KOMENTAR: Napad na INA-u pokazao probleme informacijske sigurnosti, važnost prevencije

KOMENTAR: Napad na INA-u pokazao probleme informacijske sigurnosti, važnost prevencije

Foto: DepositPhotos / Ilustracija

Scenarij 1:

Petak 14.2. Valentinovo – kreće napad – neki tvrde ransomware CLOP zblokirao rad INA-e, kriptirao backupove, kriptirao kompove – sve staje

 

Scenarij 2:

Isti datum isto vrijeme – nije CLOP nego nešto drugo, isti rezultat, zblokirani sustavi

 

U oba scenarija kažu cloud based rješenja preživjela napad i ostala u funkciji (dobro za prodavače clouda op.a.)

U oba scenarija ne radi fiskalizacija na benzinskim postajama, zaposlenici rade od kuće

 

Bilo bi tu još scenarija o kojima se u ovome trenutku govori na domaćem IT tržištu, neki su gotovo pa teorija zavjere, čak se u jednom trenutku pojavila i informacija o pokušaju iznude vrijednom oko 15 milijuna eura naravnao u Bitcoinima što i ide u prilog kriminalcima koji stoje iz CLOP-a koji su se nakon iznuđivanja privatnih korisnika prije više od godinu dana okrenuli tvrtkama kao onima koji će vjerojatnije platiti tako nešto.

Ipak se time nećemo baviti, nego se nadati da će uskoro ipak doći i službeni odgovor na upit prema PR službi INA-e od strane ICTbusiness.info što se točno dogodilo, kada je sustavima vraćena puna funkcionalnost i tko je odgovoran za ovako nešto.

Naime, kako se priča uvijek pomalo napuše u jednom smo trenutku dobili informaciju kako su i druge velike domaće tvrtke pod napadom. I pitali smo ih direktno te su tako stigli odgovori iz Hrvatske pošte kako nisu pod napadom, a tako je i Croatia Osiguranje otklonilo mogućnost da se nalaze pod sličnim napadom. Uz sve to, na IT tržištu se moglo čuti i za neke druge tvrtke, ali za tako nešto nema nikakvih potvrda.

Početak priče

INA je samo službeno potvrdila da je pod napadom i to 16. veljače dakle dva dana nakon početka napada. Zanimljivo je da se trenutno niti jedan račun s INA-ine benzinske ne može fiskalizirati, a u to smo se i sami uvjerili. Što samo dokazuje o obimu zahvaćenosti – od računala u INA-u, iako se tvrdi da su neki zaposlenici od doma radili. INA je priznala da im ne radi mail sustavi, pa su za potrebe medijskih upita na svojem webu objavili da koriste privremenu e-mail adresu koja se nalazi na Googleovom servisu GMail.

Istovremeno, u INA-i tvrde kako je opskrba sigurna, ali i to će se vidjeti s vremenom, a dodatno nam je potvrđeno da sve nadležne službe rade na slučaju. Riječ je o svim internim službama, ali i vanjskim institucijama kao što su policija, obavještajni aparat te za naftnu industriju nadležno tijelo Zavod za sigurnost informacijskih sustava.

U mnogim slučajevima ovakve istrage traju vrlo dugo, no ne i otklanjanje poteškoća u radu. U ovom slučaju je znakovito da je već prošlo gotovo tjedan dana i da sustavi nisu podignuti i vraćeni u prvotne funkcije i nisu ostvarene pune funkcionalnosti informatičkog sustava.

Zakon i Uredba

Sve to baca posebno svjetlo na sustave informacijske sigurnosti u Hrvatskoj koji su regulirani Zakonom o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga i Uredbom o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga.

Ured Vijeća za nacionalnu sigurnost središnje je državno tijelo za informacijsku sigurnost – hrvatski NSA (National Security Authority). U tom smislu, Ured koordinira i usklađuje donošenje i nadzire primjenu mjera i standarda informacijske sigurnosti u okviru područja sigurnosne provjere, fizičke sigurnosti, sigurnosti podataka, sigurnosti informacijskih sustava i sigurnosti poslovne suradnje (hrvatski DSA) te izdaje certifikate za fizičke i pravne osobe za pristup nacionalnim, NATO i EU klasificiranim podacima.

Dakle UVNS mora znati što se događa u INA-u jer po Zakonu i Uredbi oni su ključni davatelj usluga u nafti. Uz to, INA je morala obavijestiti u skladu sa Zakonom o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga (NN 64/18) i Uredbom o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga (NN 68/18) nadležno tijelo odnosno kako se to definira da su operatori ključnih usluga i davatelji digitalnih usluga dužni su, bez neopravdane odgode, obavještavati nadležni CSIRT o incidentima koji imaju znatan učinak na kontinuitet usluga koje pružaju. CSIRT za INA-u je Zavod za sigurnost informacijskih sustava.

