Po svemu sudeći, u akciji spašavanja vojnika Datoteke bilo je i kolateralnih žrtava. No idemo na temelju javno dostupnih informacija pokušati napraviti analizu najnovijeg sigurnosnog skandala u najvećoj hrvatskoj bolničkoj ustanovi.
Kronologija skandala
Prema svemu što znamo, informacijski sigurnosni incident u KBC-u Zagreb, zapravo katastrofa, počeo se događati u ranim jutarnjim satima 27. lipnja, kada je poznata hakerska skupina LockBit 3.0, očito nakon duže pripreme i infiltracije, započela enkriptirati sadržaje na računalima.
Posljedica napada i poduzetih protumjera, koje nisu ništa drugo do hitnog fizičkog isključivanja sve kompjuterske opreme, bila je prestanak rada informacijske infrastrukture KBC-a Zagreb. Zbog toga je došlo do poremećaja rada bolnice te otežanih prijema i obrade pacijenata. Dio hitnih pacijenata preusmjeren je u druge bolnice, a oni koji su dolazili u KBC Zagreb zamoljeni su za razumijevanje i strpljenje.
U jutarnjim satima 27. lipnja ovlaštene osobe KBC-a izjavile su da sigurnost bolesnika nije ugrožena, podaci pacijenata su sigurni, nije došlo do curenja podataka te da bi pokretanje sustava trebalo početi te večeri, a najkasnije do sutradan ujutro sustav bi trebao biti u punoj funkciji.
No već 1. srpnja Twitter/X profil H4ckManac navodi kako je hakerska grupa LockBit 3.0 objavila da je izvela uspješan napad na KBC Zagreb te pritom ukrala (eksfiltrirala) podatke iz medicinskih kartona, o pregledima, liječničke radove i istraživanja, podatke o operacijama, donacijama organa i donorima, podatke iz banke tkiva, podatke o zaposlenicima, o donacijama i poslovnim odnosima s privatnim tvrtkama te o zalihama lijekova. KBC-u je dan rok do 18. srpnja da plati ucjenu neobjavljenog iznosa.
Nekoliko dana poslije, 4. srpnja SOA, odnosno njen ravnatelj izjavljuje da je tog jutra zvao ministra zdravstva i ravnatelja KBC-a Zagreb, da su uspjeli vratiti "svu datoteku". Zahvaljuje svojim stručnjacima na nevjerojatnom pothvatu te kaže: "Ono što je bitno za građane jest da je datoteka spašena."
Devetog srpnja Telegram objavljuje kako onkološki bolesnici koji se liječe u KBC-u Zagreb već tjednima ne mogu na radioterapiju jer nedostaju ključne dijagnostičke snimke.
Usprkos tome, nakon zatvorene sjednice saborskog Odbora za unutarnju politiku i nacionalnu sigurnost na kojoj je SOA izvijestila o hakerskom napadu na KBC Zagreb, 10. srpnja njegov predsjednik potvrđuje informaciju da su 4. srpnja podaci vraćeni KBC-u te kaže: "Sva pitanja trebaju biti upućena zdravstvenoj ustanovi koja je bila napadnuta, ali bitno je da je SOA odradila povrat svih podataka koji su bili ukradeni."
Napad kriptomalwareom
Danas, nakon što je KBC Zagreb tjednima šutio, doznajemo kako na dan napada hakera nijedan od pet uređaja za zračenje, linearnih akceleratora, nije radio. Naredni dan, 28. lipnja, nakon sigurnosnih provjera s radom su započela dva uređaja. Preostala tri su bila izvan funkcije zbog neophodne sigurnosne provjere sve do 10. srpnja, kada su počeli raditi i pripremati nove planove zračenja. Obećavaju rad u tri smjena i vikendom kako bi normalizirali stanje.
Dakle, upitno je je li situacija u KBC-u Zagreb i dan-danas, više od dva tjedna nakon hakerskog napada, normalizirana. Mnogi se pitaju kako je to "spašena datoteka", pa da probamo odgovoriti razmatranjem dvije situacije.
Prva je napad kriptomalwareom koji se očito dogodio. Takve napade informatički kriminalci izvode nakon kraće ili duže infiltracije, kada uz pomoć za to prilagođenih programa enkriptiraju sadržaje na računalima korisnika. Ovo su vrlo efikasni ucjenjivački napadi jer su računala korisnika potpuno izbačena iz funkcije, a podaci na njima nedostupni.
Ako imate arhivu (backup) te ako ta arhiva i sama nije pogođena napadom, možete vratiti zadnju sačuvanu verziju podataka i stanja računala. Ako vam je arhiva zastarjela, nepouzdana, oštećena, uništena ili je uopće niste imali, u velikom ste problemu. Hakerima možete platiti ucjenu, ali to ne mora nužno značiti da će vam podaci biti vraćeni. Iz raznih razloga moguće je da dekriptiranje sustava ili nekog njegovog dijela ne uspije.
Ustanova veličine i značaja KBC-a Zagreb mora imati sigurno arhiviranje podataka
U određenom broju slučajeva povrat podataka moguć je primjenom tehnoloških mjera i posebnih alata, no na efikasnost ovakvih protumjera nijedan iole odgovoran informatički stručnjak ne može računati.
