"Zabranjeno osmatranje, snimanje i pristup", natpisi su na brojnim tablama koje su vidno istaknute na ogradama oko "Hidroelektrane Bajina Bašta" na koje je RSE naišao u naselju Perućac, oko 190 kilometara zapadno od Beograda.
Duž ograde oko sistema za proizvodnju struje na reci Drini vidi se i po neka kamera, uz upozorenje da je objekat pod video nadzorom.
"Hidroelektrana Bajina Bašta" dobro je zaštićena i teško joj se prilazi. U digitalnom svetu, međutim, jedno od najkompleksnijih postrojenja za proizvodnju struje u Srbiji potpuno je ogoljeno.
Poslovna dokumentacija iz prethodnih nekoliko godina, pojedini lični podaci zaposlenih u "Hidroelektrani Bajina Bašta" poslednjih meseci mogu se preuzeti sa interneta.
Skenirane lične karte, fakultetske diplome, radni nalozi zaposlenih, niz poslovnih podataka "Hidroelektrane Bajina Bašta", koja posluje u okviru Elektroprivrede Srbije, samo je deo procurele dokumentacije, pokazala je analiza Radija Slobodna Evropa (RSE).
Ovo je samo jedna od posledica hakerskog napada na informacione sisteme EPS državnog preduzeća za proizvodnju struje, koji su sredinom decembra prošle godine u potpunosti stali.
Kako je tada kratko saopšteno iz tog preduzeća, desio se "nezapamćeni hakerski napad kripto tipa".
Odgovornost za napad preuzela je hakerska grupa "Qilin" tražeći od ovog državnog preduzeća da plati "otkup" kako se poverljiva dokumenta ne bi našla u javnosti. Nema zvaničnih potvrda o tome da li je otkup plaćen.
Dok su predstavnici EPS-a, ali i nadležnih institucija davali šture izjave, oko 130 gigabajta različitih fajlova Elektroprivrede Srbije postavljeno je na internet.
Njima se i dalje može pristupiti preko enkriptovanih web brauzera i zatvorenih Telegram kanala.
Hakerski kolektivi, poput grupe Qilin, biraju kanale komunikacije kojima se "teže ulazi u trag".
Jedina institucionalni odgovor na incident za sada je stigao iz Kancelarije Poverenika za zaštitu podataka o ličnosti. Posle skoro punih pet meseci nakon "nezapamćenog" hakerskog napada na informacioni sistem EPS-a, nalaz Poverenika je da "nema povrede ličnih podataka".
To se navodi zapisnikom dostavljenom 5. juna 2024. godine RSE po Zakonu o pristupu informacijama.
Procurili podaci daju drugačiju sliku.
Među procurilim podacima i poslovne informacije o radu Hidroelektrane na Drini
Informacije o opremi koju je Hidroelektrana kupovala poslednjih godina, specifikacija različitih građevinskih radova, detaljni crteži postrojenja za proizvodnju struje i upravne zgrade, kao i detaljni podaci o proizvodnji struje mogu se pronaći među više od 130 gigabajta procurilih dokumenta.
Na primer, među procurilim dokumentima je i "Konačni izveštaj o testiranju turbina" koje je izvodila kompanija Tošiba tokom juna 2022. godine kada je rađena rehabilitacija Hidroelektrane, odnosno kada su stare turbine japanskog proizvođača zamenjene novim modelima.
"Informacije u ovom materijalu su poverljive i sadrže intelektualnu svojinu kompanije Tošiba", između ostalog navodi se dokumentom na engleskom jeziku koji se nalazi u procuriloj dokumentaciji.
RSE je uputio dopis kompaniji Tošiba u vezi sa pomenutim slučajem, međutim odgovori nisu stigli do objavljivanja ovog teksta.
Osim podataka o opremi među procurilim dokumentima su arhitektonski crteži i planovi hidroelektrane, crteži pogona za proizvodnju struje, ali i upravne zgrade.
Na pitanja RSE o posledicama ovakvog curenja podataka ni predstavnici menadžmenta Hidroelektrane nisu odgovorili. Odgovori na pitanja nisu stigli ni od matične kuće, Elektroprivrede Srbije.
