Neočekivani sajber napad na KBC Zagreb
KBC Zagreb, najveći klinički bolnički centar u Hrvatskoj, doživio je sajber napad na svoj informacioni sistem rano ujutru 27. juna 2024. godine. Napad je primorao bolnicu da ugasi sve sisteme radi dodatnih provjera i osigura njihovu bezbjednost pre nego što ih vrati na mrežu. Ovaj incident nije uticao na pacijente KBC Zagreb, jer su neki prebačeni u druge zagrebačke bolnice kako bi se ublažio pritisak na pogođenu ustanovu.
KBC ZAGREB SAJBER NAPAD
KBC Zagreb se našao u centru značajnog sajber napada koji je ciljao njene kompjuterske sisteme. Incident se dogodio između aplikacije koju koriste ljekari i njihovog servera, što je izazvalo smetnje u različitim bolničkim operacijama. Napadači su pokušavali da dobiju ili su dobili pristup između ovih sistema i imali su priliku da kontrolišu cio sistem radi mogućeg preuzimanja. Takvi napadi su sistematski, što znači da mogu da rade na upadu mjesecima. Mogli bi biti motivisani ili zaključavanjem sistema i traženjem otkupnine ili prikupljanjem podataka i ucjenom KBC Zagreb. Kao odgovor, KBC Zagreb inicirao je plan hitnog odgovora na krizne situacije, koji uključuje preko 100 stručnjaka iz različitih odjela da se pozabave problemom i što prije vrate normalu.
IT infrastruktura KBC Zagreb je od suštinskog značaja za njegovo svakodnevno poslovanje, jer vodi evidenciju pacijenata, raspored, komunikaciju između odjeljenja i druge kritične zadatke. Kada je sistem ugašen, osoblje nije imalo izbora osim da se osloni na ručne procese ili alternativne metode za ove zadatke. Sajber napad je izazvao značajne neprijatnosti, ali nije predstavljao direktnu prijetnju pacijentima KBC Zagreb. Vest se brzo proširila, a lokalni mediji su opširno izvještavali o incidentu tokom cijelog dana.
Bolnički IT tim je neumorno radio na procijeni štete i preduzimanju koraka za ublažavanje potencijalnih rizika, a istovremeno je komunicirao sa nadležnim organima o situaciji. Za sada ostaje nejasno koja je vrsta sajber napada ciljala KBC Zagreb ili kako su napadači dobili pristup njihovim sistemima. Sistem je uz manje probleme ponovo počeo funkcionisati u petak.
“Proradilo je praktički sve, skoro sve, bit će još sitnih problema koji će se riješiti tijekom jutra tipa pisača i tako dalje, ali bolnica funkcionira normalno i mislim da malo lakše dišemo svi skupa. Svi zahvati, kirurški zahvati koji su bili planirani za jučer su uredno obavljeni, rekao je Novak, dodajući da će tako biti i danas.”
– Milivoj Novak, pomoćnik ravnatelja za kvalitetu zdravstvene zaštite i nadzor (28.06.2024) –
Uprkos najboljim naporima u oblasti sajber bezbednosti tokom više od osam godina, zvaničnici KBC-a su priznali da su takvi napadi nesrećna realnost savremenog života. Naglasili su da iako ranije nisu iskusile veće sajber napade, druge institucije širom sveta su se suočile sa sličnim izazovima i čak i većim poremećajima. Strah od potencijalnog napada na njihove sisteme je dugo trajao među bolničkim osobljem zbog ove povećane svesti zaposlenih.
“Informatički sustavi KBC-a Zagreb proradili su u petak ujutro nakon što su otklonjene posljedice jučerašnjeg hakerskog napada. Bolnički, laboratorijski i radiološki sustavi (BIS, LIS i RIS) ponovno su u funkciji. Podaci pacijenata su sigurni, nije došlo do curenja podataka.”
