Curi na sve strane

Zahvaljujući nedavnoj smeni dve tužiteljke Višeg javnog tužilaštva saznali smo dosta o stanju u toj instituciji, ali i podatak da se razmena informacija o sudskim slučajevima među tužiocima obavlja preko – Viber grupe. Ana Toskić Cvetinović iz nevladine organizacije Partneri Srbija kaže da u ovom konkretnom slučaju “iznenađuje manjak svesti o rizicima razmene podataka putem ovih kanala, posebno što ti isti ljudi, tužioci, istražuju i komunikaciju članova kriminalnih grupa, koji koriste aplikacije sa mnogo višim stepenom zaštite (poput Skaja)”.

Da li su naši lični podaci ugroženi? Naše istraživanje, kao i nedavni izveštaj Državne revizorske institucije, pokazuju da postoje brojni propusti u oblasti informacione bezbednosti, kao što su nedovoljna fizička i logička zaštita opreme, zastareli operativni sistemi i nedostatak procedura za zaštitu podataka.

Iako bi mnogi želeli da misle da je informaciona bezbednost na zavidnom nivou, činjenice govore drugačije. Otkriće propusta u sistemu “Moj doktor”, koji je povezan sa svim domovima zdravlja i integrisanim zdravstvenim informacionim sistemom, kao i zastarelost računarske opreme i operativnih sistema u pravosudnom sistemu, navode na zabrinutost.

Na forumu “Bezbedan Balkan”, entuzijasti i stručnjaci za sajber-sigurnost iz regiona otkrivaju bezbednosne propuste na državnim sajtovima, nedovoljno zaštićenim resursima i dele informacije o curenjima podataka. Od septembra prošle godine, kada je forum osnovan, objavljeno je desetine detalja o kompromitovanim i neadekvatno zaštićenim državnim sajtovima, kao što su sajtovi Agencije za zaštitu prirodne sredine, Zavoda za intelektualnu svojinu, Elektromreže Srbije, JP Pošte, Zavoda za veštačenje, Hidrometeorološkog zavoda i drugih. Pravila foruma propisuju da je propuste moguće javno objaviti samo ako ih je član otkrio koristeći javno dostupne alate. To znači da su potencijalne “rupe” na državnim sajtovima praktično otvorene za maliciozne hakere, koji putem sajta mogu da prodru u dublje infrastrukture državne mreže, servera ili baze podataka.

Za neke državne sajtove nije potrebna nikakva analiza da bi se dokazalo da su nebezbedni. Naime, popularni veb-pretraživači upozoravaju korisnike i takve sajtove stavljaju van funkcije. Odsustvo bezbednosnog sertifikata (tzv. SSL sertifikat) kod nekih državnih sajtova omogućava malicioznim hakerima da presretnu komunikaciju korisnika sa sajtom i preuzmu podatke. Ovo je posebno zabrinjavajuće s obzirom na to da korisnici često moraju da ostavljaju osetljive informacije poput ličnih podataka ili bankovnih detalja na takvim sajtovima.

“Već je postala interna šala među sajber zajednicom da državni sajtovi nemaju SSL sertifikat”, kaže Goran Mekić, suosnivač novosadskog Tilda centra koji okuplja novosadsku hakersku, aktivističku i programersku zajednicu.

Kako ističe osnivač foruma “Bezbedan Balkan” Ivan Marković, i nakon što članovi ovog foruma prijave propuste nadležnim organima i institucijama kod kojih je propust uočen, retko dolazi do popravki, što znači da sistemi i dalje ostaju otvoreni za zloupotrebu.

Vladimir Radunović iz Diplo fondacije, međunarodne organizacije za izgradnju politika sajber bezbednosti, kaže da nadležni organi često nisu spremni da čuju o postojećim rupama u sistemu ili nemaju dovoljno kapaciteta da se time pozabave. “Ja se bojim sofisticiranih napada, curenja podataka, hakera koji vade podatke, kopaju a da ih ne vidiš. Uveren sam da su duboko u srpskim mrežama hakerske grupe svetskih sila. Geopolitički smo interesantni svima, pa dođemo kao ‘sajber Kazablanka’”, smatra Vladimir.

Ana Toskić Cvetinović, izvršna direktorka nevladine organizacije Partneri za demokratske promene, kaže da incidente često prijavljuju građani ili stručnjaci za sajber bezbednost koji istražuju stanje u ovoj oblasti, “iako bi po idealnom scenariju sajber propuste trebalo da prijavljuju sami subjekti kod kojih je do propusta došlo, ali to se uglavnom ne dešava”.

