie masz na ZUS? UAHAHAHAHAHHAHAHAHHAH.
I z tym muszę się zgodzić – sam mam znajomych pracujących w budżetówce, dla których podstawowym apanażem w tej pracy jest nieograniczona możliwość robienia fuch.
Kontynując, jak tylko są środki i ktoś ma rozum, to zapewniam Panią że zadbał by o System Backupu, zabezpieczenie sieci, szkolenia własne i innych pracowników. Do tego jest potrzebne zrozumienie „Góry” i odpowiednie fundusze. A zapewniam Panią że w wielu miejscach nie ma ani pierwszego ani drugiego.
@Jula
To wynika ze struktury zatrudnienia w budżetówce – głównie rodziny.
Informatycy bywają całkiem kumaci i spoza układu (w końcu ktoś musi odwalać robotę). Tyle, że jego „podopieczni”, to członkowie kilkupokoleniowych urzędniczych klanów, czyli: święte krowy, bezradne sierotki i maksymalny beton. Więc informatyk biega zmieniać tonery i wyciąga zacięty papier, zamiast uszczelniać sieć i systemy. Dzień pracy z gumy nie jest.
Nie pozostaje nic innego niż płacić z powodu podejścia społeczeństwa a zwłaszcza mediów. W ich oczach wydatek 650 000 na okup dla bandytów jest po prostu bardziej akceptowalny niż 65 000 na wynagrodzenia dla informatyków/oprogramowanie. Bo media wmawiają ludziom, że haker to taki nowoczesny Robin Hood albo przynajmniej romantyczny bojownik, podczas gdy urzędnik to złodziej i pasożyt a właściciel firmy produkującej oprogramowanie zabezpieczające to zły bankier, wyzyskiwacz albo wręcz potwór jedzący mięso, mleko i jaja.
Pieniądze na pensje dla informatyków w budżetówce biorą się z TWOICH podatków, co prawda pieniądze na okup również, ale płacenia okupów za incydenty jest po prostu tańsze i rozsądniejsze.
W budżetówce pracuje specyficzna grupa ludzi i nawet gdyby zarabiali po 20 tys. na miesiąc to i tak backupów i odpowiedniej wiedzy by nie mieli.
Jasnowidz się znalazł. IT w budżetówce jest nie dofinansowane i wszyscy o tym doskonale wiedzą, i tylko dlatego osoby mające wiedzę trzymają się od niej z daleka, a na stanowiskach informatyków przyjmowane są osoby potrafiące podłączyć komputer i zainstalować Windows, ponieważ nikt z wiedzą nie pójdzie pracować za 3000zł skoro w prywatniej firmie dostanie drugie tyle.
Szczerze gdybym miał wybierać między pracą za te same pieniądze w budżetówce lub w korpo wybrał by budżetówkę, przerabiałem oba scenariusze, wiec wiem co piszę, a nie wróże z fusów…
Ale co mi z tego przyjdzie, że dane zostaną odszyfrowane w zamian za okup (co wcale nie jest pewne) skoro te dane (często bardzo wrażliwe) trafią do przestępców. W dobie powszechnych backupów to nie utrata ale właśnie ujawnienie danych jest największym zagrożeniem. Ponieważ nie możemy zapobiec przetwarzaniu naszych danych przez urzędy to nie pozostaje nam nic innego jak zmieniać sposób ich funkcjonowania w zakresie zabezpieczeń. Masz sporo racji, że samo podniesienie wynagrodzeń nic nie zmieni (jeśli posada stanie się intratna zajmą ją krewni i znajomi). Ale można domagać się stosowania określonych standardów – a do ich realizacji potrzebujesz w budżetówce kogoś kto potrafiłby je wdrożyć. Tego nie osiągniesz bez zwiększania nakładów na wynagrodzenia i zakup oprogramowania. Z moich obserwacji jak to wygląda w praktyce, poziom bezpieczeństwa w niektórych gałęziach budżetówki sporo się podniósł w ciągu kilku ostatnich lat, chociaż wciąż jest wiele do zrobienia.
Bazy dbase’a? :D moje początki programowania w 1996 <3
20.10.2020 do 29.10.2020 9 dni to już widać klasę ekspercką :D
„Pozostaje otwarte pytanie – czy zewnętrzna firma po prostu zapłaciła okup twórcom ransomware? ” – oczywiście, że tak. Każdy mający mózg zamiast styropianu by tak zrobił.
Oczywiście że zapłacono okup.
Lamanie szyfrów generalnie nie jest opłacalne w tych pieniądzach (no chyba że to był „wirus policja”).
Natomiast podmioty tego typu często muszą mieć po prostu fakturkę na ten okup i nie mogą ot tak komuś wysłać BTC.
I tu wchodzą całe na biało firmy „odszyfrowujace” które podpisują elegancką umowę.
Inspiruje mnie Twoja 100% pewność co do przebiegu wydarzeń które miały miejsce („Oczywiście że zapłacono okup”). Nie wiedziałem że mamy tylu ransomware ekspertów w Polsce.
Nie mamy – stąd hipoteza o zapłaceniu okupu jest najbardziej wiarygodna.
