Actualitate

De unde vine vulnerabilitatea la un atac cibernetic în cazul Primăriei Bistrița

Primăria Bistrița este vulnerabilă la atacuri cibernetice mai degrabă prin intermediul angajaților decât din afară, a spus prof. univ. dr. ing. Stelian Brad de la Universitatea Tehnică din Cluj, care a făcut o evaluare a întregului sistem, cât și a personalului, pentru elaborarea ”Strategiei integrate de informatizare și transformare digitală a Primăriei Bistrița”.

”Ce-am găsit? Nici mai bine, nici mai rău decât în alte instituții din țară. Trebuie să acceptăm că, în general, instituțiile publice au mers în procesul acesta de adopție a digitalului după niște condiții apărute în diverse momente. Nu a existat o strategie. Până acum ce s-a făcut? În loc să scriem pe hârtie, am scris pe calculator și am mai imprimat și pe hârtie și le-am semnat. A fost de multe ori o dublare a muncii pe care o făceam. De câțiva ani, știm că vrem să reducem puțin presiunea pe partea asta de administrație și birocrație să putem aduna date și să înțelegem mai bine ce se întâmplă în jurul nostru și la nivel național. A venit impulsul acesta pe a face investiții mai multe pe digital. Sunt câteva lucruri care vor trebui susținute și nu o luăm ca un minus, dar e o constatare: bugetele care s-au alocat până acum pe digital au mers pe ideea de minimă rezistență și atunci sigur că trebuie să consolidăm mai mult rețeaua fiindcă e foarte vulnerabilă la atacuri cibernetice. Sunt zone bine rezolvate, dar este nevoie de o gândire mai bună a arhitecturii ca să creăm straturi ca într-o cetate care are mai multe porți”, a spus prof. Brad în ședința Consiliului Local în care a prezentat ”Strategia integrată de informatizare și transformare digitală a Primăriei Bistrița”.

În ce constă vulnerabilitatea sistemului informatic al Primăriei Bistrița

”Dacă m-aș duce într-o cameră din Primărie și aș introduce un anumit virus, aș bloca întreaga rețea. Apoi, e o problemă cu personalul. Vulnerabilitatea la atac cibernetic va veni, dacă va veni, dinspre angajați mai degrabă decât dintr-un atac extern din cauza ingineriilor care se practică, gen fishing, deci va trebui intervenit clar pe partea de educație, responsabilizare, testarea angajaților ca să nu vulnerabilizăm din interior partea de servere cu ceea ce ține de corespondență. Și pe partea de infrastructură hardware – mai ales dacă vom implementa partea de arhivă electronică – e nevoie de o consolidare, iar pe partea de procese instituționale ar trebui o integrare mai accentuată a aplicațiilor ca să putem face un transfer mai ușor de date între compartimente și apoi înspre exterior”, a mai spus prof. Stelian Brad.

Niciun angajat al Primăriei Bistrița nu a trecut testul GDPR

”Nu există o conștientizare a angajaților asupra importanței GDPR. Foarte ușor se pot extrage date sau se pot pierde sau știm cazuri în care nici nu cunosc ce e GDPR. Pe GDPR, niciun angajat din Primăria Bistrița testat nu a trecut testul, iar aceasta este o problemă care nu ține decât de aplicații concrete. Nu li s-a dat să cunoască teorie, ci au fost puși în anumite situații, la fel și în situații de securitate cibernetică, iar la aceste situații cu care se confruntă zi de zi s-a picat testul. Trebuie luate în serios aceste lucruri. Probabil e mai mult o neglijență și nu au luat în serios faptul că am intrat într-o altă epocă, iar criminalitatea cibernetică deja devine o chestiune uzuală. Un angajat care e supărat din varii motive pe cineva poate veni azi foarte ușor și să blocheze întregul sistem pentru că face un parteneriat cu un hacker și își împart beneficiile. Până acolo s-a ajuns. Nu-i cazul aici, dar cunoaștem astfel de situații în România, la nivelul unor administrații, și oricând un om supărat pe viață poate apărea peste noapte. Cine își va asuma răspunderea dacă nu instituționalizăm niște reguli de cunoaștere și apoi de responsabilizare sub semnătură că trebuie să aplice niște reguli corecte? În plus, există un proiect de securitate cibernetică care nu ține de partea tehnică, ci țin de o anumită conduită în interiorul instituției”, a completat Stelian Brad.

