Slovenija

Kibernetski napad na skupino HSE: 'Zahteve po odkupnini ni, a tudi dostopa ne'

Ljubljana, 25. 11. 2023 12.49 |

PREDVIDEN ČAS BRANJA: 5 min
Avtor
U.Z., Maja Pavlin
Komentarji
268

V obsežnem kibernetskem napadu na skupino HSE je bil, kot je pojasnil direktor urada za informacijsko varnost Uroš Svete, uporabljen programski virus, ki je onemogočil oz. zaklenil dostope. "Po naših informacijah ni še nihče zahteval odkupnine, a dejstvo je, da tudi dostopa še ni," je povedal. HSE je sicer zagotovil, da elektrarne znotraj njihove skupine obratujejo nemoteno, proizvodnja električne energije pa da zaradi vdora v informacijski sistem ni ogrožena. "Delamo vse, da bi ugotovili potencialno širšo grožnjo ostalim sistemom v Sloveniji," je dejal Svete.

Več videovsebin
  • Direktor Urada vlade za informacijsko varnost Uroš Svete o kibernetskem napadu
    02:33
    Direktor Urada vlade za informacijsko varnost Uroš Svete o kibernetskem napadu
  • Iz 24UR: HSE tarča kibernetskega napada
    02:04
    Iz 24UR: HSE tarča kibernetskega napada

 

Direktor urada za informacijsko varnost Uroš Svete je popoldan stopil pred kamere in podal informacije o obsežnem kibernetskem napadu, katerega tarča je skupina HSE (Holding slovenske elektrarne). Kot je pojasnil, je bil kibernetski incident prvič zaznan v noči s srede na četrtek, ko so ga tudi nemudoma prijavili nacionalnemu uradu za kibernetske incidente na Si-CERT.

Nacionalni urad pa je še isti dan obvestil urad za informacijsko varnost, ki je nato informacijo prenesel tudi do operativne skupine sekretariata sveta za nacionalno varnost. "Obveščen je tudi kabinet predsednika vlade," je dejal.

Kaj se je zgodilo?

Po prvih informacijah naj bi prišlo do kompromitacije samega sistema, uspešnega poskusa penetriranja in poskusa zaklepanja datotek. Kot je pojasnil Svete, je najprej kazalo, da so na HSE z izvedenimi tehničnimi ukrepi incident zamejili. "A nato je v noči s petka na soboto incident postal intenzivnejši, zaradi česar so nas zjutraj obvestili, da se incident v HSE širi." Ob tem so se v podjetju angažirale tako lastne kot zunanje strokovne ekipe.

Direktor Urada vlade RS za informacijsko varnost (URSIV) dr. Uroš Svete
Direktor Urada vlade RS za informacijsko varnost (URSIV) dr. Uroš Svete FOTO: POP TV

"Delamo vse, da bi čim prej prišli do prvega jasnega vzroka samega napada oz. uspešno izvedenega incidenta in s tem ugotovili potencialno širšo grožnjo ostalim sistemom v Republiki Sloveniji," je še povedal. Ekipe na lokacijah skušajo čim prej restavrirati poslovne sisteme prizadetih tarč, prav tako pa skušajo čim prej pridobiti t. i. indikatorje zlorab, da bi se lahko pravočasno odzvali. Ob tem so preventivno vsem z zakonom zavezanim podjetjem že izdali navodila.

Za zdaj sicer tarča napada še ni prejela nobene zahteve po odkupnini podatkov, vendar pa to še ne pomeni, da ne gre za izsiljevalski virus. "S tem terminom namreč označujemo vso programsko opremo, ki nam onemogoča dostop do podatkov oz. jih po domače povedano zaklene. Ali pa jih, kot je bilo v primeru Ukrajine, popolnoma pobriše, da niso več obnovljivi. To pomeni, da lahko izgubimo kontrolo nad določenimi podsistemi," pojasnjuje Svete, ki ocenjuje, da gre v konkretnem primeru za incident, ki ima bistveno daljše časovno obdobje.

"Energetika kot sektor je v EU zelo na udaru. Največ sektorjev je od nje odvisnih in iz tega zornega kota tudi za kriminalce zelo zanimivih." - Uroš Svete 

Verjame tudi, da se je incident zgodil že veliko pred sredo: "Vsak tak incident ima namreč fazo priprave, skeniranja, ugotavljanja ranljivosti in čakanja. To se lahko razširi tudi na več mesecev."

