Analiza: Pad informacione infrastrukture Parlamentarne skupštine Bosne i Hercegovine

1. Uvod

Dok je državna informaciona infrastruktura proživljavala kliničku smrt, svi medijski reflektori su bili usmjereni na sad već iza nas političku predizbornu kampanju. Tek nekolicina objava na lokalnim internet medijima je izvijestilo javnost o kibernetičkim napadima na informacionu infrastrukturu Parlamentarne skupštine BiH.

1.1. Šta se desilo?

Onemogućen rad internet stranice Parlamentarne skupštine BiH (u daljem tekstu Parlamenta BiH), najvišeg organa zakonodavne vlasti u BiH, kao i njihovog internog informacionog sistema, te je onemogućen rad i niz drugih internet stranica kao što su internet stranice Savjeta ministara BiH, nekolicine ministarstava i drugih institucija.

Iako sam prvenstveno pomislio čitajući sve te naslove da je u pitanju DDoS napad na internet stranicu Parlamenta BiH, ipak mediji navode da je u pitanju “cryptolocker napad” odnosno ransomware napad koji nije zahvatio samo web server internet stranice Parlamenta BiH, nego i interni sistem sa kojim su računari zaposlenih bili povezani. Čemu svjedoči i niz viralnih fotografija odgovora na ovaj kibernetički incident (Fotografija br. 01).

Fotografija br. 01 (Izvor: https://ba.bloombergadria.com/ostalo/vijesti/12080/tvrtke-nezasticene-u-bih-47-milijuna-cyber-napada-u-mjesecu/news/)

Više o napadu možete pročitati na sledećem linku: https://www.nezavisne.com/novosti/bih/Haker-izazvao-haos-u-parlamentu-BiH/736003 

1.2. O analizi

Ova analiza predstavlja površinsku analizu ovog kibernetičkog napada, zasnovana isključivo na javno dostupnim informacijama (OSINT). S obzirom na to da nisam imao uvida ni na koji način u rad i organizaciju informacione infrastrukture Parlamenta BiH (u daljem tekstu infrastrukture), kao ni na njihove postavke, te nisam vršio nikakva izviđanja nad infrastrukturom, zadržavam pravo da da pogriješim u iznošenju mišljenja i zaključaka, budući da se služim samo javno dostupnim informacijama, od kojih neke mogu biti i neprovjerene ili pak nepotpune.

Cilj analize je i edukacija čitalaca, pa ću tako neke od termina dodatno objasniti odnosno navesti definiciju istih.

2. Analiza i identifikacija vrste prijetnje

2.1. Identifikacija vrste napada

Lokalni mediji u svojim tekstovima navode da se radi o “cryptolocker napadu”. S tim u vezi pretpostavljam da se radi o “CryptoLocker”, tip ransomware, namjenjen za Windows operativne sisteme, koji je prvi put detektovan u septembru 2013. Godine.

Šta je ransomware napad?
Ransomware napad ima osnovnu namjenu da potpuno ili djelimično blokira uređaj i kriptuje (zaključa / enkriptuje) podatke na uređaju pomoću zlonamjernog software-a, a zatim napadač ucjenjuje vlasnika da plati otkupninu za te podatke odnosno za pristup uređaju.

Više o ransomware i drugim malware-ima: https://brankopetrovic.blog/sta-je-malware-a-sta-su-virusi-crvi-ransomware-trojanci-botovi-spyware-i-drugo/

2.2. Analiza CryptoLocker-a

2.2.1. Istorijat CryptoLocker-a

Prvi put je detektovan početkom septembra 2013. godine, kada je započet napad koji je trajao sve do maja 2014. godine. Napad je izvođen kroz razne kampanje, gdje su napadači obmanjivali mete da preuzmu i pokrenu CryptoLocker na njihovim Windows računarima, svakako bez da su mete znale da je u pitanju CryptoLocker. Širenje CryptoLockera na računare se u najvećoj mjeri, u periodu od septembra 2013. do maja 2014. godine, zasnivalo na tada poznatoj bot mreži “Gameover ZeuS”.