Facebook, cumpărăturile online și rețetele descărcate de pe internet

”Se introduce un memory stick, se intră pe Facebook sau pe site-uri de comerț electronic. Există riscul ca să intre viruși pe aceste canale. Apoi, angajații, comunicând între ei, transformând fișiere și informații, de acolo se poate transfera. Probabil veți găsi niște mesaje ciudate în emailurile tuturor angajaților din Primărie și riscul ca 10 sau 20 să dea un clik e foarte mare fără să recunoască că acela este un fișer mallware. Noi știm că există această vulnerabilitate în urma testelor pe care le-am făcut și astfel pot apărea situații în care se blochează serverul de email sau mai rău alte sisteme.

Cele mai mari pericole sunt dinspe angajați nu dinspre atacuri externe. Pe atacuri externe toate porturile sunt bine securizate de către departamentul IT, dar nu poate el să devină o poliție internă asupra modului în care angajatul X sau Y folosește accesul la internet și ce face aici. Putem găsi rețete de bucătărie luate de pe internet în timpul serviciului sau shopping de poșete, iar în rețeaua internă, dacă faci un audit pe echipamente vei vedea lucruri foarte interesante, ori dacă este această vulnerabilitate trebuie să intervii cu proceduri instituționale și cu politici de securitate cibernetică pe care le-am recomandat. Sunt 31 de politici de management a securității informației care va trebui să fie implementat pentru că el responsabilizează pe fiecare angajat asupra unei conduite în relație cu modul în care respectă aceste reguli de protecție a datelor, mai ales că sunt multe cu caracter personal. Dacă nu am fi făcut aceste audituri la nivelul personalului din Primărie, toți ar fi crezut că e conducerea un zbir și le impune proceduri peste mână. Realitatea e că angajații vor să aibă cât mai puțină răspundere. După evaluările făcute, Primăria Bistrița are instrumentul să intervină pentru implementarea politicii de securitate cibernertică, dar nu oricum: cu asumarea răspunderii de către angajații din Primăria Bistrița”, a explicat prof. Brad.

”Strategia integrată de informatizare și transformare digitală a Primăriei Bistrița”

În ce privește strategia pe care a elaborat-o, el a spus: ”A fost un proiect elaborat în strânsă colaborare cu partea de specialitate din Primăria Bistrița, dar și prin consultarea diverselor instituții active din cadrul municipiului. Cluj IT, care a coordonat din punct de vedere tehnic această strategie, are în spate 16 universității și 100 de companii de software. Considerăm că asta înseamnă ceva vizavi de potențialul pe care îl avem și evident experiența bogată de aproape 10 ani în care dezvoltăm astfel de proiecte de analiză și de abordare strategică pentru administrațiile publice locale. evident că fiecare comunitate are un anumit specific. Nu putem spune că un proiect de genul acesta este un șablon fiindcă pornește cu un audit destul de extins pe care l-am făcut și aici pe toate palierele care țin de sistemul informatic ca să înțelegem atât aspectele tehnice, cât și cele care țin de vulnerabilitate în raport cu un subiect din ce în ce mai delicat, cel care ține de securitate cibernetică, plus nivelul de pregătire, conștientizare a angajaților primăriei a acestei problematici. Dincolo de faptul că folosim niște aplicații software, proiectul de informatizare și transformare digitală merge dincolo. Cu acest proiect s-a dorit să înțelegem în ce măsură putem să facem o transformare la nivelul proceselor din administrație în așa fel încât să fie mai eficiente din punctul de vedere al relației cu cetățeanul și în ce măsură pot crea oportunități pentru a dezvolta alte proiecte foarte importante. Dacă l-am fi pornit dintr-o perspectivă îngustă, am fi ajuns la concluzia că iar vom digitaliza birocrația, iar acesta este un lucru pe care trebuie să-l evităm”.

Potrivit universitarului, prioritare pentru intervenție sunt infrastructura de IT, securitatea cibernetică, elemente care țin de educație și infrastructura care duce dincolo de administrație, în ideea de a extinde structura de comunicații cu fibră optică.