ZAPISI SA DARKNET–a

Internet kakav poznajemo krije svoju manje poznatu, tamnu stranu – Dark­Net. Na ovom delu interneta, na takozvanim DarkNet “marketima”, korisnici pored droge i oružja mogu da kupe i ukradene baze ličnih podataka.

Prema našem istraživanju, najčešći uzroci curenja podataka su hakerski napadi – korišćenjem takozvane SQL injekcije. Ovaj proces omogućava hakerima da “injektuju” specijalan kod u bazu podataka i tako dobiju pristup sajtovima javne uprave u Srbiji. Goran Mekić, jedan od osnivača novosadskog Tilda centra, objašnjava da ovaj metod hakovanja omogućava zlonamernim akterima da se prijave na državne servise bez korišćenja lozinke, preuzmu fajlove i naprave štetu. “To je hakovanje za dečicu, prva stvar koju neko uči u ‘školici’. Ako neko upadne preko SQL injekcije, to znači da se institucija uopšte nije potrudila da se zaštiti. Postavlja se pitanje da li se to može nazvati hakovanjem uopšte.”

Jednom kada maliciozni akter dobije pristup bazi podataka, one se često prodaju na DarkNet marketima ili forumima. Kako nam je objašnjeno, pristup ovim forumima je obično dozvoljen samo malicioznim hakerima koji su prethodno, kao “ulaznicu”, dostavili bazu podataka koju su hakovali.

Na forumu “Bezbedan Balkan” već su objavljeni snimci ekrana određenih baza podataka koje su procurile iz Srbije, a koje se mogu naći na DarkNetu. Na primer, jedna baza podataka iz Studentskog centra Beograda sa podacima o oko 6300 studenata nedavno je stavljena na prodaju na jednom od DarkNet foruma. Na DarkNetu se mogu naći i druge procurele baze podataka, kao što su baze podataka Elektromreže Srbije, Fakulteta organizacionih nauka i EPS-a. Na jednom od DarkNet foruma, baza podataka sa imejl adresama EMS-a postavljena je na prodaju po ceni od 14 dolara, a istog dana je oglašena i baza podataka EPS-a po ceni od 15 dolara. Podaci Fakulteta organizacionih nauka, koji su procurili u novembru prethodne godine, prodaju se za 22 dolara.

Na DarkNet marketima može se pronaći desetine domaćih baza podataka koje su procurile u 2022. godini. Među njima se nalaze podaci sa mejlova Farmaceutskog, Matematičkog, Medicinskog, Rudarsko-geološkog, Elektrotehničkog fakulteta, Akademske mreže Srbije, kompanije Telekom i drugih organizacija. Cena procurelih baza podataka zavisi od različitih faktora, uključujući datum hakovanja, broj preprodaja, količinu i kvalitet podataka u bazi. Međutim, uvid u sadržaj baze moguć je samo nakon uplate na kripto-novčanik, pri čemu ne postoji garancija da će kupac dobiti tražene podatke.

“Mi smo golje. Malo nas je, nezanimljivi smo. Čist motiv svega ovoga je ucena. Pre ćeš da ucenjuješ Holanđanina, Engleza nego Srbina. Trenutno su najisplativiji za ucene sajtovi za upoznavanje. Na primer, ako neki direktor firme ima nalog na sajtu za traženje devojaka, a ovamo ima ženu… Tu sve može da procuri, čet poruke, lozinke”, kaže Goran Mekić. On objašnjava da su procureli podaci građana Srbije često pretraživi na Guglu, te da nije potrebno pristupati DarkNetu kako bi se do njih došlo. To se posebno odnosi na podatke koji su procurili usled hakerskih napada koji su se desili pre nekoliko godina.

U velikoj bazi procurelih podataka iz 2018. i 2019. godine pronađen je veliki broj “gov.rs” imejl adresa, odnosno mejlova javnih službenika Srbije, koji su korišćeni za privatne potrebe i posete različitim veb-sajtovima. Ne može se sa sigurnošću utvrditi koje tačno veb-sajtove su ovi javni službenici posećivali koristeći službenu opremu i službene mejlove, ali su među kompromitovanim sajtovima pronađeni sajtovi za upoznavanje, letovanje, video-igre i drugi.

