Autor: Saša Šćekić, IT ekspert i bivši potpredsjednik AmCham Komiteta za digitalnu transformaciju

Države Zapadnog Balkana su ove godine suočene sa nizom složenih sajber napada – primarno ransomware i DDoS tipa – koji su doveli do nedostupnosti javnih servisa i gubitka podatka. U Srbiji, meta je bio IT sistem Republičkog geodetskog zavoda, koji čuva podatke o nekretninama građana, kompanija i države. Vezani servisi su bili nedostupni nekoliko sedmica. U Albaniji se dogodio napad na servise javne uprave e-Albanija, a zatim na sistem granične policije. Pored nedostupnosti servisa došlo je i do gubitka podataka, pa je tako objavljena email komunikacija premijera, ministra odbrane, ministra unutrašnjih poslova…  Portali ministarstava, vlade i banaka u Sjevernoj Makedoniji su napadnuti početkom godine, a nedavno su hakovane i veb stanice Ministarstva prosvjete i nauke. Kosovske javne institucije su, takođe, bile odsječene sa Interneta zbog hakerskog napada.

Crna Gora se suočava sa do sada vjerovatno najtežim napadom na kritičnu IT infrasturkturu – koji je učinio nedostupnim veliki broj digitalnih servisa i usporio ili zaustavio poslovne procese. U proteklih nekoliko dana je oporavljen domen gov.me i pojedini sajtovi, ali je činjenica da su gotovo mjesec dana bili nedostupni svi portali Vlade i državnih institucija, eUprava – centralna tačka za digitalne javne servise, portal nacionalne šeme za elektronsku identifikaciju, servis poreske uprave… Postupak carinjena za uvezenu roba je trajao duže od uobičajenog i zbog toga su privrednici imali veće troškove. Zaustavljene su javne nabavke.  Elektronska fiskalizacija je bila zaustavljena, a onda djelimično oporavljena. Roditelji ne mogu podnijeti prijave za dječiji dodatak, odgođen je početak realizacije programa stručnog osposobljavnja, kasni izdavanje tablica za automobile. Dio kritične infrastrukture je prešao u offline režim rada, a čak je i Elektroprivreda CG prešla na ručno upravljanje.

Napad je toliko kompleksan da je Crna Gora zatražila pomoć partnera – pa su SAD poslale FBI CAT tim (Cyber Action Team), dok je Francuska poslala eksperte iz Nacionalne agencije za bezbjednost. Ovi eksperti su pružali podršku lokalnim timovima u forenzici, odgovoru na incident i remedijaciji. Od prije nekoliko dana njih je odmijenio tim iz Velike Britanije, čije je cilj da pomognu Crnoj Gori u jačanju otpornosti na sajber izazove.

Pitanja koja se nameću iz detekcije i odgovora na incident

Informacije o tome šta se dogodilo, kolika je šteta i koje su to ranjivosti i evenutalni nedostaci doveli do ovako ozbiljnih posljedica su u ovom trenutku povjerljive – jer mogu omogućiti nove napade.

Ipak, na osnovu onoga što je objavljeno, možemo izvesti određene zaključke o spremnosti države da odgovori na sajber napade ove složenosti.

Posljednja informacija koju imamo je da je tim iz Francuske detektovao napad koji traje od januara ove godine – ali za sada nije napravljena nedvosmislena korelacija između detektovanih incidenata. Postavlja se pitanje – kako to da postoji napad na IT infrastrukturu države koji nije detektovan toliko dugo?

Dodatno, treba uzeti u obzir i vrijeme reakcije, odnosno odgovora na incident u cilju zaustavljanja napada i umanjenja štete – koje je u ovom slučaju bilo 2 dana: od 20. avgusta, kada je incident registrovan do 22. avgusta kada je zahvaćena infrastrukura isključena sa mreže.

Svjedoci smo da oporavak ključnih digitalnih servisa traje gotovo mjesec dana. Iako nije poznato sa kojim se problemima susreće tim koji oporavlja servise – zbog kojih bi ovaj oporavak mogao trajati duže – ipak se nameće pitanje zašto se oporavak ovih servisa nije dogodio u roku od 2 do 24 sata, kako je propisano Strategijom za obezbjeđenje podataka u slučaju katastrofe za potrebe državnih organa i organa uprave u Crnoj Gori. Odnosno, zašto kontinuitet poslovanja nije obezbijeđen prelaskom na Disaster Recovery lokaciju (DRS) u Bijelom Polju. Moguće je i da su IT sistemi na DRS kompromitovani, zato što su – prema izjavi iz Ministarstva javne uprave – povezani sa primarnim Data centrom kroz istu mrežu koja je bila meta napada.

