Raport audytora dotyczący „niszczącego” cyberataku, który kosztował Hackney Council miliony funtów, był dyskutowany za zamkniętymi drzwiami przez polityków.
Hakerzy zaatakowali radę za pomocą oprogramowania ransomware Pysa (Mespinoza) w październiku 2020 r., a w styczniu następnego roku cyberprzestępcy opublikowali w ciemnej sieci dokumenty, które rzekomo zawierały dane osobowe pracowników rady i mieszkańców.
Rada stwierdziła, że danych nie można znaleźć za pomocą wyszukiwarek, a większość danych osobowych lub wrażliwych nie została naruszona.
Włamanie to kosztowało radę miliony pod względem powrotu do zdrowia i utraconych dochodów, i mocno uderzyło, gdy znalazł się w środku pandemii.
Uderzył w szereg usług, w tym w system świadczeń, który ma wpływ na oceny świadczeń dla tysięcy mieszkańców, a także w poszukiwania własności gruntów, które uderzyły w poszukiwaczy domów i sprzedawców.
Radni z komisji audytu rady Hackney zapoznali się z raportem zespołu IT audytorów Mazars na osobności, na posiedzeniu rady w dniu 5 stycznia.
Oficer monitorujący rady, Dawn Carter-McDonald, powiedział, że opinia publiczna nie mogła usłyszeć o treści raportu ani go przeczytać. Powołała się na zwolnienie na mocy przepisów samorządowych ze względu na „informacje dotyczące wszelkich działań podjętych lub mających zostać podjętych w związku z zapobieganiem, dochodzeniem lub ściganiem przestępstw”.
Radny Nick Sharman, który przewodniczy komisji, powiedział: „To jeden z najbardziej niszczycielskich ataków, jakie otrzymaliśmy. Miało to szkodliwy wpływ zarówno na działalność rady, jak i na mieszkańców, a my z pewnością chcemy dzielić się jak największą ilością informacji”.
Powiedział, że skorzystał z porady oficera monitorującego i mogą wystąpić „możliwe konsekwencje przestępczości”.
Sharman powiedział, że jest „wrażliwy” na argumenty przemawiające za upublicznieniem treści i sprawdzi, jakie informacje można opublikować.
Służby Rady wciąż wracają do zdrowia
Od ponad roku służby przychodów i świadczeń mają obecnie do czynienia z zaległościami, ale opieka społeczna nie ma „pełnego zestawu funkcji”, których potrzebuje, aby normalnie prowadzić dział.
W jawnym raporcie dyrektor finansowy grupy rady, Ian Williams, powiedział: „Po pracach wykonanych przez zespół audytu IT Mazars, w odpowiedzi na atak cybernetyczny w radzie, Mazars doszli do wniosku, że są usatysfakcjonowani, że we wszystkich istotnych aspektach , rada wprowadziła odpowiednie ustalenia w celu zapewnienia oszczędności, wydajności i skuteczności w wykorzystaniu zasobów na rok zakończony 31 marca 2020 r.”
Rada stwierdziła, że nadal pracuje nad odzyskaniem danych utraconych podczas ataku ransomware. Powiedział, że najbardziej krytyczne usługi IT to:
- Mozaika (opieka społeczna)
- Akademia (korzyści i przychody)
- M3 (planowanie i opłaty gruntowe)
- Dostarczenie nowoczesnych narzędzi cyfrowych w celu zastąpienia dotychczasowego systemu w budownictwie mieszkaniowym
Dalsze prace potrzebne do odzyskania systemów
W publicznym raporcie stwierdzono: „We wszystkich przypadkach poczyniono postępy, ale ze względu na poważny i złożony charakter ataku nadal potrzebne są dalsze prace, aby w pełni odzyskać usługi”.
W niektórych, takich jak przetwarzanie przychodów i korzyści, prace związane z przywracaniem systemu są na tyle zaawansowane, że zespoły serwisowe są teraz w stanie zająć się zaległościami, które narosły w wyniku ataku.
W innych usługach, na przykład opiece społecznej, zespoły serwisowe mają dostęp do podstawowych danych, które zostały odzyskane, ale nie mają jeszcze dostępu do pełnego zestawu funkcji wymaganych do normalnego działania.
„Istnieją niektóre zestawy danych, w których prace związane z odzyskiwaniem nadal podlegają dochodzeniu technicznemu, więc terminy odzyskiwania nie są jeszcze jasne” – czytamy w raporcie.
Raport dyrektora finansowego grupy Rady, Iana Williamsa, powiedział: „Kiedy atak został wykryty w październiku 2020 r., podjęto natychmiastowe prace w celu odizolowania wewnętrznie hostowanych systemów i sieci Rady oraz powiadomienia krajowych organów ds. bezpieczeństwa cybernetycznego. ”
Powiedział jednak, że nadal istnieje ryzyko, że prace naprawcze mogą wprowadzić nowe luki lub ponownie wprowadzić luki, które istniały w momencie ataku. W raporcie stwierdzono, że prace naprawcze mogą również prowadzić do zatrzymania elementów ataku, które mogą zostać ponownie wykorzystane w przyszłości.
Dalsze ryzyko pozostaje związane z danymi skradzionymi i opublikowanymi w ciemnej sieci w styczniu 2021 r.
Wysiłki mające na celu zmniejszenie wysokiego ryzyka cyberataków
Rada ocenia ryzyko korporacyjne związane z cyberatakiem na czerwono i oznacza je jako 15, w porównaniu z celem 10 w rejestrze ryzyka. Stwierdzono również, że ryzyko dla bezpieczeństwa informacji, w tym „wypadnięcie” z cyberataku, wynosi 20 w porównaniu z celem dziewięciu.
Jedyne większe ryzyko to spowolnienie gospodarcze i wpływ finansowania wsparcia specjalnych potrzeb edukacyjnych, które ocenia się na 25.
W raporcie dotyczącym zarządzania ryzykiem korporacyjnym stwierdzono, że liczne wydarzenia zewnętrzne mają znaczny wpływ na cele rady, w szczególności pandemia koronawirusa i cyberatak z października 2020 r.
„Obszary takie jak finanse (z cięciami budżetowymi, a zwłaszcza obecnymi wyzwaniami, takimi jak niestabilny rynek energii i szybki wzrost kosztów życia) były problematyczne już przed pandemią, a teraz się nasiliły, a cyberatak poważnie wpłynął na skuteczne działanie niektóre usługi” – czytamy w raporcie.
Cyberhakerzy zaatakowali radę Gloucestershire w grudniu 2021 r. Dotknięte usługi obejmowały przychody i korzyści oraz planowanie.
Rady w Salisbury, Copeland i Islington zostały dotknięte cyberatakami podczas sierpniowego święta państwowego w 2017 r. Hakerzy bezskutecznie prosili o okup w bitcoinach w zamian za dane.
Badanie przeprowadzone przez Big Brother Watch wykazało, że 114 rad miało co najmniej jedno naruszenie systemu komputerowego w latach 2013-2017, a 25 z nich doznało utraty lub naruszenia danych.