Hekerji tudi v Sloveniji izkoriščajo Covid-19

Kot za tujino je tudi za Slovenijo moč trditi, da je pandemija COVID-19 vplivala na kibernetsko varnost. V prvem polletju leta 2020 sta CERT-a obravnavala 1635 incidentov. Uprava Republike Slovenije za informacijsko varnost (URSIV) ocenjuje, da je med COVID-19 prišlo do rahlega porasta »phishing« sporočil, DDoS napadov, neželenih sporočil (spam sporočil), odkrivanja potencialnih tarč in ranljivosti (port scanninga), lažnih spletnih strani in trgovin, elektronskih sporočil kompromitiranja, distribucije zlonamernih kod.

V prvem polletju URSIV ni zabeležil kibernetskih incidentov z bistvenim vplivom na zaupnost, celovitost in razpoložljivost omrežij, informacijskih sistemov oziroma informacijskih storitev. SIGOV-CERT ni zaznal oz. poročal o incidentih s pomembnim vplivom na neprekinjeno izvajanje storitev organov državne uprave, SI-CERT pa pri IBS ni zaznal incidentov s pomembnim vplivom na neprekinjeno izvajanje bistvenih storitev, ki jih zagotavljajo.

CSIRT je skupina, ki se odziva na incidente na področju informacijske varnosti, sprejema prijave o kršitvah varnosti, izvaja analize in pomaga priglasiteljem pri obvladovanju incidentov. Naloge nacionalnega odzivnega centra za kibernetsko varnost opravlja SI-CERT (ang. Slovenian Computer Emergency Response Team) v okviru javnega zavoda Akademska in raziskovalna mreža Slovenije (Arnes). Odzivni center je pristojen tudi za priglasitev incidentov izvajalcev bistvenih storitev (v nadaljevanju: IBS) iz sektorjev energija, digitalna infrastruktura, oskrba s pitno vodo in njena distribucija, zdravstvo, promet, bančništvo, infrastruktura finančnega trga, preskrba s hrano in varstvo okolja ter ponudnikov digitalnih storitev.

Naloge odzivnega centra za incidente v informacijskih sistemih organov državne uprave opravlja SIGOV-CERT v okviru Ministrstva za javno upravo. Odzivni center je pristojen tudi za priglasitev incidentov organov državne uprave, ki upravljajo informacijske sisteme in dele omrežja oziroma izvajajo informacijske storitve, nujne za nemoteno delovanje države ali za zagotavljanje nacionalne varnosti

Izkoriščanje pandemije COVID-19

IBS so v času epidemije delovali normalno. Zaznano je bilo izkoriščanje tipičnih kibernetskih dogodkov, kot so zlonamerne kode, »phishing« in podobno, v povezavi s situacijo COVID-19, vendar niso predstavljali resnih groženj. Posebna pozornost je bila posvečena sektorju zdravstva, kjer ni bilo zaznati pomembnih incidentov, ki bi vplivali na delovanje zdravstvenih ustanov in institucij ali drugih deležnikov, ki nudijo podporo zdravstvenemu sistemu.

Incidenti, povezani z delom na daljavo

Operaterji elektronskih komunikacij so beležili rast prometa in števila dogodkov, ob tem pa ni bilo zabeleženih kršitev varnosti ali celovitosti. Rast je bila posledica dela in učenja na daljavo ter povečanega prometa na svetovnem spletu. Prišlo je tudi do porazdeljenega napada onemogočanja (DDoS napad) na strežnik, ki nudi podporo izobraževalnim ustanovam na področju e-učenja. Napad je bil hitro zaustavljen, delovanje strežnika pa povrnjeno v normalno delovanje.

Ocena

Na podlagi mednarodnih poročil na URSIV ocenjujejo, da lahko v prihodnje pride do dodatnega porasta kibernetskega kriminala, saj izvajalci kriminalnih dejanj zlorabljajo povečano povpraševanje posameznikov in podjetij na internetu po informacijah in izdelkih (predvsem zdravstvenih). Storilci le tega bodo še naprej inovativni pri uvajanju različnih zlonamernih programov in škodljive programske opreme na temo pandemije COVID-19, predvsem kot posledica povečanega števila delavcev, ki delajo od doma oz. imajo oddaljeni dostop do sistemov njihovih delodajalcev. Pričakovati je razširitev dejavnosti tudi na druge vrste spletnih napadov.

Predlogi URSIV

Potrebno je ohranjati visok nivo kibernetske varnosti IBS in organov državne uprave. Nadaljevati je potrebno z intenzivnim ozaveščanjem javnosti, saj opažajo, da je javnost obveščena o tem, na koga se lahko obrne ob kibernetskem incidentu, nekoliko manj pa je poučena glede prepoznavanja in odzivanja na poskuse kibernetskih prevar oziroma zlorab ter pomembnosti prijave kibernetskih incidentov SI-CERT.

Vsem uporabnikom predlagajo, da:

• preverijo implementirane varnostne mehanizme in nastavitve aplikacij, programov in informacijskih sistemov;
• preverijo varnostne nastavitve/ukrepe povezane z zmogljivostmi za delo od doma;
• izvedejo druge potrebne ukrepe za zagotovitev varnosti omrežij in podatkov ter podajo morebitne predloge za izboljšave.

IBS, organom državne uprave ter ostalim podjetjem in ustanovam predlagamo, da:

• posvetijo dodatno pozornost neobičajnim ali povečanim kibernetskim aktivnostim znotraj
• svojih sistemov, ki bi lahko pomenile kibernetsko tveganje za njihovo delovanje;
• preverijo ukrepe za neprekinjeno delovanje oziroma zagotavljanje storitev;
• pregledajo postopke za okrevanje po katastrofi (ang. Disaster Recovery Procedures, DRP) in postopke odzivanja na incidente;
• pregledajo podatke iz sistema za upravljanje varnostnih dogodkov in tveganj (ang. Security Information and Event Manager, SIEM) in drugih orodij ter opravijo analizo stanja (tip in obseg dogodkov).

Dodatno pozornost je potrebno nameniti kibernetski varnosti v zdravstvenem sistemu in podpornim deležnikom na področju zdravstva, saj lahko v podobnih situacijah, kot je bila COVID-19, hitro postanejo resne tarče.