KOMENTAR: Napad na INA-u pokazao probleme informacijske sigurnosti, važnost prevencije

KOMENTAR: Napad na INA-u pokazao probleme informacijske sigurnosti, važnost prevencije

Foto: DepositPhotos / Ilustracija

Scenarij 1:

Petak 14.2. Valentinovo – kreće napad – neki tvrde ransomware CLOP zblokirao rad INA-e, kriptirao backupove, kriptirao kompove – sve staje

 

Scenarij 2:

Isti datum isto vrijeme – nije CLOP nego nešto drugo, isti rezultat, zblokirani sustavi

 

U oba scenarija kažu cloud based rješenja preživjela napad i ostala u funkciji (dobro za prodavače clouda op.a.)

U oba scenarija ne radi fiskalizacija na benzinskim postajama, zaposlenici rade od kuće

 

Bilo bi tu još scenarija o kojima se u ovome trenutku govori na domaćem IT tržištu, neki su gotovo pa teorija zavjere, čak se u jednom trenutku pojavila i informacija o pokušaju iznude vrijednom oko 15 milijuna eura naravnao u Bitcoinima što i ide u prilog kriminalcima koji stoje iz CLOP-a koji su se nakon iznuđivanja privatnih korisnika prije više od godinu dana okrenuli tvrtkama kao onima koji će vjerojatnije platiti tako nešto.

Ipak se time nećemo baviti, nego se nadati da će uskoro ipak doći i službeni odgovor na upit prema PR službi INA-e od strane ICTbusiness.info što se točno dogodilo, kada je sustavima vraćena puna funkcionalnost i tko je odgovoran za ovako nešto.

Naime, kako se priča uvijek pomalo napuše u jednom smo trenutku dobili informaciju kako su i druge velike domaće tvrtke pod napadom. I pitali smo ih direktno te su tako stigli odgovori iz Hrvatske pošte kako nisu pod napadom, a tako je i Croatia Osiguranje otklonilo mogućnost da se nalaze pod sličnim napadom. Uz sve to, na IT tržištu se moglo čuti i za neke druge tvrtke, ali za tako nešto nema nikakvih potvrda.

Početak priče

INA je samo službeno potvrdila da je pod napadom i to 16. veljače dakle dva dana nakon početka napada. Zanimljivo je da se trenutno niti jedan račun s INA-ine benzinske ne može fiskalizirati, a u to smo se i sami uvjerili. Što samo dokazuje o obimu zahvaćenosti – od računala u INA-u, iako se tvrdi da su neki zaposlenici od doma radili. INA je priznala da im ne radi mail sustavi, pa su za potrebe medijskih upita na svojem webu objavili da koriste privremenu e-mail adresu koja se nalazi na Googleovom servisu GMail.

Istovremeno, u INA-i tvrde kako je opskrba sigurna, ali i to će se vidjeti s vremenom, a dodatno nam je potvrđeno da sve nadležne službe rade na slučaju. Riječ je o svim internim službama, ali i vanjskim institucijama kao što su policija, obavještajni aparat te za naftnu industriju nadležno tijelo Zavod za sigurnost informacijskih sustava.

U mnogim slučajevima ovakve istrage traju vrlo dugo, no ne i otklanjanje poteškoća u radu. U ovom slučaju je znakovito da je već prošlo gotovo tjedan dana i da sustavi nisu podignuti i vraćeni u prvotne funkcije i nisu ostvarene pune funkcionalnosti informatičkog sustava.

Zakon i Uredba

Sve to baca posebno svjetlo na sustave informacijske sigurnosti u Hrvatskoj koji su regulirani Zakonom o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga i Uredbom o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga.

Ured Vijeća za nacionalnu sigurnost središnje je državno tijelo za informacijsku sigurnost – hrvatski NSA (National Security Authority). U tom smislu, Ured koordinira i usklađuje donošenje i nadzire primjenu mjera i standarda informacijske sigurnosti u okviru područja sigurnosne provjere, fizičke sigurnosti, sigurnosti podataka, sigurnosti informacijskih sustava i sigurnosti poslovne suradnje (hrvatski DSA) te izdaje certifikate za fizičke i pravne osobe za pristup nacionalnim, NATO i EU klasificiranim podacima.

Dakle UVNS mora znati što se događa u INA-u jer po Zakonu i Uredbi oni su ključni davatelj usluga u nafti. Uz to, INA je morala obavijestiti u skladu sa Zakonom o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga (NN 64/18) i Uredbom o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga (NN 68/18) nadležno tijelo odnosno kako se to definira da su operatori ključnih usluga i davatelji digitalnih usluga dužni su, bez neopravdane odgode, obavještavati nadležni CSIRT o incidentima koji imaju znatan učinak na kontinuitet usluga koje pružaju. CSIRT za INA-u je Zavod za sigurnost informacijskih sustava.

