Kompijuterski ekspert o hakerskom napadu: Podaci građana će vjerovatno procuriti u javnost
Hakerski napad na IZIS (Integrisani zdravstveno informacioni sistem) mogao bi imati mnogo veće posljedice od onih koje su nam predstavili nadležni.
Iako iz kompanije ‘’MMSCode’’ tvrde da podaci nisu ukradeni, Vladimir Cicović, kompjuterski ekspert, za internet magazin ‘’Moja Hercegovina’’ tvrdi suprotno!
Ne samo da su podaci ukradeni već postoji velika vjerovatnoća da isti budu grubo zloupotrijebljeni na više načina.
O ovome, ali i o tome ko je zakazao u cijeloj priči, Vladimir Cicović je govorio ekskluzivno za ovaj magazin.
Šta se zapravo desilo sa IZIS-om?
Kompletan informacioni sistem IZIS-a je napadnut od strane ransomware grupe. Cilj takvih grupa je da se potajno uvuku na što više servera, dođu do svih podataka, izvuku podatke i ostave samo šifrovane kopije. Napad je uticao da je kompletan IT sistem van funkcije. Da li postoje kopije/bekup servera, saznaćemo u narednim danima. Napadu je pomoglo to što nisu preduzete tehničke mjere zaštite. Postojeće koje imaju već unazad 10 godina ovakve tipove napada ne zaustavljaju.
Postupak je sljedeći: prvo od žrtve se traži da plati “ključ” za dešifrovanje podataka, ako to ne uradi – podaci se javno prodaju. Ako se podaci ne prodaju ili se čak prodaju, napadač objavljuje te podatke i oni postaju javni. Ovo su izostavili da kažu i policija i IZIS/FZO kao i drugi ljudi.
Kolika šteta može nastati zbog svega što je prećutano, tj sakriveno od javnosti, a tiče se napada na IZIS?
Prećutano je kako je došlo do incidenta, šta je tačno preduzeto i koje su posljedice. Najbitnije je to da posljedice mogu biti da će svi podaci svih građana koji su u IZIS tj koriste Domove zdravlja uskoro (vjerovatno) izaći u javnost / biti dostupne svima. Prvi cilj kriminalaca je naplaćivanje otkupnine za dešifrovanje podataka, a ako ne uspiju – prodaju podatke bilo kome. A ako i to ne uspije – podaci postaju javni.
Ko je sve zakazao u cijelom slučaju?
FZO, Vlada Republike Srpske, MUP RS, CERT RS (Computer emergency response team). FZO je imao obavezu da preduzme korake za zaštitu – a nadležni u cijelom slučaju žele plasirati priču da zaštita ne postoji. Postoji ali nije praktikovana. Treninzi sa zaposlenima, simulacija napada na informacioni sistem, provjera bekapa, brzina vraćanja u funkciju i dosta toga. Vlada RS jer nije donijela odluke za primjenu sigurnosnih standarda. Inače, to je mogao i CERT RS da uradi kako bi se sve to primijenilo u državnim firmama ali i privatnim. Policija nije dala objašnjenje, nije uradila istragu već su samo prebacili priču na Europol. Ovdje je trebalo da tužioci koji su tehnički upućeni u ovakve stvari da ispitaju svu situaciju ali nisu.
Ukoliko se podaci objave javno, a slijedom okolnosti, takav scenario je vrlo moguć, ko treba da snosi odgovornost i na koji način mogu biti zloupotrijebljeni podaci korisnika IZIS-a?
Može se koristiti za krađu identiteta, za lociranje lica i porodica, može se koristiti za SMS/email prevare, pa čak i za prevare običnim pismom. Pošalje se faktura i prijeti se licu da ako ne plati moraće ići na sud i plaćati ogromne svote novca. SMS prevare su brzo izvodljive i dešavaju se uveliko u okruženju. Napadaju se korisnici banaka, pošta i drugi tako što se “navuku” na određeni link koji je identičan za banku/poštu/ostalo, gdje osoba daje određene informacije kao na primjer broj kartice, pristupni kod i slično. Što se tiče odgovornosti, tužilac će skrenuti pažnju na napadača ali će se izostaviti nepreduzimanje tehničkih mjera od strane žrtve tj IZIS/FZO. U nekim zemljama je ovo jako bitno jer ovakve stvari normalno društvo doživljava izuzetno loše, a ozbiljna država ne dopušta ovako nešto.
Cicović za kraj ovog razgovora govori o mogućim razlozima ransomware napada na jedan tako bitan sistem kao što je IZIS. On kaže da je cijeli splet nespretnih okolnosti i neodgovornog ponašanja doveo sve korisnike IZIS-a u vrlo neprijatnu situaciju.
Nemamo dovoljno informacija, ali krenućemo šta je moglo da dovede do svega ovoga:
– loša kadrovska politika FZO
– nepostojanje treninga za zaposlene o mogućim napadima (phishing, smishing, social engineering, ostalo)
– nepostojanje standarda koje moraju ispunjavati institucije koje rade sa podacima građana
– skidanje javnosti sa grbače od strane Policije, koja je ovdje samo formalno dala izjavu i ništa nije uradila
– tužioci koji nisu sposobni da vode ovakve istrage
– nedostatak redovnih sigurnosnih ažuriranja
– nezainteresovanost vlade Srpske da iz ovog incidenta izvuče pouku
– nepostojanje istrage koja bi do kraja dovela sve ovo i otklonila sumnje.
Bježanje od odgovornosti i obmanjivanje javnosti može samo dodatno zakomplikovati cijeli slučaj, a ovakvim ponašanjem nadležni ugrožavaju sve korisnike IZIS-a. Ono što je već sada sasvim sigurno je to da je napad na IZIS razotkrio brojne mane, javašluk i neodgovornost ne samo onih koji su direktno uključeni u ovaj slučaj, već je ogoljen cijeli sistem, a ceh će na kraju, kao i obično, platiti građani.