Pri kibernetskem napadu na informacijske sisteme skupine HSE je bila programska koda oz. virus, ki je onemogočil oz. zaklenil dostope. "Z izsiljevanjem bi torej nekdo to izkoristil in od podjetja zahteval neko odkupnino za ponoven dostop do podatkov. Tega po naših informacijah še ni. Je pa dejstvo, da tudi dostopa še ni."

Kakšne so posledice?

Na HSE zatrjujejo, da elektrarne skupine HSE obratujejo nemoteno, proizvodnja električne energije pa da zaradi vdora v informacijski sistem ni ogrožena.

Slednje so zagotovili tudi uradu za informacijsko varnost: "Po njihovem zagotovilu naj ne bi bilo poslovnih posledic oz. direktnih implikacij na proizvodnjo električne energije. Kontaminirani sistemi naj bi bili tako zgolj znotraj samega HSE, v poslovnem smislu. Ni torej še prišlo za eskalacijo v fizični prostor, prav tako pa tudi ne za eskalacijo v neke druge informacijske sisteme."

Hekerski napad
Hekerski napad FOTO: Shutterstock

Zaenkrat torej posledic na samo fizično infrastrukturo ali oskrbo in proizvodnjo ni, "najbolj problematično za urad pa je, ko skušamo tudi tehnično izostriti samo ozadje incidenta, da lahko na osnovi značilnosti ostalih podjetij in infrastrukture tudi ustrezno odreagiramo".

Imajo sicer, kot je pojasnil, tudi zakonsko možnost, da razglasijo stanje povečane ogroženosti, vendar pa za to potrebujejo konkretno informacijo, ki pa je zaenkrat še nimajo. V takšnem primeru pa bi sicer v uradu izdali odločbe, "ki niso več navodila ali metodološka podpora, temveč zelo konkreten ukrep, kaj morajo zavezanci narediti".

Svete je zagotovil še, da bodo, če bi lahko prišlo do širših posledic, sproti obveščali. "Če pride do kontaminacije nekega produkta, ki ga uporablja mnogo podjetij in tudi državljanov, se lahko razširi tudi sama velikost problema."

Kako so napad zaznali?

Napad so zaznali s pomočjo sistemov SIEM, ki so tudi prav za to posebej vzpostavljeni sistemi omrežne varnosti. "Pomembno je da se čim bolj natančno zajame datum same iniciacije. Na osnovi tega lahko namreč ugotoviš, koliko varnostnih kopij je lahko kontaminiranih, če se zadeva širi," je pojasnil Svete.

Najpogostejši vzroki za tovrstne kibernetske napade so sicer po besedah Sveteta slaba kibernetska higiena. Za to pa obstaja več vzrokov. "Tudi izrazito pomanjkanje strokovnjakov s tega področja. Velikokrat delajo na daljavo, kar dopušča možnosti priklapljanja na sisteme z drugih lokacij, kar pa je lahko potencialni vzrok za probleme."

Policija pred HSE
Policija pred HSE FOTO: Miro Majcen

Ranljive vse elektrarne pod HSE

Skupina HSE nam je dopoldan potrdila, da so zaznali vdor neznanih oseb v informacijski sistem skupine. Dodajajo, da so v reševanje incidenta vključene vse relevantne strokovne ekipe, obveščeni pa so tudi vsi ključni deležniki, tako Policija in urad vlade za informacijsko varnost kot tudi predstavniki lastnika, Elesa in drugih ključnih deležnikov.

Po naših informacijah sta bila napadena varnostno-nadzorni sistem in požarno alarmiranje. Vdor v elektrarne naj bi bil skozi HSE, ranljive pa naj bi bile vse elektrarne pod HSE-jem. Prizadeti naj bi bili tako tudi sistemi TEŠ, Dravskih elektrarn in Premogovnika Velenje. Spletni strani Termo elektrarne Šoštanj in Premogovnika Velenje sicer ne delujeta, medtem ko spletna stran Dravskih elektrarn deluje.

"Potrdimo lahko, da je Policijska uprava Ljubljana danes prejela prijavo napada na informacijski sistem ene od gospodarskih družb, s katero aktivno sodelujemo skupaj z ostalimi deležniki za zagotavljanje varnosti na tem področju. Slovenska policija izvaja intenzivno kriminalistično preiskavo, zato več informacij trenutno ne moremo posredovati," pa so nam sporočili s Policijske uprave Ljubljana.

KOMENTARJI (268)

Opozorilo: 297. členu Kazenskega zakonika je posameznik kazensko odgovoren za javno spodbujanje sovraštva, nasilja ali nestrpnosti.

