Proizvodnja električne energije ni bila ogrožena. Foto: Televizija Slovenija
Proizvodnja električne energije ni bila ogrožena. Foto: Televizija Slovenija

Medtem ko skupina HSE zagotavlja, da se kibernetski napad na njene informacijske sisteme uspešno razrešuje, TV Slovenija poroča, "da imamo večjo zgodbo, kot se zdi na prvi pogled, kot kaže, ostajajo razmere v HSE-ju skrb vzbujajoče". Danes (ponedeljek) naj bi tako zaposleni ostali doma, neuradno pa je po informacijah TV Slovenija v družbo prispel milijonski odškodninski zahtevek, Dravske elektrarne Maribor pa naj bi upravljali ročno, je poročal novinar Nejc Krevs.

Predsednica nadzornega sveta Nevenka Hrovatin je v kratkem telefonskem pogovoru za TV Slovenija zatrdila, da sklica izredne seje nadzornega sveta ne bo, se bodo pa v kratkem na rednem sestanku sešli nadzorniki. Domnevne zahtevane odškodnine ni želela komentirati.

HSE je za portal N1 zanikal informacije, da naj bi Dravske elektrarne Maribor upravljali ročno, temveč to počnejo avtomatizirano. Prav tako po navedbah HSE-ja ne drži, da naj bi zaposleni ostali doma, temveč je v delovni proces že vključena večina zaposlenih.

V novici smo imeli ob 19.23 zapisano napačno informacijo, da naj bi družba prejela odkupninski zahtevek. Ob 19.56 je bila vnesena pravilna informacija, da naj bi družba prejela odškodninski zahtevek. Avtor Al. Ma. se za napako opravičuje.

HSE precej bolj optimističen

Generalni direktor HSE-ja Tomaž Štokelj je popoldne poudaril, da je imela družba ves čas od zaznanega vdora (sredo prejšnji teden) nadzor nad elektrarnami, varnostjo, nemoteno je deloval sistem alarmiranja za visoke vode, trgovanje z električno energijo je bilo neprekinjeno. "Smo pa iz previdnosti nekoliko omejili izvajanje posameznih poslov," so Štokljeve besede navedli v sporočilu za javnost, ki sta ga skupaj poslala HSE in urad za informacijsko varnost.

S pomočjo notranjih in zunanjih strokovnjakov so konec preteklega tedna vzpostavili tudi razmere za izvajanje ključnih delovnih procesov, tako da je lahko danes velika večina zaposlenih že opravljala svoje delo, sporoča HSE.

Natančna analiza in diagnostika napada še potekata.

Tomaž Štokelj. Foto: BoBo/Žiga Živulović ml.
Tomaž Štokelj. Foto: BoBo/Žiga Živulović ml.

Direktor vladnega urada za informacijsko varnost Uroš Svete je pohvalil transparentno delovanje in obveščanje HSE-ja.

"Na podlagi trenutnih informacij incident nima pomembnega vpliva na neprekinjeno izvajanje bistvenih storitev pri proizvodnji in prenosu električne energije v Republiki Sloveniji. Prav tako nismo zaznali medsektorskega vpliva incidenta, novega incidenta ali stopnjevanja incidenta. Če bo treba, bo URSIV po opravljeni analizi incidenta predlagal Vladi RS ustrezne dodatne sistemske in druge ukrepe za dvig kibernetske varnosti v energetskem sektorju," je še dodal Svete.

Izsiljevalski virus Rhysida?

Po neuradnih informacijah, ki jih je pridobil 24ur.com, naj bi bili napadalci povezani s tujo državo, pri napadu pa naj bi uporabili izsiljevalski virus Rhysida. Nekaj več informacij o tem virusu ponuja tale analiza, ki so jo pripravile ameriške obveščevalno-varnostne agencije. Rhysida je tako ime zlonamerne hekerske skupine, ki je dejavna od maja letos, kot izsiljevalskega virusa, ki ga je pripravila. Doslej je - po dostopnih podatkih - napadla državne institucije v Čilu, Portugalskem, Kuvajtu, pa ameriške bolnišnice Prospect Medical Holdings, britansko ustanovo British Library ... Metode napada: Rhysida je spretna pri lažnem predstavljanju (phishingu), torej pridobivanju podatkov in poverilnic s socialnim inženiringom. Nato se s temi poverilnicami prijavi v VPN-povezavo napadene družbe in s tem dobi dostop do njenega notranjega omrežja. Navadno se loti tistih družb, ki ne uporabljajo večstopenjskega preverjanja istovetnosti. Izkorišča tudi ranljivost Zerologon v Microsoftovem protokolu Netlogon Remote Protocol. Nekaj časa porabi za širjenje po omrežju in za to uporablja lokalna orodja, da je čim manj opazna, nato ukrade (eksfiltrira) podatke, zatem podatke na napadenem omrežju zaklene s šifrirnim ključem RSA-4096. Tako lahko zagrozi, da v primeru neplačila odkupnine ukradene podatke javno objavi na spletu.


