Hakeri zaključali IZIS i poslali poruku Fondu za „bezbolno“ rješenje
03.01.2024. / 16:20
-
Vaši podaci su izvađeni i uskoro će biti javno objavljeni, piše u poruci
-
Hakeri najavili da će tražiti novčanu naknadu
BANJALUKA – Hakeri koji su prije tri dana upali i zaključali podatke u Integrisanom zdravstvenom informacionom sistemu IZIS, ostavili su poruku nadležnima da im se jave ako žele da “bezbolno” riješe problem.
FOTO: Ilustracija
Kako se navodi u poruci koja je ostavljena na serveru IZIS-a, svi podaci iz sistema su izvađeni i uskoro će biti objavljeni, a svako intervenisanje bi ih moglo uništiti ili učiniti proces dešifrovanja nepotrebno bolnim.
“Zdravo. Prvo, vaši podaci su izvađeni i uskoro će biti javno objavljeni. Drugo, ovo je važno, ne petljajte se sa vašim kriptovanim fajlovima: nemojte pokušavati da ih pokrećete, otvarate, uređujete, dešifrujete, konvertujete, formatirate ili popravljate. Uništićete ih i učiniti proces dešifrovanja nepotrebno bolnim. Još jedna napomena: nema svrhe uključivati treće strane, posrednici vam ne mogu pomoći, ali će stvari učiniti skupljim. Molimo vas da nas kontaktirate“, navodi se između ostalog u ovoj poruci.
Jedan od prvih ljudi kompanije “MMSCode” Slavko Bojić kaže da se radi o hakerskom napadu na sistem koji je zaključao određeni broj servera, a oni koji su to učinili najavili su da će tražiti novčanu naknadu da bi ih otključali. Bojić tvrdi da hakeri nisu uspjeli doći do podataka pacijenata, te da su odlučili da reinstaliraju kompletan sistem.
Šta je „ransomware“ napad?
Ucjenjivački softver ili „ransomvare“ je vrsta štetnog softvera koji ograničava pristup računarskom sistemu ili pohranjenim podacima i traži otkupninu od žrtve.
Neke vrste “ransomvarea” mogu da blokiraju računar tako da se pojavi ucjenjivačka poruka koju korisnik ne može da makne bez plaćanja otkupnine. Druge vrste mogu da šifruju datoteke.
“Ransomware” napad sastoji od tri osnovna koraka a to su: infekcija i spoznaja sistema, enkriptovanje podataka i zahtjev za otkup.
Obrazac ponašanja svakog “ransomware-a” podrazumijeva jednu ili više datoteka (koje su zapravo skripte – softveri) koje mjenjaju sadržaj druge, tj. enkriptuju drugu datoteku. Hakeri obično naprave mamac “ransomware” softvera kojeg zaključa “antimalware”, a onda drugim izvrše napad.
“Nisu uspjeli da dođu do baze podataka, ali su zaključali komunikacioni dio. Kada smo ustanovili da je posrijedi napad, mi smo sistem isključili. Svi podaci su sačuvani zaključno sa 31. 12. 2023. godine u 12:20 časova”, tvrdi Bojić.
Tvrdi da je sistem maksimalno zaštićen, a da je haker ušao preko jednog od preko 10.500 uvezanih računara.
Problem u zaštiti serverske infrastrukture a ne u zaštiti softvera
“Ovdje nije mogao da djeluje nikakav antivirus, jer se ne radi o virusu. U pitanju je visoko sofisticirani metod koji koristi nečiji računar za napad”, kaže Bojić.
Dodaje da se radi sada na reinstalaciji, provjeri i prečišćavanju sistema i da se očekuje da će kroz dan ili dva sve biti spremno za rad.
Stručnjak za sajber bezbjednost Branko Petrović kaže za CAPITAL da se, prema njegovom ličnom mišljenju i dostupnim informacijama, ovdje radi o zaključavanju datoteka koje sadrže određene podatke, te da su zlonamjerni hakeri zapravo imali pristup serveru na kom je hostovan IZIS.
“Ako je tačna informacija da je ova poruka ostavljena u vidu datoteke na serveru, to znači da su zlonamjerni hakeri imali pristup serveru, što dalje implicira da je ovde prvenstveno problem u zaštiti serverske infrastrukture, a ne u zaštiti softvera. “Ransomware” napad ima tri koraka, infekciju i spoznaju sistema, enkriptovanje podataka i zahtjev za otkup. Svaki korak zahtijeva posebnu pripremu, od pristupa sistemu, preko analize, planiranja, čitanja podataka i ubacivanja “ransomware” skripte, do ekriptovanja podataka i zahtjeva za otkup“, objašnjava Petrović i dodaje da nema apsolutne bezbjednosti i da su mnogo bezbjedniji sistemi bili hakovani u prošlosti.
