Stručnjak za sajber bezbednost upozorava: "Na crnom tržištu se nude pristupi mejlovima zaposlenih u EPS-u" 1foto: Shutterstock/Maksim Shmeljov

Stručnjak za sajber bezbednost Ivan Marković, pokretač foruma Bezbedni Balkan, već duže vreme zajedno sa svojim kolegama upozorova na niz zloupotreba IT resursa ključnih javnih preduzeća. Između ostalog on navodi da se na crnom tržištu nude pristupi mejlovima zaposlenih u EPS-u, ali i da se resursi EPS-a zloupotrebljavaju za napade širom sveta.

Upitani o ovim navodima iz EPS-a kažu da „do sada nije utvrđeno da je došlo do kompromitacije podataka ili naloga“. S druge strane, iz nacionalnog CERT-a, organizacije koja se bavi zaštitom sajber bezbednosti u zemlji, navode da oni nisu dobili do sada informacije o ugroženosti resursa EPS-a i njihovoj zloupotrebi od strane hakera.

Da li su podaci građana ugroženi?

Ivan Marković radi kao konsultant za sajber bezbednost u multinacionalnoj kompanij.

On redovno na društvenim mrežama i forumu Bezbedan Balkan objavljuje informacije o kompromitovanim resursima, kojih je, sudeći po objavama, svakoga dana sve više.

Među javnim preduzećima koja su navedena nalazi se i Elektroprivreda Srbije.

Ivan Marković kaže da je utvrdio da se pristupi e-mail nalozima EPS-a, odnosno korisnička imena i šifre, prodaju na crnom tržištu za manje od 100 dolara.

– Ovi e-mail nalozi sadrže vitalne informacije poput ličnih podataka građana, poslovnih i državnih tajni. Takođe potencijalno se mogu zloupotrebiti i za dalju eksploataciju sistema EPS-a, zaposlenih u EPS-u ali i samih građana – upozorava Marković.

On podseća da je prvi put primećena prodaja ovih naloga u novembru prošle godine, a zatim ponovo u januaru i aprilu ove godine.

Stručnjak za sajber bezbednost upozorava: "Na crnom tržištu se nude pristupi mejlovima zaposlenih u EPS-u" 2
foto privatna arhiva

Upitan da li sa sigurnošću možemo da znamo da su na prodaju mejlovi zaposlenih u EPS-u odnosno da hakeri zaista prodaju ono što tvrde da prodaju, on navodi da možemo.

– U pitanju je oko 15 korisničkih naloga, i možemo sa sigurnošću da tvrdimo da se radi o e-mail nalozima zaposlenih u EPS-u jer su maliciozni hakeri ostavili slike ekrana sa primljenom poštom. Na osnovu sadržaja na slikama ekrana jednostavno je zaključiti da su ovo zaista pravi nalozi – kaže Marković.

Upitani o infomacijama koje Marković iznosi, iz EPS-a u pisanim odgovorima nisu naveli da li je tačno da se mejl nalozi zaposlenih prodaju na crnom tržištu.

Oni međutim tvrde da nijedan lični podatak nije „procureo“, te da se podaci građana i ne nalaze u mejlovima zaposlenih.

– Do sada nije utvrđeno da je došlo do kompromitacije podataka ili naloga. Podaci korisnika se čuvaju u skladu sa najvišim standardima i nisu povezani sa nalozima elektronske pošte zaposlenih – navodi se iz EPS-a i dalje dodaje da „Elektroprivreda Srbije“ ima kontinuiranu saradnju sa nacionalnim CERT – telom za prevenciju bezbednosnih rizika u IKT sistemima Republike Srbije u pogledu bilo kakve vrste kompromitacija podataka i potencijalnih pretnji“.

Hakeri koriste EPS za napade širom sveta?

Pored prodaje mejlova i šifara zaposlenih u EPS-u, Ivan Marković iznosi još jednu podjednako zabrinjavajuća činjenicu.

On tvrdi i da se resursi EPS-a, odnosno serveri ili korisničke mašine zloupotrebljavaju od strane trećeg lica za napade na internet resurse širom sveta.

– Ovi napadi su najverovatnije deo nekog većeg organizovanog sistema za napade (takozvani botnet). Pored toga i pomenuti napadi na druge resurse širom sveta, sa resursa EPS-a, dokazuju da treća strana ima pristup vitalnim sistemima i da može da dođe podataka zaposlenih u EPS-u – navodi Marković.

