Kot je že v nedeljo pojasnil direktor urada za informacijsko varnost Uroš Svete, je bil v napadu uporabljen programski virus, ki je onemogočil in zaklenil dostope. Napadalec se za zdaj še ni razkril. Elektrarne po zagotovilih HSE sicer delujejo nemoteno, "počepnilo" je le nekaj spletnih strani, med njimi Termoelektrarne Šoštanj ter Premogovnika Velenje. Po navedbah časnika Delo nekaj dni ni deloval sistem alarmiranja za visoko raven vode, več dni pa ni bilo mogoče trgovati z električno energijo. To je sicer ena ključnih poslovnih dejavnosti HSE. Generalni direktor HSE Tomaž Štorkelj je sicer zagotovil, da trgovanje z električno energijo ni bilo prekinjeno in se izvaja, so pa iz previdnosti nekoliko omejili izvajanje posameznih poslov. Kot še zagotavljajo, "je v HSE ves čas nadzor nad elektrarnami skupine HSE, prav tako je bilo ustrezno poskrbljeno za varnost, nemoteno je deloval tudi sistem alarmiranja za visoke vode."
Ker gre za kaznivo dejanje, se s preiskavo ukvarja Policija. "Policijska uprava Ljubljana je prejela prijavo napada na informacijski sistem ene od gospodarskih družb, s katero aktivno sodelujemo skupaj z ostalimi deležniki za zagotavljanje varnosti na tem področju. Slovenska policija izvaja intenzivno kriminalistično preiskavo, zato več informacij trenutno ne moremo posredovati," tudi danes odgovarjajo na PU Ljubljana.
Po naših informacijah so napadalci verjetno povezani s skupino, ki deluje v sodelovanju z državnim akterjem. V tej smeri naj bi tudi tekla preiskava. Pri tem so uporabili izsiljevalski virus Rhysida, s katerim so uspeli onemogočiti dostop do podatkov oz. jih zakleniti. Gre za programsko opremo, ki je bila uporabljena tudi v napadu na več državnih institucij v Južni Ameriki. Najbolj odmeven je bil letošnji kibernetski napad na čilsko vojsko. Junija je skupina RaaS (The Rhysida ransomware-as-a-service) javno objavila dokumente, ki jih je ukradla s strežnikov čilskih oboroženih sil.
Poleg tega so bili napadeni izobraževalne ustanove, proizvodna podjetja, ponudniki tehnologij in ministrstva. Tarče napadov so bile geografsko porazdeljene po vsej Zahodni Evropi, Severni in Južni Ameriki ter Avstraliji. Ker gre za razmeroma novo hekersko skupino, doslej ni bilo znano, ali deluje v sodelovanju z državnimi akterji. Toda po naših informacijah so bili v tokratni napad z omenjenim virusom vpleteni tuji državni akterji.
Malomarno ravnanje z digitalno varnostjo
Kot smo neuradno izvedeli, so vrata škodljivi programski opremi nenamerno odprli z malomarnim upoštevanjem digitalne varnosti. Gesla so bila namreč shranjena v cloudu oz. oblaku. Sledila sta uspešen vdor v sistem in zaklepanje datotek. Kot je že v nedeljo dejal Svetina, je najpogostejši vzrok za tovrstne kibernetske napade prav slaba kibernetska higiena. Zelo podoben je bil tudi vzrok za uspešen napad na sistem Uprave Republike Slovenije za zaščito in reševanje.
Hekerji naj bi zahtevali milijonsko odškodnino
Razmere v Holdingu Slovenske elektrarne (HSE) so resne, poroča TV Slovenija (TVS). Hekerji od HSE po njihovih neuradnih informacijah zahtevajo milijonsko odkupnino, kar pa so za N1 v HSE zanikali. Zaposleni v HSE naj bi danes ostali doma, Dravske elektrarne Maribor pa naj bi upravljali ročno. Predsednica nadzornega sveta HSE Nevenka Hrovatin v telefonskem pogovoru za TVS odškodninskega zahtevka ni želela komentirati. Sklica izredne seje nadzornega sveta po njenih besedah ne bo, se bodo pa nadzorniki v kratkem sešli na rednem zasedanju, je poročala STA.
V HSE medtem uradno zatrjujejo, da imajo razmere pod nadzorom. Kot so sporočili iz Službe za odnose z javnostmi HSE in Urada vlade RS za informacijsko varnost, ključni sistemi za obratovanje elektrarn in trgovanje delujejo, povezava z ELES-om je vzpostavljena, dobri pa so tudi obeti za vzpostavitev nemotenega delovanja celotne komunikacijske in informacijske infrastrukture brez večjih negativnih posledic. S pomočjo notranjih in zunanjih strokovnjakov so se tekom vikenda vzpostavili tudi pogoji za izvajanje ključnih delovnih procesov, tako da je lahko danes velika večina zaposlenih že opravljala svoje delo. O kibernetskem napadu je HSE nemudoma obvestil vse pristojne institucije in poslovne partnerje ter v zvezi s tem sprejel vse potrebne ukrepe. Še vedno potekata natančna analiza in diagnostika dogajanj v preteklih dneh, pri čemer HSE tvorno sodeluje s policijo in Uradom Vlade RS za informacijsko varnost (URSIV), ki je ravno sodelovanje s HSE in njegovo proaktivnost izpostavil kot primer dobre prakse.
Dr. Uroš Svete, direktor URSIV, trdi, da "skupina HSE ob kibernetskem incidentu deluje transparentno in v stalni komunikaciji z deležniki kibernetske varnosti v Republiki Sloveniji. Na podlagi trenutnih informacij incident nima pomembnega vpliva na neprekinjeno izvajanje bistvenih storitev pri proizvodnji in prenosu električne energije v Republiki Sloveniji. Prav tako nismo zaznali medsektorskega vpliva incidenta, novega incidenta ali stopnjevanja incidenta. V kolikor bo potrebno, bo URSIV po opravljeni analizi incidenta predlagal Vladi RS ustrezne dodatne sistemske in druge ukrepe za dvig kibernetske varnosti v energetskem sektorju." Ostalih podrobnosti zaradi postopkov preiskave, ki še potekajo, ne morejo komentirati, dodajajo.
Napad se je zgodil s srede na četrtek. HSE ga je takoj prijavili nacionalnemu uradu za kibernetske incidente na Si-CERT. Kot je pojasnil Svete, je najprej kazalo, da so na HSE z izvedenimi ukrepi incident zamejili, nato pa je v noči s petka na soboto incident postal intenzivnejši in bolj razširjen.
KOMENTARJI (106)
Opozorilo: 297. členu Kazenskega zakonika je posameznik kazensko odgovoren za javno spodbujanje sovraštva, nasilja ali nestrpnosti.