Poverenik nije pronašao ove podatke
U isto vreme, Kancelarija poverenika za zaštitu podataka o ličnosti tokom pet meseci nadzora nije utvrdila ništa sporno, navodi se zapisnikom od 17. maja.
"EPS svojim aktivnostima i postupanjem nije prouzrokovao povredu podataka o ličnosti u smislu Zakona o zaštiti podataka o ličnosti", navodi se u dokumentu i dodaje kako je EPS usvojio potrebne akte kojim se propisuju odgovarajuće kadrovske, tehničke i organizacione mere zaštite podataka o ličnosti.
Tokom pet meseci provere javno dostupnih izvora nije uočena objava ličnih podataka korisnika usluga EPS-a, niti zaposlenih u državnom preduzeću za proizvodnju struje kao posledicu prijavljenog hakerskog napada, navodi se zapisnikom.
Međutim ovim dokumentom se ne navodi kada su i na koji način ovlašćena lica Poverenika za zaštitu podataka o ličnosti preuzela procurele materijale. Takođe, ni u jednom delu zapisnika se ne navodi kako su dokumenta i podaci objavljeni na interentu analizirani, kao i da li su u materijalnima sa dark neta pronađeni lični podaci.
RSE je od Kancelarije Poverenika zatražio dodatna objašnjenja.
"Kancelarija Poverenika nije došla do saznanja do kojih tvrdite", navodi se u odgovorima od 13. juna iz ove kancelarije na dodatna pitanja RSE u vezi sa preuzimanjem i analizom dokumenata koja se mogu naći na Internetu.
Iz Kancelarije Poverenika naveli su kako su analizirani svi javno dostupni linkovi i izvori, ali i pozivali da im se dostave svi prikupljeni dokaze u vezi sa eventualnom povredom podataka o ličnosti prouzrokovanom hakerskim napadom na EPS.
Šta kažu u Tužilaštvu?
"Istraga je još uvek u toku", naveli su tokom januara 2024. godine iz Tužilaštva za visokotehnološki kriminal u vezi sa pitanjima RSE o hakreskom napadu na infrastrukturu Elektrodistribucije Srbije.
Bez potvrda su ostala i pitanja o tome da li istraga ide u smeru utvrđivanja odgovornisti zaposlenih u sistema EPS-a zbog eventualnih propusta tokom hakerskog napada.
Od tada, Tužilaštvo nije odgovorala na upite RSE u vezi sa ovim slučajem.
Šta je poznato o sistemu zaštite EPS-a?
Zapisnik o inspekcijskom nadzoru razotkriva još neke bezbednosne probleme državnog proizvođača struje.
Kancelarija Poverenika, koja je zapisnik sačinila sredinom maja, ovaj dokument dostavila je RSE-u početkom juna 2024. godine po Zakonu o dostupnosti informacijama od javnog značaja.
Tokom napada nije postojala adekvatna antivirusna zaštita, navodi dokumentom Poverenika od 17. maja.
Velika ulaganja u bezbednost sistema EPS-a
EPS je primenjivao "polise antivirusne zaštite", ali zbog kompleksnosti sistema one nisu bile u potpunosti sprovedene u svakom delu sistema, zaključeno je u inspekcijskom nadzoru a dodaje se i da pogođeni serveri i servisi uglavnom nisu imali instaliranu antivirusnu zaštitu.
Zapisnikom se precizno ne navodi o kojim se servisima, odnosno delovima sistema radi.
RSE je u vezi sa ovim navodima uputio niz pitanja Elektroprivredi Srbije, međutim, odgovori i objašnjenja nisu stigla do objavljivanja ovog teksta.
Ugovori koji su dostupni javnosti pokazuju da se tokom poslednjih godina ulagalo u napredne sisteme monitoringa različitih bezbednosnih pretnji.
Tokom poslednje četiri godine potpisano je najmanje jedanaest ugovora vrednih više od 10 miliona evra koji se odnose na različite usluge razvoja i bezbednosti informacionih sistema, ali i praćenje različitih napada na informacionu infrastrukturu EPS-a, pokazuju podaci sa Portala javnih nabavki.
Najveći deo ovih ugovora potpisan je tokom 2021. godine.