Vladimir Radunović iz Diplo fondacije smatra da u javnoj službi manjka digitalne kulture: “Službenici drže zalepljene šifre po monitorima, ne osećaju odgovornost, nemaju svest o riziku, ali to je problem svugde u svetu, nismo preterano posebni.”

PODACI SRPSKE PRIVREDE IDU PREKO SERVERA U AMERICI

Nakon dojave jednog privrednika saznali smo da se imejl serveri koje Ministarstvo finansija koristi za slanje e-faktura srpskim kompanijama nalaze u Sjedinjenim Američkim Državama. Analiza mejla “efaktura.mfin.gov.rs”, sa kojeg preduzetnicima stižu elektronske fakture, pokazala je da podaci putuju preko servera američke kompanije Twilio, koja je prošle godine pretrpela dva velika sajber-napada i curenje podataka.

Na forumu “Bezbedan Balkan”, jedan korisnik je objavio da čitav domen Uprave za trezor takođe prolazi kroz američkog pružaoca usluga, u ovom slučaju kompaniju Cloudflare. Prema prošlogodišnjim izveštajima američkih medija, ista hakerska grupa koja je napala Twilio napala je i servere Cloudflarea u istom periodu, ali kompanija je kasnije objavila da nije došlo do curenja podataka.

“Korišćenje servera lociranih u inostranstvu ne mora nužno da predstavlja dodatni rizik, ali se postavlja pitanje da li su ispunjeni svi zakonski i tehnički uslovi za iznošenje podataka iz zemlje i njihovu adekvatnu zaštitu – posebno kada se radi o zemljama van Evropske unije”, kaže Ana Toskić Cvetinović iz organizacije Partneri za demokratske promene.

Ona navodi da je, sa druge strane, jedna od osnovnih svrha izgradnje nacionalnog Data centra u Kragujevcu bila da se podaci kojima rukuju organi vlasti pohranjuju u Republici Srbiji, kako bi postojala direktnija kontrola nad njihovom bezbednošću. “Samim tim iznenađuje što sistem e-faktura, čija je upotreba počela nakon uspostavljanja Data centra, koristi servere u inostranstvu. Drugo je pitanje da li je i centralizacija svih podataka dobar put i kakve to rizike nosi”, kaže ona.

REVIZOR O PROSVETI, ZDRAVSTVU I PRAVOSUĐU

U poslednjih nekoliko godina, Državna revizorska institucija izdala je nekoliko izveštaja o informacionoj bezbednosti, uključujući pravosudne i zdravstvene sisteme, organe za objedinjenu naplatu, lokalne poreske administracije, program “esDnevnik” i sistem za registar nepokretnosti.

Zastarela hardverska i softverska oprema, nedostatak strategije finansiranja, plana za slučaj katastrofe ili prekida rada, nepoštovanje zakonskih procedura i rokova, upravljanja i procene IT rizika, nedostatak obučenog IT kadra, kao i nedostatak kontrole rezervnih podataka, samo su neki od problema koje je revizor uočio.

U slučaju informacionog sistema “esDnevnik”, revizor je primetio da je prevelika nadležnost i ovlašćenja predati kompaniji Telekom a.d., koja je napravila i održava softver. Ovo predstavlja potencijalni rizik u slučaju da Telekom prestane da pruža uslugu održavanja softvera, s obzirom na to da pružalac usluge ima autorsko pravo na izvorni kod. Osim toga, administracija nije ispoštovala pravilnik o proceni IT rizika i kreiranju rezervnih kopija podataka, što bi trebalo da radi nadležni organ, a što može dovesti do prekida rada sistema u slučaju bilo kakvih problema.

U toku revizije lokalnih poreskih administracija, revizor je primetio da se podaci koje administracije preuzimaju iz drugih matičnih evidencija i registara čuvaju bez adekvatne kripto-zaštite.

Prema našem istraživanju, zdravstveni podaci građana su izloženi velikom riziku zloupotrebe zbog konfiguracije sistema koja omogućava neovlašćenim stranama lako pristupanje tim podacima.

Revizor u izveštaju objavljenom 10. februara 2021. navodi da nekoliko kompanija koje pružaju usluge održavanja informacionog sistema ima pristup osetljivim zdravstvenim podacima građana, što može dovesti do situacije da treća strana ima neovlašćen pristup ovim podacima, a to se ranije već dešavalo. Revizor ističe da službenici mogu lako pristupiti podacima pacijenata bez njihovog znanja, unosom samo jednog ulaznog podatka, kao što je matični broj, ime ili prezime, čak i ako pacijent nije fizički prisutan. Izveštaj takođe ukazuje na to da u većini zdravstvenih ustanova USB portovi nisu zaključani, što znači da je moguće preuzeti ili snimiti sve podatke o dijagnozama, lekarskim izveštajima i slično.

