„Zabranjeno osmatranje, snimanje i pristup“, natpisi su na brojnim tablama istaknutim na ogradama oko hidroelektrane „Bajina Bašta“ u naselju Perućac, oko 190 kilometara zapadno od Beograda. Duž ograde oko sistema za proizvodnju struje na reci Drini vidi se i po neka kamera, uz upozorenje da je objekat pod video nadzorom.
Hidroelektrana „Bajina Bašta“ dobro je zaštićena i teško joj se prilazi. U digitalnom svetu, međutim, jedno od najkompleksnijih postrojenja za proizvodnju struje u Srbiji potpuno je ogoljeno.
Poslovna dokumentacija iz prethodnih nekoliko godina, pojedini lični podaci zaposlenih u hidroelektrani „Bajina Bašta“ poslednjih meseci mogu se preuzeti sa interneta.
Skenirane lične karte, fakultetske diplome, radni nalozi zaposlenih, niz poslovnih podataka hidroelektrane „Bajina Bašta“, koja posluje u okviru Elektroprivrede Srbije, samo je deo procurile dokumentacije, pokazala je analiza Radija Slobodna Evropa (RSE).
Hakerski napad sredinom decembra
Ovo je samo jedna od posledica hakerskog napada na informacione sisteme EPS državnog preduzeća za proizvodnju struje, koji su sredinom decembra prošle godine u potpunosti stali.
Kako je tada kratko saopšteno iz tog preduzeća, desio se „nezapamćeni hakerski napad kripto tipa“.
Odgovornost za napad preuzela je hakerska grupa „Qilin“ tražeći od ovog državnog preduzeća da plati „otkup“ kako se poverljiva dokumenta ne bi našla u javnosti. Nema zvaničnih potvrda o tome da li je otkup plaćen.
Dok su predstavnici EPS-a, ali i nadležnih institucija davali šture izjave, oko 130 gigabajta različitih fajlova Elektroprivrede Srbije postavljeno je na internet.
Njima se i dalje može pristupiti preko enkriptovanih veb brauzera i zatvorenih Telegram kanala.
Hakerski kolektivi, poput grupe Qilin, biraju kanale komunikacije kojima se „teže ulazi u trag“.
Jedini institucionalni odgovor na incident za sada je stigao iz Kancelarije Poverenika za zaštitu podataka o ličnosti. Posle skoro punih pet meseci nakon „nezapamćenog“ hakerskog napada na informacioni sistem EPS-a, nalaz Poverenika je da „nema povrede ličnih podataka“. To se navodi zapisnikom dostavljenom 5. juna 2024. godine RSE po Zakonu o pristupu informacijama. Ipak, procurili podaci daju drugačiju sliku.
Procurile poslovne informacije o radu hidroelektrane
Informacije o opremi koju je Hidroelektrana kupovala poslednjih godina, specifikacija različitih građevinskih radova, detaljni crteži postrojenja za proizvodnju struje i upravne zgrade, kao i detaljni podaci o proizvodnji struje mogu se pronaći među više od 130 gigabajta procurilih dokumenta.
Na primer, među procurilim dokumentima je i „Konačni izveštaj o testiranju turbina“ koje je izvodila kompanija Tošiba tokom juna 2022. godine kada je rađena rehabilitacija Hidroelektrane, odnosno kada su stare turbine japanskog proizvođača zamenjene novim modelima.
„Informacije u ovom materijalu su poverljive i sadrže intelektualnu svojinu kompanije Tošiba“, između ostalog navodi se dokumentom na engleskom jeziku koji se nalazi u procuriloj dokumentaciji.
RSE je uputio dopis kompaniji Tošiba u vezi sa pomenutim slučajem, međutim odgovori nisu stigli do objavljivanja ovog teksta.
Osim podataka o opremi među procurilim dokumentima su arhitektonski crteži i planovi hidroelektrane, crteži pogona za proizvodnju struje, ali i upravne zgrade.
Na pitanja RSE o posledicama ovakvog curenja podataka ni predstavnici menadžmenta Hidroelektrane nisu odgovorili. Odgovori na pitanja nisu stigli ni od matične kuće, Elektroprivrede Srbije.
Poverenik nije pronašao ove podatke
U isto vreme, Kancelarija poverenika za zaštitu podataka o ličnosti tokom pet meseci nadzora nije utvrdila ništa sporno, navodi se zapisnikom od 17. maja.
„EPS svojim aktivnostima i postupanjem nije prouzrokovao povredu podataka o ličnosti u smislu Zakona o zaštiti podataka o ličnosti“, navodi se u dokumentu i dodaje kako je EPS usvojio potrebne akte kojim se propisuju odgovarajuće kadrovske, tehničke i organizacione mere zaštite podataka o ličnosti.
