Służby specjalne

W 2021 r.  eksperci ABW otrzymali w sumie 762 175 zgłoszeń o potencjalnym wystąpieniu incydentu teleinformatycznego w obszarze kompetencyjnym wchodzącym w zakres właściwości Zespołu CSIRT GOV. Jest to wzrost w stosunku do roku poprzedniego, gdzie w sumie zarejestrowano 246 107 zgłoszeń. Powodem tendencji rosnącej jest zwiększająca się liczba alarmów systemu wczesnego ostrzegania, które bazują na sygnaturach ataków oraz danych dotyczących zagrożeń w cyberprzestrzeni. Wynika to także ze zwiększającej się liczby podmiotów wdrożonych do systemu wczesnego ostrzegania o zagrożeniach pochodzących z sieci Internet. Jeśli chodzi o zarejestrowane incydenty faktyczne, to w 2021 r. odnotowano ich 26 899. Stanowi to wzrost o około 15 proc. w porównaniu do poprzedniego roku, gdzie zarejestrowano 23 309 incydentów faktycznych.

W ubiegłym roku najwięcej incydentów sklasyfikowano jako wirus, podatność oraz socjotechnika. Tak jak i w roku poprzednim najliczniejszą kategorią jest wirus, tj. 24 171 incydentów faktycznych. Są to incydenty związane z wykryciem przepływów przez system wczesnego ostrzegania ARAKIS 3.0 GOV, które mogą świadczyć o infekcji stacji roboczej w instytucji administracji państwowej lub u operatora infrastruktury krytycznej.

Drugą najliczniejszą kategorią są podatności w zasobach IT, tj. 1 148 incydentów, rozumiane jako słabość systemu teleinformatycznego, błędy konfiguracyjne oraz brak odpowiedniej polityki bezpieczeństwa, związanej z aktualizacją oraz weryfikacją poprawnie wdrożonych rozwiązań teleinformatycznych.

Trzecią najliczniejszą kategorią jest socjotechnika – 904 incydenty. Zalicza się do niej zagrożenia, które dotyczą kampanii phishingowych, podszywania się oraz ataków z zakresu inżynierii społecznej wymierzonych przeciwko użytkownikom systemów teleinformatycznych, które mają na celu wyłudzenie poufnych informacji, zainfekowanie komputera złośliwym oprogramowaniem, bądź nakłonienie użytkownika do określonych działań.

Następną kategorią jest niedostępność – 310 zarejestrowanych incydentów. W skład tej kategorii wchodzą zdarzenia dotyczące niedostępności witryn internetowych, ewentualnych awarii oraz prac technicznych. W kategorii publikacja, stanowiącej 158 incydentów, znajdują się zgłoszenia dotyczące tzw. wycieków, tj. publikacji w sieci wykradzionych informacji czy innych treści. Incydenty oznaczone jako skanowanie, których zarejestrowano 118, dotyczyły rekonesansu infrastruktury teleinformatycznej administracji rządowej oraz infrastruktury krytycznej. Kolejną kategorią są incydenty sklasyfikowane jako atak, czyli 74 incydenty, związane z wszelkiego rodzaju przeprowadzanymi atakami na systemy teleinformatyczne, np. DDoS, DoS, przełamanie zabezpieczeń. Ostatnią kategorią jest botnet, czyli zagrożenia dotyczące identyfikacji komputerów należących do sieci przejętych komputerów.

Zespół CSIRT GOV rozsyła też wiadomości ostrzegające do podmiotów będących we właściwości CSIRT GOV, które zawierają informacje o podatnościach w systemach, o wskaźnikach kompromitacji czy kampaniach phishingowych. W 2021 r. rozesłano 115 takich wiadomości, gdzie największą ilość stanowiły wiadomości zawierające wskaźniki kompromitacji (IoC) dot. wykrytych zagrożeń.  Kolejną kategorią były informacje o różnego rodzaju podatnościach. Rozdysponowano także 14 ostrzeżeń o zidentyfikowanych kampaniach phishingowych, a także 5 innych ostrzeżeń, które informowały, np. o wprowadzeniu stopnia alarmowego ALFA-CRP oraz ostrzeżenie o podszyciu.

Rzecznik Prasowy Ministra Koordynatora Służb Specjalnych