Sagovornik Danasa ističe da je više javnih baza podataka, koje sadrže podatke o IP adresama sa kojih stižu maliciozne aktivnosti (poput spamova ili napada), registrovalo IP adresa koje pripadaju EPS-u direktno, ili su na neki način povezane sa distribucijom električne energije.

Iz EPS-a nisu odgovorili direktno na pitanje da li su Markovićeve tvrdnje tačne, ali su ponovili da podaci nisu ugroženi.

S druge strane, iz nacionalnog CERT-a takođe navode da informacije sa kojima raspolažu ne potvrđuju da je došlo do kompromitovanja podataka ili korišćenja servera EPS-a.

– U situacijama kada institucija utvrdi da se desio incident koji može da ima značajan uticaj na narušavanje informacione bezbednosti dužna je da to prijavi Nacionalnom CERT-u. U konkretnoj situaciji Nacionalni CERT nije dobio prijavu od navedene institucije (EPS-a, prim. aut.) koja bi označila da je došlo do incidenta ove vrste – stoji u pisanim odgovorima na pitanje da li se mejl nalozi i šifre prodaju na crnom tržištu.

Oni takođe navode da je u slučaju ovakvih incidenata praksa pokazala da „su lozinke na nalozima uglavnom već promenjene (usled definisanih polisa za upravljanje lozinkama) ili da pripadaju nalozima koji više nisu aktivni“.

Iz CERT-a takođe navode da nisu dobili ni prijavu o zloupotrebi resursa EPS-a na šire napada u svetu, ali i da ni od kolega iz drugih zemalja nisu dobili ovakvo upozorenje.

– Pored obaveštenja o incidentima koje dobija od operatora IKT sistema od posebnog značaja, privrednih subjekata i građana Republike Srbije, Nacionalni CERT naše zemlje dobija prijave i od Nacionalnih CERT-ova ostalih država u situacijama kada se infrastruktura naše zemlje koristi za napade na institucije drugih država. Informacije iz ovih prijava ne ukazuju na to da se resursi EPS-a zloupotrebljavaju od strane trećeg lica za napade na internet resurse širom sveta – stoji u odgovorima.

Jesmo li sajber bezbedni?

Odgovarajući na pitanje kako je moglo da dođe do kompromitovanja resursa EPS-a Ivan Marković kaže da postoji više načina.

Jedan je da su hakeri prosto kombinovali korisinčka imena i šifre koje su već kompromitovane isprobavajući razne kombinacije dok nisu našle pravu.

– Takođe, moguće je i instaliranje malicioznog softvera na korisničkim mašinama kroz “phishing” kampanje, ali eksploatisanjem propusta direktno na e-mail serverima. Ovo se dešava usled neadekvatnog održavanja infrastrukture. Generalni zaključak je da ne postoji nikakav nadzor koji bi indetifikovao ovakve radnje i sprečio eksploataciju, navodi Marković.

Iz CERT-a međutim ističu da nadzor ali i saradnja sa institucijama u zemlji i inostranstvu postoji.

– Nacionalni CERT, razvijaju sopstvene ili kroz različite oblike saradnje koriste postojeće „Threat intelligence sisteme i alate“… odnosno znanje bazirano na evidenciji nastaloj iz iskustava o prethodnim i postojećim pretnjama po IT i druge resurse“.

Kako ističu, u skladu sa tim „Nacionalni CERT kontinuirano prati dostupne informacije o pretnjama, pruža rana upozorenja, informiše relevantna lica o rizicima i incidentima i daje konkretne savete i preporuke u slučaju prijavljenog incidenta“.

CERT zaključuje da se „ovakvom razmenom informacija sa ostalim CERT-ovima, ISP-ovima i IKT sistemima od posebnog značaja u skladu sa zakonskom regulativom i međunarodnim standardima, smanjuje se broj uspešno izvedenih napada i verovatnoća da se napad koji se desio jednoj instituciji desi i ostalim institucijama“.

Šta raditi u slučaju napada?

„Pored zaštite IKT sistema od posebnog značaja Nacionalni CERT informiše i širu javnost putem obaveštenja o raznim vrstama sajber napada. Preporuke vezane za ispravno postupanje ukoliko dođe do kompromitovanja imejl naloga javno su dostupne u brošuri: Kako postupiti ukoliko dođe do kompromitovanja imejla?„, objašnjavaju iz CERT-a.

Pratite nas na našoj Facebook i Instagram stranici, ali i na X nalogu. Pretplatite se na PDF izdanje lista Danas.

Komentari