Hakerski napadi na Poresku upravu Republike
Srpske i Integrisani zdravstveni informacijski sistem (IZIS), ali i napadi na naš portal bili su
povod da razgovaramo sa jednim od vodećih stručnjaka u području cyber
sigurnosti, Predragom Puharićem, direktorom Cyber Security Excellence Centra
(CSEC)
Cilj nam je bio otkriti dublje uzroke ovih incidenata, ali i saznati
ključne korake koje treba poduzeti kako bi se unaprijedila sigurnost cyber
prostora.
Na samom
početku ragovora Puharić kaže da je važno istaći da se sve informacije koje
posjedujemo o nedavnim hakerskim napadima na Poresku upravu i IZIS temelje
isključivo na izvještajima medija.
“Kako ne postoji pravna obveza prijavljivanja
ovakvih napada u Bosni i Hercegovini, javnost je ograničena u pristupu
cjelovitim informacijama o detaljima incidenata. Odsustvo pravne obaveze
prijavljivanja ovakvih cyber napada stvara značajan izazov u razumijevanju
dubljih uzroka, opsega i metodologije napada. Nedostatak transparentnosti u
vezi s ovim incidentima onemogućava javnosti da dobije potpunu sliku o tome što
se točno dogodilo, kako je došlo do napada i zašto su sigurnosni sistemi
zakazali. Ove informacije, da su dostupne, bile bi ključne za sprječavanje
budućih napada. Nedostatak transparentnosti oko ovih napada dodatno naglašava
važnost uvođenja pravne obveze prijavljivanja cyber napada kako bi se osiguralo
dijeljenje ključnih informacija između relevantnih institucija, povećavajući
time ukupnu sigurnost informacijskog prostora. Napadi na Poreznu upravu
Republike Srpske i Integrisani zdravstveni informacijski sistem (IZIS) predstavljaju ozbiljan izazov za
sigurnost podataka i informacijske tehnologije. Na osnovu dostupnih informacija
iz medija, čini se da su ovi napadi bili rezultat ozbiljnih propusta u zaštiti
podataka i sigurnosnih mjera”.
A
Poreske uprave RS?
Što
se tiče Porezne uprave RS, na osnovu dostupnih informacija propusti su se
činili korištenjem službenih emailova zaposlenih za pristup raznim zabavnim
sajtovima, malim oglasima i LinkedInu. Ovo ukazuje na neodgovorno ponašanje
zaposlenih u korištenju službenih resursa, što je dovelo do curenja podataka
poreskih obveznika.
Da još napomenem
za IZIS, situacija se dodatno komplikuje činjenicom da
su hakeri zaključali podatke i postavili zahtjev za novčanom naknadom kako bi
ih otključali. Zabrinjavajuće je što svaki pokušaj intervencije može
rezultirati gubitkom ili nepovratnim oštećenjem podataka, stvarajući dodatni
pritisak na informacioni sistem. Iako tvrdnje iz Porezne Uprave RS sugerišu da podaci
pacijenata nisu kompromitovani, činjenica da su hakeri imali pristup serveru
ozbiljno postavlja pitanja o opsegu sigurnosnih propusta u zaštiti serverske
infrastrukture. Ovaj incident naglašava važnost ne samo zaštite softvera nego i
implementacije visokih standarda sigurnosti na razini samih serverskih sistema.
Šta
preporučujete u cilju jačanja obrane od budućih napada?
