HRVATSKA agencija za nadzor financijskih usluga (HANFA) deset dana nakon kibernetičkog napada nije u punoj funkciji. Baza podataka i registri i dalje su nedostupni, nije poznato kolika je šteta, ne zna se je li došlo do krađe osobnih podataka i podataka tvrtki koje nadzire Hanfa i hoće li ikada biti vraćeni svi podaci koji su u sustavu Hanfe.
>> Državni regulator Hanfa, tri dana nakon napada, još nije podigao računalne sustave
Stručnjak za informacijsku sigurnost Lucijan Carić smatra kako je riječ o najozbiljnijem sigurnosnom incidentu u povijesti Hrvatske koji se odnosi na javni sektor. Na upit Hanfi da komentiraju kako je ovo najveći cyber napad na neku od državnih institucija kažu nam kako nemaju podatke o drugim napadima te da ne mogu odgovoriti na ovo pitanje.
Hanfina zadaća je osiguranje visoke razine kibernetičke sigurnosti u financijskom sektoru
Da bi stvar po ovog državnog regulatora bila i gora, upravo je Hanfa zadužena i za nadzor informacijskih sustava tih tvrtki. Štoviše, Hanfa se godinama u svojim godišnjim izvješćima hvalila da sudjeluje u izradi europske regulative na području informacijske sigurnosti, dok su zaposlenici Hanfe bili članovi nacionalnih i europskih tijela za izradu regulative iz područja informacijske i kibernetičke sigurnosti.
Kako smo provjerili, u Uredu za informacijsku sigurnost Hanfe rade svega dva djelatnika. Carić napominje kako se uskoro sprema zakon, odnosno implementacija NIS 2 Direktive o proširenim mjerama za zajedničku informacijsku sigurnost Europske unije, čime će pozicija Hanfe, u nadzoru sustava, još biti i ojačana.
"Legitimno je postaviti pitanje kako će Agencija osigurati visoku razinu kibernetičke sigurnosti u financijskom sektoru kada nije u stanju osigurati ni vlastite sustave", zaključuje Carić. No, krenimo redom.
Baze podataka i registri i dalje su nedostupni
U utorak 23. siječnja objavljeno je kako je na računalni server Hanfe izvršen kibernetički napad. Svi računalni sustavi unutar Hanfe nisu bili u funkciji, a Agencija nije bila u stanju odgovarati na upite putem službenih e-mail adresa. Nedostupna je bila i Hanfina internetska stranica.
Nakon dva do tri dana oporavljena je e-mail komunikacija i internetske stranice, no baze podataka i registri i dalje su nedostupni. Hanfa u svom odgovoru tvrdi kako se trenutno radi na podizanju ukupnog računalnog sustava i svih njegovih funkcionalnosti.
Hanfa je, podsjetimo, državni regulator koji provodi nadzor nad poslovanjem burzi i uređenih javnih tržišta, investicijskih društava i izdavatelja vrijednosnih papira, brokera i investicijskih savjetnika. Nadzire između ostalog investicijske i mirovinske fondove, osiguravajuća društva, nadzire i ima podatke središnjeg registra osiguranika, Fonda hrvatskih branitelja iz Domovinskog rata i članova njihovih obitelji i pravnih osoba koje se bave poslovima leasinga i faktoringa.
Hanfa: Nema indicija da je došlo do izvlačenja osobnih podataka
U jednom ranijem priopćenju Hanfe ovog tjedna stajalo je da se u "slučaju zabrinutosti za osobne podatke ispitanici mogu obratiti i službeniku za zaštitu podataka Hanfe" pa nas je zanimalo jesu li kompromitirani podaci nadziranih društava?
"U ovom trenutku nema dokaza niti indicija da je došlo do izvlačenja osobnih podataka. Kontinuirano radimo na nadogradnji i zaštiti računalnog sustava Hanfe te vjerujemo da je i to doprinijelo sigurnosti i zaštiti podataka subjekata nadzora kojima Hanfa raspolaže", stoji u odgovoru koji smo dobili od Hanfe. No, kako naglašavaju, angažirali su dodatne stručnjake na rješavanju problema te i dalje traje istraga o ovom napadu.
Ozbiljan sigurnosni incident
Podsjetimo kako je Index ranije pisao kako je navodno riječ o napadu putem "ransomwarea". To je vrsta kibernetičkog napada gdje kriminalci pokušavaju uspostaviti kontrolu nad sustavom žrtve, a definira se kao skup zlonamjernih programa koji korisniku onemogućuju korištenje računala.
Napadači obično traže novac kako bi se računala "otključala" i povratili podaci. Iz Hanfe za sada ne žele govoriti o detaljima napada te kažu kako su za sada sigurni da je napad bio odrađen uz pomoć "najnaprednijih alata". Zbog istrage, kažu nam, ne mogu govoriti o detaljima.