Fotografija br. 02 (Izvor: https://en.wikipedia.org/wiki/CryptoLocker)

Ministarstvo pravde SAD-a je sredinom 2014. godine zvanično objavilo da je internacionalna operativna grupa “Operation Tovar”, koja je zapravo predstavljala konzorcijum agencija za sprovođenje zakona, nekoliko cyber security kompanija i nekolica univerziteta uspješno oborila bot mrežu Gameover ZeuS i time zaustavila dalje širenje CryptoLocker-a, te objavila nekolicinu ključeva za dekripciju (otključavanje) podataka.

2.2.2. Način distribucije CryptoLocker-a
Putem botneta

Kako sam naveo CryptoLocker se od septembra 2013. godine sve do maja 2014. godine širio na osnovu botnet “Gameover ZeuS”, na način da je admin botneta (botnet operater) bez znanja vlasnika uređaja koji su bili dio botneta, instalirao ransomware na njihove uređaje a potom i zaključao podatke na tim uređajima.

Šta je botnet?
Botnet je mreža zaraženih uređaja, poput računara, laptopova, servera, telefona, tableta, IoT uređaja i drugih el. uređaja, bez da njihov vlasnik zna da su isti zaraženi. Botnetovi se koriste za napade i distribuciju malware-a.
Putem phishing napada – kampanja

Vrlo čest način je da se putem email-a dostavi maliciozna datoteka koju meta otvori nakon preuzimanja na svoj računar i tim otvaranjem instalira malware, u ovom slučaju CryptoLocker. Isto tako vrlo čest način jesu namjenska preuzimanja putem Torent internet stranica, putem internet stranica sa krekovanim (ne licenciranim) sadržajem, i slično. U poslednje vrijeme primjetan je sve veći broj internet sajtova koji nude aplikacije putem kojih korisnici mogu rudariti kriptovalute.

2.2.3. Način funkcionisanja CryptoLocker-a (Killchain)

I Korak – Instalacija i pokretanje osnovnih procesa

CryptoLocker malware je Trojanski konj koji se instalira prilikom otvaranja maliciozne datoteke. On pokreće dva procesa, prvi proces služi za pretragu fajlova i njihovu enkripciju, dok drugi proces služi da onemogući korisniku da ugasi prvi proces, odnosno da ostavi u životu prvi proces i nakon reboot-a (restarta) uređaja.

II Korak – Pretraga fajlova

Nakon sto se instalira i pokrenu oba procesa, CryptoLocker se počinje ponašati kao i većina ransomware-a, on počinje da pretražuje podatke a potom započinje još jedan paralelni proces a to je enkripcija podataka (III korak). Ovaj ransomware ne samo da pretražuje podatke na računaru mete, nego i u cijeloj mreži ukoliko je uređaj povezan sa drugim uređajima (recimo putem LAN mreže).

III Korak – Enkripcija podataka

Kada je u pitanju enkripcija (zaključavanje) podataka, CryptoLocker koristi asimetrični metod enkripcije, što čini dekripciju, odnosno razbijanje iste, težom. Ovaj sistem enkripcije se sastoji od toga da koristi dva ključa, javni i privatni ključ, koji su međusobno povezani. Pomoću javnog ključa napadač enkriptuje podatke, dok isključivo pomoću privatnog ključa napadač ili korisnik mogu da dekriptuju, odnosno otključaju podatke. 

CryptoLocker koristi RSA-2048 i AES-256 enkripciju prilikom zaključavanja – enkriptovanja podataka.

Pored enkripcije, CryptoLocker mjenja ekstenziju datoteka: 

*.ecc*.ezz*.encrypted
*.zzz*.xyz*.crinf
*.abc*.ccc*.r5a
*.xxx*.ttt*.XRNT
*.locked*.crypto*.XTBL
*.crypt*.R16M01D05*.pzdc
*.LOL!*.OMG!*.RDM
*.encryptedRSA*.crjoker*.EnCiPhErEd
*.exx*.aaa*.vvv
*.micro*_crypt*.good
*.LeChiffre*.0x0*.keybtc@inbox_com
*.vault*.1999*.bleep
*.HA3*.toxcrypt*.magic
*.CTBL*.SUPERCRYPT*.CTB2
*.locky 

IV Korak – Poruka za korisnika (metu)

Nakon što uređaj korisnika počinje pokazivati prve simptome CryptoLocker kao i velika većina ransomware-a kreira “ransom note” odnosno obavještenje korisniku tj. vlasniku uređaja, da su njegovi podaci enkriptovani, sa detaljnim uputstvom kako može doći do privatnog ključa za dekripciju, odnosno sa instrukcijom kako platiti privatni ključ.