Tako je krajem marta 2021. godine potpisan ugovor za "proširenje monitoringa ranjivosti informacionih sistema EPS-a."
Ovaj ugovor vredan više od 1,2 miliona evra potpisan je sa firmom SKY Express doo iz Beograda. Ova firma postoji 20 godina, a kako se navodi na njihovom sajtu, ekskluzivni su distributeri naprednih sajber bezbednosnih rešenja i pokrivaju tržište Srbije, Crne Gore, Bosne i Hercegovine, Severne Makedonije i Albanije.
Cilj nabavke koju je EPS dodelio firmi SKY Express doo je uvođenja sistema koji bi preventivno pratio "savremene bezbednosne pretnje", navodi se konkursnom dokumentacijom, dostupnoj na portalu javnih nabavki Srbije.
Ovaj ugovor obuhvata praćenje bezbednosnih propusta, obuku zaposlenih, navodi se u dokumentaciji sa Portala javnih nabavki.
Sa firmom SKY Express tokom 2021. godine EPS sklapa još jedan ugovor koji se odnosi na praćenje bezbednosnih incidenata. U pitanju je godišnja licenca za 50.000 korisnika softverskog paket Panaseer koja je plaćena više od 600.000 evra.
Neposredno pre napada, EPS angažuje Beogradsku firmu Comtrade od koje naručuje sistem za bezbednosnu procenu različitih informacionih resursa i sistema.
Ovo rešenje kupljeno je tokom novembra 2023. godine za više od 200.000 evra.
RSE je pokušao da sazna na koje su sve propuste u informacionoj infrastrukturi ukazala kupljena rešenja pre incidenta.
O tome su odbili da govore iz EPS-a, kao i iz pomenutih firmi koja su pružala usluge zaštite ovih sistema.
Otkup u slučaju Slovenije nije plaćen
Neposredno pre napada na EPS, sličan napad zabeležen je u susednoj Sloveniji.
Iako se napadač razlikuje, vrsta napada i sektor su isti.
Holding Slovenske elektrane, najveće državno preduzeće za proizvodnju struje u ovoj zemlji, takođe je zabeležio ucenjivački napad krajem 2023. godine.
Napadači su u ovom slučaju uspeli da uđu u sisteme elektrane i "zaključaju" više od 200 gigabajta poslovnih podataka, za RSE objašnjava Milan Gabor osnivač i direktor Virisa, firme koja se bavi zaštitom informacionih sistema.
Otkup nije plaćen, pa se jedan deo ovih podatka objavljen na mreži ToR mreži odakle su ih građani mogli preuzeti.
"Bilo je različitih vrsta podataka, nisu direktno bili samo podaci, na primer, o korisnicima ili zaposlenima. Bilo je različitih vrsta javnih nabavki, tendera, videli smo različite tipove faktura", objašnjava Gabor koji su sve podaci u Sloveniji objavljeni.
On dodaje da je zlonamerna aktivnost otkrivena vrlo brzo i ističe "da morate imati stvarno dobre sisteme upozorenja koji vas obaveštava da se nešto dešava u vašem okruženju."
Podaci velikih kompanija sve češća meta ucenjivača
Ucenjivački napadi (prim. aut. ransomware attacks) sve su učestaliji poslednjih godina i beleže se u svim sektorima koji su važni za funkcionisanje velikih državnih sistema.
Na meti hakerskog kolektiva Qilin, koji je preuzeo odgovornost za napada na EPS, našao se niz međunarodnih kompanija.
Na meti napada ove grupe najčešće su bili sistemi kritične infrastrukture, poput energetike, saobraćaja, zdravstva, telekomunikacija.
Među žrtvama navodi se kompanija "Yanfeng", vodeći proizvođač delova u autoindustriji sa više od 60 hiljada zaposlenih, ali i američka kompanija za pakovanje koka-kole "Corinth Coca-Cola Bottling Works", kao i japanska kompanija za izgradnju montažnih kuća "Daiwa House Industry Co".
RSE nije uspeo da utvrdi da li se na internacionalnom nivou vodi istraga protiv hakerskog kolektiva Qilin, kao i da li je bilo ko od članova ovog kolektiva uhapšen poslednjih godina.