Tokom pet meseci provere javno dostupnih izvora nije uočena objava ličnih podataka korisnika usluga EPS-a, niti zaposlenih u državnom preduzeću za proizvodnju struje kao posledicu prijavljenog hakerskog napada, navodi se zapisnikom.
Međutim ovim dokumentom se ne navodi kada su i na koji način ovlašćena lica Poverenika za zaštitu podataka o ličnosti preuzela procurele materijale. Takođe, ni u jednom delu zapisnika se ne navodi kako su dokumenta i podaci objavljeni na interentu analizirani, kao i da li su u materijalnima sa dark neta pronađeni lični podaci.
RSE je od Kancelarije Poverenika zatražio dodatna objašnjenja.
„Kancelarija Poverenika nije došla do saznanja do kojih tvrdite“, navodi se u odgovorima od 13. juna iz ove kancelarije na dodatna pitanja u vezi sa preuzimanjem i analizom dokumenata koja se mogu naći na Internetu.
Iz Kancelarije Poverenika naveli su kako su analizirani svi javno dostupni linkovi i izvori, ali i pozivali da im se dostave svi prikupljeni dokaze u vezi sa eventualnom povredom podataka o ličnosti prouzrokovanom hakerskim napadom na EPS.
Šta je poznato o sistemu zaštite EPS-a?
Zapisnik o inspekcijskom nadzoru razotkriva još neke bezbednosne probleme državnog proizvođača struje.
Kancelarija Poverenika, koja je zapisnik sačinila sredinom maja, ovaj dokument dostavila je RSE-u početkom juna 2024. godine po Zakonu o dostupnosti informacijama od javnog značaja.
Tokom napada nije postojala adekvatna antivirusna zaštita, navodi dokumentom Poverenika od 17. maja.
Velika ulaganja u bezbednost sistema EPS-a
EPS je primenjivao „polise antivirusne zaštite“, ali zbog kompleksnosti sistema one nisu bile u potpunosti sprovedene u svakom delu sistema, zaključeno je u inspekcijskom nadzoru a dodaje se i da pogođeni serveri i servisi uglavnom nisu imali instaliranu antivirusnu zaštitu.
Zapisnikom se precizno ne navodi o kojim se servisima, odnosno delovima sistema radi.
RSE je u vezi sa ovim navodima uputio niz pitanja Elektroprivredi Srbije, međutim, odgovori i objašnjenja nisu stigla do objavljivanja ovog teksta.
Ugovori koji su dostupni javnosti pokazuju da se tokom poslednjih godina ulagalo u napredne sisteme monitoringa različitih bezbednosnih pretnji.
Tokom poslednje četiri godine potpisano je najmanje jedanaest ugovora vrednih više od 10 miliona evra koji se odnose na različite usluge razvoja i bezbednosti informacionih sistema, ali i praćenje različitih napada na informacionu infrastrukturu EPS-a, pokazuju podaci sa Portala javnih nabavki.
Najveći deo ovih ugovora potpisan je tokom 2021. godine.
Ugovor vredan preko milijardu evra
Tako je krajem marta 2021. godine potpisan ugovor za „proširenje monitoringa ranjivosti informacionih sistema EPS-a“.
Ovaj ugovor vredan više od 1,2 miliona evra potpisan je sa firmom SKY Express doo iz Beograda. Ova firma postoji 20 godina, a kako se navodi na njihovom sajtu, ekskluzivni su distributeri naprednih sajber bezbednosnih rešenja i pokrivaju tržište Srbije, Crne Gore, Bosne i Hercegovine, Severne Makedonije i Albanije.
Cilj nabavke koju je EPS dodelio firmi SKY Express doo je uvođenja sistema koji bi preventivno pratio „savremene bezbednosne pretnje“, navodi se konkursnom dokumentacijom, dostupnoj na portalu javnih nabavki Srbije.
Ovaj ugovor obuhvata praćenje bezbednosnih propusta, obuku zaposlenih, navodi se u dokumentaciji sa Portala javnih nabavki.
Sa firmom SKY Express tokom 2021. godine EPS sklapa još jedan ugovor koji se odnosi na praćenje bezbednosnih incidenata. U pitanju je godišnja licenca za 50.000 korisnika softverskog paket Panaseer koja je plaćena više od 600.000 evra.
Neposredno pre napada, EPS angažuje Beogradsku firmu Comtrade od koje naručuje sistem za bezbednosnu procenu različitih informacionih resursa i sistema.
Ovo rešenje kupljeno je tokom novembra 2023. godine za više od 200.000 evra.
RSE je pokušao da sazna na koje su sve propuste u informacionoj infrastrukturi ukazala kupljena rešenja pre incidenta. O tome su odbili da govore iz EPS-a, kao i iz pomenutih firmi koja su pružala usluge zaštite ovih sistema.
Ceo tekst pročitajte na Radio Slobodna Evropa.