- Sistematska edukacija osoblja: Organizacije bi trebale
ulagati u redovno obučavanje osoblja o sigurnosnim protokolima,
prepoznavanju phishing napada, odgovornom korištenju službenih resursa, te
općenito podizati svijest o sigurnosnim prijetnjama na mreži. - Povećanje
sredstava za sigurnost podataka: Dodatna ulaganja u najsavremenije sigurnosne
tehnologije, uključujući firewall-ove, antivirusne programe, te sisteme za
otkrivanje i odgovaranje na incidente (IDPS), ključna su kako bi se
osigurala potpuna zaštita of cyber prijetnji. - Postavljanje
etičkih smjernica:
Organizacije trebaju jasno definisati etičke smjernice za korištenje
službenih resursa, uključujući email adrese. Stroge smjernice mogu
spriječiti zaposlenike da neodgovorno koriste službene adrese za osobne
aktivnosti na mreži. - Redovna
procjena i poboljšanje sistema sigurnosti: Kontinuirane evaluacije postojećih sigurnosnih mjera
omogućavaju organizacijama da prepoznaju i poprave eventualne slabosti u
njihovim sistemima. - Saradnja
sa relevatnim institucijama (npr. CSES): Organizacije bi trebale sarađivati s drugim
relevantnim institucijama, dijeliti iskustva i najbolje prakse, te aktivno
učestvovati u zajedničkim naporima zaštite od cyber prijetnji. - Promjena
zakonodavstva i usklađivanje sa normama EU: Usvajanje odgovarajuće cyber sigurnosne strategije i
zakonodavstva moraju postaju ključni koraci, kako bismo uspješno
odgovorili na sve opasnosti i prijetnje koje dolaze iz cyber prostora.
Implementacija modernih i efikasnih zakonskih okvira za cyber sigurnost ne
samo da će jačati povjerenje između države, privatnog sektora i građana,
već će također pomoći u ispunjenju standarda EU u području informacijske
sigurnosti. Promjene u zakonodavstvu moraju pratiti cjelovita strategija
cyber sigurnosti koja uključuje edukaciju, tehničke mjere, te saradnju s
međunarodnim partnerima.
Jako
bitna karakteristika pri odgovoru na cyber napad je i naša brzina oporavka. Tu
dolaze do uzražaja preventivne radnje koje smo preduzeli kao što su neophodnost
plana kontinuiteta poslovanja te oporavka u slučaju krize. Jako važan faktor je
i pravovremen, ispravan i testiran proces backupa podataka kako bi se u slučaju
napada podaci vratili u što je moguće kraćem roku.
Mogli
smo također čuti da su sada ugroženi podaci pacijenata, kao i podaci klijenata
Poreske Uprave RS, čak i da se prodaju na crnom tržištu. Šta to znači i na koji
način podaci mogu biti zloupotrebljeni?
Incidenti
na Integrisanom zdravstvenom informacijskom sistemu (IZIS-u) i Poreskoj upravi RS ukazuju na
ozbiljnu prijetnju privatnosti i sigurnosti podataka pacijenata i poreskih
obveznika. Zloupotreba ugroženih podataka
pacijenata i podataka klijenata Poreske uprave RS može imati ozbiljne i dugoročne
posljedice na različite aspekte života pojedinaca i poslovanje organizacija.
Ovo
su potencijalni scenariji zloupotrebe u navedenim situacijama:
●
Prodaja na crnom
tržištu:
o
Ugroženi podaci pacijenata i poreskih obveznika, kada se prodaju
na crnom tržištu, postaju dostupni kriminalcima i drugim zlonamjernim akterima.
o
Kupci tih podataka mogu ih iskoristiti za različite nezakonite
aktivnosti, uključujući krađu identiteta, iznudu, ili čak za prilagođene
phishing kampanje.
●
Krađa identiteta:
o
Hakeri mogu iskoristiti ukradene podatke kako bi stvorili lažne
identitete pacijenata ili poreskih obveznika.
o
To može dovesti do financijskih prijevara, otvaranja lažnih
bankovnih računa, ili dobivanje kredita pod lažnim identitetima.
●
Financijske prijevare:
o
Kada se prodaju podaci sa bankovnim informacijama ili poreznim
podacima, postoji rizik od direktnih financijskih prijevara.
o
Hakeri mogu pokušati pristupiti bankovnim računima, izvršiti
neovlaštene transakcije ili čak promijeniti informacije o porezu kako bi
izbjegli plaćanje.
●
Manipulacija poreznim
podacima:
o
Ugrožavanje podataka Poreske uprave RS može omogućiti hakerima
manipulaciju poreznim evidencijama.
o
To može rezultirati lažnim prijavama poreza, gubicima za državu
ili čak izbjegavanjem plaćanja poreza od strane zlonamjernih pojedinaca ili
organizacija.
