Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego CSIRT GOV, prowadzony przez szefa Agencji Bezpieczeństwa Wewnętrznego, w 2019 roku odnotował blisko 227 tys. zgłoszeń o potencjalnym wystąpieniu incydentu teleinformatycznego w systemach instytucji administracji rządowej oraz infrastruktury krytycznej. To znacznie więcej niż w 2018 r., kiedy to odnotowano ponad 31 tys. tego typu zgłoszeń.
Spośród zgłoszonych zdarzeń Zespół CSIRT GOV zarejestrował 12 405 incydentów cybernetycznych, rozumianych jako zdarzenie, które ma lub może mieć niekorzystny wpływ na cyberbezpieczeństwo państwa. W 2018 roku faktycznych incydentów odnotowano ponad 6 tys. To wskazuje na znaczną intensyfikację złośliwego ruchu w cyberprzestrzeni RP.
Jak wynika z „Raportu o stanie bezpieczeństwa cyberprzestrzeni RP w 2019 roku", największy napływ zgłoszeń o potencjalnym zagrożeniu bezpieczeństwa teleinformatycznego miał miejsce w II kwartale 2019 roku. Jest to bezpośrednio związane ze złośliwą aktywnością sieciową w kierunku centralnych organów administracji publicznej oraz administracji rządowej oraz wzmożoną aktywnością kampanii phishingowych, które rozsyłane były na szeroką skalę w internecie.
Wzrost liczby zgłoszeń w dużej mierze wynika z automatycznych systemów wykorzystywanych przez CSIRT GOV m.in. systemu ARAKIS GOV. System ARAKIS GOV to dedykowany, rozproszony system wczesnego ostrzegania o zagrożeniach teleinformatycznych występujących na styku sieci wewnętrznej z siecią internet. Głównym zadaniem systemu jest wykrywanie i zautomatyzowane opisywanie zagrożeń występujących w sieciach teleinformatycznych. Skuteczność systemów wczesnego ostrzegania przekłada się na wzrost liczby zgłoszeń o potencjalnych zagrożeniach, stąd tak znaczny ich wzrost w stosunku do lat poprzednich.
Z raportu zespołu CSIRT GOV wynika, że do najczęściej identyfikowanych w 2019 r. typów incydentów należą:
- wirusy (7219) – stanowią aż 58 proc. wszystkich incydentów cybernetycznych. W tej kategorii mieszczą się głównie zgłoszenia identyfikowane przez system ARAKIS GOV i dotyczą one alarmów, które mogą świadczyć o infekcji stacji roboczej w instytucji administracji państwowej lub operatora infrastruktury krytycznej;
- skanowanie (1878) – to incydenty, które również były identyfikowane przez system ARAKIS GOV i dotyczą one złośliwego, podejrzanego ruchu skierowanego na adresację podmiotów podległych CSIRT GOV;
- kampanie phishingowe (1178) - w większości są rozsyłane w sposób masowy; stanowią realne zagrożenie dla bezpieczeństwa systemów teleinformatycznych i mogą być fazą inicjującą bardziej rozległy atak;
- podatność (1016), czyli słabość systemu wynikająca m.in. z błędnej konfiguracji lub braku wdrożonych odpowiednich polityk bezpieczeństwa związanych z aktualizacją oraz weryfikacją poprawnie wdrożonych rozwiązań teleinformatycznych;
- niedostępność (290), czyli ataki polegające na zablokowaniu usługi, mogące skutkować utratą wizerunku instytucji lub narażeniem jej na koszty;
- spam (210), czyli masowe rozsyłanie niepożądanych informacji;
- inne formy incydentów.
Zgodnie z danymi Zespołu CSiRT GOV w 2019 roku ataki na sieci monitorowane przez system ARAKIS GOV były wyprowadzane przede wszystkim z następujących państw: Rosja (28 proc.), USA (13 proc.), Niderlandy (12 proc.), Polska (10 proc.) i Chiny (8 proc.).
Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego zabezpieczał polską cyberprzestrzeń podczas ważnych wydarzeń politycznych i kulturowych, które miały miejsce na terenie RP w 2019 roku. W trakcie trwania wyborów do Sejmu i Senatu w październiku 2019 roku nie odnotowano incydentów z obszaru cyberbezpieczeństwa, które mogłyby skutkować przełamaniem zabezpieczeń sieci lub systemów podmiotów administracji państwowej bądź operatorów infrastruktury krytycznej.