Atak na dostawcę podpisów elektronicznych - klienci to Miasto Stołeczne Warszawa, PKP, Poczta Polska, IBM, UNIQA

Firma EuroCert, która jest dużym polskim dostawcą podpisów elektronicznych, poinformowała 15 stycznia, że 12 stycznia w godzinach nocnych został przeprowadzony atak hakerski typu ransomware.

EuroCert działa na rynku od 2012 roku i jest jedną z pięciu firm w Polsce, która świadczy kwalifikowane usługi zaufania na podstawie statusu przyznanego jej przez Narodowe Centrum Certyfikacji NBP.

Oferuje ona m.in. elektroniczne podpisy, pieczęcie i znaczniki czasu.

W gronie jej klientów znajdują się podmioty publiczne i firmy, m.in.: Miasto Stołeczne Warszawa, Polskie Koleje Państwowe, Poczta Polska, Scania, Warbud, IBM, UNIQA.

Atak doprowadził do naruszenia ochrony danych osobowych poprzez złośliwe oprogramowanie szyfrujące pliki przechowywane na serwerach.

Zdarzenie to doprowadziło do utraty dostępności oraz poufności danych osobowych klientów, kontrahentów i pracowników EuroCert Sp. z o.o.

EuroCert  wykluczył skompromitowanie wydanych certyfikatów, które są elementami potrzebnymi do elektronicznego podpisywania dokumentów. Nie ma potrzeby unieważniania certyfikatów.

Certyfikaty na fizycznych urządzeniach (kartach/tokenach) są w posiadaniu właścicieli, a nie w zasobach infrastruktury EuroCert. Użycie certyfikatu wymaga dostępu do urządzenia oraz kodu PIN.

W przypadku certyfikatów chmurowych ECSigner klucze kryptograficzne nie zostały skompromitowane, a wszystkie hasła zostały zresetowane. Użytkownik przed użyciem musi nadać nowe hasło. Ponadto uwierzytelnienie odbywa się także przy pomocy jednorazowego kodu w aplikacji na telefonie (uwierzytelnianie dwuskładnikowe).

Naruszenie mogło obejmować następujące dane osobowe:

- Dane identyfikacyjne;

- Dane kontaktowe (adres e-mail, numer telefonu);

- Numer PESEL;

- Imię, nazwisko, data urodzenia;

- Seria i numer dowodu osobistego;

- Nazwa użytkownika i/lub hasło;

- Wizerunek.

Ministerstwo Cyfryzacji podało, że trwa analiza tego przypadku, która jest prowadzona przez CSIRT NASK. Współpracują z nimi Centralne Biuro Zwalczania Cyberprzestępczości, inne krajowe CSIRT-y oraz Ministerstwo Cyfryzacji. Celem podsumowania wyników przedmiotowej analizy oraz podjęcia dalszych działań naprawczych zwołane zostało posiedzenie Zespołu do spraw Incydentów Krytycznych.

Zalecenia Pełnomocnika Rządu do spraw Cyberbezpieczeństwa:

Aby zminimalizować skutki ataku i zapobiec dalszym zagrożeniom, Pełnomocnik Rządu do spraw Cyberbezpieczeństwa rekomenduje następujące działania:

1.    Przegląd infrastruktury.

Należy przeanalizować dane przetwarzane oraz rozwiązania udostępniane przez EUROCERT, aby zidentyfikować możliwe cyberataki na obecnych i byłych kontrahentów.

2.    Zablokowanie zdalnego dostępu i powiązań infrastruktury IT z EUROCERT.

Ważne jest, aby uniemożliwić potencjalny nieuprawniony dostęp do własnej infrastruktury.

3.    Analiza logów od dnia 1 listopada 2024 r.

Należy sprawdzić logi systemowe, aby wykryć możliwe przypadki nieuprawnionego użycia powiązań międzysystemowych czy kont serwisowych.

4.    Zmiana poświadczeń do wszystkich kont i systemów związanych z EUROCERT.

Trzeba zaktualizować wszystkie dane logowania.

5.    Wdrożenie dwuskładnikowego uwierzytelniania dla kont zewnętrznych.

Należy wprowadzić dodatkowe zabezpieczenia w postaci dwuskładnikowego uwierzytelniania.

6.    Monitorowanie kampanii socjotechnicznych, które wykorzystują wizerunek EUROCERT.

Zaleca się wzmożoną czujność wobec prób wyłudzania informacji, które mogą wykorzystywać nazwę firmy w tym podszywające się pod informację o wycieku danych.

7.    Przeprowadzenie analizy ryzyka korzystania z podpisów kwalifikowanych oraz pieczęci dostarczanych przez EUROCERT.

Należy przeanalizować możliwość nieuprawnionego wykorzystania usług zaufania dostarczonych przez EUROCERT oraz nieuprawnionego wykorzystania danych osobowych posiadanych przez EUROCERT, w szczególności w podmiotach administracji publicznej.

8.    Zgłaszanie incydentów do odpowiednich zespołów CSIRT.

Każdy podejrzany incydent powinien być bezzwłocznie zgłoszony do odpowiedniego CSIRT-u.