Svete: Napad je bil maskiran znotraj slovenskega kibernetskega prostora

Kaj se dogaja s kibernapadom na HSE?

Na to temo se je z direktorjem urada za informacijsko varnost Urošem Svetetom v Odmevih pogovarjal Igor E. Bergant.

Za vami je najnapornejši konec tedna do zdaj?
Po navadi so – kar se tiče kibernetske varnosti – vikendi oziroma konci tedna in prazniki zelo naporni.

Kibernetski vdor v sistem HSE-ja je potencialno zelo nevaren, čeprav tako imenovani etični heker iz Slovenije, Milan Gabor, direktor specializiranega podjetja Viris, pravi, da je bil napad sorazmerno hitro odkrit in da vsaj v prvi fazi ni povzročil veliko škode. Ali to lahko potrdite?
Ja. Kar se tiče zaznave kibernetskega incidenta, ki je bil seveda takoj sporočen tudi policiji, SI-CERT-u in uradu za informacijsko varnost, vsekakor lahko pritrdim temu mnenju. Ključno je, da se tovrstni incidenti javijo pristojnim organom, ki potem lahko tako s svojimi lastnimi informacijami kot tudi z informacijami iz tujine preverijo, ali gre za osamljen primer ali pa gre za širšo zgodbo.

Pohvalili ste komuniciranje HSE-ja v tej godlji. Zdaj ni povsem jasno, ali so vsiljivci oziroma kriminalci, kar lahko rečemo v tem primeru, že zahtevali odškodnino oziroma, rekli bi, odkupnino za ukradene oziroma zaklenjene podatke?
Kolikor smo dobili podatke na urad, tega napadalci niso poslali. Seveda je pa tudi dejstvo, da imamo danes primere v svetu, tudi javno objavljene analize teh skupin, ki izvajajo izsiljevalske napade, da pravzaprav nekaj dni čakajo, da vidijo, kakšni so odzivi žrtev.

Iz tujine vemo, da zlasti zasebna podjetja, ki se znajdejo v takšnih težavah, v bistvu ne morejo mimo tega, da na koncu plačajo neke vrste odkupnino za zaklenjene podatke, ki so jih izgubili. Ali se to tako ali drugače vendarle napoveduje tudi HSE-ju?
To je zelo odvisno od kakovosti podatkov, s katerimi razpolagajo v varnostnih kopijah, in od sposobnosti čimprejšnjega restavriranja poslovnega okolja. To je tisto, kar vsako podjetje zelo zanima oziroma kar je ključno za delovanje podjetja. Dejstvo je tudi, da države kot take načeloma odsvetujejo komunikacijo s tovrstnimi izsiljevalskimi skupinami ravno z namenom, da ne bi dvigovali njihovega pomena, predvsem pa tudi zato, da bi potem lahko kot varnostni problem izzvenel. Zelo pomembno je, da imajo resnično prave varnostne kopije in čim hitrejše restavrirane sisteme.

Morajo pa seveda svoje sisteme v vsakem primeru očistiti. V nekaterih člankih v Sloveniji se je pojavilo, da naj bi izza kriminalcev stali tako imenovani državni akterji. Severna Koreja je bila v preteklosti največkrat omenjena kot tak državni akter. Kako lahko vemo, da bi izza tega lahko stala neka država?
V svetu obstaja tako imenovana tehnična in politična atribucija kibernetskih napadov. Tehnično atribucijo izvajajo tako podjetja, ki se ukvarjajo s kibernetsko varnostjo, kot pristojne institucije. Politično atribucijo izvajajo države v okviru svojih nacionalnovarnostnih interesov in siceršnjih strategij. Z vidika tako uporabljenih tehnik kot tudi taktik se da nekako prepoznati vzorec. Je pa tudi dejstvo, da je danes tako imenovani temni splet izjemno dejaven pri preprodajanju ukradenih poverilnic in pri prodajanju t. i. infostealerjev, s katerimi se lahko okužijo računalniki in pridobijo te poverilnice.

Ali lahko v primeru HSE-ja izvemo, da izza tega teoretično lahko stoji tudi država?
S tega zornega kota lahko ugotovimo, da so napadalci zelo izkoriščali tudi slovensko infrastrukturo. Napad je bil maskiran znotraj slovenskega kibernetskega prostora, kar otežuje tudi primerjavo tovrstnega napada s preostalimi napadi po svetu.

Številni se sprašujejo, kako varen oziroma nevaren je celoten slovenski elektroenergetski sistem, denimo jedrska elektrarna v Krškem.
Vse zelo pomembne entitete – tudi z vidika okolja in delovanja na okolje – so izjemno pazljive, da se ločijo poslovni sistemi od tako imenovanega operativnega okolja, na katerem delujejo zlasti SCADA-sistemi. To mora absolutno veljati za vse, pa naj gre za Jedrsko elektrarno Krško kot za komunalo, ki ima pod svojo ingerenco čistilno napravo, kjer imate tovrstne sisteme. Takšna res natančna segmentacija je absolutno nujno potrebna.

