Poldrugi mesec po kibernetskem napadu na strežnike Holdinga Slovenske elektrarne (HSE) postajajo jasne njegove razsežnosti: napad bo HSE stal najmanj (še) pol milijona evrov. Sredi decembra je HSE prek spletnega portala javnih naročil objavil povabilo petim ponudnikom, ki bodo okrepili in nadgradili varnost njihovih strežnikov. Kot neposredna posledica napada naj bi bil po Dnevnikovih neuradnih informacijah kmalu vzpostavljen tudi skupni varnostnooperacijski center vseh družb državne energetike, prek katerega bodo 24 ur na dan vse dni v tednu spremljali potencialno sumljivo dogajanje na vseh strežnikih vseh energetskih družb v državni lasti.
HSE bo omenjeni posel za nadgradnjo svojega informacijskega sistema sklenil na podlagi neposrednih pogajanj in brez javnega naročila, saj gre za »urgentne storitve in ukrepe zaradi varnostnega incidenta – kibernetskega napada«, so zapisali. Zakon jih v takih primerih odvezuje obveze javnega naročanja. K pogajanjem so povabili državno družbo Telekom, ljubljansko podružnico Microsofta, družbo Unistar LC, ki se ukvarja z izdelavo in vzdrževanjem računalniške opreme in aplikacij, podjetje ADD ter še eno družbo, katere podatki na spletnem portalu niso javno objavljeni. Začetna skupna ocenjena vrednost naročila znaša 498.000 evrov, a v HSE ocenjujejo, da jim bo med pogajanji in pred podpisom pogodbe uspelo znižati končno ceno storitev. Pogodbo bodo sklenili z več izvajalci, predvidoma z vsemi petimi.
Vsak kibernetski napad prinaša velike finančne posledice, tudi v primerih, ko napadalci ne zahtevajo praviloma zelo visoke odkupnine za pridobljene podatke. Zato je na mestu domneva, da se bo omenjeni strošek odprave posledic največjega kibernetskega napada v zgodovini naše države v prihodnjih mesecih še povečal.
»Kibernetski napad, ki se je zgodil 25. novembra 2023 v zgodnjih jutranjih urah (glavni napad, potem ko je 22. novembra prišlo do prve detekcije znakov napada), je povzročil večji kibernetski varnostni incident, ki še traja in je prizadel celoten informacijski sistem skupine HSE. Pomemben del delovanja računalniškega sistema skupine HSE začasno ni bil na voljo. V teku je odpravljanje posledic napada, odstranjevanje vseh sprememb v sistemu, ki so posledica napada, postopno vzpostavljanje delovanja vseh informacijskih sistemov, diagnosticiranje, forenzika dogodka, implementacija sistemov in rešitev za povečanje kibernetske odpornosti in druge aktivnosti, ki so nujne za odstranitev posledic napada in preprečitev ponovnega napada,« so dogajanje v HSE opisali na portalu ter dodali, da za izvedbo vsega tega potrebujejo več namenskih informacijskih nabav in storitev.
Zadnja nadgradnja sistema maja
Pojasnili so nam, da imajo v družbi že vzpostavljen sistem za odkrivanje tovrstnih napadov, ki je zaslužen za hitro zaznavo nedavnega napada in preprečitev večje škode, z omenjenim naročilom pa ga bodo nadgradili. Nadgradnjo so načrtovali že pred napadom, so se pa zaradi vdora odločili, da jo izvedejo nekaj mesecev prej. Po naših neuradnih informacijah so sistem nazadnje posodobili in nadgradili maja lani, torej pol leta pred napadom. Prav varnostna nadgradnja jim je omogočila obvladovanje nedavnega napada; če tega ne bi storili, bi bile lahko posledice še bistveno hujše.
Napadalcem je namreč uspelo vdreti v centralni informacijski sistem družbe; preko tega denimo v HSE upravljajo delovanje svojih elektrarn, zagotavljajo proizvedeno električno energijo državi oziroma z njo trgujejo. Nadzor nad vsemi temi procesi – in kopico drugih – bi lahko po najhujšem možnem scenariju prevzel napadalec. Zahvaljujoč hitri zaznavi nenavadnih aktivnosti na strežnikih – po naših neuradnih informacijah so v družbi postali pozorni, ko so zaznali anonimne prijave v posamezne dele informacijskega sistema, kar je po varnostnih protokolih zaradi zagotavljanja sledljivosti prepovedano in zaposleni to striktno upoštevajo – so izklopili centralni sistem in procese, kjer je to bilo mogoče, nekaj časa upravljali ročno. Kljub temu so bili posamezni deli informacijskega sistema kmalu po napadu povsem nedosegljivi za HSE. Zaradi izklopa sistema še nekaj dni po napadu ni deloval sistem alarmiranja za visoko raven vode, onemogočeno je bilo trgovanje z električno energijo. Mimogrede, HSE je največji domači proizvajalec in prodajalec električne energije. Z elektriko trguje v več kot dvajsetih evropskih državah.
Na vprašanja, kolikšni so bili doslej stroški odprave posledic napada, nam v HSE niso neposredno odgovorili. So pa imeli takoj po napadu nepredvidene stroške z izplačilom nadur, nočnih ur in vikend ur vsem zaposlenim, ki so v 48 urah po zaznanem vdoru urgentno sanirali situacijo. »Stroške, povezane s kibernetskim napadom, še ocenjujemo,« so zapisali v HSE.
Ukradeni osebni podatki
Na spletnem portalu so zapisali, da se lahko v prihodnje izkaže, da so s kibernetskim napadom povezani še drugi trenutno nepoznani dogodki ali okoliščine, ki jih še raziskujejo, kar bi lahko zahtevalo dodatne aktivnosti za zaščito informacijskega okolja skupine HSE.
Doslej se je že izkazalo, da je napadalcu uspelo pridobiti osebne podatke nekaterih zaposlenih v hčerinskih družbah Premogovniku Velenje in RGP. Te je skušal prodati na temnem spletu. Na HSE so zavrnili špekulacije, da naj bi šlo za občutljive podatke družbe. Jasno pa je, da gre za osebne podatke zaposlenih, med drugim tudi morebitne številke osebnih izkaznic ali davčne številke. »Po doslej zbranih informacijah se ukradeni in objavljeni podatki nanašajo na skupino Premogovnik Velenje in družbo RGP za obdobje, ko je bila ta še del skupine Premogovnik Velenje,« so zapisali proti koncu decembra in potrdili, da »obstajajo indici, da so bili razkriti tudi nekateri osebni podatki oseb, ki so se nahajali na strežnikih skupine Premogovnik Velenje in se nanašajo na nekatere zaposlene iz družb Premogovnik Velenje in RGP«. V omenjenih družbah so o tem takoj obvestili zaposlene, katerih podatki so bili razkriti, in jim zagotovili pravno in drugo pomoč. Tedaj v HSE še niso razpolagali z indici, da bi bili objavljeni osebni ali poslovni podatki katere od preostalih družb skupine.
