napadi "od zunaj"

Kako (ne)zaščitena je Slovenija?

J.P.
6. 12. 2022, 20.52
Posodobljeno: 6. 12. 2022, 22.51
Deli članek:

Kibernetsko obrambo razumemo kot celoto ukrepov in dejavnosti države, s katerimi se odvrača, onemogoča, preprečuje ali odbija kibernetske napade.

Profimedia
URSIV koordinira delovanje sistema informacijske varnosti in razvija zmogljivosti za izvajanje kibernetske obrambe.

Spletna stran Evropskega parlamenta je pred kratkim bila tarča hekerskega napada. Ta se je zgodil kmalu po tem, ko so evroposlanci podprli resolucijo, s katero so Rusijo zaradi njene vojne v Ukrajini označili za državo, ki sponzorira terorizem in uporablja teroristična sredstva.

Resolucija, ki sicer ni pravno zavezujoča, je bila sprejeta s 494 glasovi za, medtem ko je 58 poslancev glasovalo proti, 44 pa je bilo vzdržanih.

»Evropski parlament je pod sofisticiranim napadom. Prokremeljska skupina je prevzela odgovornost,« je takrat zapisala predsednica parlamenta Roberta Metsola. Tiskovni predstavnik parlamenta Jaume Duch pa je dodal, da je šlo za napade za porazdeljeno zavrnitev storitve (DDoS), v katerih z izjemno povečanim številom hkratnih dostopov ohromijo delovanje storitev.

Nedolgo za hekerskim napadom je Urad Vlade Republike Slovenije za informacijsko varnost (URSIV) na spletišču vlade objavila obvestilo z naslovom Politika EU o kibernetski obrambi, kot sta ga začrtala Evropska komisija in visoki predstavnik Evropske unije za zunanje zadeve in varnostno politiko.

Dva nedavna napada

Septembra za bila tarča hekerskega napada ministrstvo za obrambo in policija. Kibernetski incident so uspeli po hitrem postopku zamejiti, pri tem pa ni bil prizadet noben od kritičnih sistemov, prav tako ni nastala škoda. Pred tem je bil tarča hekerskega napada tudi informacijski sistem Uprave RS za zaščito in reševanje, ko se je zrušila spletna aplikacija Spin.

Obstoječa in prihajajoča zakonodaja

V skladu z Zakonom o informacijski varnosti kibernetsko obrambo razumemo kot celoto ukrepov in dejavnosti države, s katerimi se odvrača, onemogoča, preprečuje ali odbija kibernetske napade v informacijskem okolju.

Evropska unija (EU) si prizadeva za povečanje kibernetske varnosti na različnih področjih, in sicer spodbuja kibernetsko odpornost, se bori proti kibernetski kriminaliteti in krepi kibernetsko robustnost in obrambo. Krovni dokument na področju Evropske unije za zagotavljanje kibernetske varnosti je Direktiva (EU) 2016/1148 Evropskega parlamenta in Sveta z dne 6. julija 2016 o ukrepih za visoko skupno raven varnosti omrežij in informacijskih sistemov v Uniji (Direktiva NIS), »prav tako pa je bila pravkar sprejeta nova direktiva, ki bo v slovenski pravni red prenesena do jeseni 2024 – Direktiva za visoko skupno raven kibernetske varnosti v Uniji (tako imenovana Direktiva NIS2)«, so pojasnili na URSIV in dodali, da je z vidika zagotavljanja fizične varnosti kritične infrastrukture »Direktiva o odpornosti kritičnih subjektov (CER), ki bo pravkar sprejeta in pomembno nadgrajuje prejšnji zakonodaji okvir«.

Z vidika nove prihajajoče zakonodaje je pomemben tudi Predlog uredbe Evropskega parlamenta in Sveta o horizontalnih zahtevah glede kibernetske varnosti za izdelke z digitalnimi elementi in spremembi Uredbe (EU) 2019/1020 - 12429/22, izpostavijo. »Ta predlog določa zahteve, ki se bodo uporabljale za proizvajalce programske in strojne opreme in bo spodbujal zaupanje v izdelke z digitalnimi elementi. S predlogom se bo čim bolj zmanjšalo regulativno breme, ki je proizvajalcem naloženo zaradi več aktov o varnosti izdelkov. Uskladitev z novim zakonodajnim okvirom pomeni boljše delovanje in izvrševanje posredovanja,« še pojasnijo.