V Korak – Pay day (dan plaćanja)

Nažalost, mete odnosno tad već oštećeni nekada nemaju način (uspostavljene mehanizme) da se bore protiv ove vrste napada i odluče se za plaćanje, koje se vrši u kriptovalutama, prema uputstvu koje se nalazi u ransom note-u. Nakon čega na osnovu slobodne volje napadač odlučuje da li će poslati privatni ključ ili pak će nastaviti sa ucjenom i iznudom još većeg iznosa novca, što ponekad zna biti slučaj.

3. Analiza napada

Na osnovu dostupnih podataka iz javnih izvora (OSINT) ni na koji način nije moguće utvrditi šta se zapravo desilo kada je u pitanju ovaj kibernetički napad na Parlament BiH. 

Međutim, ono što je sigurno da je moralo doći do niza propusta u kompletnom informacionom sistemu (uključujući i ljudski faktor) kako bi se uspješno realizovao ovakav napad.

3.1. Kako izgleda rezultat napada

Ono što je vidljivo nama (javnosti) jeste da nije bilo moguće pristupiti internet stranici Parlamenta BiH. Kada sam pokušao pristupiti internet stranici Parlamenta BiH, 01. oktobra 2022. godine, dobili bismo CloudFlare stranicu greške (522) “Connection timed out” (Screenshot br. 1).

Screenshot br. 01 (Izvor: https://brankopetrovic.blog)

Šta je CloudFlare?
CloudFlare je prvenstveno CDN (content delivery network) i servis za zaštitu od DDoS (Distributed Denial-of-Service) napada. Ovaj servis zapravo isporučuje sadržaj krajnjem korisniku, npr. posjetiocu internet stranice, sa CloudFlare lokacije najbliže korisniku (na osnovu prethodne keš memorije koja je kreirana tokom posjete drugog korisnika). Kada je u pitanju zaštita od DDoS napada CloudFlare se stavlja ispred kompletne štićene infrastrukture, pa tako CloudFlare je taj ko prima napade.

CloudFlare je izrastao u godinama unazad u cloud provajdera, pa tako sada u poslednje vrijeme nudi i neke druge (cloud) servise.
Greška servera 522
Riječ je o grešci servera prilikom povezivanja i komunikacije (handshake-a), konkretno u ovom slučaju, CloudFlare servera sa web serverom Parlamenta BiH. Neki od razloga za ovu grešku mogu biti da jer web server potpuno isključen, da je server preopterećen, da Firewall blokira pristup serveru, da je došlo do pogrešne konfiguracije DNS-a, loše rutiranje i slično.

3.2. Kako se CryptoLocker “uvukao” u informacionu infrastrukturu Parlamenta BiH

Prije nego bih objasnio i pokušao obrazložiti kako je CryptoLocker ransomware, odnosno Trojanski konj ušao u informacionu infrastrukturu Parlamenta BiH, trebamo uzeti u obzir da prema pisanjima medija nije samo napadnut web server internet stranice Parlamenta BiH, nego i interni informacioni sistem što je rezultiralo zabranom korištenja poslovnih računara.

Na osnovu toga možemo zaključiti da se web server kao i serveri internog sistema nalazili u istoj LAN mreži zajedno i sa računarima zaposlenih u Parlamentu BiH.

Pa tako ćemo izdvojiti dva načina kako je mogla informaciona infrastruktura biti zaražena:

  • Prvi način – Interno: zaposleni ili haker fizičkim pristupom računaru ili nekom serveru unutar informacione infrastrukture implementirao CryptoLocker
  • Drugi način – Eksterno: zlonamjerni hakeri (APT) putem interneta su uspjeli doći do servera ili računara zaposlenih i implementirati CryptoLocker, jer su isti (serveri i računari povezani LAN mreži).
3.2.1. Prvi način – Interno

U svojoj analizi sam odbacio mogućnost da je neko interno, odnosno da je neki zaposleni Parlamenta BiH izvršio ovaj napad, tako što je svjesno ili nesvjesno implementirao CryptoLocker u cijelu informacionu infrastrukturu (primjeri: koristio na službenom računaru privatni USB koji je već bio zaražen CryptoLocker-om ili pak je preuzeo sa interneta maliciozni PDF). Isto tako s obzirom na uspostavljene kontrole fizičkog pristupa u Parlamentu BiH odbaciću mogućnost da je haker fizičkim pristupom server sobi ili računaru zaposlenog implementirao Trojanskog konja. Međutim, ove dvije opcije ne bih odbacio da sam dio neke bezbjednosne agencije, odnosno istražnog organa.