Vrlo jasan Zakon i Uredba

Što se tiče Zakona i Uredbe oni predviđaju da su operatori ključnih usluga dužni uspostaviti sustav upravljanja sigurnošću mrežnih i informacijskih sustava. Funkcionalnost i sigurnost ključnih sustava temelji se na sljedećim načelima i to povjerljivosti - svojstvu da usluge ili podaci ne budu dostupne ili otkrivene neovlaštenim osobama, integritetu - svojstvu da usluge ili podaci nisu neovlašteno ili nepredviđeno mijenjani, raspoloživosti -svojstvu koje omogućuje pristup ili upotrebljivost usluge ili podataka na zahtjev ovlaštenog korisnika, autentičnosti - svojstvu koje osigurava da je identitet korisnika zaista onaj za koji se tvrdi da jest.

Operatori ključnih usluga dužni su uspostaviti i dokumentirati politiku upravljanja sigurnošću ključnih sustava. Politika upravljanja sigurnošću ključnih sustava mora definirati ciljeve i strateške smjernice očuvanja kontinuiteta poslovanja, biti temeljena na procjeni i upravljanju rizicima, opisati sustav upravljanja sigurnošću, uključujući interne nadzore provedbe mjera kibernetičke sigurnosti, utvrditi donošenje potrebnih sigurnosno-operativnih procedura za ključne sustave, s poveznicama na druge interne akte koji reguliraju postojeće sigurnosno-operativne procedure, neovisno o tome odnose li se na ključne sustave ili sigurnost operatora u cjelini, uključivati organizaciju i provedbu programa edukacije te stalnog podizanja svijesti o sigurnosti. Uz to, politika upravljanja sigurnošću ključnih sustava donosi se u pisanom obliku i mora ju odobriti najviša upravljačka razina.

Upravljanje i procjena rizika

Uz sve to, mora se uspostaviti upravljanje rizicima,  što uključuje sustav upravljanja rizicima, procjene rizika, ali i stvoriti katalog rizika i stalno ih ažurirati te identificirati opremu, osobe i aktivnosti u okviru kojih se provodi procjena rizika. I ono što je u ovom našem najnovijem slučaju vrlo važno, a to je sprječavanje, otkrivanje i rješavanje incidenata te ublažavanje učinka incidenata.

Procjena rizika provodi se za identificiranu opremu, osobe i poslovne aktivnosti koje se obavljaju na ključnim sustavima ili su u potpori ključnih sustava. Procjena rizika provodi se na temelju prihvaćenog kataloga rizika s obavezom procjene rizika najmanje za definirana područja zaštite ključnih sustava. Procijenjeni rizici obrađuju se izbjegavanjem, ublažavanjem, prijenosom ili prihvaćanjem rizika. Za procijenjene sigurnosne rizike obrada se provodi izborom različitih sigurnosnih mjera i kontrola iz odgovarajuće međunarodne norme informacijske sigurnosti. Sigurnosne mjere i kontrole iz odgovarajuće međunarodne norme informacijske sigurnosti moraju omogućavati: odvraćanje, izbjegavanje, prevenciju, detekciju, reakciju i oporavak, djelujući na odgovarajući način na prijetnje i ranjivosti ključnih sustava, odnosno na utjecaje incidenata na ključne sustave.

Još iz kategorije

Horvat: Nastavljamo poticati ulaganja i nove investicije u Hrvatskoj

Horvat: Nastavljamo poticati ulaganja i nove investicije u Hrvatskoj

04.04.2020. komentiraj

Usprkos svim izazovima s kojima se u proteklom razdoblju suočavaju gospodarstva cijelog svijeta, pozitivna je vijest što je tijekom prvog tromjesečja ove godine u Hrvatskoj zaprimljeno 47 prijava za korištenjem potpora za ulaganje Ministarstva gospodarstva, poduzetništva i obrta temeljem Zakona o poticanju ulaganja.

Svaka peta osoba u Hrvatskoj se boji zaraze koronavirusom

Svaka peta osoba u Hrvatskoj se boji zaraze koronavirusom

04.04.2020. komentiraj

Prema podacima istraživanja portala MojPosao, svaka peta osoba (18%) u Hrvatskoj se boji zaraze koronavirusom. Najviše ispitanika, gotovo polovica (43%), virusa se boji samo donekle, dok čak 39% osoba uopće ne strahuje od zaraze.

Veliki broj poduzetnica i poduzetnika računa na pomoć države, ali se uzda najviše u vlastite sposobnosti preživljavanja

Veliki broj poduzetnica i poduzetnika računa na pomoć države, ali se uzda najviše u vlastite sposobnosti preživljavanja

04.04.2020. komentiraj

Dnevno u Hrvatskoj od korona virusa oboli od 50 do 100 građana, dok ih od 1000 do 1.500 ostane bez posla zbog posljedica pandemije koja je zahvalila i sektor gospodarstva. Mjere Vlade RH usmjerene realnom tržištu za očuvanje radnih mjesta dobro su došla potpora, ali i dalje ostaje pitanje - kako preživjeti. Bližimo se brojci od 150 tisuća nezaposlenih, a tek je na izmaku prvi mjesec izolacije i poslovne stagnacije.