Petek, 29. 3. 2024, 14.02
7 mesecev, 3 tedne
Slovenija klecnila pod hekerskimi napadi. Odgovorne osebe pa …
V zadnjih 48 urah se je slovenska digitalna infrastruktura znašla pod plazom kibernetskih napadov. Med tarčami so tako državne institucije kot zasebne spletne rešitve. Še vedno pa so iz tujine nedosegljive mnoge državne spletne storitve, kar podjetjem že povzroča finančno škodo.
RTV Slovenija, državni zbor, spletna stran predsednice države, zemljiška knjiga, Telekom Slovenije, Delo, državni center SI-TRUST, Letališča Ljubljana, Krka, spletno mesto državne uprave gov.si, Holding Slovenskih elektrarn … Seznam spletnih strani, ki so bile vsaj nekaj časa nedosegljive v zadnjih 48 urah, je vse daljši. Medtem ko so zasebna podjetja sama odgovorna za kibernetsko varnost, pa si odgovornost pri državnih spletnih rešitvah delita ministrstvo za digitalno preobrazbo Emilije Stojmenove Duh in Urad Vlade Republike Slovenije za informacijsko varnost (URSIV) pod vodstvom Uroša Sveteta.
Ker podjetja še danes (v petek, 29. marca) tožijo, da določene spletne storitve države, ki so vezane na centralno komunikacijsko omrežje državne uprave HKOM, ne delujejo, smo poizkušali pri odgovornih osebah izvedeti, kdaj bo Slovenija sposobna odgovoriti na enega izmed najpreprostejših kibernetskih napadov (t. i. DDoS) in bodo podjetja spet lahko normalno poslovala. In kaj se pravzaprav dogaja in kdo napada Slovenijo. Zanimalo nas je tudi, kako lahko napadi DDoS leta 2024 ohromijo "polovico" države, kdo je sprejel odločitev za blokado tujine in kdo bo nosil pravno odgovornost za to odločitev. Tudi v času epidemije koronavirusa je država podjetjem, katerih posel je trpel zaradi državnih odlokov, sprejetih čez noč, plačevala odškodnine.
"Gre za t. i. DDoS, kar pomeni, da strani zaradi povečanega prometa niso dostopne," so nam na vprašanje, za kakšne oblike kibernetskih incidentov gre, pojasnili pri URSIV. "Distribuirano napadanje storitve (DDoS – Distributed Denial-of-Service) je vrsta spletnega napada, pri katerem je cilj preplaviti ciljno spletno storitev z ogromno količino zahtev, kar vodi do preobremenitve in nedelovanja te storitve za legitimne uporabnike. V primeru takšnega napada je namen obremeniti strežnik in otežiti njegovo dostopnost. Ne gre za vdor v strežnik ali infrastrukturo entitete," so še sporočili z URSIV.
"Obrnite se na Sveteta"
Večina državnih spletnih storitev stoji na omrežju HKOM. Kako je leta 2024 mogoče, da nismo ključne informacijske hrbtenice države sposobni ubraniti niti pred DDoS napadi, smo poizkušali izvedeti pri ministrstvu za digitalno preobrazbo Emilije Stojmenove Duh. Ministrstvo je namreč upravljavec in vzdrževalec omrežja HKOM. Z ministrstva so nam na vprašanja odgovorili: "Ker vprašanja presegajo infrastrukturo, za katero smo odgovorni na ministrstvu za digitalno preobrazbo, vas vljudno prosimo, da se z njimi obrnete na URSIV."
Kaj se dogaja, smo preverjali tudi pri nacionalnem odzivnem centru za kibernetsko varnost SI-CERT. Na vprašanja so nam odgovorili: "Na vsa vprašanja, povezana z navedenimi dogodki, vas usmerjamo na pristojni Urad Vlade RS za informacijsko varnost."
