Zastarela oprema, nebezbedni operativni sistemi i nedostatak svesti o rizicima, BIRN otkriva kako srpski zdravstveni sistem, pravosuđe i ostale javne delatnosti otvaraju vrata hakerskim napadima i ugrožavaju poverljive podatke građana.

Zahvaljujući nedavnoj smeni dve tužiteljke Višeg javnog tužilaštva saznali smo dosta o stanju u toj instituciji, ali i podatak da se razmena informacija o sudskim slučajevima među tužiocima obavlja preko – Viber grupe.

Ana Toskić Cvetinović iz nevladine organizacije Partneri Srbija kaže za BIRN da u ovom konkretnom slučaju “iznenađuje manjak svesti o rizicima razmene podataka putem ovih kanala, posebno što ti isti ljudi, tužioci, istražuju i komunikaciju članova kriminalnih grupa, koji koriste aplikacije sa mnogo višim stepenom zaštite (poput Skaja).”

Istraživanje BIRN-a, kao i nedavni izveštaj Državne revizorske institucije pokazuju da postoje brojni propusti u oblasti informacione bezbednosti, kao što su nedovoljna fizička i logička zaštita opreme, zastareli operativni sistemi i nedostatak procedura za zaštitu podataka.

Iako bi mnogi želeli da misle da je informaciona bezbednost na zavidnom nivou, činjenice govore drugačije. Otkriće propusta u sistemu MojDoktor, koji je povezan sa svim domovima zdravlja i integrisanim zdravstvenim informacionim sistemom, kao i zastarelost računarske opreme i operativnih sistema u pravosudnom sistemu, navode na zabrinutost.

Na forumu “Bezbedan Balkan”, entuzijasti i stručnjaci za sajber-sigurnost iz regiona otkrivaju bezbednosne propuste na državnim sajtovima, nedovoljno zaštićenim resursima i dele informacije o curenjima podataka. Od septembra prošle godine, kada je forum osnovan, objavljeno je desetine detalja o kompromitovanim i neadekvatno zaštićenim državnim sajtovima, kao što su sajtovi Agencije za zaštitu prirodne sredine, Zavoda za intelektualnu svojinu, Elektromreže Srbije, JP Pošte, Zavoda za veštačenje, Hidrometereološkog zavoda i drugih.

Kako ističe osnivač foruma “Bezbedan Balkan”, Ivan Marković, i nakon što članovi ovog foruma prijave propuste nadležnim organima i institucijama kod kojih je propust uočen, retko dolazi do popravki, što znači da sistemi i dalje ostaju otvoreni za zloupotrebu.

Na DarkNetu prodaju se baze EMS-a, EPS-a, FON-a…

Na forumu “Bezbedan Balkan” su već objavljeni snimci ekrana određenih baza podataka koje su procurile iz Srbije, a koje se mogu naći na DarkNetu. Na primer, jedna baza podataka iz Studentskog centra Beograda sa podacima o oko 6.300 studenata je nedavno stavljena na prodaju na jednom od DarkNet foruma.

Na DarkNetu se mogu naći i druge procurele baze podataka, kao što su baze podataka Elektromreže Srbije, Fakulteta organizacionih nauka i EPS-a. Na jednom od DarkNet foruma, baza podataka sa email adresama EMS-a je postavljena na prodaju po ceni od 14 dolara, a istog dana je oglašena i baza podataka EPS-a po ceni od 15 dolara. Podaci Fakulteta organizacionih nauka, koji su procureli u novembru prethodne godine, prodaju se za 22 dolara.

Na DarkNet marketima se može pronaći desetine domaćih baza podataka koje su procurele u 2022. godini. Među njima se nalaze podaci sa mejlova Farmaceutskog, Matematičkog, Medicinskog, Rudarsko-geološkog, Elektrotehničkog fakulteta, Akademske mreže Srbije, kompanije Telekom i drugih organizacija.

Cena procurelih baza podataka zavisi od različitih faktora, uključujući datum hakovanja, broj preprodaja, količinu i kvalitet podataka u bazi. Međutim, uvid u sadržaj baze moguć je samo nakon uplate na kripto-novčanik, pri čemu ne postoji garancija da će kupac dobiti tražene podatke.

