Direktor urada za informacijsko varnost Uroš Svete je popoldan stopil pred kamere in podal informacije o obsežnem kibernetskem napadu, katerega tarča je skupina HSE (Holding slovenske elektrarne). Kot je pojasnil, je bil kibernetski incident prvič zaznan v noči s srede na četrtek, ko so ga tudi nemudoma prijavili nacionalnemu uradu za kibernetske incidente na Si-CERT.
Nacionalni urad pa je še isti dan obvestil urad za informacijsko varnost, ki je nato informacijo prenesel tudi do operativne skupine sekretariata sveta za nacionalno varnost. "Obveščen je tudi kabinet predsednika vlade," je dejal.
Kaj se je zgodilo?
Po prvih informacijah naj bi prišlo do kompromitacije samega sistema, uspešnega poskusa penetriranja in poskusa zaklepanja datotek. Kot je pojasnil Svete, je najprej kazalo, da so na HSE z izvedenimi tehničnimi ukrepi incident zamejili. "A nato je v noči s petka na soboto incident postal intenzivnejši, zaradi česar so nas zjutraj obvestili, da se incident v HSE širi." Ob tem so se v podjetju angažirale tako lastne kot zunanje strokovne ekipe.
"Delamo vse, da bi čim prej prišli do prvega jasnega vzroka samega napada oz. uspešno izvedenega incidenta in s tem ugotovili potencialno širšo grožnjo ostalim sistemom v Republiki Sloveniji," je še povedal. Ekipe na lokacijah skušajo čim prej restavrirati poslovne sisteme prizadetih tarč, prav tako pa skušajo čim prej pridobiti t. i. indikatorje zlorab, da bi se lahko pravočasno odzvali. Ob tem so preventivno vsem z zakonom zavezanim podjetjem že izdali navodila.
Za zdaj sicer tarča napada še ni prejela nobene zahteve po odkupnini podatkov, vendar pa to še ne pomeni, da ne gre za izsiljevalski virus. "S tem terminom namreč označujemo vso programsko opremo, ki nam onemogoča dostop do podatkov oz. jih po domače povedano zaklene. Ali pa jih, kot je bilo v primeru Ukrajine, popolnoma pobriše, da niso več obnovljivi. To pomeni, da lahko izgubimo kontrolo nad določenimi podsistemi," pojasnjuje Svete, ki ocenjuje, da gre v konkretnem primeru za incident, ki ima bistveno daljše časovno obdobje.
Verjame tudi, da se je incident zgodil že veliko pred sredo: "Vsak tak incident ima namreč fazo priprave, skeniranja, ugotavljanja ranljivosti in čakanja. To se lahko razširi tudi na več mesecev."
Pri kibernetskem napadu na informacijske sisteme skupine HSE je bila programska koda oz. virus, ki je onemogočil oz. zaklenil dostope. "Z izsiljevanjem bi torej nekdo to izkoristil in od podjetja zahteval neko odkupnino za ponoven dostop do podatkov. Tega po naših informacijah še ni. Je pa dejstvo, da tudi dostopa še ni."
Kakšne so posledice?
Na HSE zatrjujejo, da elektrarne skupine HSE obratujejo nemoteno, proizvodnja električne energije pa da zaradi vdora v informacijski sistem ni ogrožena.
Slednje so zagotovili tudi uradu za informacijsko varnost: "Po njihovem zagotovilu naj ne bi bilo poslovnih posledic oz. direktnih implikacij na proizvodnjo električne energije. Kontaminirani sistemi naj bi bili tako zgolj znotraj samega HSE, v poslovnem smislu. Ni torej še prišlo za eskalacijo v fizični prostor, prav tako pa tudi ne za eskalacijo v neke druge informacijske sisteme."
Zaenkrat torej posledic na samo fizično infrastrukturo ali oskrbo in proizvodnjo ni, "najbolj problematično za urad pa je, ko skušamo tudi tehnično izostriti samo ozadje incidenta, da lahko na osnovi značilnosti ostalih podjetij in infrastrukture tudi ustrezno odreagiramo".
Imajo sicer, kot je pojasnil, tudi zakonsko možnost, da razglasijo stanje povečane ogroženosti, vendar pa za to potrebujejo konkretno informacijo, ki pa je zaenkrat še nimajo. V takšnem primeru pa bi sicer v uradu izdali odločbe, "ki niso več navodila ali metodološka podpora, temveč zelo konkreten ukrep, kaj morajo zavezanci narediti".
Svete je zagotovil še, da bodo, če bi lahko prišlo do širših posledic, sproti obveščali. "Če pride do kontaminacije nekega produkta, ki ga uporablja mnogo podjetij in tudi državljanov, se lahko razširi tudi sama velikost problema."
Kako so napad zaznali?
Napad so zaznali s pomočjo sistemov SIEM, ki so tudi prav za to posebej vzpostavljeni sistemi omrežne varnosti. "Pomembno je da se čim bolj natančno zajame datum same iniciacije. Na osnovi tega lahko namreč ugotoviš, koliko varnostnih kopij je lahko kontaminiranih, če se zadeva širi," je pojasnil Svete.
Najpogostejši vzroki za tovrstne kibernetske napade so sicer po besedah Sveteta slaba kibernetska higiena. Za to pa obstaja več vzrokov. "Tudi izrazito pomanjkanje strokovnjakov s tega področja. Velikokrat delajo na daljavo, kar dopušča možnosti priklapljanja na sisteme z drugih lokacij, kar pa je lahko potencialni vzrok za probleme."
Ranljive vse elektrarne pod HSE
Skupina HSE nam je dopoldan potrdila, da so zaznali vdor neznanih oseb v informacijski sistem skupine. Dodajajo, da so v reševanje incidenta vključene vse relevantne strokovne ekipe, obveščeni pa so tudi vsi ključni deležniki, tako Policija in urad vlade za informacijsko varnost kot tudi predstavniki lastnika, Elesa in drugih ključnih deležnikov.
Po naših informacijah sta bila napadena varnostno-nadzorni sistem in požarno alarmiranje. Vdor v elektrarne naj bi bil skozi HSE, ranljive pa naj bi bile vse elektrarne pod HSE-jem. Prizadeti naj bi bili tako tudi sistemi TEŠ, Dravskih elektrarn in Premogovnika Velenje. Spletni strani Termo elektrarne Šoštanj in Premogovnika Velenje sicer ne delujeta, medtem ko spletna stran Dravskih elektrarn deluje.
"Potrdimo lahko, da je Policijska uprava Ljubljana danes prejela prijavo napada na informacijski sistem ene od gospodarskih družb, s katero aktivno sodelujemo skupaj z ostalimi deležniki za zagotavljanje varnosti na tem področju. Slovenska policija izvaja intenzivno kriminalistično preiskavo, zato več informacij trenutno ne moremo posredovati," pa so nam sporočili s Policijske uprave Ljubljana.
KOMENTARJI (264)
Opozorilo: 297. členu Kazenskega zakonika je posameznik kazensko odgovoren za javno spodbujanje sovraštva, nasilja ali nestrpnosti.