Virus otjerao državu u oflajn režim

Iz resora javne uprave tvrde da je Disaster recovery centar u Bijelom Polju predviđen za slučaj elementarnih nepogoda. Strategija koja je prethodila osnivanju centra, međutim, predviđa bilo koju vrstu otkaza IT infrastrukture

44666 pregleda35 komentar(a)
Vladin i sajtovi drugih institucija pod gov.me domenom nedostupni su danima, Foto: Shutterstock

Rezervni centar (Distaster recovery), koji je prije desetak godina otvoren u Bijelom Polju kako bi bio podrška u slučaju IT incidenata i pomogao brz oporavak sistema, predviđen je samo za slučaj elementanih nepogoda, a ne i za situacije poput sajber napada, kakvim je posljednjih desetak dana izložena Vlade Crne Gore. Tako kažu u Ministarstvu javne uprave (MJU). Dokument koji je prethodio osnivanju tog centra, međutim, navodi drugačije.

”Rezervni centar u Bijelom Polju je u funkciji već nekoliko godina. Ali on nije predviđen za ovakve situacije. Njegova funkcija je oporavak informacionog sistema u slučajevima elementarnih nepogoda kao što su požari, poplave, zemljotresi i slično. U ovom slučaju on nije od pomoći, jer je povezan sa primarnim Data centrom kroz istu mrežu koja je meta napada”, rekao je “Vijestima” Dušan Polović, v.d. generalnog direktora Direktorata za infrastrukturu, informacionu bezbjednost, digitalizaciju i e-servise u MJU.

Polovićfoto: Luka Zeković

Strategija za obezbjeđenje podataka u slučaju katastrofe za potrebe državnih organa i organa uprave u Crnoj Gori iz 2012, međutim, kaže da je Disaster recovery trebalo da “obezbijedi potpuni kontinuitet poslovanja u slučaju bilo koje vrste otkaza IT infrastrukture”.

Dokument opisuje i vrijeme oporavka u slučaju IT incidenata, pa je tako predviđeno da sistemi budu ponovo dostupni u roku od dva do 24 sata, u zavisnosti od vrste servisa i stepena zahvaćenosti.

Sajber napadi na Vladinu IT infrastrukturu počeli su 20. avgusta i, kako tvrde iz MJU, najintenzivniji su ikad prema nekoj državi. Sajber napadu istog dana i dan poslije, izložen je bio i informacioni sistem Skupštine, iz koje su saopštili i da “nije pretrpio štetu na podacima”, da “nije bio u offline režimu i funkcioniše stabilno u punom kapacitetu”.

Gostujući na Javnom servisu, ministar Maraš Dukaj je prije dva dana rekao da napad “nije djelo pojedinca, već organizovane grupe”. Nakon što je u prvim danima saopštavano da napadi moguće dolaze iz Rusije, Dukaj je rekao da je ipak u pitanju međunarodna kriminalna grupa “Kuba ransomver” (Cuba ransomware). BIRN je juče objavio da, prema njihovim izvorima, napad dolazi iznutra i da se zlonamjerni kod raširio sa računara koji je povezan na Vladin server.

U Vladi i MJU još ne znaju i koja je tačka državnog sistema prva pogođena virusom usljed kojeg već desetak dana u funkciji nisu ni Vladin vebsajt, ni sajtovi drugih institucija pod gov.me domenom. Iz Ministarstva finansija juče su saopštili da je, zbog specifičnosti podataka kojima upravlja, njihov resor jedan od najpogođenijih.

Više puta je saopšteno da su podaci građana bezbjedni, iz MJU tvrde i da za sve podatke za koje je odgovoran taj resor imaju rezervne kopije (bekap). Tvrde i da su “sve ključne radne stanice ažurirane i opremljene odgovarajućim programima za zaštitu”, ali i da za servere nisu zaduženi u MJU, već da o njima brinu firme sa kojima imaju sklopljene ugovore.

Iz privatnog sektora, govoreći o mogućim scenarijima za sajber napade, poručuju da je uzrok za sve kritične scenarije “nedovoljna pažnja koju poklanjamo sajber bezbjednosti”.