– Milivoj Novak, pomoćnik ravnatelja za kvalitetu zdravstvene zaštite i nadzor –
Napadi ovog tipa obično završavaju traženjem otkupnine ili prikupljanjem podataka i ucjenom kroz korištenje ransomware zlonamjernog softvera. Napadači obično zahtijevaju otkup od žrtve u zamjenu za obezbjeđivanje ključa za dešifrovanje kako bi ponovo dobili pristup svojim podacima. Ransomware napadi su dominantna prijetnja, posebno za javne i privatne organizacije širom Hrvatske. Često ne potiču od programera zlonamjernih programa, već od ljudi koji ih angažuju i koriste metode kao što su phishing, zlonamjerne internet stranice i veze ili društveni inženjering da zaraze računarski sistem žrtve. Ovaj način rada se naziva ransomware kao usluga (eng. ransomware-as-a-service – RaaS). Policija upozorava na ovu prijetnju i vodi istrage o nedavnim napadima na različite organizacije u Hrvatskoj. Čini se da je u ovom slučaju izbjegnut najgori scenario po KBC Zagreb.
DDOS NAPADI U HRVATSKOJ
Napadi uskraćivanjem resursa (eng. Distributed Denial of Service – DDoS) su se pojavili kao značajna sajber prijetnja, koja predstavlja stalni izazov za organizacije i zemlje širom sveta. U posljednje vreme, Hrvatska je postala žarište takvih zlonamjernih aktivnosti, a nekoliko institucija visokog profila je postalo žrtva ovih napada, kao što su Ministarstvo finansija, Poresku uprava, HNB (Hrvatska narodna banka) i Zagrebačka berza. Ovi napadi su privremeno onemogućili njihove internet stranice, uzrokujući značajne neugodnosti korisnicima. Proruska hakerska grupa NoName057(16) preuzela je odgovornost za ove napade.
DDoS napadi su jedna od najčešćih i najraširenijih sajber prijetnji. Oni funkcionišu kao skripta ili virus dizajniran da preplavi ciljnu internet lokaciju tako što će je preplaviti prekomjernim saobraćajem iz više izvora. Primarni cilj je da se poremeti normalno funkcionisanje i učini internet stranicu nedostupnim za namjeravane korisnike. Gordan Akrap, stručnjak za informacione nauke, objašnjava da se ovi napadi mogu spriječiti putem servisa kao što je Cloudflare, koji provjeravaju identitet korisnika pre nego što dozvole pristup internet lokaciji.
Uticaj ovakvih napada na hrvatsku infrastrukturu je dalekosežan i može rezultirati finansijskim gubicima, oštećenjem ugleda i operativnim poremećajima. Porast DDoS napada na hrvatsku infrastrukturu razlog je za zabrinutost među stručnjacima za sajber bezbjednost. Stručnjaci naglašavaju važnost snažnih odbrambenih mehanizama protiv ovih napada i redovnog testiranja kako bi se osigurala njihova efikasnost. Ne može se procijeniti potreba za sistematskom odbranom i proaktivnim mjerama, pa se samo kroz redovno testiranje odbrane od novih tehnika može doći do suštinskih informacija za ublažavanje rizika povezanih sa ovim napadima.
“Štete nisu zabilježene u smislu gubitka podataka, kompromitacije podataka ili bilo kakvih drugih stvari koje bi utjecale na rad, osim što web-stranice nisu bile dostupne.”
– Bernard Gršić, državni tajnik u Ministarstvu pravosuđa, uprave i digitalne transformacije –
HAKERSKA GRUPA NONAME057(16)
NoName057 je ruska hakerska grupa koja je preuzela odgovornost za sajber napade na nekoliko hrvatskih institucija, uključujući Ministarstvo finansija, Poresku upravu, HNB (Hrvatsku narodnu banku) i Zagrebačku berzu. Oni su na Telegramu objavili poruku u kojoj navode da su odgovorni za ove napade i podsjećaju da je prošlo dosta vremena otkako su posjetili Hrvatsku. Međutim, oni su negirali umješnost u napad na KBC Zagreb, najveću bolnicu u Hrvatskoj. Grupa je izjavila da ima princip da ne napadaju medicinske ustanove ili civile i optužila je hrvatsku vladu da je rusofobična.
NoName057(16), ili jednostavno NN057, je zagonetni hakerski kolektiv koji se pojavio na platformi za razmjenu poruka Telegram u martu 2022. godine. Ime grupe potiče od kombinacije brojeva i slova, koja svojim članovima mogu predstavljati različita značenja ili se koristiti kao prikrivaju svoj pravi identitet. NN057 grupa je privukla značajnu pažnju zbog svoje inovativnog pristupa izgradnji botneta kroz učešće volontera. Poznato je da vrše opsežna istraživanja svojih meta pre nego što izvedu napade. Grupu karakteriše logo ruskog smeđeg medvjeda i žig kandže.