Ob današnjem posvetu v državnem svetu je bil govor o nujnosti prilagoditev in posodobitev zakonodaje v Sloveniji, povezano tudi z novo evropsko direktivo. Smo na to v Sloveniji dovolj pripravljeni, glede na to, da se širi ta nabor kritične infrastrukture?
Vsekakor so zahteve, ki prihajajo pred nas, velike, tako z vidika razvoja same slovenske družbe kot z vidika direktiv, zlasti z vidika evropske direktive NIS2. Seveda bo nov zakon dejansko pomenil veliko večjo odgovornost poslovodstev, pa tudi novih entitet, ki jih bo bistveno več, kot jih je danes, torej vsaj nekaj sto. Na drugi strani bomo dejansko morali tudi z vidika odzivnih zmogljivosti v tej državi resno razmisliti, kako zagotoviti finančna, predvsem pa kadrovska in tehnična sredstva.


Etični heker Gabor: Napad na HSE so precej hitro odkrili

Foto: Milan Gabor
Foto: Milan Gabor

Po kibernetskem napadu se znova zastavlja vprašanje, kako je kibernetskim tveganjem in grožnjam izpostavljena kritična infrastruktura, pa tudi kakšna je v slovenski družbi informacijska pismenost ter ozaveščenost o kibernetskih tveganjih. Radio Slovenija se je o tem pogovarjal z etičnim hekerjem Milanom Gaborjem, direktorjem podjetja Viris, ki se ukvarja z odkrivanjem varnostnih tveganj v informacijskih sistemih.

Hekerskim napadom so lahko izpostavljena energetska omrežja, bančni sistemi, bolnišnice, skratka celotna kritična infrastruktura. Gabor navaja, da so v primeru kibernetskega napada na HSE pristojne službe napad precej hitro odkrile. "V prvi fazi ni povzročil neke velike škode, kar kaže na to, da se zaznava takšnih in podobnih napadov izboljšuje," je izjavil.

Hekerji v napadenih sistemih v povprečju preživijo več kot sto dni, preden jih skrbniki opazijo, je navedel za STA. Pozdravil je tudi odločitev vodstva HSE-ja za jasno komuniciranje – kaj se je zgodilo, kakšne ukrepe so izvedli in kdo vse je bil o tem obveščen. "V veliki večini primerov ti podatki ostanejo precej skriti, kar lahko vodi tudi k napačnemu razumevanju," je dejal. Kot varnostni strokovnjak je na nekaterih področjih sodeloval s HSE-jem, vendar v reševanje konkretnega primera ni vključen.

Sorodna novica HSE o kibernapadu: Situacija pod nadzorom, večjih posledic ne bo

Kritična infrastruktura je sicer pri nas regulirana z zakonom o informacijski varnosti, evropske direktive krog zavezancev dodatno širijo. "Bistveno več podjetij ali zavezancev bo moralo izpolnjevati osnovne ali napredne kibernetske zahteve glede preverjanja, glede skrbi za informacije in vse preostalo. Kar je dobro," meni etični heker.

Za zdaj še ni znano, ali so nepridipravi izkoristili luknjo v sistemu HSE-ja ali so zatajili varnostni protokoli in je bil kriv človeški dejavnik, zato pa Gabor za Radio Slovenija opozarja, da operativno delovanje skupine HSE ni bilo ogroženo: "Iz poročil medijev lahko sledi, da so bili ti sistemi ločeni od poslovnih sistemov, ki naj bi bili napadeni. Kar je dobro in sledi dobrim kibernetskim praksam."

Sorodna novica Etični heker: Največji problem so ljudje sami, ker brez razmisleka klikajo da, da, da, naprej ...

Ali pri nas obstaja dobra zaščita pred kibernetskimi napadi? "Rekel bi, da obstajajo dobre prakse, s katerimi lahko to našo kibernetsko higieno bistveno dvignemo. Samo nekaj jih bom naštel. Vsekakor je dobro, če uporabljamo kakovostna gesla, ki niso enaka za vse sisteme, ampak imamo za vsak sistem svoje geslo. Da uporabljamo večfaktorsko avtentikacijo," je odgovoril sogovornik.

Poleg močnih gesel in večstopenjske avtentikacije so koraki k večji varnosti v kibernetskem prostoru še arhiv podatkov in napredne antivirusne zaščite, poroča Radio Slovenija.

Slovenija je podjetjem v preteklih letih pomagala tudi s tako imenovanimi kibernetskimi vavčerji za sofinanciranje varnostnih testov. Namenjeni so bili majhnim in srednje velikim podjetjem, ki so lahko na njihovi podlagi izvedla ukrepe za dvig varnostne ozaveščenosti. Po Gaborjevem mnenju je šlo za korak v pravo smer, podobne ukrepe pa bi veljalo ponoviti, je povedal za STA.

Preiskava vdora v HSE še traja
Milan Gabor: Zaznava kibernetskih napadov se izboljšuje