CIRT još istražuje hakerski napad na nikšićki Vodovod

CIRT još istražuje hakerski napad na nikšićki Vodovod

Ilustracija. Foto: EPA-EFE/RITCHIE B. TONGO
Ilustracija. Foto: EPA-EFE/RITCHIE B. TONGO
27.07.2024

Dok nadležni još ispituju da li je došlo do ugrožavanja ličnih podataka građana tokom hakerskog napada na nikšićki Vodovod, IT stručnjaci upozoravaju na moguće posljedice.

Vladin tim za odgovor na računarsko bezbjednosne incidente (Computer Incident Response Team - CIRT) još istražuje da li je tokom hakerskog napada na nikšićki Vodovod došlo do ugrožavanja ličnih podataka građana. Iz nikšićkog Vodovoda je 30. marta saopšteno da je njihov poslovno-informacioni sistem bio meta hakerskog napada, navodeći da su "privremeno u nemogućnosti da obavljaju određene poslove koji proizilaze iz samog sistema".

Iz vladinog tima za odgovor na računarsko bezbjednosne incidente (CIRT) su narednog dana saopštili da je riječ ransomver napadu (ransomware attack).

Na pitanja BIRN-a da opišu kako je tekao napad na DOO "Vodovod i kanalizacija", do kojih podataka su došli hakeri i da li se među njima nalaze privatni podaci građana - potrošača, kao i da li su tražili novac za njihov otkup, iz CIRT-a su kazali da trenutno ne mogu odgovoriti jer je istraga u toku.

"Napominjemo da ovo predstavlja ozbiljan incident, te se istražuje sa punom pažnjom i predanošću. Naš tim je u potpunosti posvećen rješavanju ove situacije, zajedno s drugim relevantnim institucijama, kako bi se što brže i efikasnije neutralizovao napad", kazali su iz CIRT-a.

U međuvremenu su iz nikšićkog Vodovoda dostavili informacije o hakerskom napadu Agenciji za zaštitu ličnih podataka (AZLP), da nije došlo do kompromitacije ličnih podataka zaposlenih. Iz Vodovoda su sa "priličnom sigurnošću" naveli i da su podaci korisnika u cjelosti sačuvani.

Agencija je od nikšićkog Vodovoda tražila izjašnjenja nakon što im je BIRN poslao pitanja u vezi hakerskog napada.

"Kako je u toku proces potpunog oporavka sistema, tek po okončanju istog će sa sigurnošću znati da li je došlo do eventualnog ugrožavanja ličnih podataka korisnika usluga", kazali su BIRN-u iz Agencije za zaštitu ličnih podataka.

"U zavisnosti od konačnog izjašnjenja, nakon oporavka sistema i nakon završenog postupka koji se vodi ovim povodom, Agencija će odlučiti o daljim koracima", naveli su.

Prema Zakonu o zaštiti ličnih podataka građana osoba koja smatra da su mu povrijeđena prava može podnijeti zahtjev za zaštitu prava nadzornom organu, koji je dužan da mu odgovori u roku od 60 dana.

Kompjuter nakon ransomware napada. Foto: EPA-EFE/ROB ENGELAAR
Kompjuter nakon ransomware napada. Foto: EPA-EFE/ROB ENGELAAR

Stručnjaci upozoravaju na moguće krivce u Vodovodu

Iz CIRT-a su pojasnili da je ransomver ucjenjivački tip štetnog softvera koji ograničava pristup ili zaključava računar i šifruje podatke, a potom zahtijeva otkup za njihovo bezbjedno vraćanje. U avgustu 2022. godine bio je na udaru rensomver napada koji su paralisali rad državnih institucija.

"Ovaj oblik napada sve više postaje sofisticiran, koristeći napredne tehnike enkripcije i anonimnih platnih metoda kako bi se izbjeglo otkrivanje počinioca", kazali su iz CIRT-a.

Dok je izvršni direktor nikšićkog Vodovoda Željko Cicmil u saopštenju objavljenom 30. marta kazao da "novonastaloj situaciji Vodovod Nikšić ni na koji način nije doprinio niti je uzrokovao", IT stručnjak Bojan Nenadić smatra da se ovakvi incidenti najčešće aktiviraju napažnjom ljudskog faktora i nedovoljnim ulaganjem u mrežnu zaštitu. Nenadić je pojasnio i da većina rensomver napada dolazi putem elektronske pošte.

