Byli pewni, że są bezpieczni – co ujawnił audyt?
Audyt cyberbezpieczeństwa w urzędzie – wprowadzenie
Wielu pracowników administracji publicznej jest przekonanych, że skoro „mamy antywirusa, zapory i logowanie do domeny”, to organizacja jest bezpieczna.
Nasze doświadczenia pokazują jednak, że nawet w urzędach powiatowych czy gminnych występują luki krytyczne, które w praktyce pozwalają przejąć pełną kontrolę nad środowiskiem IT.
W tym artykule opisujemy prawdziwy scenariusz z ćwiczenia Red Team, które przeprowadziliśmy dla jednej z instytucji samorządowej. Efekt? Pełne przejęcie kontrolera domeny w kilka minut i dostęp do poufnych danych.
Krytyczna luka: kontroler domeny na Windows Server 2008 R2
Podczas rekonesansu okazało się, że jeden z kontrolerów domeny działał na systemie Windows Server 2008 R2 – od lat niewspieranym przez Microsoft.
Co gorsza, był podatny na lukę w protokole RDP (Remote Desktop Protocol), umożliwiającą zdalne wykonanie kodu bez uwierzytelnienia.
➡️ W praktyce oznaczało to, że potencjalny atakujący mógłby przejąć pełną kontrolę nad domeną w kilka minut.
Poufne dane dostępne dla każdego pracownika
Drugim poważnym problemem były niezabezpieczone udziały sieciowe. Każdy użytkownik domeny, bez dodatkowych uprawnień, miał dostęp do:
- kluczy szyfrowania,
- plików konfiguracyjnych systemów biznesowych,
- dokumentów z wrażliwymi danymi,
- haseł do skrzynek pocztowych zapisanych w jawnym tekście.
Takie znaleziska sprawiają, że atak lateralny w sieci staje się banalnie prosty.
Socjotechnika działa – jak łatwo wejść do urzędu
Podczas testu zauważyliśmy też poważne braki w zakresie higieny pracy:
- pozostawianie aktywnych komputerów bez blokady ekranu,
- brak polityki haseł wymuszającej złożoność i rotację,
- chęć „pomocy” osobom z zewnątrz bez weryfikacji tożsamości.
Jeden z naszych testerów podszył się pod „osobę od konserwacji sieci”. Bez problemu pozwolono mu podłączyć komputer do sieci urzędu, a nawet udostępniono stację roboczą.
➡️ W prawdziwym ataku oznaczałoby to natychmiastowe przejęcie środowiska.
Wyniki audytu cyberbezpieczeństwa w urzędzie
W krótkim czasie zespół Red Team był w stanie:
- przejąć kontroler domeny i uzyskać pełne uprawnienia administracyjne,
- odczytać poufne dane (klucze szyfrowania, hasła, pliki konfiguracyjne),
- uzyskać dostęp do poczty wielu użytkowników,
- wykazać, że pracownicy są podatni na socjotechnikę i nie stosują procedur bezpieczeństwa.
Jak zabezpieczyć urząd przed podobnym scenariuszem?
Na podstawie testu zarekomendowaliśmy m.in.:
- Natychmiastową wymianę kontrolera domeny na wspierany system Windows Server, wraz z pełną aktualizacją środowiska.
- Segregację i ograniczenie udziałów sieciowych – dostęp tylko dla uprawnionych grup.
- Wdrożenie polityk haseł (złożoność, rotacja, brak przechowywania w plikach).
- Szkolenia z socjotechniki – szczególnie w zakresie weryfikacji tożsamości osób z zewnątrz.
- Obowiązkowe blokowanie stacji roboczych po krótkim czasie bezczynności.
- Monitoring i alertowanie prób exploitacji RDP oraz dostępu do krytycznych udziałów.
👉 „Dowiedz się, jak wdrożyć w urzędzie: SZBI System Zarządzania Bezpieczeństwem Informacji zgodny z ISO/ IEC 27001.”
Podsumowanie
Opisany przypadek pokazuje, że poczucie bezpieczeństwa nie ma nic wspólnego z realnym bezpieczeństwem.
👉 „Więcej o naszych audytach cyberbezpieczeństwa znajdziesz na stronie NT Group.”
Nawet najbardziej lojalni i doświadczeni pracownicy mogą nieświadomie ułatwić atakującemu przejęcie systemów.
Dopiero połączenie:
- testów technicznych,
- analizy konfiguracji,
- symulowanych ataków socjotechnicznych,
daje prawdziwy obraz faktycznego poziomu ochrony organizacji.
👉 Jeśli chcesz sprawdzić, jak wygląda sytuacja w Twoim urzędzie – skontaktuj się z nami i umów audyt cyberbezpieczeństwa.
Koszt audytu w zależności od „wielkości” urzędu wynosi od 5000 – 30 000zł
Specjalnie dla czytelników tego artykułu przygotowaliśmy dodatkowy rabat. Skorzystaj z formularza i zacznij pisać od słowa: URZAD50. Dostaniesz specjalną cenę.
Zapraszamy