●
Zloupotreba zdravstvenih
podataka:
o
Ugroženi zdravstveni podaci pacijenata mogu se koristiti za iznudu
ili pristup specifičnim medicinskim tretmanima.
o
Postoji i rizik od objavljivanja osjetljivih zdravstvenih
informacija, što može imati ozbiljne posljedice po privatnost i reputaciju
pacijenata.
Sjetimo
se Cyber napada na Državni parlament i Vijeće ministara Bosne i Hercegovine
prije godinu dana, kada uposlenici sedmicama nisu mogli pristupiti mailovima i
drugim serverima. Postoje li adekvatni zakoni, ali i planovi, strategije,
procesi koje institucije primjenjuju radi zaštite svojih sistema i podataka od
cyber napada?
Nažaost,
Bosna i Hercegovina se suočava s velikim izazovima u oblasti cyber sigurnosti.
BiH je jedina zemlja u Evropi koja nije usvojila sveobuhvatni pristup
rješavanju prijetnji cyber kriminala i cyber sigurnosti. Nedostatak strateškog
okvira, planova i strategija rezultira ograničenim kapacitetima i neadekvatnom
pripremljenošću institucija.
Nedavni
cyber napadi na institucije, uključujući Državni parlament i Vijeće ministara,
ukazuju na potrebu hitnih mjera. Bosna i Hercegovina se također suočava s
ozbiljnim nedostatkom usklađenosti sa standardima EU u oblasti cyber
sigurnosti, uključujući nedostatak sveobuhvatne legislative, planova i
strategija. Trenutno je Republika Srpska jedina entitetska jedinica koja ima Zakon o
informacionoj sigurnosti.
Volio bih da
u narednom periodu saznamo više detalja od nadležnih institucija RS-a kako bi
se i ostale slične institucije mogle bolje pripremiti za potencijalne
incidente. Također, više detalja bi nam dalo jasniju sliku da li je bilo
eventualnih propusta u odnosu na Zakon o informacionoj bezbjednosti RS-a, Zakon
o kritičnoj infrastrukturi RS-a, ali i u odnosu na Zakon o zaštiti ličnih
podataka BiH
Postojeći
ljudski, materijalni i organizacijski kapaciteti nisu dovoljni da pruže
potreban nivo sigurnosti u cyber prostoru. Različiti nivoi vlasti (državni,
entitetski, kantonalni) u zemlji imaju nejednaku pripremljenost, što rezultira
neujednačenim nivoom zaštite korisnika i ranjivosti na prijetnje. Bosna i
Hercegovina, nažalost, ostaje jedina zemlja u Evropi koja nema uspostavljen
državni CERT. Državni CERT ima zadaću pružanja podrške u rješavanju sigurnosnih
prijetnji, te jačanja ukupne cyber sigurnosti unutar zemlje ili organizacijama
(dijeljenju informacija o incidentima, pružanje savjeta o sigurnosnim praksama,
te pružanju podrške u analizi i rješavanju cyber incidenta).
Unatoč
nedostatku okvira i strategija na državnoj razini, situacija nije potpuno
negativna, a CSEC je sjajan primjer nečega značajnog u cyber sigurnosnom
području u Bosni i Hercegovini. Uslijed nepostojanja potpuno operativnog
nacionalnog CERT-a u Bosni i Hercegovini, grupa cyber entuzijasta iz
akademske zajednice udružila je snage kako bi osnovala Cyber Security
Excellence Centre (CSEC), u nastojanju da premosti postojeći jaz i djeluje kao
posljednja linija obrane u cyber sigurnosnom pejzažu zemlje.
Budući
da je CSEC osnovan 2022. godine, trenutno se nalazi u procesu izgradnje opsežne
mreže kontakata sposobnih za pružanje informacija o cyber prijetnjama. Osim
toga, radi na organizaciji različitih događanja, kampanja i kanala širenja
informacija kako bi povećao svijest među online zajednicom i stvorio puteve za
rano upozoravanje
na cyber prijetnje. Konačna misija CSEC-a je pozicionirati se kao neutralni i
pouzdani centar za sustavni odgovor na kibernetičke incidente u Bosni i
Hercegovini, doprinoseći razvoju i poboljšanju cyber sigurnosti zemlje.
