Ponoči se je zgodil kibernetski napad na skupino Holding slovenske elektrarne (HSE), po besedah šefa urada za informacijsko varnost Uroša Sveteta že drugi v tem tednu. V HSE zagotavljajo, da proizvodnja elektrike ni motena in da poleg urada sodelujejo tudi s policijo.
V skupini HSE (Holding Slovenske elektrarne) so v minulih dneh zaznali vdor v njihov kibernetski sistem.
“O dogodku je HSE takoj obvestil vlado, upravo Slovenskega državnega holdinga (SDH), ELES, policijo ter druge relevantne državne organe in vse strokovne ekipe HSE, pristojne za nemoteno izvajanje poslovanja in obratovanja proizvodnih objektov v skupini,” so zapisali. Dodali so, da se trudijo za čim hitrejšo vzpostavitev nemotenega delovanja skupine, sicer pa elektrarne HSE obratujejo nemoteno, prav tako je zanesljiva oskrba Slovenije z električno energijo.
Drugi napad v tem tednu
Več podrobnosti o dogajanju je na popoldanski izjavi za javnost izdal direktor Urada vlade RS za informacijsko varnost Uroš Svete. Dejal je, da je bil incident prvič zaznan že v noči s srede na četrtek in je bil takoj prijavljen na nacionalni odzivni center za kibernetsko varnost (SI-CERT), ta pa je v četrtek ob petih popoldne obvestil urad za informacijsko varnost. ki je obvestil še operativno skupino sveta za nacionalno varnost.
Podatki po besedah Sveteta kažejo, da je šlo za nepooblaščen vstop v informacijski sistem, zato je HSE dogodek takoj prijavil tudi policiji, saj gre za kaznivo dejanje. Policija je danes za STA potrdila, da je prejela prijavo napada na informacijski sistem ene od gospodarskih družb ter da izvaja “intenzivno kriminalistično preiskavo”.
Napadalci so po pojasnilih Sveteta kompromitirali sistem in vanj nepooblaščeno vstopili ter zaklenili nekaj datotek. Najprej je kazalo, da so s hitrim odzivom v HSE napad zamejili, s petka na soboto pa se je napad ponovil in okrepil. “Zato smo bili mi, policija in SI-CERT v jutranjih urah obveščeni, da se napad širi,” je pojasnil Svete in dodal, da so danes poleg operativne skupine sveta za nacionalno varnost obvestili še kabinet predsednika vlade Roberta Goloba.
Svete je večkrat poudaril, da HSE ni zavezanec urada in je prijavo podal prostovoljno ter pohvalil njihov odziv v konkretnem primeru. “Ne glede na to, da niso zavezanec, so nas obvestili, angažirali lastne in zunanje strokovnjake ter podali prijave na pristojne organe,” je dejal.
Ali gre za izsiljevalski virus?
Napad so v HSE zaznali preko sistema omrežne varnosti in logiranj, ki se beležijo v tem sistemu.
Čeprav so v HSE incident zaznali v sredo, je Svete prepričan, da je trajal daljše časovno obdobje. “Prepričan sem, da se je zgodil bistveno pred sredo, ko so se napadalci taktično pripravljali na napad, ugotavljali ranljivosti in pomanjkljivosti sistema ter čakali na primeren trenutek. To lahko traja tudi več mesecev.”
Portal 24ur.com je poročal, da naj bi šlo za tako imenovani izsiljevalski virus. Kot je dejal Svete, v to skupino štejejo vse primere, ko hekerji zaklenejo dostop do podatkov, potem pa zahtevajo odkupnino za ponoven dostop do podatkov.
Dejal pa je, da po njihovih informacijah HSE do zdaj še ni dobil nobene zahteve po odkupnini za zaklenjene podatke. “Zahteve še ni, je pa dejstvo, da tudi dostopa še ni,” je dejal.
Napad na varnostne sisteme
Kontaminirani naj bi bili poslovni sistemi znotraj HSE, ne pa tudi naprave za proizvodnjo elektrike. Po informacijah 24ur.com naj bi bili tarča napadalcev varnostno-nadzorni sistemi in požarni alarmi družb v skupinah HSE, pri čemer navajajo vse elektrarne pod HSE (denimo šoštanjska termoelektrarna in Dravske elektrarne), pa tudi Premogovnik Velenje.
Po besedah Sveteta je ključno, da se ugotovi datum napada, saj bodo s tem lahko ugotovili, koliko varnostnih kopij oz. “back upov” je lahko kontaminiranih ter kako naj se odzovejo.
Ključno vprašanje: ali je HSE edina tarča?
Zaposleni v uradu in tudi HSE trenutno poleg poskusov, da ponovno vzpostavijo napadene sisteme, vse sile usmerjajo v to, da bi ugotovili vzrok napada, saj naj bi bilo potem jasno tudi, ali obstaja morebitna širša grožnja sistemom in infrastrukturi v naši državi. “Želimo pridobiti indikatorje zlorab, da bi lahko ukrepali. Izdali smo tudi že varnostna navodila, ki so sicer generične narave,” je dejal Svete.
Za zdaj pa ocenjuje, da ni prišlo do širitve na druge sisteme.
Po njegovih besedah tako za zdaj tudi ni razlogov, da bi izkoristili zakonsko možnost za razglasitev povečane ogroženosti, ko se uvede izvajanje konkretnih varnostnih ukrepov.
Energetika na udaru
Svete je sicer dejal, da je energetika v zadnjem času pogosto tarča hekerjev. Omenil je primer Danske.
Pred kratkim je Bloomberg poročal, da so tam hekerji maja letos izvedli napad na 22 danskih energetskih podjetjih, neprofitna organizacija za kibernetsko varnost pa je zdaj ugotovila, da bi lahko za napadom stali hekerji s povezavami do ruske vojaške obveščevalne službe GRU.
Proizvodnja elektrike nemotena
Kot že omenjeno, po zagotovilih HSE proizvodnja električne energije v državi zaradi dogodka ni v ničemer ogrožena.
Podatki na spletni strani Elesa kažejo, da je bila proizvodnja elektrike v sredo in četrtek del dneva precej pod predvideno, medtem ko so bila včeraj in danes odstopanja manjša. Spodnji graf kaže današnjo proizvodnjo.
Kakšno je tvoje mnenje o tem?
Sodeluj v razpravi ali preberi komentarje