Nacionalni odzivni center za kibernetsko varnost (SI-CERT) je že pripravil poročilo v zvezi s kibernetskim napadom na informacijski sistem Uprave za zaščito in reševanje (URSZR). Po naših neuradnih informacijah naj bi pregled podatkov o dostopnih storitvah in morebitnih ranljivostih na naslovnem prostoru URSZR kazal na zelo razširjen nabor ranljivosti. Teh naj bi bilo kar 954, tri od njih pa naj bi imele glede na skupni sistem točkovanja ranljivosti (CVSS) najvišjo oceno: 10.
S pomočjo trojanskega konja naj bi prišlo do zlorabe štirih uporabniških računov. Ker so tri od njih uporabljali na lokaciji v Slovenj Gradcu, pa naj bi bila možna okužba več računalnikov ali pa enega sistema v skupni rabi. Po naših neuradnih informacijah naj bi tri uporabniške račune uporabljali dve osebi v partnerski zvezi, kar bi lahko pomenilo, da je do odtujitve podatkov prišlo na domačem računalniku, iz katerega sta se povezovala v omrežje URSZR.
Napadalci naj bi vdrli še v domenski administratorski račun, s katerim je mogoč dostop do vseh sistemov v domeni. Prav skozi ta račun naj bi imeli tako napadalci prost dostop do omrežja URSZR, kar jim je omogočilo napad z izsiljevalskim virusom. Na enem od IP naslovov naj bi bil prosto deljen tudi omrežni disk prek protokola SMB. Gre za komunikacijski protokol, ki je namenjen zagotavljanju skupnega dostopa do datotek in tiskalnikov v omrežju sistemov.
Vsi omenjeni uporabniški računi naj bi uporabljali tudi enako, enostavno geslo. Čeprav jim sistem omogoča dvostopenjsko preverjanje pristnosti (2FA), to ni bilo vključeno.
Uporabniško ime: urszr, geslo: urszr
Na slabo prakso pri upravljanju z gesli kaže tudi dejstvo, da je bilo v aplikacijo SPIN možno vstopiti z uporabniškim računom urszr in geslom urszr. Kot kaže, te malomarne prakse po napadu niso spremenili, saj smo se z uporabniškim imenom in geslom v sistem uspešno vpisali še danes popoldan. Napako so nato, po našem klicu in opozorilu, končno odpravili.
Po kibernetskem napadu sistem za poročanje o intervencijah (SPIN) sicer več dni ni deloval. Čeprav je klicna številka 112 delovala ves čas, so morali operaterji po sprejemu klica podatke zabeležiti ročno. Z URSZR so sporočili, da aplikacija za obveščanje in poročanje o nesrečah SPIN sicer od nedelje, 21. avgusta ponovno deluje.
Do prvega nepooblaščenega dostopa prišlo že konec julija
Do zlorabe računov in nepooblaščenega dostopa v sistem naj bi po naših informacijah sicer prišlo že dober mesec preden je URSZR izdal obvestilo o napadu, in sicer 24. julija. Pri napadu naj bi bili storilci dovolj previdni, vedno naj bi namreč uporabljali dostop skozi VPN storitve, ki ne beležijo in ne razkrivajo podatkov o svojih uporabnikih.
Obvestilo o zaznani povezavi na enega od strežnikov URSZR naj bi na SI-CERTU prejeli tudi s strani francoskega odzivnega centra za kibernetsko varnost (CERT-FR), prejeti podatki pa naj bi se ujemali tudi z njihovimi ugotovitvami iz pregleda dnevniških zapisov.
SI-CERT naj bi med drugim priporočil forenzični pregled sistema, uporabo dvostopenjskega preverjanja pristnosti in neodvisni varnostni pregled omrežja URSZR. Poleg tega se jim zdi nujna stroga politika nadgradenj in spremljanja ranljivosti na sistemih. "Poročilo smo prejeli in ga bomo upoštevali," so medtem sporočili z URSZR. "Informacijsko omrežje je ponovno vzpostavljeno, uporabniki pa se ponovno vključujejo v omrežje," še dodajajo.