"Napadači koriste lakovjernost žrtve, sakrivajući zaražene datoteke i linkove unutar elektronske pošte i na taj način zaraze računar. Drugi način je putem nezaštićene ili tipski napraveljene web stranice u koje postavljaju maliciozni sadrzaj. Žrtva koristi sadržaj ne znajući da je zaražen i na taj način aktivira virus", kazao je Nenadić BIRN-u.

On je istakao i da se nekada ta dva napada kombinuju u jedan, kada žrtvi stigne elektronska pošta sa lažnim sadržajem.

"Recimo reklama za neki poznati proizvod koji je na sniženju u formi slike fotografije sa linkom ili sam link. Aktiviranjem linka ili ulaskom u fotografiju direktno se ulazi na maliciozni sajt i na taj način se aktivira virus",  navodi Nenadić.

Nakon što se aktivira, rensomver virus kriptuje podatke na zaraženom računaru i pokušava da zarazi ostale računare koji se nalaze u mreži. Nenadić pojašnjava da prethodna iskustva pokazuju da pored zahtjeva za otkup ključa za dekriptovanje podataka napadači ucjenjuju žrtvu i da će preuzete podatke objaviti na internetu.

"Kako bi ostvarili cilj napadači povećavaju ulog time što prijete, a kasnije objavljuju tajne podatke državnih organa i građana. Time ne samo što je učinjena privremena ili trajna nedostupnost podacima u sistemu već su ugroženi tajni podaci građana i države uopšte, što je protivno zakonu", istakao je Nenadić.

On tvrdi da je edukacija zaposlenih najbolji odgovor na slične napade u budućnosti, ističući da je važno ulaganje u  modernu mrežnu zaštitu, antiviruse, posljednje verzije operativnih sistema, napredne aplikacije za prikupljanje i monitoring logova, kao i moderne aplikacije za zaštitu privatnosti podataka. Nenadić ističe i da je veoma važno imati rezervne kopije podataka (back-up).

Iz Vodovoda nisu odgovorili na pitanja BIRN-a da li su otklonili problem, da li je neko od zaposlenih učestvovao u incidentu i do kojih podataka su hakeri došli. Iz Vodovoda nisu odgovorili ni da li su radili back up podataka i da li su imali antivirusnu zaštitu. Na ta pitanje nije odgovorao ni izvršni direktor Vodovoda Željko Cicmil.

 

Preko 2.000 incidenata za tri godine

Crnogorski informacioni sistem bio je paralisan nakon rensomvare napada na Vladine insitucije 22. avgusta 2022. godine, kada je bio onemogućen pristup sajtovima i mejlovima gotovo svih ministarstava i institucija. Zbog sajber napada bila je blokirana i elektronska komunikacija tužilaštava, sudova, katastra, Uprave prihoda i carina i drugih institucija.

Iz Ministarstva javne uprave su tada saopštili da iza napada stoji kriminalna grupa "Cuba ransomware", ali je prošlog marta Vijeće za nacionalnu bezbjednost saopštilo je da nije utvrđeno ko stoji iza sajber napada. U istragu sajber napada tada su bile uključeni i američki Federalni istražni biro (FBI) i francuska Nacionalna agencija za sigurnost informacionih sistema (ANSSI).

Podaci koje je CIRT dostavio BIRN-u pokazuju da je nakon sajber napada na vladin sistem raste broj sličnih incidenata na godišnjem nivou. U prethodne tri godine zabilježeno je 2.107 incidenata, od čega je 751 incident zabilježen prošle godine, što je rast od deset odsto u odnosu na 2022. godinu.

Zvanični podaci su pokazali da su najbrojniji malware napadi kojih je prošle godine bilo 466, nakon čega slijede prevare putem interneta sa zabilježenih 117 slučajeva. Tokom prošle godine zabilježeno je 84 incidenata zloupotrebe profila na društvenim mrežama, nakon čega slijede napadi na web sajtove, informacione sisteme, neprikladan sadržaj na internetu, uznemiravanja i ucjene.

Iz CIRT-a su 11. aprila saopštili da imaju veliki broj prijava koje se odnose na poruke koje stižu građanima putem SMS-a, elektronske pošte ili Vibera, sa obavještenjem da im navodno paket ne može biti isporučen zbog nepotpune adrese i da za dalje informacije otvore link iz poruke.

"Apelujemo na građane da se radi o prevari. Napominjemo da je ovo tipičan primjer fišinga, gdje prevaranti pokušavaju da iskoriste lažna obavještenja o poštanskim pošiljkama kako bi došli do ličnih podataka i finansijske koristi", naglasili su iz CIRT-a.

Off