Cijela situacija ukazuje na urgentnost sagledavanja tehničkih i procesnih kontrola, kao i dostupnost i ekspertizu timova koji su potrebni da bi incidenti ovog tipa bili detektovani, da bi uslijedio odgovor i oporavak u najkrećem mogućem roku.

U toku incidenta, institucije pod gov.me domenom su otvarale privatne email adrese i preko njih razmijenjivale mailove sa potencijalno povjerljivim podacima – sve dok to nije zabranjeno. Na stranu dobra namjera da se obezbijedi funkcionisanje, iz ovoga možemo izvesti zaključke da je izostala koordinacija, da je višak privilegija u sistemu omogućio pristup i kreiranje privatnih email adresa – što je rizik za odliv podataka – i da je postojao manjak svijesti o informacionoj bezbijednosti.

Finalno, tu je i pitanje komunikacije u incidentim situacijama. Eksperti bi recimo savjetovali da se odlože ili barem ublaže izjave o tome ko je izveo napad, uz razumijevanje koliko je mala vjerovatnoća da se zaista utvrdi pravi izvor – kada napadači mogu zamaskirati svoje adrese upotrebom Tor mreže, VPN kriptovane komunikacije u kombinaciji sa multi-hop serverima i armijom botnet računara koji su „osvojeni“ širom svijeta, odakle i vrše napade. Takođe je i važna komunikacija prema građanima i privredi – šta se događa, koji su servisi obuhvaćeni i kada se očekuje oporavak, šta mogu da rade u međuvremenu. Tako bi se izbjegla konfuzija i kontradiktornosti kojih je bilo u izvještavanju. U ovako kompleksnim incidentnim situacijama mora postojati koordinirana komunikacija i plan: ko, šta, kome, kada i kako saopštava.

Ulagati više u ljude

 Napadima su izložene i mnogo razvijenije ekonomije, poput Njemačke, gdje su, prema Bitkom studiji, samo u 2021. preduzeća izgubila 203 milijarde eura zbog sajber kriminala.

Crna Gora ja u proteklom periodu napravila značajne pomake u regulatornom smislu – pa su pored niza zakona, uz podršku stručne zajednice, usaglašena strateška dokumenta koja usmjeravaju šta treba činiti na polju digitalne transformacije i informacione bezbjednosti.

Sada je hitno potrebna i implementacija ovih strateških dokumenata – što znači izgradnju tehničkih, procesnih i ljudskih kapaciteta za obranu po dubini (Defense-in-Depth). To podrazumjeva segmentaciju i kontrolu pristupa na nivou mreže, servera i podataka, rješenja za detekciju i prevenciju upada i odliva podataka, rješenja za prikupljanje i korelaciju sigurnosnih događaja, kulturu testiranja i otklanjanja ranjivosti – od redovnog automatizovanog skeniranja do pentracionog testiranja, efikasan plan oporavka u slučaju katastrofe, itd.  

Ali, prije svega, potrebna je zaštita na prvoj liniji odbrane koju čine ljudi – kroz svijest o prijetnjama sa jedne strane i ekspertizu u oblasti informacione bezbijednosti sa druge. Svijest je pitanje dobre organizacije i nešto malo ulaganja u kontinuiranu obuku zaposlenih u državnim institucijama i građana. Pitanje ekspertize je znatno složenije i zahtijeva viziju političke elite za dugoročnu investiciju u razvoj takvog kadra u zemlji.

Država bi svakako trebala da podrži Univerzitet Crne Gore koji je pokazao otvorenost za podršku razvoju kapaciteta sajber bezbijednosti i borbe protiv visoko-tehnološkog kriminala kroz kreiranje brojnih programa i edukaciju IT kadra. Security timovi iz privatnog sektora, pogotovo visoko regulisanih industrija poput telekomunikacija i bankarstva, bi mogli dati značajnu podršku u edukaciji. Isto tako i IT sektor i udruženja poput ICT Cortex-a, koje je već ponudilo podršku.

Izuzetno je važno osmisliti strategiju da se zadrže novoizgrađeni eksperte, koji će dalje voditi računa o zaštiti državne infrastrukture. Pored kontinuirane obuke i sertifikacije – država bi budžetom trebala projektovati i finansijsku motivaciju kako bi eksperti ostali u zemlji i državnoj službi.

Kako je bivši izvršni direktor CISCO-a, John Chambers, jednom izjavio: „Postoje dva tipa organizacija: one koje su hakovane i one koje to još ne znaju!“. Crna Gora sada nesporno zna da je hakovana – i ima pred sobom važan zadatak da kroz saradnju sa institucijama, privatnim sektorom i stranim partnerima izgradi kapacitete neophodne za efikasnu sajber odbranu.