Ministarstvo unutrašnjih poslova RS ranije je saopštilo da se radi o “ransomware” napadu čiji je krajnji cilj iznuda.
“Policijska uprava Banjaluka i Jedinica za visokotehnološki kriminalitet Uprave kriminalističke policije Ministarstva unutrašnjih poslova su utvrdili da se radi o “ransomware” napadu“, saopšteno je iz MUP-a.
FZO hvali IZIS
U Fondu zdravstvenog osiguranja RS kažu da se intenzivno radi na ponovnom uspostavljanju IZIS-a koji je bio meta visokosofisticiranog napada napredne međunarodne hakerske grupe.
“Upravo su pravovremena i adekvatna reakcija nadležnih za IZIS, te visoki standardi sigurnosti koji su postavljeni u ovom sistemu, bili ključni da se spriječi veća šteta koja je mogla da prouzrokuje nesagledive posljedice za IZIS, a samim tim i kompletan zdravstveni sistem Srpske“, rekli su u FZO.
Iz Sindikata zdravstva i socijalne zaštite RS pozvali su nadležne da se što prije osposobi ovaj sistem i omogući zdravstvena zaštita hiljadama pacijenata koji je sada ne mogu ostvariti.
Predsjednik ovog sindikata Nikola Crnčević kaže da se moraju upotrijebiti sva sredstva da bi se pomoglo pacijentima i olakšalo zdravstvenim radnicima.
“Zaposleni u zdravstvenom sistemu RS nisu ničim doprinijeli da padne IZIS sistem, ni tome što pacijenti ne mogu da riješe svoje ozbiljne probleme, a to radnike dovodi u vrlo neprijatne situacije, čak dramatične. Moramo da zaštitimo pacijente, kao i radnike u zdravstvu. Svi su imali problema, vidjeli smo mnogo nezadovoljnih pacijenta na terenu, a onda je to dovodilo do niza lančanih reakcija zbog kojih se trpi veliki pritisak”, kaže Crnčević.
Glavobolja sa IZIS-om od prvog dana
Iako je Republika Srpska u Integrisani zdravstveni informacioni “skršila” skoro 26 miliona maraka i obećavala besprijekorno, brzo i lako funkcionisanje, više od godinu dana od implementacije, on nije ni proradio ni uvezao sve zdravstvene ustanove.
Od prvog dana korišćenja novog sistema pojavili su se problemi, ljekari su se više puta žalili da im IZIS zadaje glavobolje i usporava rad, a CAPITAL je ranije u više navrata pisao da je doktoru opšte prakse potreban čak 81 klik da bi pacijentu izdao recept za lijek, uputnicu, ili zakazao “magnet” ili CT. Ovo sve, ako bi sistem, koji sad ni ne radi, sve te klikove prihvatio i obradio zadate informacije.
CAPITAL: Andrijana Pisarević
Tagovi: IZISMMSCODEransomwarerepublika srpska
Povezane vijesti
Komentari
Molimo Vas da pročitate sledeća pravila pre komentarisanja:
Komentari koji sadrže uvrede, nepristojan govor, prijetnje, rasističke ili šovinističke poruke neće biti objavljeni. Nije dozvoljeno lažno predstavljanje, ostavljanje lažnih podataka u poljima za slanje komentara. Molimo Vas da se u pisanju komentara pridržavate pravopisnih pravila. Komentare pisane isključivo velikim slovima nećemo objavljivati. Zadržavamo pravo izbora i skraćivanja komentara koji će biti objavljeni. Mišljenja sadržana u komentarima ne predstavljaju stavove poslovnog portala CAPITAL.ba. Komentare koji se odnose na uređivačku politiku možete poslati na adresu [email protected]
Šta god da se desilo, samo jedno je sigurno: cijena održavanja će da skoči nekoliko puta. Do sljedećeg zajeba, pa tako u krug.
Ransomware je aktuelan već neko vrijeme. Sve ozbiljne firme i pojedinci sa većim bazama prave bachup-e na dnevnom nivou.
Sreća pa imamo stručnjake za bezbjednost koji se obično jave tek nakon što se nešto desi i mlate praznu slamu! Pozovite stručnjake sa ETFa a ne priučene “stručnjake” :-/
eh ti sa ETFa poput onog Blanuse nam bas trebaju, manite se teorije radite sta prakticko
A baš su ovi sa ETF-a stručnjaci!
Dekan ETF-a Zoran Đurić jeste stručnjak, i to upravo za bezbjednost.
Mnogo bolji od drugih jeste, ali da je stručnjak za sigurnost u praksi, to sumnjam. Previše je u biznisu i marketingu. Svaki čas potpisuje ugovore o saradnji sa ovima i onima.