Poreklo NoName057 može se pratiti do ranih dana marta 2022. godine kada je anonimni korisnik, za koji se vjeruje da je jedan od osnivača ili administratora grupe, kreirao Telegram kanal pod nazivom “DDoSia”. Naziv DDoSia je izveden od izraza distribuirani napadi uskraćivanja usluge (DDoS) i sufiksa “ia”, što može značiti zemljište ili teritoriju na različitim jezicima. Ovaj izbor imena odražava primarni cilj NN057: pokretanje koordinisanih sajber napada na ciljane entitete koristeći botnet sastavljen od uređaja dobrovoljaca.
Grupa je brzo stekla popularnost, skupivši 10.000 pretplatnika do juna 2022. godine. Brzi rast se može pripisati nekoliko faktora, uključujući privlačnost finansijskih podsticaja i želju za anonimnošću u svetu u kome je sajber kriminal sve više rasprostranjen. Jedinstveni prodajni prijedlog NN057 bila je njegova ponuda da volonterima plati dio otkupnine koju su žrtve platile kao kompenzaciju za njihov doprinos botnetu.
Grupa funkcioniše i na horizontalnim i na vertikalnim strukturama, sa ciljevima koje biraju nepoznati administratori, ali uspjesi se zajedno slave kao “mi” ili “prijatelji”. Ova dvostruka struktura omogućava NN057 da održi decentralizovanu organizaciju istovremeno osiguravajući da se članovi osjećaju povezanim sa kolektivnim ciljem. Komunikacija grupe se prvenstveno odvija preko Telegram kanala i grupa, gdje djele vesti iz IT sektora, obrazovni sadržaj i ažuriranja o svojim aktivnostima pod različitim hashtagovima.
Primarni metod napada NoName057 uključuje pokretanje DDoS napada na ciljane entitete koristeći botnet sastavljen od uređaja volontera. Grupa koristi prilagođenu verziju popularnog zlonamjernog softvera Mirai, koji skenira ranjive uređaje Interneta stvari (IoT) i stavlja ih u svoj botnet. Jednom kada je IoT uređaj kompromitovan, postaje dio botneta i može se koristiti za pokretanje DDoS napada na ciljane entitete.
Ciljevi grupe su različiti, u rasponu od državnih institucija i kritične infrastrukture do privatnih organizacija, pa čak i pojedinačnih internet stranica. NoName057 uživa u medijskoj pažnji i često ponovo objavljuje članke vesti o sebi sa emotikonom namignutog lica kao znakom odobravanja ili priznanja. Ovaj trend naglašava cilj grupe da stvori neprijatnosti za žrtve, a istovremeno traži angažovanje šire publike.
Jedan od značajnih aspekata NoName057 je njihovo uporno trolovanje zapadnjaka na mreži uz njihove ometajuće aktivnosti. Grupa često koristi pogrdni jezik i memove koji ciljaju na zapadnu kulturu, posebno u vezi sa politikom i tehnologijom. Ovaj trend se može posmatrati kao pokušaj stvaranja podjele između Zapada i drugih regiona, istovremeno tražeći pažnju globalne publike.
ZAKLJUČAK
Sajber napad na KBC Zagreb dogodio se samo dan nakon što je nekoliko drugih hrvatskih institucija, uključujući Ministarstvo finansija, Poresku upravu, HNB (Hrvatsku narodnu banku) i Zagrebačku berzu doživjelo napad. Ovi incidenti su doveli do prekida rada svake organizacije, sa različitim trajanjem u rasponu od sati do dana. Incident je poslužio kao oštar podsjetnik da nijedna organizacija, bez obzira na njenu veličinu i fokus na mjere bezbednosti, ne može u potpunosti da eliminiše rizik od sajber napada. Za institucije kao što je KBC Zagreb je ključno da imaju planove za vanredne situacije kako bi se smetnje tokom takvih incidenata svele na najmanju moguću mjeru i kako bi sigurnost pacijenata ostala njihov glavni prioritet.