3.2.2. Drugi način – Eksterno
3.2.2.1. Kako je realizovan napad? (Konkretna akcija)

Enkriptovanjem datoteka (skripti) koje sadrže izvorni kod aplikacije i/ili enkriptovanjem baze podataka koju koristi aplikacija je onemogućilo njihovo čitanje te na taj način je i onemogućen rad internet stranice Parlamenta BiH. Što znači da je CryptoLocker došao da datoteka na webserveru, odnosno da se isti nalazio na web serveru.

Nakon čega pretpostavka je da je IT služba Parlamenta BiH isključila server (sa mreže) zbog čega se krajnjim korisnicima, odnosno posjetiocima internet stranice Parlamenta BiH prikazuje greška 522.

3.2.2.2. Da li je aplikacija (internet stranica) mogla preuzeti malicioznu datoteku?

Namjena web servera je hostovanje internet stranice – aplikacije, u ovom slučaju Parlamenta BiH, kao takav server najmanje što sadrži je aplikaciju internet stranice koja je sastavljena od izvornog koda (frontend i backend dijela) i baze podataka. S obzirom na namjenu i način funkcionisanja internet stranice Parlamenta BiH, ona niti ima funkciju za to, niti može da preuzima dokumente sa drugih lokacija na internetu (svakako ni ti može istraživati internet).

Stoga možemo zaključiti da aplikacija internet stranice nije mogla samostalno/svojevoljno preuzeti malicioznu datoteku sa interneta.

S obzirom na to, potrebno je otkriti druge način kako je CryptoLocker došao do servera i enkriptovao podatke i na taj način onemogućio rad aplikacije. 

3.2.2.3. Ko bi to mogao da uradi i sa kojim pravima pristupa web serveru?

Ovde moramo napomenuti vrlo bitnu stvar, a to je da bi neki korisnik izvršio bilo kakvu promjenu nad dokumentima treba da ima Read & Write permisije, budući da je riječ o CryptoLocker-u aplikaciji (čiji način rada sam objasnio prethodno) onda prijavljeni korisnik mora da ima i Execute premisije, koje mu omogućavaju da pokrene odnosno izvrši neku skriptu, kao što je CryptoLocker. 

Tako možemo zaključiti da je ovakav napad izvršiti samo korisnik koji je imao privilegije (dopuštenja) da pokrene skriptu, odnosno vrlo vjerovatno da se radi o korisničkom nalogu sa administratorskim privilegijama.

4. Potencijalni propusti

Na osnovu svega navedenog, izložiću nekoliko propusta koji su mogli dovesti do toga da se realizuje ovakav napad, od čega bih samo izdvojio dvije osnovne činjenice koje možemo zaključiti iz prethodne analize:

  1. Da je aplikacija internet stranice Parlamenta BiH (vjerovatno i drugi serveri internog sistema) su hostovani na nedovoljno bezbjednim Windows OS serverima.
  2. Da je napadač imao pristup web serveru (vjerovatno i drugim serverima) sa administratorskim privilegijama, odnosno sa korisnikom koji je imao privilegije read, write i execute.

4.1. Aplikacija je hostovana na Windows (Exchange) serveru koji nije patch-ovan

CryptoLocker ransomware radi isključivo na Windows operativnim sistemima, bilo da je u pitanju Windows operativni sistem za PC-eve ili pak da je riječ o serverima. Jedan od prvih propusta koji ide u korist hakerima je to da operativni sistem servera nije patch-ovan, jer ukoliko server nije patch-ovan u skorije vrijeme, velika mogućnost je da je isti ranjiv na “Remote Code Execution” ili “Elevation of Privilege” ranjivost.

Remote Code Execution Vulnerability
Ranjivost koja omogućava izvršavanje koda/skripte na serveru sa udaljene lokacije.