”Este nevoie de unele investiții pentru o arhivă electronică fiindcă nu e vorba numai de o stocare de date, ci și de asigurarea redundanței, elemente de accent controlat, situații de criză, remedieri, etc. Acesta este viitorul ca să ne apropiem și de ceea ce înseamnă interoperabilitate și de alte reglementări ale Comisiei Europene. Indiferent ce inițiative vor fi la nivel central, nu putem pune toate ouăle într-un coș. Municipalitatea are nevoie de această componentă, chiar dacă o să avem cândva, într-un scenariu optimist, un alt spațiu de date aici, în regiune”, a mai spus prof. Brad.

Potrivit sursei citate, Strategia este gândită pe o perioadă de 10 ani, timp în care se pot accesa finanțări prin POR sau PNRR.

“Sunt absolut convins că va ieși ceva foarte bun. Avem procese birocratice pe care trebuie să le simplificăm pentru că discutăm despre digitalizare și transformare digitală. Dacă nu simplificăm, dacă nu aducem la un nivel de fiabilitate procesele birocratice nu vom face nimic altceva decât vom digitaliza niște procese viciate, așa că ne preocupă, în primul rând, simplificarea, identificarea celei mai bune soluții care, ulterior, va căpăta și componenta digitală”, a spus și primarul Ioan Turc.

Consiliul Local Bistrița a aprobat cu 16 voturi ”pentru”, niciun vot împotrivă și nicio abținere ”Strategia integrată de informatizare și transformare digitală a Primăriei municipiului Bistrița”, elaborată în baza contractulului nr.144/L/28.09.2023.

6 comentarii

  • Degeaba securizati primaria cand orasul are strazi lasate in bezna de peste 15 ani. Stau prostalaii in bezna si platesc impozite si nimeni nu deschide gura ca n-au iluminat stradal. Interesanta natie.

    22
    7
  • Sper sa nu fie vulnerabila Primaria citind magariile postacilor neasumati care gandesc doar cu degetul cand dau minusuri si se exprima fara sa stie pe ce lume traiesc.

    3
    38
  • Doamne ajută.Poate se pierde organigrama aia veche si o implementeaza hackerii pe aia nouă care a fost prioritate in ultima campania electorală .Poate se pierd si hotararile de consiliu local prin care se acorda tot felul de sporuri aiurea mugetarilor.

    12
    4
  • Organigrama a fost doar promisiune pentru gâște.Odată câstigate alegerile nu numai xa nu a dat afară jumătate din frecătorii de mentă ai lui Crețu…I- a mai adus si pe ai lui.Ce să atace hackerii in primărie? Bideul?E smart?

    9
    1
  • Cu tot respectul pentru stimabilul domn profesor, dar universitățile din România pe domeniul Cybsecurity formează doar iepurași, și nu tigri!
    De ce?
    Fiindcă tipic românesc, universitățile pregătesc studenții doar pentru DEFENSE (apărare), cunoscute în domeniu ca și “BLUE TEAM” (echipa albastră).
    Universitățile din România ar trebui să pună accent și pe “Offensive Security”, a.k.a “ Ethical Hacking”, cunoscuți în domeniu ca “Red Team” (echipa roșie). Cea mai bună apărare în Cybersecurity este să gândești din perspectiva atacatorului (a hacker-ului).
    Încă nu aveți la universități specializarea de “Offensive Security”, ce să mai vorbim?
    Cât despre securitatea Cyber a Primăriei BN, în maxim 1-2 zile un hacker profesionist ar prelua controlul total. Și asta din extern, fără niciun stick USB, phishing etc (caracterisitce amatorilor).
    Nu credeți?
    Organizați Hackaton legal cu premii de peste 20.000€ și testați-vă securitatea Cyber.

    ./PWN

    5
    2
  • Bai root, in ce limba vorbesti ca nimeni din carcotasi nici chiar eu nu intelegem nimic. Eventual ceea ce zici ziu-o cu ai tai pe meserie. Aici suntem ca bolovanul de nepregatiti la ceea ce ai comentat. Baga un pic si pe romaneste.

    1
    1
Apasă aici ca să comentezi

Reguli pentru comentarii. Click aici.