Po objavi članka so nam poslali še dodatna pojasnila. In sicer, da je za kibernetsko varnost organov državne uprave (in povezanih subjektov) v skladu z Zakonom o informacijski varnosti izključno pristojen SIGOV-CERT, ki od 1. januarja 2022 deluje znotraj Urada Vlade RS za informacijsko varnost (URSIV), prej pa je to nalogo opravljala organizacijska enota pri Ministrstvu za javno upravo.
"SI-CERT je pristojen le za subjekte, ki so določeni kot izvajalci bistvenih storitev in za vse ostale prostovoljne priglasitve pravnih in fizičnih oseb v Sloveniji (torej tudi za 'zasebna podjetja', ki jih omenjate). Zato smo vas tudi v tem primeru usmerili na URSIV, kot je bila njihova izrecna zahteva. Ker pa smo odzivni center, ki ima največ izkušenj z obravnavo incidentov, seveda nikoli ne zavrnemo prošnje po tehnični pomoči, kot je bilo to v primeru Urada predsednice RS," so še pojasnili.
Golob: Na izsiljevanje se ne oziramo
"V zadnjih dveh letih lahko na območju Republike Slovenije opažamo zelo visoko prisotnost kibernetskih napadov iz tujine. Za napadi ne stoji vedno ista država, vedno pa je ena od svetovnih velesil. In tudi tokrat je tako. Hekerji prihajajo iz konkretne svetovne velesile s konkretnim sporočilom slovenski politiki. Vendar se na izsiljevanje ne oziramo," je hekerske napade danes komentiral predsednik vlade Robert Golob.
Seveda smo se z vprašanji obrnili tudi na Sveteta
Pri URSIV so bili veliko zgovornejši. Potrdili so, da gre za DDoS napade, izvajale naj bi jih tako imenovane hacktivistične (izpeljanka iz besed heker in aktivist, op. a.) skupine. So pa pri URSIV zanikali poročanje podjetij, da določene državne storitve niso dostopne iz tujine. "Dostop je po naših informacijah mogoč. Za dodatne informacije se obrnite na skrbnika upravljavca omrežja HKOM – ministrstvo za digitalno preobrazbo," so zapisali pri URSIV.
Tudi na vprašanje, zakaj HKOM leta 2024 ni zaščiten pred DDoS napadi, smo dobili odgovor: "Skrbnik upravljavec omrežja HKOM je ministrstvo za digitalno preobrazbo. URSIV je v svojih poročilih večkrat izdal opozorila in priporočila."
In kakšne rešitve lahko državljani Slovenije pričakujejo? "Ukrepi se bodo prilagajali razmeram."
Kibernetski varnostni incidenti niso od včeraj. Informacijski sistemi ustanov in podjetij so bili tarče napadov v zadnjih letih že večkrat. Po STA povzemamo seznam nekaterih tovrstnih primerov:
Maj 2017 – Revoz
V okviru obsežnega globalnega kibernetskega napada, ki je zajel tarče v številnih državah, je vdor v Sloveniji doživelo tudi novomeško podjetje Revoz. Ta je posledično zabeležil začasen izpad proizvodnje, dodatna škoda je nastala v opremi, pri dodatnem delu in podobno.
December 2017 – NiceHash
Hekerji so napadli slovensko družbo NiceHash, ki se ukvarja z rudarjenjem s kriptovalutami, in ukradli 4.640 bitcoinov v takratni vrednosti 55 milijonov evrov. Družba je nato postopoma z odpovedovanjem dobičku uporabnikom uspela povrniti ukradene bitcoine.
Avgust 2019 – Lekarna Ljubljana
Lekarna Ljubljana je bila tarča napada izsiljevalskega virusa, ki je zašifriral uporabniške datoteke. Vse enote so dan kasneje zaprle svoja vrata, dan zatem pa so izdajale zdravila le na papirnati recept, še dan kasneje pa so ponovno vzpostavili centralni informacijski sistem in začeli s postopnim vključevanjem enot.