CSEC
također ima za cilj jačanje komunikacijskih kanala između svih sudionika
cyber sigurnosti i drugih timova CERT-ova u Bosni i Hercegovini i regiji.
CSEC-ova vizija je poticanje sigurnog i otpornog cyber prostora u Bosni i
Hercegovini za sve građane.
I
Buka portal je već danima pod napadom, portal Nezavisnih novina je takođe bio
kratko pod napadom. Po čemu se napadi na portale (medije) i IZIS razlikuju,
pošto pretpostavljam da imamo različite mnoge vrste hakerskih napada?
Da,
tačno je da se napadi na portale poput Buka i Nezavisnih novina, te na IZIS,
mogu razlikovati po mnogim karakteristikama, jer postoje različite vrste
hakerskih napada.
U
slučaju portala poput Buka i Nezavisnih novina, napadi obično su usmjereni na
dostupnost i funkcionalnost stranica, gdje je najčešća metoda napada tzv.
“distributed denial-of-service” (DDoS) napad, gdje hakeri pokušavaju
onemogućiti pristup portalu tako što preplave mrežne resurse velikim brojem
zahtjeva, čime uzrokuju preopterećenje i nedostupnost servisa, čime se
onemogućava normalan pristup posjetiteljima. Ovakvi napadi često imaju
političku, ideološku ili društvenu motivaciju, a njihov cilj može biti smanjenje
uticaja medijskih portala ili izražavanje neslaganja sredstvima digitalnih
napada.
S
druge strane, napad na Integrisani zdravstveni informacijski sistem (IZIS)
predstavlja ozbiljan sigurnosni incident. Ransomware napadi, poput ovog,
usmjereni su na šifriranje podataka i zahtijevaju otkup kako bi žrtva dobila
ključ za dešifriranje. Ovi napadi često imaju finansijsku motivaciju, jer
hakeri traže novčanu naknadu za vraćanje pristupa zaključanim podacima. U
slučaju IZIS-a, osim što je riječ o finansijskom zahtjevu, postoji i prijetnja
javnom zdravstvenom sektoru, s obzirom na to da su zaključani podaci o
pacijentima.
Mogu
li se online mediji 100 postotno zaštiti od ovih napada?
Nažalost,
nemoguće je postići apsolutnu sigurnost i stopostotnu zaštitu online medija od
cyber napada. Iako se mogu preduzeti razne sigurnosne mjere kako bi se smanjio
rizik od napada, potpuna eliminacija prijetnji praktično nije izvodljiva.
Online
mediji su često meta različitih vrsta cyber napada, uključujući DDoS napade,
pokušaje hakiranja, ransomware napade i slično. Sigurnosne prakse poput
redovitog ažuriranja softvera, korištenje snažnih lozinki, implementacija
sigurnosnih programa, edukacija osoblja o cyber rizicima i praćenje najnovijih
sigurnosnih trendova mogu značajno pomoći u smanjenju ranjivosti online medija.
Međutim,
i pored svih preduzetih mjera, uvijek postoji određeni nivo rizika. Hakeri
neprestano razvijaju nove tehnike i taktike, što znači da online mediji moraju
neprestano prilagođavati svoje sigurnosne strategije. Uz to, ljudski faktor,
kao što su neodgovorno ponašanje osoblja ili socijalni inženjering, također
predstavlja izazov.
Ključna
je svijest o sigurnosti, brza reakcija na incidente i redovito ažuriranje
sigurnosnih praksi. Iako se stopostotna zaštita možda ne može postići,
kontinuirano unapređivanje i održavanje sigurnosnih standarda omogućava online
medijima da se bolje nose s prijetnjama iz cyber prostora.
A
hakerski napadi čija su meta građani. Koliko su česti, šta obično imaju za cilj
i kako se svako od nas može zaštiti?
