rektorat univerze v Mariboru,

Na Univerzi v Mariboru jim je za zdaj uspelo vzpostaviti fiksno telefonijo in internet, zaposlenim je omogočen dostop do Microsoftovih storitev v oblaku.
Foto: Tomaž Klipšteter 

Se je univerza izognila plačilu dvomilijonske odkupnine?

Dva tedna po obsežnem hekerskem napadu je mariborska univerza še vedno informacijsko ohromljena. Očitno pa se ni zgodil najslabši scenarij, po katerem bi hekerji “ugrabili” tudi varnostne kopije na univerzitetnih strežnikih.

06. 11. 2024, 0.00
Tomaž Klipšteter
Deli na Viberu
Deli na WhatsApp

Na Univerzi v Mariboru je ta čas po elektronski poti javno dostopno zgolj splošno obvestilo na spletnem naslovu um.si. »Na Univerzi v Mariboru smo bili 23. oktobra 2024 zvečer žrtev obsežnega kibernetskega napada,« piše. Aktivnosti za vzpostavitev ponovnega delovanja informacijskih storitev intenzivno potekajo, še sporoča univerza. Vzpostavili so fiksno telefonijo in internet, zaposlenim je omogočen dostop do Microsoftovih storitev v oblaku (M365). V prihodnjih dneh bodo vzpostavili sistem elektronske pošte, prav tako bo vsem študentom omogočen dostop do M365.

Zaposleni bodo prejeli zgolj akontacijo oktobrske plače v višini septembrske, razliko naj bi poračunali v prihodnjih mesecih, ko bo spet deloval sistem za obračun plač.

»Vzporedno se izvajajo aktivnosti za vzpostavitev centralnih informacijskih sistemov na podlagi podatkov s 23. oktobra 2024, in sicer za finančni, kadrovski in študentski informacijski sistem (AIPS). Za preostale sisteme se stanje še preverja,« še obvešča univerza in dodaja, da pedagoški proces poteka po urniku. Iz obvestila je mogoče sklepati, da se univerzi ni zgodil najhujši scenarij, po katerem bi hekerji »ugrabili« tudi varnostne kopije. Če so univerzitetni informatiki spoštovali uveljavljena varnostna pravila, jim te sploh ne bi smele biti dostopne.

Spomnimo: v četrtek 24. oktobra so se zaposleni, sodelavci in študenti Univerze v Mariboru zbudili v informacijski mrk. Univerzitetni informacijski sistem je bil že od prejšnjega večera nedostopen, na rektoratu in v 19 članicah niso delovali telefoni in internet, ugasnile so vse informacijske storitve, vključno s tisto, v kateri imajo študenti dostop do ocen in obveznosti.

Kriminalisti so že na delu

Univerza je postala žrtev obsežnega kibernetskega napada. O tem so nemudoma obvestili nacionalni odzivni center SI-CERT, ki univerzi omogoča metodološko podporo pri izvajanju preiskave in ponovni vzpostavitvi informacijskega sistema. O incidentu so obvestili policijo in druge pristojne institucije. »V okviru kriminalistične preiskave smo med drugim pridobili elektronske podatke, ki jih vrednotimo in analiziramo, tako nadaljujemo preiskavo suma storitve kaznivega dejanja napada na informacijski sistem,« sporoča Policijska uprava Maribor.

Dodatnih informacij zaradi interesa preiskave ne moremo podati.

Univerza v Mariboru

Neidentificiranim spletnim kriminalcem je uspelo odkriti kritično varnostno pomanjkljivost, s pomočjo katere so dobili dostop do najbolj občutljivih administratorskih gesel v informacijskem drobovju univerze. Z njihovo pomočjo so nato zagnali zlonamerno programsko kodo (tako imenovani ransomware), ki zašifrira vse dostopne podatke. »Napadalcu je uspelo kriptirati centralne podatkovne oziroma strežniške zmogljivosti in izvesti druge destruktivne aktivnosti,« je s tem v zvezi sporočila univerza.

S kriptografskim ključem za odklepanje storilci praviloma izsiljujejo žrtve za plačilo odkupnine. Če je ne plačajo (transakcija se praviloma izvede s pomočjo kriptovalut), izbrišejo vse, kar je na strežnikih in v oblaku. Podoben napad, a v manjšem obsegu, je lani doživel Holding Slovenske elektrarne.

Dekane seznanili z višino odkupnine

Iz kabineta rektorja Zdravka Kačiča so uradno sporočili javnosti, da univerza ni prejela zahteve po plačilu odkupnine. Po Dnevnikovih informacijah to ne drži več. Na kolegiju dekanov minuli teden naj bi bilo namreč rečeno, da hekerji od univerze terjajo dva milijona evrov odkupnine. V rektoratu te informacije niso niti potrdili niti zanikali, Dnevniku pa so sporočili, da dodatnih informacij zaradi interesa preiskave ne morejo podati. V rektoratu še zagotavljajo, da bodo zaposlenim v roku, to je do 10. novembra, nakazali plače za oktober. Po Dnevnikovih informacijah bodo zaposleni prejeli zgolj akontacijo v višini septembrske plače, razliko naj bi poračunali v prihodnjih mesecih, ko bo spet deloval sistem za obračun plač.

