.webp){kind=icon}
Државните институции сами одлучуваат како да се заштитат од сајбер-напади. Во државата ниту има закон што ќе им обезбеди високо ниво на сајбер-безбедност на институциите, ниту пак е формирано тело што ќе се грижи за безбедноста на системите на институциите, кои пак располагаат со податоците на граѓаните. Голем дел веб-страници на јавните и државните институции го немаат ни основниот безбедносен сертификат, па тие се лесна цел за сајбер-напаѓачите. За земјава ова е изборна година, а сите се сеќаваме на нападот на страницата на Државната изборна комисија во 2020 година. Имено, како што извести тогаш Министерството за внатрешни работи, при крајот на изборниот процес, а особено во текот на објавувањето на прелиминарните резултати бил „регистриран DDoS напад, кој бил насочен на страницата https://www.sec.mk/ и кој влијаел на оневозможувањето на публикувањето на резултатите од апликацијата на дедицираниот сервер за објавување на прелиминарните резултати“. Што направивме за да се заштитиме?
Списокот на хакирани државни институции е долг
Во изминативе години цел на хакерски напади со блокирани системи беа и Фондот за здравствено осигурување, Е-дневникот, Бирото за јавни набавки, министерствата за земјоделство, за образование и за животна средина, а последна во низата е државната компанија АД МЕПСО, која веќе две недели се бори со сајбер-напаѓачите. Од АД МЕПСО информираа дека сè уште траат истрагата и ИТ-форензиката, сè додека вирусот не биде во целост елиминиран. Повеќе детали за сите наоди најавуваат за понатаму.
„Целосниот интегритет на електроенергетската мрежа и снабдувањето со електрична енергија не се загрозени, а критичната електроенергетска инфраструктура не е предмет на нападот, безбедна е и целосно функционална“, велат од МЕПСО.
Системите не се ажурираат редовно, а нема ни доволно стручен кадар
За заштита на државните институции од сајбер-напади е задолжен тимот од Националниот центар за одговор на компјутерски инциденти (МКД-ЦИРТ), кој е дел од Агенцијата за електронски комуникации. Ова тело е формирано во 2016 години и постапува само доколку некоја институција побара помош. „Законски ниту една институција не е обврзана да пријави дека е цел на сајбер-напад, па затоа бројот на пријави е реален“, велат од МКД-ЦИРТ за „Блумберг Адрија“.
„Прецизното одбројување на пријавените инциденти може да биде предизвик. Во 2023 година имаше значителен број на пријавени инциденти од страна на институциите. Во тек e усвојување на годишниот извештај на МКД-ЦИРТ за 2023 година од страна на Владата на РСМ, каде што ќе бидат објавени бројките за пријавените сајбер-инциденти од институции и граѓани. Во тековната година има посериозен пристап од институциите во врска со пријавувањето на инцидентите“, наведуваат од МКД-ЦИРТ.
Проблем е ниското ниво на безбедност на системите, само мал дел од институциите имаат воведено мерки за сајбер-безбедност. Дефицитот од човечки ресурси што се квалификувани за сајбер-безбедност дополнително ја ослабува способноста на институциите да се заштитат од напади. Во ера на дигитализација со напредни нови методи и техники на напад, системите што ги имаат институциите треба да подлежат на постојано ажурирање и надградување.
Барањето откуп е главен мотив на сајбер-напаѓачите
„Институциите често се цел на сајбер-напади, бидејќи нивните податоци и системи може да бидат критични за нивната оперативна функционалност“, велат од МКД-ЦИРТ. Напаѓачите со рансомвер ги шифрираат и ги држат во заложништво податоците за исполнување на нивната крајна цел финансиска компензација за институцијата повторно да има пристап до нив.
„Најчестите напади врз институции се фишинг-нападите, кои испраќаат мејлови што изгледаат како да доаѓаат од постојните и легитимни компании. Малициозен софтвер (познат како малвер - англ. malware) е софтвер што може да ви наштети преку бришење важни податоци, злоупотреба на вашите уреди за напади и уцени преку заклучување или шифрирање на документите и искористувањето на ранливости (vulnerability), вклучувајќи ги и „зеро-деј“ (zero-day vulnerability). Ова се случува преку експлоатирање на ранливоста во софтверот или уредите за заштита, како што се фиревал, ИДС (англ. intrusion detection systems - IDS) или други заштитни механизми“, посочуваат од МКД-ЦИРТ.
Законот за безбедност на мрежни и информациски системи стои во Собрание од 2019 година
Петта година предложеното законско решение од страна на Министерството за информатичко општество е заглавено во собраниска постапка. Овој предлог-закон ќе треба да воспостави високо ниво на сајбер-безбедност за јавните и државните институции, а со неговото стапување во сила ќе треба да се формира и дигитална агенција.
„Со самото усвојување на законот за безбедност на мрежни и информациски системи и дигитална трансформација и со неговото стапување во сила, почнуваат да течат роковите за формирање на агенцијата. Системот за одговор на сајбер-закани во РСМ е децентрализиран и секоја институција си е посебна во тоа поле. Со стапувањето во сила на законот ќе се централизира сајбер-заштитата на ниво на државни институции“, велат од Министерството за информатичко општество.
