Mesec dni nazaj je bila uprava za zaščito in reševanje, nekoč znana kot civilna zaščita, tarča kibernetskega napada, ki je v naslednjih dneh močno otežil delo njenih zaposlenih. Ti niso mogli uporabljati elektronske pošte, klice na številko 112 pa so si morali zapisovati na papir. Že takrat je direktor Darko But javno priznal, da je njihova strežniška in programska oprema starejšega datuma.
Danes razkrivamo, da je bila uprava za zaščito in reševanje že vrsto let zelo slabo pripravljena na morebitne hekerske napade. Po naših zanesljivih informacijah so namreč inšpektorji državnega urada za informacijsko varnost pri pregledu, ki so ga začeli opravljati takoj po prijavljenem kibernetskem napadu sredi avgusta, odkrili vrsto ranljivosti na področju informacijske varnosti. Ugotovili so:
- da so imeli storilci zaradi zlorabe administratorskega računa, s katerim je mogoč dostop do vseh sistemov v domeni, prost dostop do omrežja uprave za zaščito in reševanje. To jim je omogočilo napad z izsiljevalskim virusom.
- da so storilci z zlorabo računa nepooblaščeno v sistem uprave vstopili že 24. junija, skoraj mesec dni pred kibernetskim napadom.
- da kletni prostor telekomunikacijskega centra uprave ni zavarovan z dvojnim preverjanjem s kartico ali šifro. Inšpektorji so med pregledom v njem naleteli na dve osebi, ki nista zaposleni na upravi, prav tako pa nista bili vpisani v knjigo obiskovalcev.
- da tudi postopki in ukrepi, ki jih je uprava izvedla po odkritju kibernetskega napada, niso bili ustrezni. Prav tako niso bili v skladu z nacionalnim načrtom odzivanja na kibernetske incidente, ki ga je marca lani sprejela vlada Janeza Janše.
Uprava za zaščito in reševanje je sicer ključni organ v sistemu varstva pred naravnimi in drugimi nesrečami. Kot taka ima številne pomembne naloge. Med njimi so pomoč prizadetim lokalnim skupnostim, opazovanje, obveščanje in alarmiranje, ocenjevanje škode in odpravljanje posledic nesreč, požarno varstvo in delovanje splošnih reševalnih služb. Teh ni mogoče izvajati brez dobro delujoče informacijske infrastrukture. Odziva uprave nam v petek ni uspelo dobiti zaradi bolniških odsotnosti.
Preberite še:
To je rezultat večletnega IT kaosa v UKC Ljubljana
Uporabniško ime in geslo za vstop: urszr
Kako je torej kibernetski napad na upravo lahko uspel? Da so v informacijskem sistemu uprave za zaščito in reševanje obstajale številne ranljivosti, so že v tednu dni po napadu potrdili v Nacionalnem odzivnem centru za kibernetsko varnost (SI-CERT). Inšpektorji urada za informacijsko varnost, ki ga vodi Uroš Svete, so jih pri svojem pregledu našteli skoraj sto, od tega tri z najvišjo kritično oceno.
Kot je poročala spletna stran 24ur.com, so v upravi uporabljali zelo šibka gesla. V aplikacijo SPIN, ki je namenjena obveščanju o nesrečah in drugih izrednih dogodkih, je bilo še deset dni po napadu mogoče vstopiti kar z uporabniškim računom "urszr", torej s kratico za polno ime uprave, in istoimenskim geslom.
Do okužbe z izsiljevalskim virusom je tako prišlo s pomočjo trojanskega konja, nameščenega prek računalnika enega od zaposlenih, ki je delal na daljavo. Inšpektorji urada so ugotovili, da so vsi uporabniški računi, ki so bili zlorabljeni, uporabljali enako enostavno geslo. Pri tem na upravi za civilno zaščito in reševanje niso imeli vključene ustrezne varnostne programske opreme za oddaljeni dostop do službenega omrežja.
Preberite še:
Po kibernetskem napadu klice na 112 beležijo na roke
Vrata brez ključavnic, okna brez rešetk
Prav tako inšpektorji niso našli dnevniških zapisov o delovanju informacijskih sistemov uprave in posameznih delov omrežja za šest mesecev nazaj. Ugotovili so tudi več sistemskih pomanjkljivosti. Uprava tako ni imela:
- ustreznega mehanizma nadzora nad pogodbami o vzdrževanju informacijskih sistemov,
- izdelane analize obvladovanja tveganj z oceno sprejemljive ravni tveganj,
- določenih ukrepov, postopkov in odgovornosti za obnovitev in ponovno vzpostavitev ključnih sistemov v primeru hujšega incidenta kršenja informacijske varnosti ali kibernetskega napada,
- načrta za odzivanja na incidente s protokolom obveščanja nacionalnega centra,
- načrta za zagotavljanje zaupnosti in razpoložljivosti nekaterih informacijskih sistemov.
Čeprav uradnih informacij o pregledu ni mogoče dobiti, saj še ni končan, so inšpektorji po naših zanesljivih informacijah fizično pregledali tudi prostore s ključno informacijsko infrastrukturo. V regijskih centrih za obveščanje v Ljubljani in Celju niso ugotovili nepravilnosti.
Druga zgodba so prostori, kjer so nameščene ključne komponente upravljanja s sistemi radijskih zvez (ime lokacije hranimo v uredništvu). Ugotovili so, da so zelo slabo varovani. Alarmni sistem namreč ne deluje, na vratih niso bile nameščene protivlomne ključavnice, na lesenih oknih pa ni bilo rešetk. Opozorili so tudi na pomanjkljivo požarno varnost. V teh prostorih tako ni bilo ročnih gasilnikov. V kletnih prostorih telekomunikacijskega centra pa so našli enega. Nazadnje je bil pregledan leta 2001, torej 21 let nazaj.
Preberite še:
Pod Janševo vlado do sanjskih provizij z državnimi podjetji
Kaj bo storilo ministrstvo za obrambo
Inšpektorji urada za informacijsko varnost so zato odredili večje število ukrepov, ki jih mora uprava izpolniti v prihodnjih mesecih. Enako je po poročanju 24ur.com že storil tudi SI-CERT. Upravi je med drugim priporočil forenzični pregled sistema, uporabo dvostopenjskega preverjanja pristnosti in neodvisni varnostni pregled omrežja.
Kot že omenjeno, na upravi na naša vprašanja v petek niso odgovorili. Zanimalo nas je, koliko je znašala ocenjena škoda napada, katere sistemske ukrepe so sprejeli za sanacijo posledic napada, ali je bila informacijska infrastruktura po njihovi oceni dobro pripravljena na napad in kolikšno število kibernetskih napadov so letos že zabeležili. Sektor za opazovanje, obveščanje in alarmiranje na upravi vodi Boštjan Tavčar, ki je bil med napadom na dopustu, dva dni po kibernetskem napadu ga je prekinil in se vrnil v službo.
Dogajanje tako znova odpira vprašanje, v kolikšni meri bi morala biti informacijska struktura uprave vključena v infrastrukturo ministrstva za obrambo. Uprava za zaščito in reševanje namreč pri svojih nalogah sodeluje tudi s Slovensko vojsko. Z ministrstva so po napadu sporočili, da je minister Marjan Šarec izdal sklep o vzpostavitvi koordinacije na področju informacijskih in komunikacijskih sistemov. Njihov končni cilj je, da se informacijski sistem uprave ob upoštevanju zahtevanih varnostnih standardov integrira v informacijske sisteme ministrstva.