No, kako je moguće da je ovakav napad paralizirao državnog regulatora da ni deset dana nakon napada nisu dignuti računali sistemi, a ne zna se ni što je s podacima koje ima Hanfa? Carić smatra kako je riječ o ozbiljnom sigurnosnom incidentu.
Neadekvatna pripremljenost za rješavanje incidenta i osiguranje kontinuiteta poslovanja
"Taj incident najvjerojatnije je uzrokovan nekim oblikom crypto-malwarea. To su maliciozni programi koji enkriptiraju (šifriraju) sve dostupne podatke na računalima pogođenog korisnika ili institucije, pa potom za povrat podataka zahtijevaju otkupninu - najčešće u obliku plaćanja kriptovalutama", objašnjava Carić.
Carić smatra kako je riječ o najozbiljnijem sigurnosnom incidentu kada je riječ o javnom sektoru. Isto tako ističe da je nezahvalno u ovom trenutku pogoditi kako je točno došlo do ovog, potpunog pada sustava Hanfe.
"U pravilu, često su to propusti u ispravnoj administraciji i konfiguraciji sustava, propusti u održavanju operativnih sustava i aplikacija, propusti vezani uz korištenje sustava za sigurnosnu pohranu podataka te neadekvatna pripremljenost za rješavanje incidenta i osiguranje kontinuiteta poslovanja. Moguće su, naravno, i kombinacije ovih propusta", smatra Carić.
Carić: Podaci jesu kompromitirani
No, jesu li podaci kompromitirani, odnosno jesu li podaci kojima raspolaže Hanfa o financijskom sektoru Hrvatske izašli negdje vani?
"Što se sigurnosti podataka kojima raspolaže Hanfa tiče, bojim se kako smo se bjelodano uvjerili da ti podaci nisu sigurni. S druge strane, mogao bih se našaliti pa reći, pod uvjetom da sam ispravno pogodio da se radi o crypto-malwareu, kako su ti podaci sada vrlo sigurni, 'osigurani' čak i od Hanfe. Je li došlo do kompromitacije podataka, odnosno jesu li ti podaci iscurili iz Agencije, to je teško znati, ali u pravilu kod ovakvih napada odljev podataka nije cilj napadača", objašnjava Carić.
Kako dodaje, napadi crypto-malwareom često uzrokuju djelomičan ili potpun gubitak podataka pa u tom smislu možemo govoriti o kompromitaciji ako je cjelovitost podataka narušena, zaključuje Carić.
Kako smo napisali u uvodu, Hanfa se u svojim godišnjim izvješćima hvali kako provodi provjere sigurnosti nad subjektima koje nadzire, tvrde i da redovito ulažu u sigurnost i nadogradnju računalnog sustava, kao i u periodičku provjeru razine sigurnosti. Također, sudjelovali su i u izradi europske regulative na području informacijske sigurnosti.
Pitali smo Hanfu smatraju li kako je sve to nedostatno.
Hanfa se hvalila da je pisala regulativu o zaštiti od kibernetičkih napada
"Regulativa koju spominjete (tzv. DORA) i u čijoj izradi su sudjelovali i stručnjaci Hanfe bit će u primjeni na razini EU tek 2025. godine te se u ovom trenutku niti na koji način ne može povezivati s ovim ili drugim sličnim slučajevima", kažu iz Hanfe dodajući da s obzirom na ubrzan razvoj i tehnologije i prijetnji koje uz nju idu, za očekivati je da će se ista morati kontinuirano unaprjeđivati.
Carić, stručnjak za informacijsku sigurnost, kaže da je tragično, čak i ironično da se ovakav sigurnosni incident dogodio agenciji koja je regulator financijskog sektora i koja je, među ostalim, zadužena za nadzor provođenja sigurnosnih mjera unutar tog sustava, uključivši i sigurnost informacijskih sustava. Carić smatra kako Hanfa teško može osigurati visoku razinu kibernetičke sigurnosti u financijskom sektoru kada nije u stanju osigurati ni vlastite sustave.
Glavni problem je nerazumijevanje uloge informacijske sigurnosti i needuciranost
"S obzirom na stanje u javnom sustavu, mislim kako Hanfa teško može raspolagati dovoljnim brojem visokostručnih osoba koje su potrebne za provođenje tako složenog i odgovornog zadatka, a to je sigurno slučaj i s drugim agencijama poput AZOP-a gdje je specijalističko poznavanje sigurnosti informacijskih sustava, a posebno informatičke forenzike, prijeko potrebno za obavljanje temeljnih zadaća", ističe Carić.
Carić smatra da glavni problem predstavlja nerazumijevanje uloge informacijske sigurnosti i needuciranost onih koji zapravo donose ključne odluke, a to najčešće nisu informatičari, već upravljačke strukture unutar kojih su, pogotovo u javnom sektoru, kvalificirani informatički stručnjaci prije iznimka nego pravilo.