Četrtek, 1. 2. 2024, 22.02
9 mesecev, 3 tedne
Uroš Svete: V Sloveniji smo v zadnjem času kibernetske incidente zabeležili povsod
"Jaz ne bi rekel, da nas ne jemljejo resno. Gre za zavedanje realnega stanja stvari v državni upravi na področju informatike. Mi lahko damo tipska navodila. In jih znamo dati. Vprašanje je, ali so tem navodilom zavezanci sposobni slediti," na vprašanje, kako resno problematiko kibernetske varnosti jemljejo v sektorju država, odgovori direktor vladne službe za digitalno varnost Uroš Svete.
Kakšno je trenutno stanje glede potencialnega hekerskega vdora v digitalno infrastrukturo vrhovnega sodišča?
Lahko potrdim, da je vladni urad za informacijsko varnost prejel prijavo o kibernetskem incidentu. Bi pa na začetku poudaril, da je vrhovno sodišče povezan subjekt po zakonu o informacijski varnosti. Kaj to pomeni? So sicer popolnoma samostojni z vidika infrastrukture, vendar so povezani v centralni informacijski sistem države HKOM.
Zato smo bili obveščeni o dogajanju, ker HKOM spada pod našo pristojnost. Mi moramo tudi poskrbeti, da ne bi prišlo do nadaljnjih vdorov v druge povezane subjekte. Če se vrnem na vprašanje: Zakaj govorim o incidentu? Postopek prijave je večplasten.
Na začetku so zaznane neke anomalije, na podlagi teh pa se začnejo pristojne službe ukvarjati s preiskavo, kaj se pravzaprav dogaja – ali gre le za tehnično napako ali pa gre res za poskus vdora.
Kakšna je v tem trenutku vloga urada za informacijsko varnost v tej zgodbi?
Urad, konkretno SIGOV-CERT, še vedno preiskuje dogajanje tudi na vrhovnem sodišču. Urad pa je tudi koordinator kibernetske varnosti v celotni državi, torej ne samo, ko gre za državne organe. Po eni strani zdaj tehnično pregledujemo, kaj se dogaja na vrhovnem sodišču. Sodelujemo pa tudi s preostalimi deležniki, kot je na primer policija, s ciljem, da na koncu dobimo neko širšo sliko.
Vi ste torej kot gasilci. Ko nekje zagori, pridete in pogasite ogenj?
Morda je analogija dobra. Bi pa še izpostavil, da imamo tudi vlogo preventive in preprečevanja. Mi imamo tudi pristojnost, da zavezancem nalagamo določena navodila, v skrajni sili tudi odločbe, če gre za večje grožnje. To smo do danes že dvakrat naredili. V obeh primerih smo razglasili stanje povečane ogroženosti varnosti omrežij ali informacijskih sistemov v državi.
Ta del je malo drugačen kot pri gasilcih. Smo pa tudi zelo proaktivni pri obveščanju državnih organov glede aktualnega dogajanja. Obveščamo jih o novih odkritih ranljivostih v sistemih, s čimer želimo zmanjšati možnost nastanka kibernetskega incidenta.
Če sem prav obveščen, ste v torek izvedeli, da se je zgodil kibernetski incident na vrhovnem sodišču?
Kar zadeva ta primer, ima več delov. Velikokrat zaznavamo skorajšnje dogodke. Govorim o poskusih oziroma pripravah na incident. Ko napadalec tipa infrastrukturo, išče ranljivosti … V tem kontekstu veliko sodelujemo z ministrstvom za digitalizacijo, ki je skrbnik HKOM ter ga vzdržuje in upravlja. Pri vseh teh poskusih začnemo preverjati, ali bi jim lahko sledili resnejši kibernetski incidenti. Poskušamo narediti vse, da zamejimo kibernetski incident znotraj organa oziroma da ne pride do širitve med organi.
"Dokler ne raziščemo incidenta do konca, so odprte vse možnosti. O tem sicer še ne moremo govoriti, vendar ničesar ne izključujemo," o kibernetskem incidentu na vrhovnem sodišču pravi Uroš Svete.
Po neuradnih informacijah naj bi se že vsaj decembra lani pojavljali indici, da je omrežje vrhovnega sodišča pod napadom. Ste ravnokar govorili o tem?
