Napadnuti ste od strane Lockbita 5.0. najbržeg, najstabilnijeg, ujedno i besmrtnog ransomwarea još od 2019. godine. Morate nam platiti, i to u kriptovaluti. Nemojte zvati FBI i policiju. Oni će vam zabraniti da nam platite, ostat ćete sami s vašim kriptiranim podacima i vaš posao će umrijeti…
Tako je, ukratko, izgledao mail nedavno zaprimljen u Gradu Rovinju, na koji je izvršen složen kibernetički napad iza kojeg stoji Lockbit 5.0., jedna od najozloglašenijih organizacija kibernetičkog kriminala. U svom obraćanju Gradu Rovinju hakeri, u naravi ozbiljni kibernetički teroristi, objasnili su napadnutima protokol ponašanja. Poručili su Gradu zašto im trebaju vjerovati i kakve bi mogle biti posljedice ne budu li kooperativni. Mail poruka doslovno zvuči kao ucjena u kojoj se za oslobađanje otetog ili u ovom slučaju paraliziranog, traži odšteta.
Iako je pokušaj prodora u kritičnu informatičku infrastrukturu bio iznimno agresivan, reakcijom implementiranog sustava tvrtke Softech Development napad je uspješno izoliran i suzbijen u ranoj fazi. Svi sustavi Grada Rovinja koji su koristili navedeni sustav zaštite ostali su potpuno funkcionalni jer su sigurnosni protokoli spriječili kompromitaciju podataka i paralizu poslovnih procesa, a u napadu koji je na gradski informatički sustav izvršila zloglasna hakerska skupina spriječeno je curenje osjetljivih podataka.
Gradska uprava Rovinja već neko vrijeme koristi suvremeni sustav zaštite koji implementira tehnološko rješenje te ključni faktor kroz sigurnosno-operativni centar koji 0-24 štiti IT infrastrukturu. Da je Grad kojim slučajem bio bez zaštite, dovelo bi to do potpune izloženosti sustava.
Europa posebno ugrožena
Ugrozilo bi se normalno funkcioniranje Grada, kao što se dogodilo nedavno hakiranoj Istarskoj županiji, s paralizom dijelova sustava koji su dulje vrijeme bili zaključani. Na istarskom području na meti kibernetičkog kriminala našli su se i Istarski vodovod, Istarska razvojna agencija, pulsko komunalno poduzeće Herculanea, dok su na razini države mete napada bili Ina, ACI, KBC Split i KBC Zagreb, Hrvatski autoklub…
Cilj navedene hakerske skupine i njihov modus operandi svodi se na to da putem sofisticiranog ransomware napada blokiraju cjelokupnu infrastrukturu napadnutog ili njegov najvažniji dio, kako bi ga na taj način prisilili na plaćanje zatraženog iznosa u zamjenu za dekripciju podataka i sustava. Njihova logika je jednostavna: napad, ucjena, naplata. U takvim situacijama samo zaštićeni sustavi imaju šanse oduprijeti se napadu, posebno ako se radi o jednoj od najvećih hakerskih organizacija, kao što je ona koja je napala Grad Rovinj, a 2024. i KBC Rebro koje je bilo njihovom metom s prilično teškim i neugodnim posljedicama, nanesenom štetom i narušenim poslovanjem.
Napadi poput navedenih zapravo su samo kap u moru, a imaju tendenciju kontinuiranog pojačavanja što je dio hibridnog rata kojem je izložen cijeli svijet. Zanimljivo je također, prikazuje interaktivna karta na jednom od zagrebačkih veleučilišta, da je Europa posebno na meti napadu, više čak i u odnosu na Sjevernu Ameriku. Ujedno, kibernetički terorizam, koji postaje dio svakodnevice, otvara pitanje obaveze primjene Zakona o kibernetičkoj sigurnosti u koji je implementirana Direktiva NIS2, zakon EU-a koji uređuje kibernetičku sigurnost.
Iako, zasad, ne postoji opća obveza da je svaka županija, grad ili općina moraju provesti, sve više odgovornih nositelja vlasti, svjesnih posljedica budu li hakirani, odlučuje se za zaštitu od kibernetičkih napada. Koliko god se primjena NIS2 Direktive prioritetno odnosi na ministarstva, državne agencije, veće javne institucije i dijelove regionalnih uprava, puno je i onih koji nisu obuhvaćeni obavezom, ali prihvaćaju sugestiju da se zaštite jer lako mogu biti napadnuti i ugroženi.
Sama po sebi, u tom slučaju nameće se potreba angažiranja stručnih firmi koje se bave obranom od kibernetičkog terorizma, makar to bilo i iz preventivnih razloga, a ne nužno zato što je propisano. No prema procjenama stručnjaka, samo je pitanje vremena kad će se Direktiva NIS2 morati primijeniti bez iznimaka. Među svim ostalim, to će se odnositi i na županije, gradove i općine koji koriste EU fondove za digitalizaciju. Kod takvih projekata sve češće se traži procjena kibernetičkog rizika, standardi sigurnosti i plan upravljanja incidentima. Ako kod takvih primjera Direktiva NIS2 i nije formalno obavezna, projekti traže zadovoljavanje istih standarda kao da je.
Cilj su podaci građana
Konkretno: Grad koji želi EU novac, de facto mora primjenjivati NIS2 principe. Uz to postoji, i tako je klasificirana, kritična infrastruktura, koja u gradovima obuhvaća poduzeća za vodu i odvodnju, energiju i toplinarstvo, gospodarenje otpadom, javni prijevoz te aktivnosti kojima se upravlja digitalnim sustavima: e-uprava i digitalni registri građana, sustavi za naplatu parkinga, pametna rasvjeta i ‘smart city’ infrastruktura, digitalni sustavi za komunalne usluge.
Meta napada sve su češće gradske i općinske uprave, bolnice, komunalna poduzeća. Upravo zato Europska unija želi da se sigurnosni standardi prošire i na lokalnu razinu koja je vrlo često metom napada zbog starih IT sustava, kao i nedostatka sigurnosne politike kroz angažiranu vanjsku stručnu zaštitu. Cilj je napadača preuzeti velike baze osobnih podataka građana, što im je onda snažno sredstvo ucjene kod postavljanja uvjeta oko plaćanja svog napuštanja tuđeg sustava koji su zarobili i stavili pod svoju kontrolu.