Motivi napadača koji stoje iza napada na KBC Zagreb i konkretne vladine institucije još su pod istragom hrvatskih vlasti. Incident dolazi u trenutku kada prijetnje sajber bezbednosti nastavljaju da se razvijaju, a napadi postaju sve sofisticiraniji i rasprostranjeniji. Ovo služi kao podsjetnik za sve organizacije da ostanu na oprezu protiv ovakvih prijetnji i ulažu u snažne bezbjednosne mjere kako bi zaštitile svoju kritičnu infrastrukturu od potencijalnih napada. Policija je prijavila ukupno 1.688 sajber napada tokom 2023. godine, što predstavlja povećanje od 9,61% u odnosu na isti period 2022. godine kada je zabilježeno 1.540 napada. Sličan porast od 10% policija je zabilježila i tokom 2024. godine.
ZAŠTITA
Da bi se zdravstvene organizacije efikasno zaštitile od sajber napada, od suštinskog je značaja implementacija savremenih rješenja za sajber bezbjednost koja zadovoljavaju različite veličine poslovanja. Evo nekoliko koraka koje zdravstveni rukovodioci mogu preduzeti da bi zaštitili svoje osjetljive podatke o pacijentima:
- Prvi korak u zaštiti zdravstvene organizacije je obezbjeđivanje da se sva tehnologija, uključujući medicinske uređaje i IT infrastrukturu, ažurira najnovijim bezbjednosnim ispravkama i verzijama softvera. Zastarela tehnologija olakšava napadačima da dobiju neovlašteni pristup, dovodeći osjetljive informacije u opasnost,
- Implementacija autentifikacije u više koraka (eng. Multi-Factor Authentication – MFA) rješenja je ključni korak u poboljšanju bezbjednosnih mjera. Ovi sistemi zahtijevaju od korisnika da obezbijede više od jedne informacije da bi se identifikovali pre pristupa osjetljivim podacima ili aplikacijama. Korištenjem kombinacije korisničkih lozinki i jednokratnih informacija, zdravstvene organizacije mogu značajno da smanje rizik od neovlaštenih pokušaja prijavljivanja,
- Medicinski uređaji, kao što su rendgenski aparati, insulinske pumpe i defibrilatori, su suštinske komponente moderne zdravstvene zaštite, ali mogu poslužiti i kao ulazne tačke za napadače. Da se zaštitili ovi uređaji, od ključnog je značaja da se odmah primjenjuju bezbjednosne ispravke, koriste jake lozinke i koristi šifrovanje podataka koji se prenose između uređaja i IT infrastrukture,
- Ljudska greška može dovesti do značajnih rizika za sajber bezbjednost. Pružanje redovne obuke o najboljim praksama kao što su kreiranje jakih lozinki, prepoznavanje phishing elektronske pošte i prijavljivanje sumnjivih aktivnosti je od suštinskog značaja za održavanje bezbjednog okruženja,
- Plan odgovora na sajber prijetnju može pomoći da se minimizira šteta uzrokovana uspješnim napadom kao što pokazuju do sada dostupne informacije u slučaju KBC Zagreb. Ovaj plan treba da navede jasne korake koje treba slediti kada dođe do incidenta, uključujući procedure izjašnjavanja i komunikacione protokole,
- Sprovođenje redovne bezbjednosne revizije i penetracijskog testiranja da bi se identifikovale ranjivosti u IT infrastrukturi, medicinskim uređajima ili aplikacijama. Brzo rješavanje ovih slabosti može pomoći u sprečavanju potencijalnih napada pre nego što se dogode,
- Saradnja sa renomiranim pružaocima usluga sajber bezbednosti može pomoći zdravstvenim organizacijama da budu informisane o najnovijim prijetnjama i ranjivostima, osiguravajući da njihove bezbjednosne mjere ostanu efikasne,
- Rukovodioci u zdravstvu treba da redovno pregledavanju i ažuriraju politike i procedure za sajber bezbjednost svoje organizacije kako bi se uvjerili da ostaju efikasni u odnosu na okruženje prijetnji koje se razvija.
Primjenom ovih koraka, zdravstvene organizacije mogu značajno da smanje rizik da postanu žrtve sajber napada i zaštite osjetljive informacije koje su im povjerene.