Vrlo jasan Zakon i Uredba

Što se tiče Zakona i Uredbe oni predviđaju da su operatori ključnih usluga dužni uspostaviti sustav upravljanja sigurnošću mrežnih i informacijskih sustava. Funkcionalnost i sigurnost ključnih sustava temelji se na sljedećim načelima i to povjerljivosti - svojstvu da usluge ili podaci ne budu dostupne ili otkrivene neovlaštenim osobama, integritetu - svojstvu da usluge ili podaci nisu neovlašteno ili nepredviđeno mijenjani, raspoloživosti -svojstvu koje omogućuje pristup ili upotrebljivost usluge ili podataka na zahtjev ovlaštenog korisnika, autentičnosti - svojstvu koje osigurava da je identitet korisnika zaista onaj za koji se tvrdi da jest.

Operatori ključnih usluga dužni su uspostaviti i dokumentirati politiku upravljanja sigurnošću ključnih sustava. Politika upravljanja sigurnošću ključnih sustava mora definirati ciljeve i strateške smjernice očuvanja kontinuiteta poslovanja, biti temeljena na procjeni i upravljanju rizicima, opisati sustav upravljanja sigurnošću, uključujući interne nadzore provedbe mjera kibernetičke sigurnosti, utvrditi donošenje potrebnih sigurnosno-operativnih procedura za ključne sustave, s poveznicama na druge interne akte koji reguliraju postojeće sigurnosno-operativne procedure, neovisno o tome odnose li se na ključne sustave ili sigurnost operatora u cjelini, uključivati organizaciju i provedbu programa edukacije te stalnog podizanja svijesti o sigurnosti. Uz to, politika upravljanja sigurnošću ključnih sustava donosi se u pisanom obliku i mora ju odobriti najviša upravljačka razina.

Upravljanje i procjena rizika

Uz sve to, mora se uspostaviti upravljanje rizicima,  što uključuje sustav upravljanja rizicima, procjene rizika, ali i stvoriti katalog rizika i stalno ih ažurirati te identificirati opremu, osobe i aktivnosti u okviru kojih se provodi procjena rizika. I ono što je u ovom našem najnovijem slučaju vrlo važno, a to je sprječavanje, otkrivanje i rješavanje incidenata te ublažavanje učinka incidenata.

Procjena rizika provodi se za identificiranu opremu, osobe i poslovne aktivnosti koje se obavljaju na ključnim sustavima ili su u potpori ključnih sustava. Procjena rizika provodi se na temelju prihvaćenog kataloga rizika s obavezom procjene rizika najmanje za definirana područja zaštite ključnih sustava. Procijenjeni rizici obrađuju se izbjegavanjem, ublažavanjem, prijenosom ili prihvaćanjem rizika. Za procijenjene sigurnosne rizike obrada se provodi izborom različitih sigurnosnih mjera i kontrola iz odgovarajuće međunarodne norme informacijske sigurnosti. Sigurnosne mjere i kontrole iz odgovarajuće međunarodne norme informacijske sigurnosti moraju omogućavati: odvraćanje, izbjegavanje, prevenciju, detekciju, reakciju i oporavak, djelujući na odgovarajući način na prijetnje i ranjivosti ključnih sustava, odnosno na utjecaje incidenata na ključne sustave.

Još iz kategorije

Huawei i drugi mjesec zaredom drži mjesto najvećeg proizvođača pametnih telefona

Huawei i drugi mjesec zaredom drži mjesto najvećeg proizvođača pametnih telefona

12.07.2020. komentiraj

Counterpoint je potvrdio iznenađujuće rezultate vezane za tržište pametnih telefona jer i nakon travnja Huawei ostaje najveći proizvođač pametnih telefona na svijetu! To znači da je uspio zadržati Samsung iza sebe, što je izniman uspjeh za kineskog giganta, posebno u situaciji kad se nalazi pod američkim sankcijama pa mu je ograničena mogućnost poslovanja u svim dijelovima svijeta. Ima 19,7 posto udjela u svibnju, a Samsung je na 19,6 posto.

Kriza potaknula nove načine poslovanja

Kriza potaknula nove načine poslovanja

11.07.2020. komentiraj

Ubrzanje potrošačkih trendova i ponašanja koja su postojala i prije izbijanja COVID-19 učinilo je još jedan korak naprijed, a potaknut će kompanije koje imaju kontakt s potrošačima i trgovce na ponovno kreiranje svog načina poslovanja, navodi se u novom izvješću PwC-a.

Kriza je ukazala na slabosti

Kriza je ukazala na slabosti

09.07.2020. komentiraj

Pandemija COVID-19 testira snage i otkriva slabosti državne uprave, obrane, sigurnosnih snaga i privatnog sektora u njihovoj spremnosti i reakciji na krizu. Kako bi buduće reakcije bile snažnije i otpornije, vlade će morati razumjeti na koji način ti čimbenici surađuju i mapiraju prioritete vodstva.