Ja myślę, że było inaczej: wysłali próbkę na https://www.nomoreransom.org/, próbka przypasowała do czegoś znanego i poszło – także całe 620 tysi. wpadło do nich na czysto ;)
Gdzieś czytałem że zakup BTC jest rozliczany jako „zakup czasu obliczeniowego do wyliczenia kluczy kryptograficznych”. Coś by się tu zgadzało :)
Zdecydowanie odradzam płacenia. Nigdy się nie ma pewności że odszyfruja dane . Ja sam miałem kilka razy doczynienia z tego typu atakami ostatni był GI2.0 i jakoś odzyskalem dane.
Płacić trochę strach. Bo co jeśli przestępca to wyjątkowy ku*as i mimo zapłacenia nie wyśle dekryptora? Hajs utopiony..
Nie zapłacisz – źle, zapłacisz – może być jeszcze gorzej…
Ile chcieli okupu? Ktoś wie?
Kwota z fv – podatki da nam górną granicę. Sprawdzamy kurs BTC z tamtego okresu i szukamy jakieść w miarę okrągłej kwoty nieprzekracającej granicy opłacalności dla pośrednika.
Typowe podejscie bo to przeciez nie sa ICH pieniadze. Skoro doszlo do tak powaznego zaniedbania jak BRAK BACKUPOW to wina ludzka jest bardzo latwa do ustalenia i odpowiada za nia ktos w IT za zaniedbanie albo ktos w zarzadzie za blokowanie procedur bezpieczenstwa (ktore generuje koszty). No ale mamy komune wiec odpowiedzialnosc zbiorowa, winnych brak, zaplaca ludzie z podatkow. BTW : skoro raz tak zalatwili sprawe to co powstrzymuje ludzi przed zlecaniem/posrednictwem takiej samej akcji w innych miejscach? Przeciez to moga zrobic nawet ich wlasni pracownicy, bo finalnie zrobia przetarg i nie bedzie ich obchodzilo jak oni to dalej zrobia bo umywaja od tego rece.
@kre
A jeśli nie mieli na czym robić, to kto winny? – Informatyk, że nie robił, czy jego przełożony, że nie dał kasy na sprzęt? A może przełożony przełożonego?
Komisję śledczą powołać! I sztab ekspertów! A najlepiej, to rozstrzelać każdego, kto kiedykolwiek popełnił jakikolwiek błąd! Niech pierwszy rzuci kamień…
Dysk 2TB kosztuje 400zł więc nie masz racji. Prawdopodobnie wina „informatyka” bo jakoś nie chce mi się wierzyć, że nie dało się znaleźć w budżecie kilku tysięcy na system kopii zapasowych. I jak najbardziej powinno się znaleźć winnego tego zaniedbania, i nie koniecznie od razu rozstrzelać ale wystarczy zwolnić taką osobę dyscyplinarnie za zaniedbania, chociaż tylko po to aby pokazać, że osoba poniosła konsekwencję decyzji które podjęła. Jest to jedyna opcja aby na stanowiskach które wymagają kompetencji znajdowały się kompetentne osoby, a nie szwagier i kuzynka.
Witam,
Jak widzę wszyscy tylko się śmieją ale czy ktoś sobie zadał jedno pytanie ile JTS wydaje na szkolenia w IT.
Mam prośbę do sekurak.pl o zapytanie GUS ile JST wydają na szkolenia w IT i na samo IT oraz ilu statystycznie przypada „informatyków” na ilość wszystkich pracowników w urzędach. GUS co roku robi takie badanie przez ankiety. Czy wiadomo jak do tego doszło. Co było bezpośrednią przyczyną zaszyfrowania. Jakie to baz. Jakie systemy. jakie zabezpieczenia itp. Czy bazy w starostwach nie są obsługiwane przez firmy które udostępniają płatne aplikacje z płatnym serwisem do obsługi tych baz? Czemu wszystko zwalacie na panią Tereską która otworzyła niewłaściwego maila.
Ile wydają to raz. Ale dwa (ważniejsze IMO) jakie szkolenia biorą. Bo przetarg na szkolenia = najniższa cena = startują mega crapowe firmy = zamawiającemu nie chce się później szarpać że szkolenie było mierne (bo po co komu nerwy). Oczywiście nie jest tak w każdym przypadku, ale powiedziałbym w dużej części.
czy tylko ja zauwazylem brak kary Rodo za wyciek ?
A kto niby został poszkodowany? Grunt orny, czy teren zalesiony? :) Przecież mapy im zaszyfrowali, a nie dane osobowe.
Krowy, kury, jajka, jajecznica, lisy! Prawa zwierząt są łamane!!
Ale każdy grunt orny ma swojego właściciela, a nie każdy właściciel życzy sobie, by jego dane osobowe i informacje o jego majątku tak ot sobie fruwały po internecie.
Jak ransomware uzyskało dostęp do bazy danych na serwerze? Przecież ransomware szyfruje pliki, do których ma bezpośredni dostęp. Przez polecenia SQL-a szyfrowało?
Są serwery Linuksowe, są Windowsowe…
Może to była „baza” w plikach Excela?
Urzędy szczególnie małe nie interesuje informatyka a już nie mówiąc o zwiększaniu kwot na ten dział. Wszystko ma działać i tyle. Informatyce niejednokrotnie muszą robić zeczy nie związane z it i nikogo to nie interesuje
Firma Biocrypt zrobiła by to szybciej i taniej bez płacenia okupu.