U izveštaju se takođe navodi da ne postoji plan za slučaj iznenadnog prekida rada sistema, koji je ključan za zakazivanje pregleda i lečenja. Dodatno, nisu usvojene procedure za bekapovanje i čuvanje podataka, zbog čega hard-diskovi i rezervni podaci nisu kriptovani. Ministarstvo zdravlja i “Batut” smatraju da to nije veliki rizik, što revizor osporava.

Revizor navodi da Ministarstvo zdravlja nije uspostavilo mehanizam zaštite podataka zdravstvenih osiguranika od strane pružalaca usluga aplikativnog softvera “Moj doktor”. U februaru, istraživači sa foruma “Bezbedan Balkan” otkrili su “rupu” staru oko tri godine u sistemu “Moj doktor”, koji je povezan sa svim domovima zdravlja i Integrisanim zdravstvenim informacionim sistemom. Korišćenjem otvorenih alata, istraživači su otkrili da su mejl serveri tri institucije – opšte bolnice u Prokuplju, doma zdravlja Stara Pazova i Kula – kompromitovani. Pored toga, procurili su i podaci Telekoma koji su se odnosili na IP adrese Doma zdravlja Kikinda, Rakovica, bolnice “Narodni front” i Univerzitetskog kliničkog centra Niš. Stručnjaci za sajber bezbednost su zbog ovoga upozorili na moguću kompromitaciju zdravstvenih i drugih podataka građana.

Revizor je u izveštaju naglasio zastarelu opremu u pravosudnom sistemu, ističući da prosečna starost računara iznosi 10 godina. Prema proceni revizora, čak 60 odsto računara je zastarelo, te su stoga i nebezbedni, a rizik je još veći s obzirom na to da su ovi računari povezani na internet i mogu biti meta hakerskih napada. Iako postoji ova opasnost, sudovi nemaju obezbeđena sredstva u budžetu za modernizaciju opreme.

Pored zastarelog hardvera, više od 60 odsto računara koristi zastarele operativne sisteme kao što su Windows XP, za koji je podrška istekla 2014. godine, Windows 8 koji nema podršku od 2016. godine i Windows Vista čija je podrška ukinuta 2017. godine. Revizor navodi da postoje slučajevi u kojima odgovorna lica tvrde da antivirusni softver uopšte ne postoji.

JEDAN INSPEKTOR NA PREKO HILJADU SISTEMA

Prema podacima Državne revizorske institucije, u Srbiji postoje 1234 informaciono-komunikaciona (IKT) sistema od posebnog značaja što, kako tvrdi ova institucija, značajno premašuje kapacitete inspekcije za informacionu bezbednost koja ima samo jednog inspektora. Godišnje, u proseku, taj jedan inspektor izvrši oko 30 nadzora. Međutim, kako nam je Ministarstvo informisanja i telekomunikacija odgovorilo, za sve ove godine iz inspekcijskog nadzora nije proistekla nijedna krivična prijava.

Strategija razvoja informacionog društva i informacione bezbednosti za period 2021–2026. godine jasno ukazuje da trenutni broj inspektora za informacionu bezbednost nije dovoljan da bi se adekvatno nadgledao veliki broj operatora IKT sistema. U Strategiji se navodi da je “jasno da je jedan inspektor nedovoljan” i da zbog toga “nije moguće proveriti da li veći broj IKT sistema od posebnog značaja primenjuje zakon i propisane mere zaštite”.

Jedan od problema je nedostatak klasifikacije IKT sistema prema stepenu rizika, što je dovelo do toga da svi operateri trenutno imaju isti, srednji stepen rizika.

Vladimir Radunović iz Diplo fondacije ističe da, pored manjka kapaciteta za praćenje primene zakona, problem predstavlja i primena Zakona o informacionoj bezbednosti koji je Srbija donela 2016. godine. “Moraš da izgradiš kompetenciju ljudstva, saradnju sa privatnim sektorom, fakultetima, međunarodnim telima sa kojima nemamo saradnju. Propisani su i standardi informacione bezbednosti, ali je pitanje koja institucija može da ih ispuni. Ovi na vrhu se bave digitalizacijom, ali politika privatnosti i bezbednost nisu im prioritet”, kaže Radunović.