Ta predlog zagotavlja ustrezno delovanje odprtega in konkurenčnega enotnega trga izdelkov z digitalnimi elementi, in sicer »z zasledovanjem dveh glavnih oziroma splošnih ciljev: da se ustvari pogoje za razvoj varnih izdelkov z digitalnimi elementi z zagotavljanjem, da se na trg dajejo izdelki strojne in programske opreme z manj ranljivostmi in da proizvajalci v celotnem življenjskem ciklu izdelka resno obravnavajo vprašanje varnosti, ter da se ustvari pogoje, ki uporabnikom omogočajo upoštevanje kibernetske varnosti pri izbiri in uporabi izdelkov z digitalnimi elementi. S tem se bo povečalo zaupanje med uporabniki in privlačnost izdelkov z digitalnimi elementi iz EU. To bo tudi koristilo notranjemu trgu, saj bo zagotavljalo pravno varnost in enake konkurenčne pogoje za prodajalce izdelkov z digitalnimi elementi«.

Zakonodaja bo v veljavo najverjetneje stopila leta 2026.

Ob tem izpostavijo še »certifikacijsko shemo, ki bo omogočila, da se za izdelke, storitve in procese informacijsko-komunikacijske tehnologije zagotovijo visoki standardi kibernetske varnosti«, ki ga skupaj z državami članicami Evropske unije razvija Agencija EU za kibernetsko varnost (ENISA). »Okvir bo zagotovil celovit sklop pravil, tehničnih zahtev, standardov in postopkov,« so pristavili na URSIV.

Tudi diplomatski odziv

Omenjena agencija ENISA državam članicam, institucijam Evropske unije in drugim deležnikom pomaga v boju proti kibernetskim napadom z različnimi vajami, projekti, programi, delovnimi skupinami, analizami in podobnim.

Evropska unija svoje državljane in infrastrukturo pred kibernetskimi grožnjami iz tretjih držav ščiti tudi s skupnim diplomatskim odzivom, »poimenovanim Zbirka orodij za kibernetsko diplomacijo«. Ta odziv vključuje diplomatsko sodelovanje in dialog, preventivne ukrepe proti kibernetskim napadom in sankcije.

»Zbirko orodij je EU sprejela tudi za zagotavljanje varnosti 5G omrežij januarja 2020,« še dodajo na URSIV.

Varnostno okolje po začetku vojne v Ukrajini

»V dobavni verigi polprevodnikov obstaja več kot 60 točk, kjer obstaja zgolj en svetovni ponudnik te storitve, naprave ali dobrine.«

Poročila agencije ENISA kažejo, da se je po invaziji Rusije na Ukrajino statistično značilno povečalo število kibernetskih zlonamernih aktivnosti, ki se raztezajo od spletnega izsiljevanja posameznikov, do poizkusov vdorov v institucije in nosilcev visokih političnih funkcij.

V na začetku omenjenem poročilu je mogoče prebrati, da je treba »okrepiti usklajevanje in sodelovanje med civilno in vojaško kibernetsko skupnostjo«. Kaj to pomeni v praksi?

»Pristojni nacionalni organ za informacijsko varnost je URSIV, ki koordinira delovanje sistema informacijske varnosti in razvija zmogljivosti za izvajanje kibernetske obrambe. Po 24. členu Zakona o informacijski varnosti, kibernetsko obrambo usklajujejo in izvajajo pristojni nacionalni organ, nacionalni CSIRT in CSIRT organov državne uprave ter ministrstvo, pristojno za obrambo, policija, Slovenska obveščevalno-varnostna in drugi nacionalni organi skladno s svojimi pristojnostmi pri zagotavljanju nacionalne varnosti. URSIV v ta namen vodi redno in stalno koordinacijo z vsemi deležniki tako na operativnem kot strateškem nivoju,« so pojasnili.