Elevation of Privilage Vulnerability
Ranjivost koja omogućava da korisnički nalog na serveru dobije više privilegije.

4.2. Web server nije imao uključenu zaštitu od ransomware-a ili nije imao instaliran licencirani antimalware

Kao i mnogi drugi ransomware napadi oni rade na istom principu, gdje u trećem koraku vrše enkripciju. Upravo u tom koraku nastupa antimalware, neki antimalware solucije prije procesa enkripcije od strane druge aplikacije (u ovom slučaju ransomware-a) naprave rezervnu kopiju datoteke a zatim nastavi da prati šta radi data aplikacija (npr. nastavlja da enkriptuje druge datoteke) i kada utvrdi da to što radi aplikacija je oblik ponašanja ransomware-a (enkripcija + promjena ekstenzije), antimalware blokira rad te aplikacije odnosno ransomware-a.

Parlament BiH, prema informacijama na osnovu javnih nabavki, koristi Sophos antimalware rješenje. Sophos je dobra antimalware zaštita koja unutar svoje ponude nudi zaštitu od ransomware napada.

Fotografija br. 03 (Izvor: https://www.unity.ie/blog/sophos-announced-the-end-of-sale-eos-and-end-of-life-eol-dates-for-several-products/)

Izvor da Parlamentarna skupština BiH koristi Sophos – Odluka o nabavci licence za Sophos: https://www.parlament.ba/data/dokumenti/javne-nabavke/290422%20odluka%20o%20izboru%20najpovoljnijeg%20ponudaca%20-%20licenca%20sophos.pdf

Izvor da Sophos omogućava zaštitu od ransomware-a: https://www.sophos.com/en-us/content/ransomware

Takođe, Parlament BiH je 2020. godine izvršio nabavku i Cisco Secure Web Appliance (nekada Cisco WSA), koji je zapravo all-in-one web bezbjedni gateway koji štiti organizacije od prijetnjih sa Interneta, kao što je preuzimanje malicioznih datoteka, posjećivanje phishing internet stranica itd. Međutim, s obzirom na godinu nabavke nisam siguran da su licence još uvijek validne.

Izvor da je Parlament BiH ima(o) Cisco SWA – Odluka o nabavci licence za Cisco SWA: https://www.parlament.ba/data/dokumenti/javne-nabavke/030720%20odluka%20o%20izboru%20najpovoljnijeg%20ponudaca%20-%20licenca%20cisco.pdf

S tim u vezi možemo sa velikom vjerovatnoćom reći da na serveru nije bila instalirana antimalware rješenja ili nije imala uključenu zaštitu od ransomware-a, odnosno da je problem mogao biti podešavanju – konfiguraciji antimalware-a rješenja.

4.3. Firewall misconfiguration

Možda i jedna od najvažnijih segmenata zaštite svakog web servera je firewall (mrežni i sistemski-aplikativni). 

Uvjeren sam da je web server internet stranice Parlamenta BiH imao podešen mrežni firewall, odnosno cijela mreža da je bila štićena firewall-om. Međutim, zasigurno je došlo do misconfiguration-a tog firewall-a ili pak su zahtjevi Parlamenta BiH (kao klijenta) bili takvi da firewall nije mogao pratiti najbolje prakse.

U ovakvoj analizi, sa rukama u džepovima, jako je teško reći koji je to propust pri konfigurisanju firewall-a omogućio da se realizuje ovaj napad, ali navešću jedan potencijalni, a to je:

Network firewall: Nije podešen IP whitelist (“bijeli list”)

Mrežni firewall nije imao dobro ili nikako podešen IP whitelist, odnosno nije definisao koje IP adrese (ili raspon IP adresa) mogu pristupiti serveru putem SSH konekcije.

Windows (Defender) firewall: Nije podešen application whitelist

Fotografija br. 04 (Izvor: https://uk.pcmag.com/antivirus/25697/microsoft-windows-defender-security-center)

Windows ima vlastiti firewall, poznat kao Windows Defender Firewall, koji ima sjajnu opciju a to je stavljanje na Allow listu aplikacije koje se mogu pokrenuti na Windows serveru.