Indici, da prihaja do nekega tipanja po infrastrukturi vrhovnega sodišča, so res starejši od tega tedna. To lahko potrdim. Nismo pa v dosedanji analizi prišli do tega, da bi bila realizacija kibernetskega incidenta zelo konkretna. To, kar smo do zdaj dejansko videli, je nelegitimen poskus izvedbe kibernetskega incidenta. Zato je bila o dogajanju obveščena tudi policija, saj je že poskus izvedbe kibernetskega incidenta kaznivo dejanje.
O potencialnem vdoru v vrhovno sodišče smo vas spraševali že v torek. Zaprosili ste za odlog zgodbe z argumentom, da bi naše poročanje lahko škodilo preiskavi. Kaj lahko torej v tem trenutku poveste?
Pomembno je, da se najprej zbere čim več tehničnih podatkov o zadevi. Napadalci vedno gledajo tudi odzive žrtve in poročanje medijev. Lahko razkrijem določene podrobnosti primera iz Slovenije, ko se je z izjavo zavezanca za javnost dvignil pomen incidenta. Čeprav tega nismo hoteli. Če na primer napadena institucija v izjavi za javnost razkrije, da menja strežnike, to pomeni, da ima zelo hudo težavo, ki je ne obvladuje. Zato je zelo pomembno, da napadalcu v času, ko je še aktiven, prek komunikacije z javnostjo ne dajemo dodatnega goriva. Zavedati se moramo, da je lahko tudi dobronamerna izjava ob nepravem času problematična. Tudi ne govorim le o napadalcih, ki jih sponzorira neka država, temveč tudi o kriminalnih skupinah.
Sem vas prav razumel, da tudi za napadom na vrhovno sodišče stojijo hekerji, ki jih financira ena izmed sovražnih držav?
Dokler ne raziščemo incidenta do konca, so odprte vse možnosti. O tem sicer še ne moremo govoriti, vendar ničesar ne izključujemo. Na mizi imamo cel spekter potencialnih možnosti. Od internega incidenta do incidenta, ki so ga zakrivili napadalci, povezani z državami. Danes imajo kriminalne združbe napadalcev enake taktike kot z državo povezani napadalci. Oziroma včasih države kriminalne združbe celo najemajo.
Če povzamem, zelo težko je nekomu pripisati odgovornost. Poleg tega obseg potencialnih problemov še ugotavljamo. Mi pravimo, da imamo začetno, vmesno in končno poročilo o incidentu. Zdaj smo v začetni fazi preiskave.
Hekerjev torej v tem trenutku ni v sistemu vrhovnega sodišča?
Kaj pomeni, da so v sistemu? Definitivno v tem trenutku napadalci merijo ne samo na vrhovno sodišče, temveč tudi na druge tarče v Sloveniji. Ali napadalce ustavljajo požarni zidovi ali kaj drugega, je stvar tehnologije. V splošnem imamo mi pristop zaupaj, vendar preveri. Danes pa za noben IKT-sistem na svetu ne moremo trditi, da do njega ne dostopa neka tretja stran. Zakaj? Zaradi ogromnega števila akterjev, ki dejansko vzpostavljajo digitalno infrastrukturo. Od dobaviteljev celotnih rešitev do razvijalcev samo dela programske kode, vzdrževalcev … Mi izhajamo iz tega, da varnih sistemov ni.
Ko sem preverjal osnovno informacijo o kibernetskem incidentu, so sogovorniki izrazili veliko skrbi. Kot ste sami omenili, je vrhovno sodišče del HKOM in komunikacija o pomembnih sodnih primerih poteka prek tega državnega omrežja. Je strah sogovornikov upravičen? Je hekerjem uspelo dostopati do problematičnih baz podatkov?
Nismo dobili nobenega takšnega indica, da bi lahko razmišljali v tej smeri.
"Morda je to največja zgodba z geostrateškega vidika," o vdoru kitajskih hekerjev v digitalno infrastruktruo MZEZ pravi Uroš Svete.