Ne precizirajući koliko je proteklih godina uloženo u IT infrastrukturu, pored ostalog, i kroz različite tendere i angažovanje privatnih firmi, iz MJU i drugih vladinih resora, poručuju da je u budućnosti neophodno ulagati više.

”Zero day” napad

Kad je u pitanju vrsta napada, iz MJU su rekli da je u pitanju “ransomver” - vrsta zlonamjernog koda čija je svrha pristup podacima, njihovo šifrovanje, te u konačnom ucjena žrtve da joj se podaci vrate. Literatura navodi da se taj oblik virusa najčešće preuzima otvaranjem zaražene elektronske pošte.

Na pitanje “Vijesti” o tome o kojim je tačno “ransomver” napadima riječ, te odakle je krenuo napad, odnosno koja je institucija, resor prvi pogođen, iz MJU su rekli da će na to pitanje moći da odgovore tek “nakon urađene kompletne forenzike i istrage”.

Ilustracijafoto: Shutterstock

Polović iz MJU prethodno je saopštio da se radi o DDoS napadima, dvije varijante ransomvera i bot neta, kao i dvije sajber tehnike “ali da namjerno neće objavljivati koje”. On je u ponedjeljak kazao i da je vrijednost virusa kojim su izvedeni napadi na dark vebu “od 100 hiljada do 2,5 miliona dolara”. Dukaj je prije dva dana rekao da je za napad kreiran poseban virus čija je cijena oko 10 miliona dolara.

Iz MJU su “Vijestima” rekli i da su njihovi službenici, uz podršku firme sa kojom imaju sklopljen ugovor, odgovorni za održavanje antivirusnog softvera, ali da su imali “Zero days napad, što znači da odbranu od takvog napada ne postoji nijedan antivirus na svijetu”.

”Ne postoji odbrana od ove vrste napada ni sa jednim antivirusom, budući da je ovaj virus prvi put korišćen za napad na Crnu Goru”, rekao je Polović “Vijestima”.

”Zero day” napadom, kako opisuju stručnjaci, smatra se napad koji iskorištava ranjivost sistema prije nego što se dostupnim učine “zakrpe” (eng. patch) za tu ranjivost.

U literaturi je opisan sajber napad na Microsoft Exchange server, koji za razmjenu elektronske pošte koristi i crnogorska Vlada i njene institucije. Ranjivosti tog Microsoftovog proizvoda pominju se još od 2013, prenose se iz godine u godinu, kompanija razvija zakrpe i sugeriše korisnicima da ih instaliraju. U suprotnom, korisnici su pogodna meta za daljnje iskorištavanje ranjivosti.

Ilustracijafoto: Shutterstock

Stručnjaci navode i da se “zero day” napadi koji ciljaju Microsoft softver često događaju neposredno nakon što ta kompanija izbaci zakrpe (drugog utorka u mjesecu). I kod drugih globalnih proizvođača softvera registrovane su “zero day” ranjivosti sistema, pa su tako napadima bili izloženi Adobe proizvodi, Internet Explorer, Java, Mozilla Firefox...

Kao način za zaštitu, pored ostalog, preporučuje se redovno ažuriranje softvera. Iz MJU tvrde da su sve ključne radne stanice “ažurirane i opremljene odgovarajućim programima za zaštitu”.

”Za servere su zaduženi pružaoci usluga, a za radne stanice lokalni administatori u državnim organima”, rekli su “Vijestima”.

Ažuriranje softvera - abeceda zaštite

Da je redovno ažuriranje servera i radnih stanica “jedna od esencijalnih operativnih mjera, čiji je cilj sprečavanje potencijalnih napada”, kaže i Majo Mićović, direktor firme “Sky Express Montenegro”, članice ICT Cortexa koja je specijalizovana za sajber bezbjednost.

”No, kao i druge, ništa manje važne mjere, sve to mora biti dio sveobuhvatnog sistema upravljanja informacionom bezbjednošću, sačinjenom po mjeri korisnika. Ne postoji ‘srebrni metak’ kojim bi univerzalno riješili problem bezbjednosti. Da budemo još jasniji - uzrok za sve te kritične scenarije je nedovoljna pažnja koju poklanjamo sajber bezbijednosti”, kazao je on.

