Ima Slovenija kapacitete za odzivanje na kibernetske incidente?

sreda, 17.05.2017

V petek, 12. maja 2017, je bilo v popoldanskih urah že jasno, da se pripravlja nekaj velikega. Pregled objav tiskovnih agencij in odzivov varnostnih strokovnjakov na družbenih omrežjih je razkril, da se izsiljevalski virus WannaCry zelo hitro širi po celem svetu, predvsem zaradi izrabljanja hude varnostne ranljivosti Microsoftovega operacijskega sistema Windows. Zaradi neobičajno hitrega širjenja smo istega dne v večernih urah na SI-CERT izdali obvestilo, s katerim smo javnost obvestili o nevarnosti virusa in pripravili prve napotke skrbnikom sistemov, kako naj ukrepajo. Preverili in sprejeli smo ukrepe na omrežju, ki so dodatno zamejili možnost širitve in pripomogli k zaščiti potencialno ranljivih sistemov v omrežju HKOM (sistemi javne uprave), UKC, zdravstvenih ustanovah ipd.

V prvih dneh po takšnih obsežnih varnostnih incidentih se navadno zbirajo in analizirajo informacije, sledijo ukrepi za zamejitev posledic, odstranitev nastale škode in povrnitev zlorabljenih sistemov v delujoče stanje. Ves čas pa je potrebno komunicirati tako s strokovno kot tudi širšo javnostjo in mediji, ki morajo dobiti zanesljive informacije. V povezavi z virusom WannaCry in posledično oceno stanja pripravljenosti Slovenije na takšne kibernetske napade smo lahko zasledili tudi izjave, da v Sloveniji nimamo organizacije, ki bi skrbela za kibernetsko varnost oz. da Slovenija ni pripravljena na napade večjih razsežnosti. Na tem mestu bi radi pojasnili vlogo in delovanje nacionalnega centra za obravnavo incidentov s področja varnosti elektronskih omrežij in informacij SI-CERT.

SI-CERT že od leta 1995 deluje v okviru javnega zavoda Arnes. Center opravlja koordinacijo razreševanja incidentov, tehnično svetovanje ob vdorih, računalniških okužbah in drugih zlorabah, ter izdaja opozorila za upravitelje omrežij in širšo javnost o trenutnih grožnjah na elektronskih omrežjih. Kot nacionalni operativni odzivni center za omrežne incidente v Sloveniji smo člani mednarodnih mrež odzivnih centrov in mreže CSIRT, kot jo določa evropska direktiva o omrežni in informacijski varnosti (ti. NIS direktiva).

To seveda ni prvi večji incident, s katerim smo se spopadli na SI-CERT. Med preteklimi lahko izpostavimo uspešno obrambo sistemov državne uprave pred napadi hektivistične skupine Anonymous, sodelovanje s policijo pri preiskovanju vdorov v številna slovenska podjetja ter akcije ob večjih napadih na uporabnike e-bančništva, če omenimo le nekaj najbolj medijsko izpostavljenih incidentov.

Tudi ob tokratnem dogajanju smo ukrepali in v petek zvečer objavili obvestilo SI-CERT 2017-03, ter o tem dogodku obvestili javnost in vse kontakte po državnih organih. Pozno zvečer in tudi cel vikend smo na SI-CERT zbirali informacije in se odzivali na vsa odprta vprašanja tako s strani medijev, splošne javnosti kot tudi zainteresiranih organov državne uprave. Prav tako ves čas sodelujemo pri izmenjavi informacij incidenta s kolegi iz tujine.

Tovrstni dogodki razkrivajo, da smo uporabniki po celem svetu izpostavljeni kibernetskim napadom, vendar na drugi strani obstajajo organi in institucije, ki skrbijo za pravočasno  zaznavo in ustrezno ukrepanje. V Sloveniji imamo odzivne kapacitete, ki pa jih je nedvomno potrebno nadgraditi.  Na SI-CERT že vsaj 10 let opozarjamo na premalo zavedanja s strani politike in odločevalcev, šele zadnje leto pa se kažejo znaki izboljšanja; tako s sprejetjem Nacionalne strategije o kibernetski varnosti kot tudi pripravo Zakona o kibernetski varnosti, na podlagi katerega se bodo lahko uresničevale zaveze iz strategije. Pri tem sodelujemo z Uradom RS za varovanje tajnih podatkov, ki ga je Vlada RS določila za organ, ki bo v skladu s sprejeto strategijo dajal usmeritve na strateškem nivoju. Ker pa smo na operativnem nivoju zadnja leta »zaspali«, je nujna nadgradnja kapacitet in znanja, ki bodo še izboljšali hitro odzivanje na nove grožnje kibernetskega prostora. Virus WannaCry bo morda tudi katalizator pozitivnih sprememb na operativnem in strateškem nivoju v državi. Te bodo nenazadnje potrebne tudi zato, da bo lahko Slovenija ustrezno implementirala EU NIS direktivo v življenje.