Na Mariborski univerzi še niso prejeli zahtev kibernetskih napadalcev

Na mariborski univerzi, kjer je njihov informacijski sistem zaradi obsežnejšega kibernetskega napada še vedno onesposobljen, do tega trenutka niso prejeli nobene zahteve napadalca po plačilu dekripcijskega ključa, so sporočili v današnji izjavi za medije. Škode za zdaj še ni mogoče oceniti, so dodali.

Kot so popoldne nekoliko bolj obširno pojasnili, so v sredo po 20. uri zvečer zaznali izpad delovanja IT storitev ter nedostopnost opreme. Napadalec je uspel kriptirati centralne podatkovne oziroma strežniške zmogljivosti in izvesti druge destruktivne aktivnosti.

»Prometni podatki nakazujejo, da do odtoka informacij ni prišlo. V tem trenutku skupina strokovnjakov v sodelovanju s pristojnimi organizacijami in policijo še vedno opravlja analizo oziroma diagnostiko,« so pojasnili na Univerzi v Mariboru in dodali, da je bil ugotovljen tudi vektor napada, ki je bil, kot kaže, usmerjen le v centralne zmogljivosti univerze.

Ni še jasno, kaj napadalci zahtevajo od napadene mariborske univerze

Obseg napada zelo velik

Na univerzi ocenjujejo, da je obseg napada zelo velik, saj v tem trenutku ne deluje nobena IT storitev. To za njih predstavlja veliko motnjo, a so izvajanje pedagoškega in raziskovalnega dela prilagodili razmeram, so še sporočili iz rektorata univerze.

Ob tem so še pojasnili, da bo škodo in čas, ki bo potreben za vzpostavitev delujočega stanja, mogoče oceniti šele po končani preiskavi. Drugih podrobnosti zaradi interesa preiskave za zdaj še ne morejo razkrivati.

»Študentje normalno obiskujejo predavanja. Vsi pa seveda vemo, kako zelo smo odvisni od računalniških sistemov,« je razmere komentirala vodja odnosov z javnostjo na mariborski univerzi Alenka Ribič. Univerza je v stiku z ustreznimi organi in strokovnjaki za informacijsko tehnologijo ter si prizadeva vzpostaviti sistem.

Z vdorom v informacijski sistem se ukvarja tudi policija. Kot so v četrtek sporočili z mariborske policijske uprave, trenutno potekajo intenzivne kriminalistične aktivnosti v zvezi s tem.

Na univerzi niso komentirali navedb Dela, da gre za zelo resen kibernetski napad, s katerim so storilci z izsiljevalskim virusom v celoti zakodirali njihov informacijski sistem, tudi varnostne kopije. Kot smo poročali, naj bi bila škoda velika, odpravljanje posledic napada pa naj bi trajalo več tednov. Za zdaj še ni znano, kaj naj bi napadalci zahtevali od univerze v zameno za dostop do blokiranih podatkov.

»Na Univerzi v Mariboru smo bili 23. oktobra po 20. uri žrtev obsežnega kibernetskega napada. Smo v stiku z ustreznimi organi in IT-strokovnjaki. Intenzivno se trudimo z vzpostavitvijo sistema, hkrati pa z organizacijo delovnega in pedagoškega procesa,« so v četrtek dopoldne sporočili z univerze. Novih informacij do nadaljnjega ne nameravajo dajati.

O kibernetskem incidentu so bili obveščeni tudi na nacionalnem odzivnem centru za kibernetsko varnost SI-Cert. Kot so sporočili, univerzi zagotavljajo metodološko podporo pri izvajanju preiskave in ponovni vzpostavitvi delovanja informacijskega sistema. Prizadetim uporabnikom svetujejo, da spremljajo obvestila univerze in upoštevajo njena navodila.

Kršitve morajo javiti v 72 urah

Kot je za Delo danes pojasnil informacijski pooblaščenec,  še ni bil uradno obveščen o kibernetskem napadu na Univerzo v Mariboru.

V primeru kibernetskih napadov, ki pomenijo tudi kršitev varnosti osebnih podatkov, to je njihove zaupnosti, celovitosti ali razpoložljivosti, morajo po določbah 33. člena splošne uredbe (GDPR) upravljavci osebnih podatkov brez nepotrebnega odlašanja, po možnosti najpozneje v 72 urah po seznanitvi s kršitvijo, o njej uradno obvestiti pristojni nadzorni organ, to je informacijskega pooblaščenca, razen če ni verjetno, da bi bile s kršitvijo varstva osebnih podatkov ogrožene pravice in svoboščine posameznikov. »Kadar uradno obvestilo nadzornemu organu ni podano v 72 urah, se mu priloži navedbo razlogov za zamudo, če informacij ni mogoče zagotoviti istočasno, pa se te lahko zagotovijo postopoma, vendar brez nepotrebnega dodatnega odlašanja,« so pojasnili.

O sankcijah še ne morejo soditi

Upravljavci morajo dokumentirati vsako kršitev varstva osebnih podatkov, prav tako dejstva, povezana  s kršitvijo, njene učinke in sprejete popravne ukrepe. Ta dokumentacija nadzornemu organu omogoči, da lahko v okviru inšpekcijskega postopka preveri skladnost s splošno uredbo in ukrepa glede na ugotovljeno stanje. Ugotavlja se predvsem, ali je zavezanec imel vpeljane ustrezne organizacijske in tehnične postopke in ukrepe za zagotavljanje varnosti podatkov, v primeru ugotovljenih kršitev pa mu informacijski pooblaščenec  lahko odredi izvedbo popravljalnih ukrepov in tudi uvede prekrškovni postopek. O morebitnih sankcijah je v tem trenutku še prezgodaj soditi.

Kot so navedli, je trenutno težko oceniti, kakšen bo vpliv kibernetskega napada na posameznike. Pri tovrstnih napadih so z vidika dostopnosti oziroma razpoložljivosti zelo pomembne varnostne kopije, ki pa ne smejo biti izpostavljene napadu, obenem morajo omogočati dejansko restavriranje podatkov. Nezmožnost restavriranja podatkov ima lahko precej hude posledice za posameznike, denimo izgubo podatkov o ocenah, o plačah in podobno.

»Poleg same razpoložljivosti podatkov je treba upoštevati tudi, ali je prišlo do nezakonitega kopiranja osebnih podatkov in s tem trajnejše izgube zaupnosti podatkov. Informacijski pooblaščenec še opozarja, da so zavezanci v primeru težjih posledic za posameznike dolžni obvestiti tudi vsakega od njih skladno s 34. členom splošne uredbe (GDPR), obvestilo pa mora vsebovati opis verjetnih posledic kršitve varstva osebnih podatkov in opis ukrepov, ki jih upravljavec sprejme za obravnavanje kršitve, pa tudi ukrepov za ublažitev morebitnih škodljivih učinkov kršitve.« Obveščanje prizadetih posameznikov pa lahko po preučitvi verjetnosti, da bi kršitev varstva osebnih podatkov povzročila veliko tveganje, od njega zahteva nadzorni organ, je za Delo pojasnil informacijski pooblaščenec.