Во нормална држава со институции кои ги следат протоколите за хакерски напади и заштита по нападот врз ИТ-системот на Фондот за Здравство на Република Македонија тој ќе беше вратен во функција за 15, смета
Роберт Милевски, инженер по Информатика од еден од најдобрите институти за Информатика во Германија и светот, со специјализација во софтверско инженерство и криптографија.
Милески кој 19 години работи на релација Германија-Македонија е сопственик на компанија за софтвер со вработени од повеќе држави. Работи исклучиво на пазарот за софтвер во германското говорно подрачје, односно Германија, Австрија, Швајцарија и Лихтенштајн.
Во кратко интервју за Клан ТВ Милески објаснува детали за скандалот во ФЗО:
1.Каков напад (вирус/навлегување) препознавате во случајот ФЗО во Македонија и дали начинот на кој се постапува за да се врати системот во функција, барем според достапните информации, сметате дека е соодветен?
Специфичен напад без да се испита интерниот информациски систем во ФЗО не може никој да дефинира. Тоа како информација може да се добие само од лицата кои имаат пристап до самиот систем и други официјални лица. Во медиумите се спомна дека се работи за тип на вирус наречен Ransomware и засега немам причина да се сомневам дека не е така. Тоа е вирус кој што функционира на таков начин што криптира голем број датотеки низ самиот информациски систем со посебен криптографски клуч, а пософистицираните можат да криптираат и цел хард диск, а потоа остава датотека со упатство каде и како треба да се уплати одредена сума на пари, за хакерите да го дадат клучот со кој системот е криптиран. Затоа и се нарекува Ransom, односно изнуда. Без овој клуч практично е невозможно да се пристапи до податоците.
За начинот на кој се постапува за да се врати системот во функција не можам да кажам ништо, бидејќи во јавноста нема информација како стручно се постапува, а циркулираат само оскудни информации.
Како би се постапило во средината во која работите?
Прво не верувам дека ransomware би пенетрирал толку длабоко во критичната инфраструктура, но во секој случај системот преку секундарната бекап локација би бил вратен во функција за 15 минути. И самиот ФЗО на РМ располага со секундарна бекап локација, но од нејасни причини таа не е во функција. Доколку беше, тогаш и тие за 15 минути ќе го вратеа системот во функција. Зошто оваа локација не функционира е друг проблем. Тоа ја покажува несериозноста, непрофесионалниот и аматерски пристап кон еден ваков критичен, сложен и важен информациски систем за функционирање на самата држава. Искрено се плашам дека и многу други институции се однесуваат на истиот начин.
2.Во вашите прашања до директорката на ФЗУ сугерирате дека се работи за човечка грешка, односно тврдите дека вирусот задолжително навлегол преку акаунт на некој од администраторите?
Да, нема друг начин. Вирусот е навлезен во критичните делови на самиот информациски систем, односно до серверите кои ги опслужуваат апликациите и базите на податоци, а во тие делови на системот пристап може да има само администратор на системот, никој друг.
Најверојатно се работи за човечка грешка, односно некој од администраторите стартувал извршна датотека со администраторски привилегии. И тогаш се случува хаос.
Да се случеше вакво нешто таму каде што работите кои мерки ќе се преземеа?
Народски кажано – “ќе летаа глави”, односно ќе имаше голем број откази, посебно од одговорните лица. Сигурно ќе имаше ревизија за да се согледаат грешките и од нив да се научи.
Токму затоа и предложив Владата да формира независна комисија која би дала одговори на многу прашања околу нападот на системот на ФЗО, а од друга страна ќе биде корисна лекција за другите институции на што треба да обрнат внимание за да се заштитат во иднина.
3. Отворено се сомневате и во одговорот дека „базите на податоци не биле нападнати“. Зошто?
Затоа што недостигаат податоци за 3 дена, односно од 5 февруари 2023 до 8 февруари 2023. Каде “исчезнаа” овие податоци ако базите и нивниот локален бекап не биле нападнати?
4. Како се штитат слични институции од хакерски напади, во западно европските земји? Колку често ИТ инженерите терба да се дообучуваат за да бидат во чекор?
Администрирање на големи информациски системи како тој на ФЗО е многу сериозна и одговорна работа. Токму затоа овие системи се означени како критична државна инфраструктура. Најосновна заштита од вакви напади е добра поставеност на инфраструктурата, односно секундарни и терцијарни бекап локации или познати како Site Recovery локации. Постојат уште мал милион техники кои мора да бидат имплементирани, но заради временско ограничување не сакам да навлегувам подлабоко во начините за заштита.
Обука на самите администратори најмалку на двомесечно ниво, пратење на најновите технологии, и многу читање за заштита и одржување на големи информациски системи.
Целата дебата на овој линк