4.4. Nepostojanje zaštite u LAN mreži

Već sam prethodno naveo da sam zaključak da je web server sa internet stranicom Parlamenta BiH povezan putem LAN mreže sa ostalim endpoint-ima (npr. računarima zaposlenih) donio na osnovu izjava pojedinih predstavnika Parlamenta BiH, gdje su navodili da zabranjen pristup računarima zaposlenih. S tim u vezi osnov sumnje čini i to da je vrlo lako moguće da je neki korisnik zapravo bio hakovan i da se putem njegovog računara zarazio web server kao i serveri za interni informacioni sistem. Što znači da nije postojao nikakav interni firewall ili neki drugi mehanizam zaštite.

4.5. Ostali propusti

Fotografija br. 05 (Izvor: https://websitesecuritystore.com/blog/credential-phishing-attacks-and-prevention-tips/)

Iznad sam naveo nekoliko propusta koji su evidentni na osnovu informacija koje imamo, ali svakako da ovde ima sigurno još propusta kao što je npr. kompromitovanje kredencijala naloga za pristup serveru, koje može biti na osnovu phishing-a ili pak da su pristupi zapisani u nekom digitalnom formatu bez enkripcije.

5. Mehanizmi odbrane od Cryptolocker-a i (uopšteno) od ransomware napada

5.1. Backup

Uspostavljanje redovnog backup-a predstavlja jedan od najefektivnijih mehanizama protiv ransomware napada, kao što je CryptoLocker. Backup podatke (datoteke, izvorni kod, bazu podataka…) možete čuvati na više lokacija, preporuka je da se obezbjede dvije različite backup lokacije, npr. Backup na nekom cloud provajderu (usluzi) i backup na eksternom tvrdom disku (koji treba biti spojen na server ili računar samo prilikom prenosa podataka za backup).

5.2. Antimalware

Implementacija antimalware rješenja na endpoint-u (računaru, laptopu ili pak serveru) je odličan mehanizam za zaštitu od ransomware-a, posebno ako su u pitanju enterprise licence antimalware-a koje omogućavaju dodatke kao što je digitalna forenzika.

5.3. Patching

Redovno patch-iranje sistema je neophodno za održavanje bezbjednosne higijene u kibernetičkom prostoru. Patch-ovanjem sistema zapravo krpimo rupe u sistemu, odnosno otklanjamo ranjivosti sistema.

5.4. Network Firewall

Uspostavljanjem Firewall-a, na način da ga stavimo ispred infrastrukture u znatnoj mjeri štitimo našu informacionu infrastrukturu, posebno ukoliko ga pravilno podesimo tako što konfigurišemo neke postavke kao što je blacklist ili whitelist (ukoliko se konfiguriše npr. Whitelist-a IP adresa, to automatski znači da sve druge IP adrese su na blacklisti). Pored “eksternog” firewall-a, svakako da trebamo konfigurisati i interni firewall u kompleksnim sistemima, kao što je sistem Parlamenta BiH, a cilj internog firewall-a je da zaštiti određen dio infrastrukture od napada koji su već prošli perimetar.

5.5. Application Firewall

Uspostavljanje Application Firewall-a (na Windows serveru) onemogućavamo da se pokrene bilo koja aplikacija koja nije odobrena odnosno pokrenuta od strane administratora.

5.6. Drugi mehanizmi

Pored svih gore navedenih mehanizama koje konkretno odnose na zaštitu od ransomware napada, svakako da imamo i niz drugih mehanizama ili aktivnosti koji mogu da potpomognu zaštitu. To su recimo programi podizanja svijesti o kibernetičkoj/informacionoj bezbjednosti, zabrana neadekvatnih i nebezbjednih websajtova, torrent-a i drugih internet lokacija na kojima se nalazi piraterija i nelicencirani softveri, te mnogo toga drugog.

6. Zaključak

Parlamentarna skupština BiH treba dati i zvanično saopštenje u vezi ovog incidenta
Ova analiza je uradjena na osnovu javnih dostupnih informacija u momentu pisanja, i kao takva predstavlja površinsku analizu i polaznu tačku za istragu ovog incidenta. Međutim, do ovog momenta nisam naišao na zvanično saopštenje niti ima bilo kakva informacija na internet stranici Parlamenta BiH koja je ponovo dostupna. Takvo saopštenje treba da sadrži i razloge, kao i propuste zašto je došlo do ovog incidenta koji je onemogućio duži vremenski period blokadu jedne od najvažnijih instituacija u Bosni i Hercegovini. Cilj ovakvog saopštenja nije utvrđivanje odgovornosti, za to postoje druge institucije i interne procedure, nego je cilj da stručna javnost bude upoznata sa kakvim prijetnjama se susreću institucije, koji ujedno predstavljaju i kritičnu državnu/nacionalnu infrastrukturu.