Potpisujem
Ne misli čovjek na ljude koji rade na ETFu mada sam siguran da i tu ima jako stručnog kadra, nego na osobe koje su obrazovane i koje godinama rade u realnom sektoru kao sto je cyber security i slično.A ne na stručnjake is MMS koda i ostalih koji su završili fakultet ko zna gdje i kako ili još gore pohadjali kurs u trajanju od par mjeseci pa sebe nazivaju stručnjacima.Zna se ko su stručnjaci, to jest nekad se znalo!
Mogu angažovati vrhunske svjetske stručnjake, ali to se ne radi da neko nešto podesi i ode kući, a sistem ostane siguran. Bez aktivnog monitoringa mreže i servera sve je džaba, a to uključuje softver za monitoring (Grafana, Dynatrace, SolarWinds…) i stručan tim koji će da prati i reaguje na alerte 24/7. Bez toga je sve prdež u prašinu.
Preko Solar Windsa su hakeri godinu dana harali po Americi i sasvim slučajno su otkriveni. Još se ne zna šta su sve odnijeli.
Poenta nije u 24/7 monitoringu, mada neki monitoring mora postojati. Poenta je u dobro podešenom sistemu od ljudi koji znaju šta rade, nema veze imaju li faks ili ne. A na samoj lokaciji treba imati stalno zaposlene dobro obučene ljudi koji prate šta se dešava, a ne da samo čekaju hoće li doći neko iz eksterne firme, a oni će na kongrese, seminare etc koje im plaća ta firma za saradnju.
Čitav sistem vrijednosti je naopako postavljen. Niko neće da radi “in-house” riješenja i svi čekaju pobjednika tendera da uradi njhov posao.
Rezultat je ovo što imamo sada. I bit će još gore. Uvale li se na servere ERS-a i preuzmu SCAD-e nadrljali smo.
Znači, taj “štetni” softver nije virus. I niko nije primjetio drastično zagušenje sistema dok je virus koji nije virus kriptovao podatke. Možda je to radio magijom, a ne procesorskom snagom. Sva sreća, pa je napadnuta softverska infrastruktura, a ne softver. Oooo, Bože, sačuvaj nas od stručnjaka…
Ne znam da li su gori stručnjaci iz MMSCode ili stručnjaci koji komentarišu problem.
Ništa novo ni neobično. Imao sam u praksi sličan slučaj, ali je bio u pitanju mali hotel sa serverom i desetak računara. Virus je ušao preko mejla na jedan od klijentskih računara (Windows XP) i sve bi se završilo na par zaraženih klijenata da nije bilo glupavih programera koji su im radili softver. Da se neko ne uvrijedi, nisu svi programeri glupavi, ali ovi definitivno jesu bili. Da bi im bilo lakše raditi update softvera oni su ga smjestili u dijeljeni folder na serveru odakle su ga klijenti pokretali. Svakom klijentu su dali administratorske šifre servera radi lakšeg pristupa šeranom folderu. I naravno da se desilo to što se desilo. Čitav server na kojem je bio SQL server je bio zaražen. Džabe im je bio RAID-5 koji su imali i MS Server 20xx.
Klijent može uvijek da pogriješi otvarajući zlonamjeran atačment, ali ne smije biti uzrok zaraze servera. U konkretnom slučaju su imali bekap od prije nedelju dana pa smo za par dana sve vratili u normalu.
Ne kažem da se ovo desilo IZIS-u, ali mi na to liči. Programeri često idu linijom manjeg otpora i ne razmišljaju o posljedicama. Zato su tu trebali biti administratori sistema kojima je bezbjednost sistema posao za koji primaju dobru platu.
Bilo bi dobro pre upotrebe jezika ukljuciti mozak!
“Ovdje nije mogao da djeluje nikakav antivirus, jer se ne radi o virusu. U pitanju je visoko sofisticirani metod koji koristi nečiji računar za napad”, kaže Bojić.”
Haker koji koristi proxy ili VPN. Visoko sofisticirano, nema šta. Samo je režimskim IT stručnjacima ovo visoko sofisticiran napad. Šta bi isti rekli da je virus u pitanju, a ne kombinacija skrivanja izvorne ip adrese i razbijanja pristupnih kodova? Eto im sad, da nisu pod američkim sankcijama, mogli su angažovati nekog iz SAD-a, da se bori i izbori sa ovom cyber prijetnjom i još pritom da nađe odakle izvorno dolazi ovaj cyber napad.
Zanimljivo kako niko da navede primjere iz svijeta, gdje je sigurno zaštita bila na vrhunskom nivou. Ajmo ovako, TSMC, Boeing, MGM Resorts, Western Digital, grad Dalas… Nesporno da kod nas nije zaštita na odgovarajućem nivou ali se takođe zaboravlja da svaki sistem ima svoje greške i mane, jer ga je pravio čovjek.
Porediš firme i institucije koje su decenijama online i sa jakim internet saobraćajem, sa sajtom koji pada odmah nakon puštanja u rad