Na pitanje kako komentarišu činjenicu da IT sistem Vlade još nije oporavljen, u kojem scenariju jedan sistem postaje tako ranjiv, Mićović dodaje da to jeste neuobičajeno, ali i da nemaju detalje za više komentara.

”ICT Cortex, do ovog trenutka, raspolaže isključivo informacijama iz medija. Jeste neuobičajeno to što informacioni sistemi i servisi Vlade još nisu u potpunosti vraćeni u operativno stanje, međutim, mi ne znamo sa kakvim izazovima se odgovorni za IT sistem susreću tokom procesa oporavka i otklanjanja posljedica napada”, rekao je on.

Drugi stručnjak za sajber bezbjednost koji je želio da ostane anoniman, kazao je da “informacioni sistemi koji se redovno ažuriraju, a ovo se odnosi na servere i računare, nisu podložni ovakvim napadima, jer proizvođači svako malo objavljuju zakrpe kojima se ove ranjivosti eliminišu”.

Ilustracijafoto: Shutterstock

”Redovno ažuriranje je u IT svijetu stvar opšte kulture, poput recimo pranja zuba ili tuširanja”, kazao je on.

Dodao je i da se u slučaju kreiranja, rezervne kopije čuvaju kako bi podaci mogli biti vraćeni u slučaju potrebe.

Iz MJU su ranije rekli da je dio računara javne uprave van funkcije, “jer njihovo uključivanje zahtjeva detaljnu analizu”. Kao način zaštite u jednom trenutku, zaposlenima u institucijama preporučili su gašenje kompjutera. Kad je najavljen mogući napad na kritičnu infrastrukturu (elektro, vodovodna mreža, telekomunikacije...), Elektroprivreda je svoje elektrane prebacila na manuelni sistem upravljanja.

FBI na terenu, domaći čekaju poziv

U istragu o sajber napadima na IT infrastrukturu Vlade, kako je saopšteno, već su uključeni međunarodni partneri. Ranije je rečeno da država ima “ogromnu podršku NATO partnera: SAD, Francuske i Velike Britanije”. Dukaj je juče na Tviteru objavio i da su “partneri iz FBI već na terenu i pomažu da se prevaziđe jedan od najsloženijih napada na digitalnu infrastrukturu neke države u istoriji”.

Iz Privredne komore u srijedu su, nakon sastanka sa predstavnicima MJU, saopštili da je domaća IT zajednica spremna da u kratkom roku stavi na raspolaganje svoje resurse, znanje i iskustvo u cilju prevazilaženja krize nastale usljed sajber napada.

Prethodno je državi pomoć ponudio ICT Cortex, klaster koji okuplja neke od najuspješnijih crnogorskih ICT firmi. U izjavi za “Vijesti” kažu da još nisu dobili povratni odgovor, ali da je moguće da su nadležni konktaktirali neku od njihovih članica. ”ICT Cortex stoji na raspolaganju da naši najbolji stručnjaci pomognu zaposlenima u MJU, ekspertizom svojih članica u ovoj oblasti, da se problem što je moguće prije riješi”, rekli su “Vijestima”.

Na pitanje na koji način članice ICT Cortexa mogu pomoći u ovom slučaju, Mićović iz kompanije “Sky Express Montenegro” kazao je da taj klaster može pomoći i u rješavanju postojećeg incidenta, ali i u kreiranju “sistematskog, struktuiranog i adekvatnog plana za prevenciju i ranu detekciju ovakvih dešavanja u budućem vremenu”.

Sajber strategija

Vlada je usvojila više strategija o sajber bezbjednosti - prvu za period od 2013. do 2017, potom jednu za period od 2017. do 2021. Posljednja je usvojena krajem juna i odnosi se na period do 2026. U tom dokumentu piše i da je u narednim godinama za Vladu očekivan rast komplikovanih sajber napada sa većim posljedicama, da Crna Gora ne posjeduje adekvatne mehanizme za detektovanje sajber prijetnji, kao ni mehanizme za dovoljno brz odgovor, odnosno oporavak od napada.

”Nedostatak eksperata iz oblasti sajber bezbjednosti je prepoznat kao globalan problem, dok je u Crnoj Gori zbog ograničenih ljudskih resursa ovaj problem još izraženiji”, piše u Strategiji.

