Krajem prošlog je tjedna informacijske sustave diljem svijeta napao virus Wanna Decryptor, Wannacry ili Wcry. Hakerski napad usporio je, među ostalim, i rad hrvatskog MUP-a. Riječ je o iznuđivačkom virusu koji zaključava podatke na korisničkom računalu te zatim od vlasnika računala traži otkupninu u novcu kako bi ga otključao.
Ovaj je napad aktualizirao pitanje sigurnosti domaćih baza podataka te još jednom podsjetio na važnost pravilnog i pravovremenog pohranjivanja. Podsjetio je ovaj napad i na incident koji se u Ministarstvu uprave dogodio u veljači kada su na nekoliko dana bili nedostupni birački popisi te registri udruga i političkih stranaka.
Neposredno prije sigurnosnog incidenta, rekli su tada u odnosima s javnošću Ministarstva uprave, pokrenut je postupak premještaja svih baza podataka i sustava koji pružaju javnu, ali i internu podršku radu Ministarstva u Centar dijeljenih usluga (CDU), odnosno Agenciju za podršku informacijskim sustavima i informatičkim tehnologijama na upravljanje i održavanje.
Moderni sustavi arhiviranja
Ali, nije sve išlo po planu pa je 16. veljače tehnički kvar kao posljedica “aktivnosti djelatnika” doveo do pada sustava i gubitka dijela podataka (pojedinosti iz registra udruga unesenih nakon listopada prošle godine kada je napravljena posljednja sigurnosna kopija – backup – prije incidenta).
Nažalost, nakon sigurnosnog incidenta, mehanizmi oporavka iz sigurnosne kopije nisu u potpunosti bili uspješni pa je bila potrebna dodatna intervencija i dopuna podataka, priznali su u Ministarstvu.
Ministarstvu uprave, kako bi se spriječili ovakvi incidenti u budućnosti, nedostaje moderan sustav arhiviranja koji je više smišljen da osigurava kontinuirani dostup do podataka nego da ih samo sprema na neki posebno siguran medij ili okruženje, mišljenja su domaći stručnjaci za informacijsku sigurnost.
“To su višestruki (redundantni) sustavi na različitim fizički udaljenim lokacijama koji sinhronizirano čuvaju jedne te iste podatke. Jednom unesen ili promijenjen podatak distribuira se na različite lokacije, podaci se sinhroniziraju, a sustavi funkcioniraju nezavisno i sve dok je dovoljno elemenata u sustavu funkcionalno – podaci su sigurni”, kaže jedan od naših najeksponiranijih stručnjaka za informatičku sigurnost, Lucijan Carić.
Iako mu nisu poznati detalji događaja u bazama Ministarstva, dodaje kako se kod postavljanja posebnih točaka takvog distributivnog sustava vodi računa o svim aspektima informacijske sigurnosti, od same lokacije, fizičkog osiguranja, opskrbe električnom energijom, protupožarne, protupotresne, protupoplavne zaštite, sigurnosti od mogućih ratnih razaranja, itd.
Nakon toga, tu su procedure i evidencija tko, kako i kada smije pristupiti podacima, kojim podacima smije pristupiti i što s tim podacima smije raditi, zaštita od neovlaštenog pristupa bili fizičkog bilo elektroničkog, itd. U današnjem visoko povezanom svijetu umrežene infrastrukture su ključni dio svih državnih službi.
Baze podataka kojima “upravlja” Ministarstvo uprave, ali ne samo njih, stoga treba graditi od početka s konkretnim zahtjevima vezanima za sigurnost podataka i sustava, savjetuje stručnjak za informacijsku sigurnost Vlatko Košturjak.
Samo da proradi
“Nažalost, vrlo se često danas sustavi puštaju u produkciju uz moto ‘samo da proradi’. Nakon što proradi, vrlo često se zaboravi na sigurnost i druge nefunkcijske zahtjeve”, objašnjava vjerojatne uzroke pada baza u Ministarstvu Košturjak. Incidenti se u području baza događaju svakodnevno, nastavlja, a pri rješavanju problema pomaže ako znamo razvrstati važne podatke od nevažnih i kako ih štititi.
Stručnjake smo upitali i da posebno komentiraju informacije iz medija da je posljednja sigurnosna kopija registra udruga napravljena u listopadu.
“Ciklus arhiviranja od nekoliko mjeseci nije primjeren čak niti za individualne korisnike. Ovakvi osjetljivi podaci trebali bi biti arhivirani na dnevnoj bazi”, kaže Carić te dodaje kako, kada bi intervali ciklusa arhiviranja podataka bili tako dugački, to bilo jako loše.
Pri uspostavi kontinuiteta poslovanja u ovakvim sustavima nužno je razmotriti mogućnosti slučajnog pada sustava i cyber napada.
Kada su u pitanju zle namjere, Ministarstvo je prilično sigurno kako one nisu bile okidač kolapsa baza.
Carić podupire tu tvrdnju te podsjeća kako je, iako su zloupotrebe uvijek moguće, u ovom slučaju došlo do gubitka podataka. “Izazivanje namjernog gubitka podataka moguća je vrsta napada, no on napadaču osim činjenice da je poremetio neki poslovni proces ne donosi nikakve dodatne koristi.
S druge strane, manipulacija podacima, koja bi bila opasnija, gotovo sigurno bi bila izvedena tako da ne izazove poteškoće u postojećem poslovnom procesu.”
Carić komentira također kako je važnost informatičke tehnologije kao gospodarske i tehnološke grane u Hrvatskoj, pa onda i kao važnog alata javne uprave 20. i 21. stoljeća, već dugo zanemarena.
Ključ je u arhiviranju
“Ne postoji nikakva strategija, niti tijelo koje bi se tom strategijom bavilo. Ova vlada pokušava nešto učiniti po tom pitanju, no šteta je već napravljena. Naša država nema čak ni osnovne tehnološke pretpostavke, poput vlastite zatvorene mreže za razmjenu podataka, nema nikakve standardizacije, nema sustavne sigurnosti, svako državno tijelo je svoja informatička država u državi. Arhiviranje podataka tu je samo jedan mali (iako važan) element u cijeloj slagalici”, zaključuje Carić.
Državi savjetuje da ne “izmišlja toplu vodu” već iskopira postojeće dobre modele informatičkih sustava tehnološki naprednijih država, većih gradova, teritorijalnih jedinica ili institucija i tvrtki.
Ispravnost hardvera vrlo je važna i često zanemarena. Današnja oprema je pouzdana i uz ispravno održavanje i nadzor može raditi jako dugo. Ali, vrlo često uljuljkani smo u relativnu sigurnost opreme pa zaboravimo na arhiviranje. Takvi problemi najčešće se dešavaju individualnim i malim poslovnim korisnicima
