Lista i dokazi preko 50 hakovanih institucija u BiH - Ugroženost kritične informacione infrastrukture u BiH (sa osvrtom na NIS direktive) - Branko Petrovic Blog

U mom prethodnom blogu uradio sam analizu obaranja (hakovanja) informacione infrastrukture Parlamentarne skupštine Bosne i Hercegovine, baziranu na javno dostupnim informacijama. Pomenutom analizom sam ukazao na nekoliko kritičnih ranjivosti, odnosno potencijalnih propusta, gdje sam u zaključku naveo i niz izazova odnosno propusta na institucionalnom nivou, te jedan od potencijalnih rizika, koji bi se potencijalno mogao desiti u narednom periodu.

U ovom blogu ću dati kratak osvrt o ugroženost kritične informacione infrastrukture u BiH, dok kompletniji pregled i analiza ugroženosti kritične informacione infrastrukture i njene usklađenosti sa NIS direktivama će biti sadržaj stručnog rada (više o tome na kraju ovog bloga).

Regulativa i njena primjena u BiH

Ukratko, zašto prvo regulativa?

Zaštita odnosno bezbjednost kritične infrastrukturu, konkretno kritične informacione infrastrukture mora prvenstveno naći uporište u legislativi jedne države, odnosno prvo ista treba biti identifikovana i zaštićena zakonom da bi se preduzele bilo druge mjere i mehanizmi zaštite iste.

Regulativa i primjena

U Bosni i Hercegovini, kada je u pitanju regulativa iz oblasti kibernetičke, odnosno informacione, bezbjednosti Republika Srpska je pozitivan primjer, budući da jedina ima Zakon o informacionoj bezbjednosti (Službeni glasnik Republike Srpske br. 70/11) kao i Zakon o bezbjednosti kritičnih infrastruktura u Republici Srpskoj (Službeni glasnik Republike Srpske br. 58/19). Dok njihova primjena nije u potpunosti ugledala svjetlost dana, jedini primjetan mehanizam koji je uspostavljen je Odjeljenje za informacionu bezbjednost – CERT RS, kao posebna organizaciona jedinica Agencije za informaciono društvo Republike Srpske, nakon čega 2018. godine na osnovu novog Zakona o republičoj upravi (Službeni glasnik Republike Srpske br. 115/18) CERT RS postaje organizaciona jedinica u Ministarstvu za naučnotehnološki razvoj, visoko obrazovanje i informaciono društvo (Vlade Republike Srpske).

Međutim, CERT RS već duži vremenski period pasivan – neaktivan (bar za javnost), poslednja objava na zvaničnoj internet stranici CERT RS je bila 25. septembra 2020. godine (nešto više od dvije godine), čemu svjedoči, sledeći screenshot:

Izvor: https://certrs.org/

Dok kada je u pitanju Federacija Bosne i Hercegovine, izrađen je nacrt Zakona o informacionoj sigurnosti i sigurnosti mrežnih i informacionih sistema, a prema najavama Ministarstva za promet i komunikacije Federacije BiH uskoro bi trebalo biti utvrđen prijedlog ovog Zakona.

Ugrožena (hakovana) kritična informaciona infrastruktura u BiH

Šta je kritična informaciona infrastruktura?

Vrlo je bitno napomenuti da je nezahvalno govoriti o konkretnim institucijama i kompanijama koje pripadaju kritičnoj infrastrukturi, prvenstveno zbog nepostojanja zakonske regulative u ovoj oblasti kada je u pitanju FBiH i Brčko Distrikt, dok kada je u pitanju Republika Srpska iako je definisan pojam kritične infrastrukture i sektore koje obuhvata kritična infrastruktura, nepostoji zvanična lista institucija i kompanija koje su označene kao kritična infrastruktura u Republici Srpskoj.

Hakovane, odnosno ugrožene institucije, obrazovne ustanove i javna preduzeća u BiH

Prikupljanjem informacija o kibernetičkim prijetnjama na kritičnu infrastrukturu u BiH, odnosno krzo CTI (Cyber Threat Intelligence) rad, došao sam do informacija da se prodaju kredencijali za nekoliko institucija i javnih preduzeća (na jednom zatvorenom forumu), što nam ukazuje da su iste već hakovane samo da one to vjerovatno i ne znaju, a u pitanju su:

Vlada Federacije BiH
Federalni zavod za programiranje razvoja – Federacija BiH
Republička uprava za geodetske i imovinsko-pravne poslove Republike Srpske
Alumina d.o.o. Zvornik – Republika Srpska
Elektroprivreda Bosne i Hercegovine
Federalno ministarstvo obrazovanja i nauke – Federacija BiH
Regulatorna komisija za energiju – Federacije BiH

Dokaz (kliknite na fotografiju za kompletan screenshot):

Izvor: CLOSINT (Posredni izvor: https://bezbedanbalkan.net – kredencijali se ne prodaju na ovom forumu)

Pored institucija i javnih preduzeća pronašao sam i spisak kredencijala hakovanih email servera za preko 50 obrazovnih ustanova u BiH, koji uključuje univerzitete, fakultete, srednje i osnovne škole.

Izvor: CLOSINT (Posredni izvor: https://bezbedanbalkan.net – kredencijali se ne prodaju na ovom forumu)

Šta zapravo znači ova informacija (dokaz) o hakovanim institucijama i javnim preduzećima?