Nažalost,
tačan broj hakerskih napada usmjerenih na građane Bosne i Hercegovine nije
moguće precizno utvrditi jer nema zakonske obaveze prijavljivanja napada, a
također i zbog nepostojanja registra cyber napada u zemlji. Dodatno, u
izvještaju CSEC-a iz oktobra 2023. godine navodi se da je tokom tog perioda
detektovano 15,4 miliona cyber prijetnji
u BiH putem DecoyNET Honeypot sistema, pri čemu je stopa porasta napada
bila 72 posto viša u usporedbi s prethodnim izvještajem iz marta 2023. godine.
Ovi alarmantni podaci ukazuju na ozbiljnu ranjivost građana, kompanija i
institucija Bosne i Hercegovine pred cyber prijetnjama koje mogu ugroziti
ključne sektore.
Što
se tiče zaštite svakog pojedinca, postoji nekoliko ključnih koraka koje možemo
preduzeti:
●
Jačanje lozinki: Koristite snažne, jedinstvene
lozinke za svaki online račun i redovno ih mijenjajte.
●
Ažuriranje softvera: Redovno ažurirajte operativne
sisteme, antivirusne programe i druge aplikacije kako biste ispravili
sigurnosne propuste.
●
Budite oprezni pri klikanju: Izbjegavajte klikanje na sumnjive
linkove ili otvaranje nepoznatih priloga u e-mail porukama, jer su često izvor
malware-a.
●
Korištenje sigurnosnih programa: Instalirajte pouzdane antivirusne
programe i firewall-ove kako biste dodatno zaštitili svoj računar.
●
Edukacija o socijalnom inženjeringu: Budite svjesni tehnika socijalnog
inženjeringa kojima se kriminalci koriste kako bi prevarili ljude i došli do
njihovih podataka.
●
Redovno backup-ovanje podataka: Čuvanje rezervnih kopija važnih
podataka može pomoći u slučaju ransomware napada.
●
Pazite na uređaje spojene na
internet:
Uključujući pametne telefone, pametne televizore i druge IoT uređaje, koji mogu
biti potencijalne mete napada.
●
Korištenje dvofaktorske
autentifikacije:
Omogućite dvofaktorsku autentifikaciju kad god je to moguće za dodatni sloj
sigurnosti.
Primjenjivanje ovih savjeta i mjera
može značajno poboljšati ličnu cyber sigurnost i smanjiti rizik od uspješnih
napada.
Slijedom
svega rečeno, koji je glavni zaključak – da li je pred BiH dug put ako želimo
imati adekvatnu zaštitu od cyber prijetnji i napada?
S obzirom na sve navedene informacije, zaključak je da Bosna
i Hercegovina ima izazovan put ispred sebe ako želi ostvariti adekvatnu zaštitu
od cyber prijetnji i napada. Situacija se dodatno komplikuje nedostatkom
sveobuhvatnog pristupa u rješavanju pitanja cyber sigurnosti, nedostatkom
usklađenosti sa standardima EU i nedostatkom zakonskih i strateških okvira na
državnom nivou.
Nedostatak registra cyber napada,
odsustvo obaveze prijavljivanja napada, te nepostojanje koordinacije i saradnje
između različitih nivoa vlasti dodatno povećava izazove u očuvanju sigurnosti u
cyber prostoru. Osim toga, povećanje broja cyber prijetnji, kako prikazuje
posljednji izvještaj CSEC-a, ukazuje na hitnu potrebu za usvajanjem i
implementacijom efikasnih mjera i politika koje će ojačati cyber sigurnost na
svim nivoima društva.
Zaštita od cyber prijetnji zahtijeva sveobuhvatan pristup
koji uključuje usklađivanje zakonodavstva s EU standardima, stvaranje
strategija za borbu protiv cyber kriminala, jačanje kapaciteta relevantnih
institucija, i podizanje svijesti
građana. Ključno je također raditi na izgradnji resursa, tehnoloških kapaciteta
i stručnosti kako bi se odgovorilo na dinamično okruženje cyber prijetnji.