BRATISLAVA. Zatiaľ čo premiér Robert Fico vidí ukrajinskú stopu v ransomvérovom útoku na kataster, stopy prebiehajúceho phishingového útoku na Všeobecnú zdravotnú poisťovňu (VšZP) vedú do Ruska.
V online priestore naďalej prebieha škodlivá kampaň namierená na slovenských pacientov, ktorí sú klientmi VšZP. Hrozí im odcudzenie základných osobných údajov, ale najmä finančných prostriedkov.
Zároveň je však možné, že v súbehu s phishingovou kampaňou prebehol aj iný kybernetický útok. Tieto informácie však nateraz nie je možné preveriť. Premiér, minister zdravotníctva Kamil Šaško, poisťovňa ani relevantné inštitúcie totiž stále nezverejnili bližšie informácie o povahe útoku.
Naopak, informovanie verejnosti bolo zmätočné a netransparentné, čo poisťovni na sociálnych sieťach vyčítali aj viacerí IT odborníci. Možné sú preto viaceré scenáre udalostí.
Dočítate sa:
- podrobnosti, charakter a pôvod prebiehajúceho phishingového útoku,
- aké ďalšie typy útokov prichádzajú do úvahy,
- ako incident komentoval šéf VšZP a čo prisľúbil odborníkom.
Málo informácií, veľa pochybností
Robert Fico informoval, že k útoku na Všeobecnú zdravotnú poisťovňu došlo v piatok okolo 12. hodiny. Jeho rozsah označil slovom masívny, čo následne potvrdil aj minister zdravotníctva Šaško, nekonkretizoval však detaily.
Premiér uviedol len toľko, že cieľom hackerov bolo získať všetky osobné údaje pacientov vrátane diagnóz a informácií o zrealizovaných alebo plánovaných zákrokoch. Dôsledkom údajne mohlo byť znefunkčnenie elektronických receptov či dokonca poskytovania zdravotnej starostlivosti samej osebe.
Avšak o technickej povahe útoku sme sa dozvedeli veľmi málo. Fico hovoril len o „obrovskom množstve pokusov získavať z informačných zdrojov všeobecnej zdravotnej poisťovne citlivé informácie“.
Detaily sme sa nedozvedeli ani priamo od VšZP. Poisťovňa neodpovedala na žiadnu z technicky zameraných otázok denníka SME. Namiesto toho médiám zaslala tlačovú správu, v ktorej zhrnula vágne informácie z brífingu premiéra.
Čo je phishing?
Ide o typ kybernetického útoku využívajúci techniky takzvaného sociálneho inžinierstva. Cieľom je oklamať obeť, aby podvodníkom nevedomky vyzradila citlivé informácie alebo zaslala peniaze.
Hackeri sa zvyčajne vydávajú za dôveryhodnú inštitúciu, napríklad banku, populárnu internetovú službu alebo štátny úrad. Od náhodnej obete žiadajú vyplnenie údajov pod vymyslenou zámienkou, ktorou je napríklad skončenie predplatného či platnosti existujúcich údajov, výzva na uhradenie faktúry či naopak fiktívny nárok na vrátenie peňazí.
Úmyslom zlodejov je zvyčajne priame finančné obohatenie sa (zneužitie údajov o platobnej karte), ale cieliť môžu aj na osobné údaje a prihlasovacie údaje, ktorými sa chcú infiltrovať do ďalších online služieb využívaných obeťou.
Samostatnou kategóriou je takzvaný spear phishing, ktorý cieli na vopred vytypované osoby, napríklad účtovníkov firiem s prístupom k citlivým systémom, informáciám a bankovým účtom spoločnosti.
Minister Šaško uviedol, že k riešeniu kybernetického útoku bola prizvaná vládna jednotka CSIRT pre riešenie počítačových incidentov. Jednotka patrí pod Ministerstvo investícií, regionálneho rozvoja a informatizácie SR (MIRRI), rezort však na otázky denníka SME k útoku od piatka nereagoval.
Krátko po brífingu sa začali šíriť informácie, že predmetným útokom je prebiehajúca phishingová kampaň, s akými sa správcovia IT systémov stretávajú prakticky celoročne. Netransparentná komunikácia o útoku preto viedla k pochybnostiam aj medzi odbornou verejnosťou. Viacerí IT experti poukázali na to, že údajný masívny incident by mal byť povinne nahlásený Národnému bezpečnostnému úradu (NBÚ).
„My sme, samozrejme, okamžite informovali všetky príslušné orgány, predovšetkým teda NBÚ, ale aj MIRRI, a teda jednotku CSIRT a všetky kompetentné orgány tohto štátu a, samozrejme, aj Úrad vlády,“ uviedol na brífingu Kamil Šaško.
Denník SME preveroval, či k ohláseniu došlo, no úrad to nemohol potvrdiť z dôvodu zákonnej prekážky. „Národný bezpečnostný úrad nemôže zverejňovať podrobnosti kybernetických bezpečnostných incidentov. Zákon o kybernetickej bezpečnosti nám ukladá povinnosť zachovávať mlčanlivosť,“ odpovedal NBÚ.
Expert Ivan Makatura, generálny riaditeľ Kompetenčného a certifikačného centra kybernetickej bezpečnosti, však na sociálnej sieti uviedol, že na oznámenia je nutné pýtať sa prevádzkovateľa. Pri pojme hlásenie je navyše potrebné rozlišovať medzi včasným varovaním, oznámením závažného incidentu a záverečnou správou, pre ktoré zákon o kybernetickej bezpečnosti stanovuje samostatné časové lehoty (24 hodín, 72 hodín, respektíve 30 dní).
Zo záverečnej správy by sa následne mala verejnosť spätne dozvedieť bližšie okolnosti kybernetického incidentu a jeho skutočnú povahu vrátane závažnosti
Išlo im o peniaze, nie o zdravotné dáta
Oveľa viac sme dokázali zistiť o spomínanej phishingovej kampani. Vzhľadom na nedostatok oficiálnych informácií však nemôžeme s istotou tvrdiť, že premiér hovoril práve o tomto útoku a súbežne neprebiehal aj iný, samostatný kybernetický incident.