• Domov
  • Kaj stori občina v primeru kibernetskega napada

Na SOS se je 11.05.2020 obrnila občina članica, ki je doživela kibernetski napad. Ob prihodu na delovno mesto so uslužbenci imeli vso vsebino na vseh računalnikih zakriptirano.

Za pomoč se je SOS obrnil na Ministrstvo za javno upravo in prejeli smo informacije, na podlagi katerih na kratko povzemamo, kaj je potrebno v takšnem primeru narediti:

Občina kibernetski incident priglasi:

  1. nacionalnemu odzivnemu centru SI-CERT (pošljite prijavo z elektronskim sporočilom na naslov cert@cert.si)
  2. če je občina v omrežju HKOM  je dolžna poročati tudi na MJU oz. SIGOV-CERT
  3. svojemu pooblaščenemu DPO oz. Informacijski pooblaščenki
  4. Policiji

Kaj narediti s tehnologijo:

  1. fizični odklop vse mrežne opreme z omrežja (strežnikov, usmerjevalnikov, omrežnih stikal) in vseh delovnih postaj (računalnikov, prenosnikov, tablic),
  2. analiza virusa – poklicati varnostne strokovnjake (SOC); na podlagi rezultatov analize priprava ustreznega orodja za kontrolo,
  3. potem je priporočljivo popolno brisanje vseh diskov (formatiranje oz. »wipe«); če so na diskih pomembni podatki, ki jih v občini nočete izgubiti, pred brisanjem preverite:
    1. ali je računalnik sploh okužen — to naredite z orodjem, ugotovljenim v točki 2; če ni suma na okužbo, brisanje ni potrebno; in
    2. preverite ali imate (čisto – neokuženo) varnostno kopijo podatkov. V primeru, da varnostne kopije nimate, sistema ne formatirajte, temveč pustite odklopljenega, za potencialno reševanje kritičnih podatkov.
  4. postavitev operacijskega sistema na računalnikih, kjer je bil narejen popoln izbris vseh podatkov in operacijskega sistema (formatiranje diska oz. wipe)
  5. namestitev protivirusnega programa (End Point Security, oz. EPS), ki spremlja aktivnost v realnem času, na vse naprave (računalnike, prenosnike, tablice)
  6. šele nato nalaganje varnostnih kopij v »čisto« Backup napravo/računalnik pred namestitvijo obvezno preverite, ali ni okužen z orodjem iz 2. Dodatno preverite povrnjene podatke ko se naredi restore, saj se lahko virus skriva v backupu; to bo delno opravil že nameščeni protivirusni program iz točke 5.

Kdo lahko pomaga:

Občine priglašajo kibernetske incidente nacionalnemu SI-CERT-u, ki jim pri tem svetuje in pomaga, skrbi tudi za ozaveščanje in izobraževanje glede kibernetske varnosti na nacionalni ravni. Pomagajo lahko tudi izkušena podjetja kot so SIQ, S&T, NIL…, ki v hitrem času postavijo sistem v optimalno stanje.

Pravne podlage:

Po Uredbi o informacijski varnosti v državni upravi (slednja je na podlagi 74.a člena Zakona o državni upravi) so organi državne uprave dolžni poročati o določenih informacijskih incidentih MJU-ju (praktično to pomeni našemu SIGOV-CERT-u), hkrati so to dolžni tudi vsi drugi subjekti, uredba jih imenuje “povezani subjekti”, ki niso organi državne uprave, so pa povezani v državno HKOM omrežje. Vsi taki povezani subjekti bi nam morali po tej uredbi posredovati tudi podatke o kontaktnih osebah za področje informacijske varnosti. Uredba vsebuje tudi določene obveznosti in naloge ne samo za organe državne uprave, temveč tudi za povezane subjekte, uresničevanje tega pa lahko nadzirajo pristojne inšpekcije.

SI-CERT (https://www.cert.si) predstavlja slovenski nacionalni odzivni center za kibernetske incidente,

SIGOV-CERT (https://www.gov.si/teme/informacijska-varnost) je odzivni center za incidente informacijske varnosti v državni upravi.