Samo v letošnjem letu je bilo tudi v javnosti opaženo večje število težav s HKOM. Če se ne motim, pred dvema tednoma skoraj vsem državnim institucijam, ki uporabljajo domeno gov.si, ni delovala elektronska pošta. In takih dogodkov je bilo v zadnjem letu dni, vse od razkritja kitajskega napada na zunanje ministrstvo, zelo veliko. Je HKOM tarča napada?
Je. To sploh ni sporno. V Sloveniji smo v zadnjem času kibernetske incidente zabeležili povsod. Od državne uprave do zasebnih podjetij. Nobena kategorija slovenske družbe ni bila izvzeta. HKOM je zelo zanimiv, ker je centralizirana enota. Večina držav v Evropi ima sicer bolj decentralizirane rešitve, Estonija pa ima na primer še bolj centraliziran sistem kot Slovenija. Za nas je skrb vzbujajoče, da se v Sloveniji velikokrat do kibernetske varnosti obnašamo zelo mačehovsko.
Pozabljamo na osnove kibernetske higiene. Dokler deluje, se nam zdi, da je vse samoumevno. Ko pa pride do težav, pa moramo nekoga žrtvovati na oltarju kibernetske varnosti. S tega zornega kota je model HKOM primeren za Slovenijo, vendar pa obstajajo določene dileme, kako omrežje vzdrževati, nadalje razvijati in obenem zagotavljati kibernetsko varnost omrežja. Poleg strokovnih dilem pa se ves čas spopadamo s pomanjkanjem kadra in resursov.
Ali je bil v zadnjem času zabeležen kakšen uspešen poizkus vdora v HKOM?
Mi bolj kot sam HKOM spremljamo uporabnike. Znotraj teh imamo stotine primerov. Lahko gre za uspešne primere phishinga ("ribarjenja" za občutljivimi podatki uporabnikov, op. a.) na delovnih postajah. Vendar to ne pomeni, da je napadalcu uspelo vdreti v HKOM. V zadnjem času nismo zaznali, da bi prišlo do nekih zelo velikih izpadov HKOM oziroma velikih odtekanj podatkov. Varovalke v tem informacijskem sistemu so očitno še vedno odporne.
Vem, da težko komentirate primere, ki še potekajo. Zato bi naslednje vprašanje postavil na primeru, ki je potekal že dovolj dolgo nazaj – na lanskoletnem vdoru kitajskih hekerjev v informacijski sistem zunanjega ministrstva (MZEZ), kar je verjetno največja zgodba iz sveta kibernetske varnosti v zadnjem času. Kako ste na uradu ukrepali glede omenjenega vdora?
Morda je to največja zgodba z geostrateškega vidika. Z MZEZ smo sicer sodelovali v več fazah. Preverili smo tudi, ali je bil prizadet tudi kakšen drug del infrastrukture. Ministrstvu smo nudili metodološko podporo. Pomemben del našega urada je tudi inšpekcija, ki opravlja redne in izredne preglede. Predvsem glede upravljanja s kibernetsko varnostjo.
Zlasti pa smo svetovali tudi v luči kandidature Slovenije za nestalno članico Varnostnega sveta ZN. Kot operativen ukrep smo predstavnike MZEZ vključili v stalno koordinacijsko skupino za kibernetsko varnost, ki že več let deluje kot koordinacijsko telo pod vodstvom urada.
"Odgovoren ni samo IT-jevec, temveč tudi poslovodstvo. Mi nismo eksperti, da lahko, poenostavljeno rečeno, nastavimo vsak kontrolnik zavezanca. Oni morajo urediti načrte in oceniti, ali je naše priporočilo smiselno ali ne," poudarja Uroš Svete.
Neuradno sem izvedel, da vas na MZEZ niso resno vzeli in niso uvedli nobenega vašega predloga. Je to res?
Kot organ moramo delati tudi preventivno. In z vsemi zavezanci delamo na podoben način. Govorimo o iskanju ranljivosti, podatkov, ki bi lahko bili uporabni v napadih … Na koncu pa za kibernetsko varnost nismo odgovorni samo mi, temveč tudi predstojniki organov tako v državnih organih (npr. MZEZ) kot tudi zasebnih podjetjih.