Na kolegiju dekanov minuli teden naj bi bila podana informacija, da hekerji od univerze terjajo dva milijona evrov odkupnine.

Strokovnjake s področja informacijske varnosti so presenetile prvotne neuradne informacije, da je hekerjem uspelo zakodirati tudi varnostne kopije. Če so v Računalniškem centru Univerze v Mariboru (Rcum), ki ga vodi Izidor Golob, in v članicah upoštevali splošno veljavne protokole varovanja podatkov, se tak najbolj črn scenarij ne bi smel zgoditi. V stroki je namreč uveljavljeno tako imenovano pravilo 3-2-1. V skladu s to varnostno strategijo se vedno izdeluje tri varnostne kopije na dveh različnih vrstah medijev, pri čemer je ena kopija shranjena zunaj spletnega mesta. To pomeni, da je na (fizično ločenem) strežniku, ki ni del aktivnega imenika, in do nje hekerji ne morejo dostopati. Obenem se uveljavljajo takšni varnostni sistemi, ki ne dopuščajo naknadnega spreminjanja varnostne kopije. Ta je s tem zaščitena pred morebitnim zlonamernim šifriranjem.

Ali so izvajali temeljno varnostno strategijo?

Na Dnevnikovo vprašanje, ali so na univerzi upoštevali pravilo 3-2-1, so v rektoratu odgovorili, da dodatnih informacij zaradi interesa preiskave ne morejo podati. Iz pojasnila na spletni strani univerze je mogoče sklepati, da vendarle že obnavljajo nekatere podatke z varnostnih kopij z dneva napada. Če jim bo uspelo rešiti vse kritično nujne podatke, bi se univerza bržkone izognila potrebi po plačilu (domnevno dvomilijonske) odkupnine.

Tveganje finančnega udarca s tem še ni odvrnjeno. Inšpekcijski postopek zaradi suma neustreznega zagotavljanja varnosti osebnih podatkov je namreč že sprožil urad informacijske pooblaščenke, ki ga vodi Jelena Virant Burnik. Postopek še poteka, zato podrobnih informacij ne moremo podati, Dnevniku sporoča urad.

Na splošno pojasnjuje, da v primeru kibernetskega napada, v katerem utegne priti do kršitev varnosti osebnih podatkov, to je njihove zaupnosti, celovitosti ali razpoložljivosti, preverjajo način varovanja osebnih podatkov pred napadom in ali so bili vpeljani ustrezni organizacijski in tehnični postopki ter ukrepi, da do napada ne bi prišlo. Univerza bo potemtakem morala dokazati, da je redno testirala učinkovitost varnostnih ukrepov in da je omogočila pravočasen ponovni dostop do osebnih podatkov. Urad bo preverjal tudi to, ali je univerza izdelovala ločene varnostne kopije, ki ob napadu na glavni sistem ne morejo biti ogrožene in omogočajo obnovo podatkov.

Napad na dan Golobovega obiska pri Bidnu

V javnosti so se že pojavila ugibanja, ali so v ozadju napada ruski hekerji, kot indic se je med drugim omenjala okoliščina, da je datum časovno sovpadel z obiskom predsednika vlade Roberta Goloba v Beli hiši. Varnostni pregledi, ki jih na univerzi izvajajo s pooblaščenimi zunanjimi institucijami, naj bi v uporabljeni zlonamerni kodi obenem zaznali sledi, ki naj bi vodile do (razpuščene) hekerske skupine Babuk. Ta je v preteklosti izpeljala več odmevnih hekerskih napadov v ZDA in drugod po svetu.

Univerzo lahko kaznuje informacijska pooblaščenka

Če bo v inšpekcijskem postopku ugotovil kršitve, lahko urad informacijske pooblaščenke odredi izvedbo popravljalnih ukrepov, uvede lahko tudi prekrškovni postopek, v okviru katerega se ugotovljene kršitve sankcionirajo. »Ker dejansko stanje v postopku še ni v celoti razjasnjeno, je v tem trenutku prezgodaj govoriti o morebitnih sankcijah,« sporoča urad. Naj dodamo, da iz določil splošne uredbe o varstvu osebnih podatkov izhaja, da bi najvišja denarna globa znašala dobrih 2,5 milijona evrov. Izrek najvišje možne kazni ni verjeten. 

Informacijska VarnostUniverza V MariboruKibernetski NapadUrad Informacijske PooblaščenkeSi-cert
Priporočamo
×