Skupina HSE in urad za informacijsko varnost nadaljujeta obravnavo vdora v informacijski sistem HSE-ja, ki je bil zaznan v sredo in se je okrepil, razširil v noči s petka na soboto. "Prvi rezultati več kot 48-urnega neprekinjenega dela dajejo dobre obete za čimprejšnjo vzpostavitev nemotenega delovanja informacijske in komunikacijske infrastrukture skupine HSE," sta HSE in urad zapisala v skupnem sporočilu za javnost.

Štokelj: Večje škode ne bo

Generalni direktor HSE-ja Tomaž Štokelj je v popoldanski izjavi za nekatere medije dejal, da so danes vse strokovne službe nadaljevale intenzivno delo pri odpravljanju posledic kibernetskega napada in da je bilo vključenih tudi več zunanjih strokovnjakov.

"Z opravljenim delom smo zelo zadovoljni. Na podlagi opravljenega in videnega smo lahko optimistični, da večjih posledic tako z vidika varnosti sistema kakor tudi vpliva na ekonomsko poslovanje družbe ne bo," je dejal. Dodal je, da je sicer še prezgodaj, da bi postavili dokončne trditve. Je pa operativni sistem, ki služi kot nadzor nad obratovanjem elektrarn, v večji meri funkcionalen, je dejal.

Postavljajo tudi povezave do Elesa, tako da bodo omogočene tudi vse storitve. "Za to načrtujemo, da bo vzpostavljeno razmeroma kmalu," je dejal. Glede poslovnega sistema so v fazi vzpostavljanja ključnih funkcij, nekatere pa so že vzpostavili.

"Pričakujemo, da bo jutri osnovno poslovanje podjetja omogočeno normalno, in iz tega naslova ne pričakujemo večje ekonomske škode," je dodal. Pričakuje tudi, da bodo v prihodnjih dneh ključni sistemi postavljeni, da bodo lahko zagnali normalne procese.

Svete: Proces je potekal v skladu z nacionalnim načrtom

Sorodna novica HSE tarča kibernetskega napada. Svete: Okuženi poslovni sistemi, ni eskalacije v fizični prostor.

Direktor urada za informacijsko varnost Uroš Svete pa je dejal, da so imeli danes (nedelja) koordinacijo vseh deležnikov v Sloveniji, ki tvorijo kibernetsko obrambo. Tu so po njegovih besedah zlasti zelo resno pristopili k situaciji, da preprečijo morebitno širjenje samega incidenta na katere koli druge sisteme v Sloveniji.

"Menim, da je sam proces tako zaznave samega incidenta kot tudi prijave in angažiranja vseh akterjev, tako seveda strokovnih, tehničnih kot tudi državnih organov, ustrezen in v skladu z nacionalnim načrtom odzivanja na kibernetske incidente. Tako je v resnici v tem trenutku situacija v tem primeru pod nadzorom," je dejal Svete.

Glede dosedanjih tehničnih podatkov, ki jih imajo, je dejal, da še ne morejo govoriti o izvoru kibernetskega incidenta in da je tudi "absolutno še prehitro, da bi dejansko identificirali sam izvor kibernetskega incidenta". Pojasnil je še, da se kibernetski incidenti v takih primerih zelo dobro in tudi večstopenjsko prikrivajo.

Dejal je, da doslej na urad niso prejeli nobene informacije glede kakršne koli zahteve po odkupnini. Je pa dodal, da to, da je omejena dostopnost do podatkov, kaže na moment, ki bi lahko vodil do izsiljevanja samega podjetja.

"Je pa treba tudi vedeti, da se take komunikacije ne sprožijo takoj, tudi z vidika napadalcev. In da je zelo odvisno tudi od tega, kdaj sama in na kakšen način žrtev zazna tovrstne napade," je dodal. Opozoril je še, da se sicer zdi, da so se napadi zgodili pred dnevom ali dvema, a v resnici vzroke iščejo bistveno dlje v preteklost.

Sicer pa z doslej zbranimi podatki, tudi s tistimi od samega podjetja, ugotavljajo, da je bil napad izveden od zunaj, saj za morebitni napad od znotraj niso dobili nobenega indica. "Iz tega zornega kota precej klasičen kibernetski incident," je sklenil Svete.

Izsiljevalski virus, a nihče ne zahteva odkupnine

Po besedah poznavalcev področja se v zadnjih tednih po Evropi širi izsiljevalski virus Akira, a na HSE-ju napada s tem virusom, ki ga je mogoče preprosto kupiti na temnem spletu, še ne potrjujejo, je za TV Slovenija poročal novinar Gašper Petovar.

Je pa jasno, da je bil uporabljen tako imenovani izsiljevalski virus pri vdoru v sistem HSE.

"Tehnično je bila uporabljena programska koda ali virus, ki je onemogočil, zaklenil dostope. Izsiljevanje pomeni, da bi nekdo to izkoristil in od podjetja dejansko zahteval odkupnino za dostop do podatkov. Tega po naših informacijah še ni. Je pa dejstvo, da dostopa tudi ni," je že v sobotni izjavi za javnost povedal direktor urada za informacijsko varnost Svete.

Sorodna novica Svete: Napadov z izsiljevalskimi virusi vse več, rešitev je kibernetska higiena

Ker gre za kritično infrastrukturo, lahko govorimo o enem najhujših kibernetskih napadov v zgodovini Slovenije, pri čemer so energetska podjetja v zadnjih letih pogosta tarča tovrstnih napadov.

"Gotovo je energetika eden od najbolj ključnih sektorjev, ker je njena kritikalnost najvišja, največ sektorjev je od nje odvisnih. Iz tega zornega kota je za napadalce, pa naj gre za tiste, ki imajo kriminalno ali drugo ozadje, zelo zanimiva," je pojasnil Svete.

Vse posledice napada še niso znane. Prav tako ni znano, ali bo treba za ponovni dostop do datotek plačati. TV Slovenija pa je še izvedela, da so tudi v Sloveniji v podobnih primerih podjetja že plačevala šestmestne številke za ponovno aktiviranje datotek, ki so bile zaklenjene po podobnih vdorih, kot se je zgodil skupini HSE.

Stušek: Stopnjo ogroženosti bi bilo treba dvigniti

Svoj pogled na incident je za Radio Slovenija podal nekdanji direktor Sove in varnostni strokovnjak Janez Stušek. Kot zunanji opazovalec je ocenil, da ne gre za klasičen izsiljevalski virus, še posebej zato, ker – po javno znanih informacijah – napadalci še niso zahtevali odkupnine. Poleg tega je imel incident, kot je že v soboto potrdil Svete, več stopenj oziroma korakov. Stušek meni, da bi pri napadu na HSE glede na obsežnost lahko šlo za eksfiltracijo oziroma nezakonito kopiranje podatkov. Upoštevajoč, da neznanci niso vdrli samo z varnostnonadzorni sistem HSE-ja, ampak tudi v TEŠ, Dravske elektrarne in Premogovnik Velenje, je zaskrbljen. "Težava, ki jo vidim pri tem napadu, ni samo HSE. Zgodba je potencialno širša, pa nočem strašiti. Z vidika kibernetske varnosti bi bilo treba oceno ogroženosti trenutno oziroma vsaj za krajši čas dvigniti."

Stušek je podal še mnenje, da v Sloveniji posvečamo premalo pozornosti kibernetski varnosti.