Odgovoren ni samo IT-jevec, temveč tudi poslovodstvo. Mi nismo eksperti, da lahko, poenostavljeno rečeno, nastavimo vsak kontrolnik zavezanca. Oni morajo urediti načrte in oceniti, ali je naše priporočilo smiselno ali ne.
Ali sem vas prav razumel, da na MZEZ res niso upoštevali vaših priporočil, ker vas vodstvo ministrstva ne jemlje resno?
Jaz ne bi rekel, da nas ne jemljejo resno. Gre za zavedanje realnega stanja stvari v državni upravi na področju informatike. Mi lahko damo tipska navodila. In jih znamo dati. Vprašanje je, ali so tem navodilom zavezanci sposobni slediti. Vam bom dal konkreten primer. Ko je bila razkrita ranljivost v t .i. java knjižnici, smo razglasili stanje povečane ogroženosti. Izdali smo odločbe, katerih realizacijo smo preverjali z inšpekcijskimi nadzori. In kaj smo ugotovili?
Večina zavezancev je imela iste zunanje izvajalce, ki niso mogli biti na večjem številu zavezancev istočasno. Mi bi sicer to lahko razumeli, da nas niso jemali resno, vendar se zavedamo, da sami ne morejo preveriti vseh aplikacij. Mnogi organi nimajo sami niti repozitorijev izvornih kod, kjer je bila omenjena knjižnica.
To so neke dileme, ki jim imamo ves čas v kibernetski varnosti. Lahko je dati navodilo. Moramo pa se zavedati, da je sposobnost realizacije ključna.
Ravno pretekli teden sem opravil intervju s predsednikom KPK in opažam, da podobno kot njih tudi vas politika jemlje resno samo takrat, ko je to politično smiselno.
Mnogi državni organi imamo podobne izzive. V Sloveniji imamo tudi informacijskega pooblaščenca, ki je pristojen za osebne podatke, pa vemo, kako se ravna z njimi. Kaj vse se objavlja na nedovoljene načine. Menim, da bi morali vsi skupaj, ne samo državni organi, temveč tudi uporabniki narediti korak naprej. Eden izmed velikih izzivov je tudi odgovornost proizvajalcev programske in strojne opreme. Dobro služijo, ne želijo pa prevzeti odgovornosti za pomanjkljivosti svojih proizvodov. To so ugotovili tudi v ZDA in so počasi začeli pritiskati na proizvajalce.
Po petih letih bo Slovenija morda vendarle dobila nov zakon o kibernetski varnosti. Kakšne pristojnosti in sposobnosti bi po vašem mnenju vaš urad moral imeti, da bi se lahko uspešno boril s kibernetskimi incidenti?
Centralizacija je potrebna. Z novim zakonom bomo poskušali čim manj birokratizirati. Obstoječi zakon je bil dobro zamišljen, vendar so nekateri instrumenti nerealni. Primer je izdajanje odločb. Ta je nek akt, s katerim nekoga lahko v nekaj prisiliš. In ga celo oglobiš, če ne izvede zahtevanega. Mi ocenjujemo, da bo novih zavezancev po novem zakonu več kot tisoč. Kako tako množico obravnavati? Na birokratski način zagotovo ne gre. Mi si kot urad želimo vzpostavit kibernetski center, ki bo koristen tudi za zavezance. Da bo komunikacija z njimi v nujnih primerih čim bolj učinkovita.
Za učinkovit odziv pa je treba zagotoviti dostop do infrastrukturnih podatkov. Z novim zakonom želimo doseči komplementarnost med različnimi organi. Mislim na organe pregona, informacijskega pooblaščenca, varnostnooperativne centre, pristojno ministrstvo za kritično infrastrukturo, področne regulatorje. Seveda mi nismo in ne bomo internetna policija. Organi pregona imajo velikokrat močnejše vzvode od nas in menim, da imamo dobre nastavke medresorskega sodelovanja.
Mora pa biti osrednji kibernetski organ dovolj močan, da lahko obvladuje in koordinira zelo heterogene zavezance ter ima možnost, da se v sodelovanju z zavezanci čim hitreje odzove na zaznane grožnje. Nov zakon zato uvaja tudi koncept kibernetske krize. Ko pride do resnih motenj ključnih procesov za družbo. Tudi na to moramo biti pripravljeni.