Nivo kibernetičke (sajber) bezbjednosti institucija na niskom nivou
Upravo na osnovu ove kratke analize možemo zaključiti da je nivo informacione bezbjednosti na izuzetno niskom nivou u institucijama, odnosno u kritičnoj državnoj/nacionalnoj infrastrukturi. Rezultat napada je dokaz da imamo loše prakse ili pak ne primjenjujemo dobre prakse, tj. ne pratimo bezbjednosne procedure. Razlozi za to su brojni ali trebamo krenuti prvenstveno od svijesti o važnosti kibernetičke (sajber) bezbjednosti u našem okruženju, a zatim i o prihvatanju neophodnih standarda u ovoj oblasti, kako bi institucije zaštitile sebe i svoj rad ali i nas građane i naše podatke.

Institucije trebaju funkcionalan CERT i CSIRT
Ovakav kao i mnogi drugi incidenti koji su se desili u skorije vrijeme nam ukazuju da institucije ali i privatni sektor trebaju funkcionalan CERT i profesionalan CSIRT. Budući da je CERT prerastao u političku temu – zbog nivoa nadležnosti i slično ne bih želio da isti dalje komentarišem. Dok kada je u pitanju CSIRT, lično sam mišljenja da isti treba biti formiran kao spoj javnog i privatnog sektora, zbog toga što je znatno veći broj profesionalaca u privatnom sektoru koji mogu biti u statusu “spavača” do momenta kada se desi incident.

Državna/nacionalna infrastruktura je i dalje izložena, kao i privatni sektor
Prvo, želim reći da možda i najvažniji zaključak jeste da institucije ne smiju prihvatiti ovo kao nešto što se desilo i što je sad već prošlost, nego ovo treba shvatiti kao upozorenje i opomena. Jer trebamo se zapitati kada je hakovan informacioni sistem jedne od najvažnijih i najzaštićenijih institucija, šta onda možemo očekivati za druge “manje” važne institucije i drugu kritičnu infrastrukturu, kao i privatni sektor!?

7. Potencijalni rizik – prijetnja

Stručna ali i ostala javnost diskutije o tome ko je i zašto ovo uradio (napad na informacionu infrastrukturu Parlamenta BiH), posebno jer se u medijima pojavljivali naslovi da može doći do obaranja internet stranice Centralne Izborne Komisije u noći 02/03. oktobra 2022. godine, kao i mnogo drugih medijskih spinova. Međutim, radeći na ovoj analizi mapirao sam više rizika od kojih bih jedan da podijelim sa svima:

Napad na energetski sektor – termoelektrane i hidroelektrane

U svijetu, posebno u Evropskoj Uniji je sve prisutnija energetska kriza izazvana u najvećoj mjeri situacijom u Ukrajini, gdje se očekuje širom Evrope, kako kažu, vrlo teška i hladna zima. Međutim, naša država je jedan od rijetkih država koje izvoze električnu energiju i kao takvi postajemo “igrači” na tržištu energetike, tako što iskorištavamo ekonomski trenutnu krizu u našu korist, zahvaljujući prirodnim resursima koje imamo kao država. Upravo je to i rizik, budući da postajemo “igrači” vrlo lako se možemo naći na meti APT-eva, odnosno hakerskih grupa, i zbog prodaje ili ne prodaje eleketrične energije. Kibernetičkim napadima na energetski sektor (i drugu kritičnu državnu/nacionalnu infrastrukturu), odnosno na termoelektrane i hidroelektrane, rad i proizvodnja istih može biti zaustavljena, što smo mogli vidjeti kao rezultat napada na Parlamentarnu skupštinu BiH.


Izvori korišteni u analizi:

Kibernetička bezbjednost, cloud tehnologije i tech povezani blogovi, kreator Branko Petrović (2019 – 2024