Kaj konkretno pa pomenijo naložbe v kibernetsko obrambo, omenjeni objavi?

»Pristojni nacionalni organ za informacijsko varnost je Urad Vlade Republike Slovenije za informacijsko varnost (URSIV), ki koordinira delovanje sistema informacijske varnosti in razvija zmogljivosti za izvajanje kibernetske obrambe. Po 24. členu Zakona o informacijski varnosti, kibernetsko obrambo usklajujejo in izvajajo pristojni nacionalni organ, nacionalni CSIRT in CSIRT organov državne uprave ter ministrstvo, pristojno za obrambo, policija, Slovenska obveščevalno-varnostna in drugi nacionalni organi skladno s svojimi pristojnostmi pri zagotavljanju nacionalne varnosti. URSIV v ta namen vodi redno in stalno koordinacijo z vsemi deležniki tako na operativnem kot strateškem nivoju.«

Kakšna je vizija sodelovanja med civilno in vojaško kibernetsko skupnostjo?

»URSIV želi povečati izmenjavo informacij in sodelovanja znotraj državnih institucij, prav tako pa enako želimo doseči med državo, privatnimi entitetami in posamezniki.«

Kaj pa pomeni »zmanjšati strateške odvisnosti v kritičnih kibernetskih tehnologijah«?

»V dobavni verigi polprevodnikov obstaja več kot 60 točk, kjer obstaja zgolj en svetovni ponudnik te storitve, naprave ali dobrine.«

Obrambna tehnološka industrijska baza

V objavi je omenjena tudi Evropska obrambna tehnološka industrijska baza. Kot pojasnijo na URSIV, je bil »z namenom razvoja inovativne, učinkovite in zmogljive evropske obrambne tehnološko-industrijske baze je bil 2017 ustanovljen Evropski obrambni sklad«. 

Ta bo do leta 2027 (so)financiral številne projekte podjetij in raziskovalnih organizacij v skupni vrednosti osmih milijard evrov. S sofinanciranjem je začel leta 2021.

»Spodbuja skupne raziskave in razvoj ter posledično zmanjševanje razdrobljenosti evropskih vojaških sistemov. Tretjina zneska bo namenjena raziskavam, dve tretjini pa razvoju na področju obrambe. Pristojni organ zanj pa je v Sloveniji Ministrstvo za obrambo,« so nam pojasnili na URSIV.

V obvestilu z naslovom Politika EU o kibernetski obrambi je mogoče zaslediti tudi, da se lahko celo nekritične komponente programske opreme uporabljajo za izvajanje kibernetskih napadov. Kaj konkretno to pomeni? »Vsak element vsake naprave se lahko zlorabi in služi izkoriščanju naše nepazljivosti s strani zlonamerne entitete.«

Države ohranjajo pristojnosti

Vprašanje, kako se Evropska unija po zmogljivosti kibernetske obrambe primerja z Združenimi državami Amerike, Rusijo in Kitajsko, se je izkazalo za naivno.

So pa na URSIV izpostavili, da »Evropska unija vsekakor velja za globalni zgled na področju regulative kibernetske varnosti, saj se druge države in regije zgledujejo po NIS direktivi. Slovenija kljub svoji majhnosti prispeva k kibernetsko bolj varni Evropi kot članica EU. Slovenija je na področju kibernetske obrambe kot članica Severnoatlantskega zavezništva pristopila k zavezi Cyber Defence Pledge in se tako zavezala k aktivnemu sodelovanj na področju kibernetske obrambe. Uspešno sodelujemo z NATO centrom odličnosti na področju kibernetske obrambe (CCDCOE)«.

Temu so za konec dodali, da je Evropska unija »z ustrezno umestitvijo in zagotovitvijo sredstev za ENISO storila pomemben korak. Ob tem moramo upoštevati, da je Evropska unija sestavljena iz držav, ki ohranjajo pristojnosti na področju nacionalne varnosti. Med slednje pada tudi del kibernetske varnosti«.