Kao što možete vidjeti iz priloženih screenshot-ova prodaju se kredencijali za pristup email serverima. To znači da je neko uspio hakovati tj. doći do pristupnih kredencijala administratora tih email servera, što dalje implicira da neko može pristupiti svakom posebno email-u, odnosno da neko može imati pristup čak email-u premijera Vlade Federacije Bosne i Hercegovine i te na taj način može doći do velikog broja povjerljivih informacija Vlade FBiH.

Pa tako možemo zaključiti da postoji veliki rizik od curenja povjerljivih podataka (razni dogovori, ugovori, finansijski podaci itd.) gore navedenih institucija i kompanija. Isto tako ove institucije mogu biti iskorištene za nove phishing kampanje i mnogo toga drugog.

Da li su ovo ciljani napadi?

Mišljenja sam da ovo nisu u pitanju ciljani napadi na institucije, odnosno na jednu instituciju, nego da je u pitanju više hakerskih kampanja u kom su zahvatili veći broj (email) servera koji su imali određene ranjivosti. Jer kao što možemo vidjeti, cijena kredencijala za pristup recimo email serveru Vlade Federacije BiH iznosi $100.00, što vjerovatno znači da APT grupa koja je izvela ovaj napad i ne zna (niti ih je interesovalo) ko su hakovane institucije. Sem toga datumi objava za neke institucije se razlikuju i po par mjeseci pa jer vjerovatno da se radi o više kampanja.

Kako bi usaglašavanje sa NIS 1 i 2 direktivama unaprijedilo bezbjednost kritične informacione infrastrukture

Šta je NIS direktiva?

Evropska Unija 2016. godine donijela je jednu regulativu a to je bio GDPR i jednu direktivu a to je NIS, odnosno Direktivu o bezbjednosti mreže i informacionih sistema (eng. Directive on security of network and infromation systems). Temeljni cilj NIS direktive jeste da obezbjedi u svim državama članicama EU-a zajednički nivo bezbjednosti mreža i informacionih sistema, sa ciljem da se usaglase mehanizmi zaštite, posebno u slučaju kibernetičkih incidenata koji mogu ostaviti posljedice po društvo i ekonomiju. Šest godina nakon donošenja prve direktive, koja se pokazala kao nedovoljno fleksibilna za primjenu i koja je izrodila određene izazove u državama članicama EU, EU donosi novu direktivu ove godine (2022.) pod nazivom NIS 2 koja proširuje primjenu prethodne NIS direktive, rješava određene izazove i nastavlja sa daljim razvojem kompletnog novo stvorenog eko-sistema informacione, odnosno kibernetičke bezbjednosti.

Najvažniji segmenti primjene NIS direktiva u BiH s obzirom na trenutnu situaciju

Kroz prve dvije sekcije ovog bloga nastojao sam da prikažem trenutno stanje u BiH kada je u pitanju bezbjednost kritične (informacione) infrastrukture. Gdje smo zaključili da donošenje zakona, odnosno regulative treba biti sprovedeno do kraja u svim dijelovima BiH, kao i na državnom nivou (odnosi se na zajedničke institucije, poput Parlamentarne skupštine BiH), pored toga na osnovu informacija do kojih sam došao kroz CTI rad uvidjeli smo da nepostoji funkcionalan sistem detektovanja potencijalnih prijetnji pa čak ni sistem detekcije kibernetičkih napada (jedini primjer mehanizma za ovo je CERT RS koji kako sam priložio očigledno nije funkcionalan). Isto tako, nemamo spreman odgovor na sve te pretnje posebno kibernetičke napade, što smo mogli da vidimo kroz analizu pada Parlamentarne skupštine BiH, čija infrastruktura nije radila nekoliko sedmica.

Iz tog razloga potrebno je uspostaviti najprije CSIRT-ove (NIS direktiva koristi termin CSIRT umjesto CERT) kako bi se kritična informaciona infrastruktura prvenstveno odbranila od potencijalnih prijetnji, jer trenutno institucije privrgavaju nekoj agilnoj metodologiji odgovora na incidente ili pak u skladu sa unutrašnjim procedurama kao što je “Plan odgovora na incidente” (eng. Incident response plan), te vjerovatno kontaktiraju nadležni MUP. S tim u vezi smatram da je potrebno uspostaviti sistem CSIRT-ova na sledeći način:

CSIRT BiH nivo – samo za zajedničke institucije na državnom nivou (Parlamentarna skupština BiH, Vijeće ministara BiH, Predsjedništvo BiH, Oružane snage BiH…)
CSIRT Republika Srpska
CSIRT Federacija Bosne i Hercegovine
CSIRT Brčko Distrikt
Koordinacioni centar CSIRT-ova

Najava rada

Nakon oktobra mjeseca podizanja svijesti o kibernetičkoj bezbjednosti, Istraživački centar “ThinkTank” Banja Luka je organizovao treći po redu Naučno-stručni skup sa međunarodnim učešćem na temu “Zaštita kritične infrastrukture i kritične informacione infrastrukture” u kom sam svakako uzeo učešće i prezentovao rad pod nazivom “Ugroženost kritične informacione infrastrukture uslijed neuspostavljanja CSIRT-ova prema NIS standardima EU, kroz primjer kibernetičkog napada na informacionu infrastrukturu Parlamentarne skupštine BiH”. Rad, kao i zbornik bi trebali biti objavljeni krajem tekuće godine.

Izvori