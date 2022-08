Preteklo sredo je na Upravi za zaščito in reševanje prišlo do kibernetskega napada z izsiljevalskim virusom. Po naših neuradnih informacijah je kasnejši pregled dnevnikov in podatkov o omrežju pokazal številne ranljivosti, teh naj bi bilo več kot 950. Med drugim naj bi uporabljali zelo šibka gesla, kljub temu da je sistem omogočal dvostopenjsko avtentikacijo, pa te možnosti niso uporabljali. Do okužbe je najverjetneje prišlo prek računalnika enega od zaposlenih, ki je delal na daljavo.

Nacionalni odzivni center za kibernetsko varnost (SI_CERT) je že pripravil poročilo v zvezi s kibernetskim napadom na informacijski sistem Uprave za zaščito in reševanje (URSZR). Po naših neuradnih informacijah naj bi pregled podatkov o dostopnih storitvah in morebitnih ranljivosti na naslovnem prostoru URSZR kazal na zelo razširjen nabor ranljivosti. Teh naj bi bilo kar 954, tri od njih pa naj bi imele glede na skupni sistem točkovanja ranljivosti (CVSS) najvišjo oceno: 10. S pomočjo trojanskega konja naj bi prišlo do zlorabe štirih uporabniških računov. Ker so tri od njih uporabljali na lokaciji v Slovenj Gradcu, pa naj bi bila možna okužba več računalnikov ali pa enega sistema v skupni rabi. Po naših neuradnih informacijah naj bi tri uporabniške račune uporabljali dve osebi v partnerski zvezi, kar bi lahko pomenilo, da je do odtujitve podatkov prišlo na domačem računalniku, iz katerega sta se povezovala v omrežje URSZR.

Napadalci naj bi vdrli še v domenski administratorski račun, s katerim je mogoč dostop do vseh sistemov v domeni. Prav skozi ta račun naj bi imeli tako napadalci prost dostop do omrežja URSZR, kar jim je omogočilo napad z izsiljevalskim virusom. Na enem od IP naslovov naj bi bil prosto deljen tudi omrežni disk prek protokola SMB. Gre za komunikacijski protokol, ki je namenjen zagotavljanju skupnega dostopa do datotek in tiskalnikov v omrežju sistemov. Vsi omenjeni uporabniški računi naj bi uporabljali tudi enako, enostavno geslo. Čeprav jim sistem omogoča dvostopenjsko preverjanje pristnosti (2FA), to ni bilo vključeno. Uporabniško ime: urszr, geslo: urszr Na slabo prakso pri upravljanju z gesli kaže tudi dejstvo, da je bilo v aplikacijo SPIN možno vstopiti z uporabniškim računom urszr in geslom urszr. Kot kaže te malomarne prakse po napadu niso spremenili, saj smo se z uporabniškim imenom in geslom v sistem uspešno vpisali še danes popoldan. Napako so nato, po našem klicu in opozorilu, končno odpravili.

Po kibernetskem napadu sistem za poročanje o intervencijah (SPIN) sicer več dni ni deloval. Čeprav je klicna številka 112 delovala ves čas, so morali operaterji po sprejemu klica podatke zabeležiti ročno. Z URSZR so sporočili, da aplikacija za obveščanje in poročanje o nesrečah SPIN sicer od nedelje, 21. avgusta ponovno deluje. Do prvega nepooblaščenega dostopa prišlo že konec julija Do zlorabe računov in nepooblaščenega dostopa v sistem naj bi po naših informacijah sicer prišlo že dober mesec preden je URSZR izdal obvestilo o napadu, in sicer 24. julija. Pri napadu naj bi bili storilci dovolj previdni, vedno naj bi namreč uporabljali dostop skozi VPN storitve, ki ne beležijo in ne razkrivajo podatkov o svojih uporabnikih. Obvestilo o zaznani povezavi na enega od strežnikov URSZR naj bi na SI-CERTU prejeli tudi s strani francoskega odzivnega centra za kibernetsko varnost (CERT-FR), prejeti podatki pa naj bi se ujemali tudi z njihovimi ugotovitvami iz pregleda dnevniških zapisov. SI-CERT naj bi med drugim priporočil forenzični pregled sistema, uporabo dvostopenjskega preverjanja pristnosti in neodvisni varnostni pregled omrežja URSZR. Poleg tega se jim zdi nujna stroga politika nadgradenj in spremljanja ranljivosti na sistemih. "Poročilo smo prejeli in ga bomo upoštevali," so medtem sporočili z URSZR. "Informacijsko omrežje je ponovno vzpostavljeno, uporabniki pa se ponovno vključujejo v omrežje," še dodajajo.

Informacijski sistem URSZR bodo integrirali v informacijske sisteme Ministrstva za obrambo Uprava za zaščito in reševanje je sicer vedno želela biti neodvisen od Ministrstva za obrambo in sprva želela ponovno uporabiti napadene strežnike, a so morali na koncu vendarle uporabiti precej bolj varne strežnike ministrstva. "Zaradi čimprejšnje vzpostavitve novega informacijskega sistema smo uporabili najsodobnejše in temu primerno varnejše serverje, ki nam jih zagotovilo Ministrstvo za obrambo," so prejšnji teden pojasnili na URSZR. "Na Ministrstvu za obrambo smo nemudoma pristopili k iskanju sistemskih rešitev za odpravo pomanjkljivosti in zmanjšanje ranljivosti informacijskega sistema URSZR," medtem sporočajo z ministrstva. Kot pravijo, je minister že izdal sklep o vzpostavitvi koordinacije na področju informacijskih in komunikacijskih sistemov z namenom izboljšanja in poenotenja tehničnih, varnostnih in organizacijskih postopkov in ukrepov na omenjenem področju, s končnim ciljem, da se informacijski sistem URSZR, ob upoštevanju zahtevanih varnostnih standardov, integrira v informacijske sisteme Ministrstva za obrambo. V sklopu koordinacije naj bi med drugim poenotili tudi organizacijske in procesne rešitve ter načrtovanje, izgradnje, vzdrževanje in razgradnje komunikacijskih in informacijskih sistemov. Prav tako naj uporabljali enotne kibernetske obrambe.