U prethodnom petogodišnjem periodu, u Crnoj Gori je zabilježeno više od 2.600 sajber napada. Prema podacima Digitalnog forenzičkog centra (DFC) iz Podgorice, najžešći hakerski napadi dogodili su se 2017. u vrijeme pristupanja NATO i na dan parlamentarnih izbora 2016. godine.

Šta kaže Strategija za oporavak podataka iz 2012.

Vlada, odnosno tadašnje Ministarstvo za informaciono društvo (MID), u januaru 2012. donijelo je Strategiju implementacije Disaster Recoveryja.

Kako je navedeno već u uvodnom dijelu, cilj strategije, pored ostalog, bio je da “omogući brz, potpun i jednostavan oporavak podataka kao i mogućnost uspostavljanja normalnih poslovnih operacija, u što kraćem roku u slučaju ozbiljnog incidenta”, te da “obezbijedi potpuni kontinuitet poslovanja u slučaju bilo koje vrste otkaza IT infrastrukture”.

”Jedan od osnovnih elemenata u disaster recovery strategije jeste plan kontinuiteta poslovanja (BCP), koji po definiciji obuhvata identifikovanje i zaštitu kritičnih poslovnih procesa i resursa neophodnih da se održi prihvatljiv nivo poslovanja. Štiteći one resurse i primjenjujući one procedure i procese koji će omogućiti opstanak organizacije u slučaju katastrofalnog događaja. Ovi događaji mogu da budu prirodne katastrofe kao što su poplave i zemljotresi, rizik od terorističkog napada, pa do događaja kao što su otkaz servera ili nekog drugog dijela informacione infrastrukture (ICT)”, piše u dokumentu iz 2012.

U strategiji je, u odnosu na vrstu servisa, opisano i predviđeno vrijeme oporavka i ono se kreće od dva sata za aplikacije poput e-pošte, elektronske sjednice Vlade, izdavanje sertifikata... isti radni dan, odnosno osam sati za Vladin portal, veb servise, te 24 sata, odnosno sljedeći radni dan, koliko je preporučeno vrijeme oporavka za arhiviranje e-pošte i e-dokumenata.

U jednoj od tabela opisano je i preporučeno vrijeme oporavka, u odnosu na stepen zahvaćenosti sistema katastrofom. Tako se za slučaj da je zahvaćeno nekoliko kritičnih aplikacija, predviđa vrijeme oporavka od dva sata, ukoliko bi bili zahvaćeni glavni djelovi aplikacija, kao i glavni dio kapaciteta Data centra - osam sati. Ako bi katastrofom bila zahvaćena osnova IT operacija, kao i čitav Data centar, planirano vrijeme oporavka, kako je navedeno, je naredni dan, odnosno 24 sata.

Internet raj za maskiranje

U prvim danima pošto su počeli sajber napadi na Vladinu IT infrastrukturu, ministar Dukaj je, pozivajući se na podatke Agencije za nacionalnu bezbjednost (ANB), kazao da dolaze iz Rusije. Odgovarajući na pitanje koliko se može biti siguran da određeni napadi dolaze sa neke adrese na internetu, Mićović je “Vijestima” rekao da se može biti prilično siguran, ali i da je moguće preusmjeriti saobraćaj da izgleda kao da ste neko drugi.

Ilustracijafoto: Shutterstock

”Pitanje je ko stoji iza te adrese, da li je to TOR exit node, da li je VPN koncentrator ili slično, tako da IP adresa, sama po sebi, nije previše relevantan podatak. Tehnologija u 21. vijeku je toliko razvijena da se napad može izvršiti sa računara vašeg kolege, a da se pritom adresa napada maskira kao da dolazi iz druge države. Najprostije rečeno, internet predstavlja decentralizovanu mrežu mnogo različitih mreža koje su povezane raznim uređajima. Svrha ovih uređaja je da vrše rutiranje (usmjeravanje) saobraćaja na željenu adresu, pa to dodatno usložava proces otkrivanja”, pojasnio je on i dodao da postoji mogućnost praćenja i određivanja adrese sa koje je došao napad, ali i kazao da takvo utvrđivanje zahtijeva ozbiljnu koordinaciju mnogih institucija iz različitih država.