Pikaponca
26. 11. 2023 19.24
+4
Tu velja Komunistična partizanska kadrovska politika negativne selekcije. Eden bolj butast od drugega.
St. Gallen
27. 11. 2023 08.18
+2
na sreco je Svica samo na drugi strani hriba
avgust.
26. 11. 2023 18.57
+3
Bo pa to priročen izgovor pri kakšnih revizijskih in podobnih kontrolah. Nihče bo nič vedel, kam in koliko je izginilo. Zato tudi takšne objave, da ja bodo vsi vedeli, da so imeli virus.
Uporabnik1908615
26. 11. 2023 17.44
+5
to se dohaja ko golobova ekipa osvobodi in okupira energetiko, takoj gre cena elektrike samo navzgor in dogajajo se sami sum ljivi dogodki in kaos
IvanJaJo
26. 11. 2023 16.03
+4
Pa nočko.. Al kako že 💆‍♀️💆‍♂️🕊️🕊️💅💃🤣
St. Gallen
26. 11. 2023 15.24
+6
vecina dobrega kadra je ze odslo preko meje
Rob123
26. 11. 2023 15.11
+5
Jasno koga zaposlijo v it samo znance.
Naj bi
26. 11. 2023 14.14
+2
Saj točno sploh ne vemo za kaj se gre. Lahko samo domnevamo. De se gre za datoteke ali pač, kaj ne delajo backupa. In če ga bi že, ko se backup naredi, se strežnik fizično loči od omrežja in stvar rešena. To sem napisal bolj šlampasto, a da se. Bi rekel, da je varnost tega vsega na zelo nizkem nivoju.
dostjedaves
26. 11. 2023 14.27
+7
Delajo backup in to več kopij, samo ne vedo, kaj vse imajo okuženo.
thedutchman
26. 11. 2023 14.08
+5
ta digitalizacija pa trga na vseh nivojih
2mt8
26. 11. 2023 14.05
+3
Po novem letu: Omrežnina gor, kilovatna ura gor. Venezuela pač...
dostjedaves
26. 11. 2023 14.00
+5
Nova postavka na položnicah: Hekerski prispevek
Aijn Prenn
26. 11. 2023 13.02
+1
Mosad al pa KGB
Iqos
26. 11. 2023 11.50
+7
Tole bo vsaj osem mestna cifra za odkeširat v konjih.
Naj bi
26. 11. 2023 11.07
+4
Enkrat se je ali so pred kamerami pri nas pojavili neki hekeri ali strokovnjaki za to. Kje so sedaj?
FailNation
26. 11. 2023 11.03
+0
Wannacry virus je zakon težko se ga znebiš
Jozaa
26. 11. 2023 10.13
+9
Upam, da niso zamolčali napad na IS nuklearke?
proofreader
26. 11. 2023 10.05
+7
Nenavadno je, da se to zgodi natanko eno leto po objavi 380.000 evrov vredne pogodbe za SIEM.
Hasi
26. 11. 2023 10.05
+5
pride nov CIO in evo takoj težave...
Hasi
26. 11. 2023 10.07
+7
se svaljka po "elitnih" slovenskih podjetjih in jo pobriše preden ga pogruntajo...
a res je
26. 11. 2023 09.41
+12
Samo lolek bolek dovoli dostop do notranjega omrežja od zunaj.
Lzak128
26. 11. 2023 09.40
-3
Itak Rusi se maščujejo za aretacijo njihovih agentov pri nas. Jasno ko beli dan.
St. Gallen
26. 11. 2023 09.37
+7
kaj bo naslednje?
Aijn Prenn
26. 11. 2023 09.46
+3
St. Gallen
26. 11. 2023 09.57
+6
Aijn Prenn
26. 11. 2023 12.58
Mate ves Balkan South tam tako, da en bo nobene težave...
St. Gallen
26. 11. 2023 13.31
Ni res...haha. Je mnogo vec nemcev in italijanov...

Piškotki

To spletno mesto uporablja piškotke. S piškotki zagotavljamo boljšo uporabniško izkušnjo, enostavnejši pregled vsebin, analizo uporabe, oglasne sisteme in funkcionalnosti. S klikom na »Strinjam se« dovoljuješ vse namene obdelave. Posamezne namene pa lahko izbiraš in urejaš s klikom na »Nastavitve piškotkov«. Več o piškotkih lahko prebereš tukaj.

Omogoči uporabo piškotkov za ogled video vsebin, za boljše delovanje in napredno oglaševanje in si ob pregledu vsebin zagotovi optimalno uporabniško izkušnjo. S klikom na »Strinjam se« dovoljuješ vse namene obdelave. Posamezne namene pa lahko izbiraš in urejaš s klikom na »Nastavitve piškotkov«. Več o piškotkih lahko prebereš tukaj.