Avgust 2020 – Nova24TV
Hekerska skupina Anonymous je objavila povezavo do zaupnih podatkov spletnega portala Nova24TV. Šlo je za staro varnostno kopijo spletne strani, v bazi so se nahajala tudi gesla, vendar v šifrirani obliki, zato njihova neposredna zloraba ni bila mogoča, so tedaj pojasnili v Novi24TV.
Maj 2021 – Pravno-informacijski sistem Republike Slovenije
Zaledni sistem spletnega mesta Pravno-informacijskega sistema Republike Slovenije (PISRS) je doživel vdor, dostop do strežnika je bil takoj ob zaznavi vdora še isti dan onemogočen. Spletno mesto je bilo nekaj dni nedosegljivo.
Februar 2022 – Pro Plus
Medijska hiša Pro Plus je bila žrtev hekerskega napada, zaradi česar je bilo moteno tako oddajanje njenih televizijskih programov kot delovanje njenih spletnih strani.
Avgust 2022 – Uprava RS za zaščito in reševanje
Informacijski sistem Uprave RS za zaščito in reševanje je bil žrtev kibernetskega napada, med drugim se je zrušila spletna aplikacija Spin, ki je bila pozneje spet vzpostavljena. Po vdoru so sprožili postopke celovite prenove informacijskega sistema uprave in njegove vključitve v sistem ministrstva za obrambo.
September 2022 – Policija in ministrstvo za obrambo
Ministrstvo za obrambo in policija sta bila tarči kibernetskega napada. V policiji naj bi bilo okuženih le nekaj računalnikov, na obrambnem ministrstvu pa so napad v celoti odbili.
April 2023 – Ministrstvo za zunanje in evropske zadeve
Na ministrstvu za zunanje in evropske zadeve so bili tarča kibernetskega napada. Šlo je za kibernetski napad iz tretje države, trajal pa naj bi dlje časa. Po poročanju medijev naj bi napad izvedli kitajski hekerji, ki naj bi jih zanimali samo dokumenti, povezani s Kitajsko in slovensko politiko do Kitajske.
Julij 2023 – Univerza v Ljubljani
Na Univerzi v Ljubljani je prišlo do vdora v informacijski sistem. Posledice vdora na delovanje vseh informacijskih sistemov so odpravili, poslovanje univerze pa je potekalo nemoteno.
November 2023 – Holding Slovenske elektrarne
Skupina Holding Slovenske elektrarne (HSE) je bila tarča kibernetskega napada. Po takratnih prvih podatkih je prišlo do vdora v poslovni sistem in zaklenitve nekaterih datotek, pravi razlog napada pa je bil neznan. Nekateri podatki, ki so bili pridobljeni v tem napadu, so bili decembra objavljeni na temnem spletu.
Januar 2024 – Sistem številke 112
Na temnem spletu so se pojavili podatki o klicih na številko 112, ki se nanašajo na hitro medicinsko pomoč kličočim. Po pregledu strežnikov na upravi za zaščito in reševanje so na ministrstvu za obrambo takrat ugotovili, da vdora v te strežnike ni bilo, ampak naj bi do vdora prišlo na napravah izven uprave in ministrstva.
Februar 2024 – Inštitut 8. marec
Inštitut 8. marec je bil tarča kibernetskega napada, v katerem je storilec zlorabil naslove spletne pošte skoraj sto tisoč posameznikov in organizacij, s katerimi je nepooblaščeno podpisal inštitutovo Peticijo proti prikritim podražitvam. Napad so ustavili, osebni podatki dejanskih podpisnikov pa so bili varni.
Marec 2024 – Urad predsednice republike in RTV Slovenija
Spletna stran predsednice republike Nataše Pirc Musar je bila zaradi kibernetskega napada nekaj ur nedosegljiva. Odgovornost za napad so prevzeli ruski hekerji, ki so zatrdili, da so Slovenijo napadli zaradi pomoči Ukrajini. Naslednji dan so napadalci začasno onemogočili tudi spletno stran RTV Slovenija.