Grzegorz Hunicz: Standardowe zabezpieczenia telefonicznych sieci urzędów są łatwe do złamania

W magistracie Białej Podlaskiej miał miejsce przypadek nieuprawnionego skorzystania z sieci teleinformatycznej urzędu.

– Przestępstwo naraziło samorząd na straty finansowe w wysokości około 50 tys. zł – komentuje Renata Szwed, dyrektor Gabinetu Prezydenta Miasta.

Według Grzegorza Hunicza, dyrektora Wydziału Informatyki i Telekomunikacji w UM w Lublinie, nawet 50 proc. polskich gmin i miast korzysta z głosowych połączeń telefonicznych realizowanych przy użyciu technologii internetowych. Jest to tańsze, bardziej elastyczne i mobilne rozwiązanie telekomunikacyjne niż instalacja oddzielnych sieci telefonicznych i komputerowych. Jednocześnie system ten zwiększa ryzyko nadużyć.

– Standardowe zabezpieczenia telefonicznych sieci urzędowych nie są trudne do złamania. Sposobem na ich uskutecznienie jest tworzenie silnych, czyli trudnych do złamania, haseł dostępu do usług telefonii internetowej oraz szyfrowanie połączeń – tłumaczy Hunicz. – Warto wyposażyć urząd w oprogramowanie wykrywające włamania do sieci i próby nielegalnego dostępu, które jest dostępne również na otwartej licencji. Dodatkowe zabezpieczenia przed stratami można określić w umowie z dostawcą usług telekomunikacyjnych, np. ustawić limit na jednostkowe rozmowy do wartości np. 100 zł. Przede wszystkim jednak należy pamiętać, aby usługi telefonii w samorządzie nie były ogólnodostępne w internecie.

Haker, który włamał się do sieci teleinformatycznej w urzędzie Białej Podlaskiej z komputera zlokalizowanego w USA, wykonywał połączenia do Zimbabwe. Hunicz tłumaczy, że jest to przykład standardowego sposobu działania hakerów.

– Przestępca najprawdopodobniej wykupił usługę telefoniczną o podwyższonej opłacie, u „egzotycznego” operatora np. odpowiednik polskiego 0700, a potem włamał się do sieci w Polsce za pośrednictwem serwera w USA, który automatycznie generuje kilka tysięcy haseł dostępu na minutę. Straty finansowe są, moim zdaniem, nie do odzyskania, chyba, że umowa z usługodawcą zawierała specjalną klauzulę, na podstawie której można domagać się zwrotu należności w takich przypadkach. W dużych towarzystwach ubezpieczeniowych są również dostępne ubezpieczenia typu cyber risk umożliwiające odzyskanie części tak poniesionych strat. (abg)