Ustanova veličine i značaja KBC-a Zagreb mora imati riješeno sigurno, pouzdano i provjereno institucionalno arhiviranje podataka. Naravno, i uz najbolje, ažurne i od napada očuvane sustave povrat podataka tako velikog opsega nije jednostavan. No ipak bi to trebala biti rutinska operacija s očekivanim ishodom, pa bi u tom smislu isticanje "spašavanja datoteke" bilo malo pretjerano. S druge strane, ako su izvedene protumjere kojima su recimo pronađeni ključevi za dekripciju, to bi bio neočekivan uspjeh.
Nadalje, povrat podataka iz arhive i dekripcija operacije su koje zahtijevaju vrijeme. Osim toga, sustave ne možete samo tako restaurirati iz arhive jer ako su hakeri već neko vrijeme bili infiltrirani, lako je moguće da ćete ponovo uspostaviti okruženje u kojem oni mogu vratiti kontrolu nad vašim sustavom i napraviti vam dodatne probleme.
Dakle, paralelno morate pronaći slabosti u svojim sustavima koje su hakeri iskoristili ili eventualno sami ostavili za ponovni ulazak i popraviti ih, pronaći hakerske alate posijane po vašim sustavima i ukloniti ih. Ukratko, morate uspostaviti potpunu kontrolu nad svojim sustavima prije nego što vratite podatke, aplikacije i operativne sustave u ispravno, funkcionalno i nekompromitirano stanje.
Protuhakerska operacija
Ako su podaci ukradeni, hakeri bi ih teoretski sami mogli vratiti, odnosno izbrisati ih sa svojih sustava - što je malo vjerojatno. Moguće je da SOA u tišini organizira plaćanje otkupnine bez obzira na prethodno dane hrabre izjave iz vlade. Također je moguće da SOA organizira protuhakersku operaciju, pronađe hakere i njihovo digitalno skladište i izbriše podatke. S obzirom na to da smo dio obavještajnog "kišobrana" EU i NATO-a, pretpostavimo da bi u ovom slučaju bilo moguće dobiti pomoć i podršku stranih obavještajnih službi, no svejedno se ova opcija čini malo vjerojatna.
Protuhakerska operacija bila bi moguća i u svrhu pronalaženja te "otimanja" ključeva ili alata za dekripciju, ali kako je KBC tvrdio da će sustavi biti operativni već drugi dan nakon napada, a SOA se oglasila tek više dana poslije, ni ovakvo razrješenje nije izgledno.
Uzmemo li u obzir da je prilično očigledno kako je sigurnost informacijskih sustava u KBC-u Zagreb najblaže rečeno vrlo upitna, rezultat je na kraju očekivan.
Najgora i najstrašnija pouka
Pouke ove priče su sljedeće: najprije, komunikacija prema javnosti odrađena je vrlo traljavo, davane su netočne i neprovjerene informacije. Tu su i pitanja stručnosti i terminologije koju koriste odgovorne osobe na temelju koje bi netko zlonamjeran mogao izvesti zaključke o neznanju i nekompetenciji.
Drugi problem je pokušaj prelaska preko svega superiornom, gospodskom (glembajevskom) šutnjom, zaklonjenom iza tajnih "izvida" i "operacija" SOA-e. U toj situaciji jedino nam ostaju spekulacije. Informacijska sigurnost prvenstveno nije tajna i obavještajna, već javna djelatnost. Hakeri koji su vas provalili ionako o vama znaju sve. Informacije jedino možete probati uskratiti građanima, najvećim žrtvama ovog incidenta.
Pored toga informacije uskraćujete svim drugim institucijama, javnim i privatnim, koje također mogu postati žrtve takvog tipa napada. Često imamo apsurdnu situaciju da se o incidentima koji se dogode u privatnim kompanijama zna više i izvlače bolje pouke nego kod incidenata u javnim institucijama, kod kojih je transparentnost (bar nazivno) propisana i očekivana, tim više jer su financirane javnim novcem poreznih obveznika - upravo onih čije podatke u pravilu i obrađuju.
Najgora i najstrašnija pouka je ona o nesigurnosti ključne zdravstvene infrastrukture na kojoj su pohranjeni najosjetljiviji osobni podaci građana - oni o njihovom zdravstvenom stanju. Još gore, ti su podaci izgleda kompromitirani. Bez obzira na sve bondovske priče - jednom kompromitirani podaci zauvijek ostaju kompromitirani.
Potpuna cijepljenost protiv osjećaja dužnosti, odgovornosti, empatije
Možda se može pokušati superiorno, gospodski odšutjeti činjenica da dio najugroženijih pacijenata u najvećoj hrvatskoj zdravstvenoj ustanovi tjednima ne prima potrebnu terapiju, možda se može pokušati odšutjeti kako su kompromitirani najosjetljiviji zdravstveni podaci građana i možda se može građane pozvati da okrenu glavu ako te podatke nađu na internetu, ali to sve možete pokušati napraviti samo ako ste potpuno cijepljeni protiv osjećaja dužnosti, odgovornosti, empatije, pa i elementarne ljudskosti.
Jasno je da je informacijska sigurnost hrvatskih javnih institucija slaba. Tu ima dosta problema, no i objektivni (ili "objektivni") problemi prisutni su tako dugo da više ne mogu služiti kao izlika. Zaštita informacijskih sustava već dugo nema tajni - sve temeljne mjere, sve osnovne procedure, sva ključna pravila poznati su i javno dostupni već desetljećima.
Isto tako dostupni su tehnološka rješenja, znanja i iskustvo. Hrvatska ima kvalificirane i sposobne tvrtke i informatičke stručnjake specijalizirane za sigurnost informacijskih sustava, jedino možda ipak treba pogledati malo dalje od uvijek lako predvidive javne nabave.