Iako je Srbija 2016. uvela procedure, tela i Zakon o informacionoj bezbednosti, u planu su izmene postojećeg zakona, pa se radna grupa za izradu nacrta novog zakona prvi put sastala 20. aprila. Najveći problem trenutnog zakona je njegova primena, zaključak je državnog revizora i stručnjaka sa kojima smo razgovarali.

ULOGA CERT–a I TELA ZA KOORDINACIJU POSLOVA INFORMACIONE BEZBEDNOSTI

Srbija je od 2016. godine uspostavila nacionalni Centar za prevenciju informaciono-komunikacionih rizika (CERT), a od 2020. godine i Telo za koordinaciju poslova informacione bezbednosti. CERT ima za cilj da pruža rana upozorenja, deli savete i reaguje na prijave sajber-incidenata, dok se Telo za koordinaciju sastaje na redovnim i vanrednim sednicama u slučaju sajber-incidenata koji mogu značajno narušiti informacionu bezbednost.

Kako nezvanično saznajemo, Telo za koordinaciju poslova informacione bezbednosti sastaje se i vanredno, međutim iz Ministarstva informisanja i telekomunikacija nije dobijen odgovor na pitanje koji je bio konkretan povod ovih sastanaka.

U Strategiji razvoja informacionog društva i informacione bezbednosti 2021–2026. ističe se da operatori IKT sistema od posebnog značaja ne prijavljuju u velikom broju incidente Nacionalnom CERT-u zbog straha od narušavanja ugleda, neznanja o tome gde treba da se prijave incidenti ili zato što uspevaju sami da reše incidente i odlučuju da ih ne prijave.

Iskustvo velikog broja članova foruma “Bezbedan Balkan” koji su prijavili propuste CERT-u ili državnim organima kod kojih su ih uočili najčešće je bilo – ignorisanje. “Imali smo samo par slučajeva kada smo kontaktirani preko posrednika sa molbom da prosledimo detalje. Takođe, lično sam obavešten više puta od strane građana da su neki od propusta koje su identifikovali ispravljeni posle više nedelja i to nakon insistiranja, a za neke propuste sam obavešten da još uvek nisu ispravljeni, posle više godina”, kaže Ivan Marković, osnivač foruma “Bezbedan Balkan” i stručnjak za informacionu bezbednost.

Vladimir Radunović iz Diplo fondacije smatra da CERT nema kapacitet, nezavisnost i budžet da se na ozbiljnom nivou bavi informacionom bezbednošću, te da je sama uloga CERT-a nedovoljno definisana i nepoznata široj javnosti. On dodaje i da mimo državne službe ljudi i ne znaju za CERT.

CRTANJE METE ILI OPRAVDANI INTERES JAVNOSTI DA ZNA

Uputili smo zahtev za pristup informacijama Ministarstvu informisanja i telekomunikacija i NBS-u u vezi sa izveštajima o sajber napadima koje su prijavile državne institucije nadležnom organu. Međutim, odgovor koji je stigao navodi da su ti izveštaji poverljivi podaci.

Naši sagovornici se slažu da bi takve informacije trebalo da budu zaštićene od javnosti, ali isto tako kažu i da već postoje primeri javno dostupnih podataka koji bi mogli da otkriju ranjivosti u sistemu. Vladimir Radunović kaže da je državni Data centar imao dosta prezentacija, da se izlazilo javno sa informacijama kakva je oprema tamo nabavljana, čak su objavljivane i pojedine šeme. “To je zlato za iole ozbiljne istraživače ili hakere.”

Stručnjak za informacionu bezbednost, koji nije želeo da otkrije svoj identitet, ukazao je na promo snimak događaja “Cyber Tesla” iz 2021. godine i na medijsko izveštavanje koje ga je pratilo kao primer loše operacione sigurnosti. Naš izvor smatra da bi mnogi podaci sa ovog događaja trebalo da budu prikriveni, poput lokacije, lica vojnika, tagova sa imenima i prezimenima i opreme, jer ovako dostupni podaci mogu biti iskorišćeni od strane malicioznih aktera za bolje planiranje sajber napada na vojne ciljeve u zemlji. Isti izvor ističe da bi vojna lica trebalo da se suzdrže od objava na društvenim mrežama, pogotovu kada se na njima nalaze osetljivi podaci.

“To je nedostatak kulture i procedura, generalno za državne organe a pogotovo za vojsku. To bi trebalo biti jako limitirano”, kaže Vladimir Radunović iz Diplo fondacije.