Informacijski sistem URSZR bodo integrirali v informacijske sisteme Ministrstva za obrambo
Uprava za zaščito in reševanje je sicer vedno želela biti neodvisna od Ministrstva za obrambo in sprva želela ponovno uporabiti napadene strežnike, a so morali na koncu vendarle uporabiti precej bolj varne strežnike ministrstva. "Zaradi čimprejšnje vzpostavitve novega informacijskega sistema smo uporabili najsodobnejše in temu primerno varnejše serverje, ki nam jih zagotovilo Ministrstvo za obrambo," so prejšnji teden pojasnili na URSZR.
"Na Ministrstvu za obrambo smo nemudoma pristopili k iskanju sistemskih rešitev za odpravo pomanjkljivosti in zmanjšanje ranljivosti informacijskega sistema URSZR," medtem sporočajo z ministrstva. Kot pravijo, je minister že izdal sklep o vzpostavitvi koordinacije na področju informacijskih in komunikacijskih sistemov z namenom izboljšanja in poenotenja tehničnih, varnostnih in organizacijskih postopkov in ukrepov na omenjenem področju, s končnim ciljem, da se informacijski sistem URSZR, ob upoštevanju zahtevanih varnostnih standardov, integrira v informacijske sisteme Ministrstva za obrambo.
V sklopu koordinacije naj bi med drugim poenotili tudi organizacijske in procesne rešitve ter načrtovanje, izgradnje, vzdrževanje in razgradnje komunikacijskih in informacijskih sistemov. Prav tako naj bi uporabljali enotne kibernetske obrambe.
Vodja Službe za informatiko na dopustu ostal še dva dni po napadu
Poročali smo že, da je bil vodja Sektorja za opazovanje, obveščanje in alarmiranje Boštjan Tavčar, ki je tudi eden od ustanoviteljev Piratske stranke, v času kibernetskega napada na dopustu in da dopusta kljub napadu ni prekinil. Na ministrstvu so pojasnili, da je bil v času napada na dopustu v tujini. Dopust je nato v petek, dva dni po dogodku, prekinil in se vrnil v službo. "Od začetka dogodka je bil ves čas na zvezi z odgovornimi na URSZR," so še sporočili z ministrstva. Na vprašanje, zakaj se z dopusta ni vrnil že prej, niso odgovorili.
So pa zadevo komentirali tudi v Piratski stranki. "Delo na daljavo postaja običajna oblika dela, ki omogoča, da v nujnih primerih delo opravijo tudi na daljavo, celo ko so na dopustu," je zapisal Jasmin Feratović, sekretar Piratske stranke Slovenije. V uredništvu se sprašujemo, kako učinkovito je lahko delo opravljal na daljavo, glede na to, da serverji zaradi kibernetskega napada niso delovali, poleg tega pa se je, kot je opisano zgoraj, prav delo od doma izkazalo za usodno.
"V dobro organiziranih službah mora delo teči normalno, tudi ob odsotnosti ene ali več ključnih oseb, saj imajo te svoje namestnike," še dodajajo v Piratski stranki, vendar pa velja opozoriti, da je šlo za kibernetski napad na eno ključnih institucij, ki skrbi za nacionalno varnost v državi, zato se pravočasni odziv vodje službe, ki skrbi za informatiko, zdi nujen.
Tudi direktor Urada za informacijsko varnost Uroš Svete je izpostavil, da je sistem zaščite in reševanja eden od treh stebrov nacionalne varnosti v Sloveniji. "Glede na to, kje se je zgodil incident, je seveda nujno, da ga jemljemo resno," je poudaril, dodal, da je pomembno, da se napad tudi čimprej sanira, in pojasnil, da incident ocenjujejo kot resnega.
Dodali so, da je Tavčar sicer predsednik Piratske stranke, a da to ni povezano z njegovim poklicnim delom, trdijo tudi, da je naše poročanje o incidentu politično motivirano in da naj bi šlo za "politično obračunavanje v predvolilnem času". Medtem pa je Tavčarjev sistem neustrezno zavarovan.
KOMENTARJI (46)
Opozorilo: 297. členu Kazenskega zakonika je posameznik kazensko odgovoren za javno spodbujanje sovraštva, nasilja ali nestrpnosti.