“Mi smo golje. Malo nas je, nezanimljivi smo. Čist motiv svega ovoga je ucena. Pre ćeš da ucenjuješ Holanđanina, Engleza, nego Srbina. Trenutno su najisplativiji za ucene sajtovi za upoznavanje. Na primer, ako neki direktor firme ima nalog na sajtu za traženje devojaka, a ovamo ima ženu… Tu sve može da procuri, čet poruke, lozinke”, kaže za BIRN Goran Mekić, suosnivač novosadskog Tilda Centra koji okuplja novosadsku hakersku, haktivističku i programersku zajednicu.

Vladimir Radunović iz Diplo fondacije kaže da nadležni organi često nisu spremni da čuju o postojećim rupama u sistemu ili nemaju dovoljno kapaciteta da se time pozabave.

“Ja se bojim sofisticiranih napada, curenja podataka, hakera koji vade podatke, kopaju, a da ih ne vidiš. Ja sam uveren da su duboko u srpskim mrežama hakerske grupe svetskih sila. Geopolitički smo interesantni svima, pa dođemo ‘sajber Kazablanka’”, kaže za BIRN Vladimir Radunović iz Diplo fondacije, međunarodne organizacije za izgradnju politika sajber bezbednosti.

Ranjivost u mreži domena “gov.rs”

Za neke državne sajtove nije potrebna nikakva analiza da bi se dokazalo da su nebezbedni. Naime, popularni veb-pretraživači upozoravaju korisnike i takve sajtove stavljaju van funkcije. Odsustvo bezbednosnog sertifikata (tzv. SSL sertifikat) kod nekih državnih sajtova omogućava malicioznim hakerima da presretnu komunikaciju korisnika sa sajtom i preuzmu podatke. Ovo je posebno zabrinjavajuće s obzirom na to da korisnici često moraju da ostavljaju osetljive informacije poput ličnih podataka ili bankovnih detalja na takvim sajtovima.

“Već je postala interna šala među sajber zajednicom da državni sajtovi nemaju SSL sertifikat”, kaže Goran Mekić.

Analiza jedne fišing kampanje iz aprila 2020. je otkrila ranjivost u mreži domena “gov.rs”, koju koristi većina javnih institucija.

Zlonamerni akteri su slali mejlove građanima predstavljajući se kao MUP Srbije, a cela kampanja je izgledala legitimno, jer je zaglavlje mejla sadržalo ispravan nastavak “@gov.rs”.

Analizirajući ovaj domen i fišing kampanju o kojoj je portal IT klinika prvi pisao, jedan od članova formule “Bezbedan Balkan” je pokazao da domen “gov.rs” nema implementirane bezbednosne komponente, što omogućava zlonamernim akterima da koriste ovaj domen u zaglavlju mejla za fišing napade. Na taj način je mnogo teže prepoznati da se radi o malicioznom mejlu, jer adresa pošiljaoca odgovara javnoj instituciji.

esDnevnik: Prevelika nadležnost i ovlašćenja predati Telekomu

U poslednjih nekoliko godina, Državna revizorska institucija izdala je nekoliko izveštaja o informacionoj bezbednosti, uključujući pravosudne i zdravstvene sisteme, organe za objedinjenu naplatu, lokalne poreske administracije, program “esDnevnik” i sistem za registar nepokretnosti.

Zastarela hardverska i softverska oprema, nedostatak strategije finansiranja, plana za slučaj katastrofe ili prekida rada, nepoštovanje zakonskih procedura i rokova, upravljanja i procene IT rizika, nedostatak obučenog IT kadra, kao i nedostatak kontrole rezervnih podataka, samo su neki od problema koje je revizor uočio.

U slučaju informacionog sistema “esDnevnik”, revizor je primetio da je prevelika nadležnost i ovlašćenja predati kompaniji Telekom AD, koja je napravila i održava softver. Ovo predstavlja potencijalni rizik u slučaju da Telekom prestane da pruža uslugu održavanja softvera, s obzirom na to da pružalac usluge ima autorsko pravo na izvorni kod. Osim toga, administracija nije ispoštovala pravilnik o proceni IT rizika i kreiranju rezervnih kopija podataka, što bi trebalo da radi nadležni organ, što može dovesti do prekida rada sistema u slučaju bilo kakvih problema.