Postoji vrlo velika vjerojatnost da je hakerski napad na Inu koji traje već puna 33 dana i ne vidi mu se kraj stigao iz Mađarske, da je pomno isplaniran i razrađen te da je ciljano pokrenut u petak, 14. veljače poslijepodne, u vrijeme kada se u kompaniji nalazio manji broj informatičara koji je mogao pravodobno reagirati, pa je virus imao dovoljno vremena da nesmetano uđe u sve pore informatičkog sustava Ine i zaključa veliku većinu poslovne dokumentacije i baze podataka. „U trenutku kada je sustav izvan kontrole, Mađari mogu redizajnirati cijeli sustav kako su i planirali, a bez odobrenja bilo koga iz Vlade kao suvlasnika Ine.“ To je Nacionalu izjavio izvor vrlo blizak vrhu upravljačke strukture Ine, a njegove su nam riječi potom dodatno potvrdili IT stručnjaci upućeni u sustav funkcioniranja Inina poslovnog sustava. Znakovito je da se napad koji je zaključao baze podataka o poslovanju Ine, dogodio upravo u vrijeme kada poslovanje kompanije pretresaju stručnjaci međunarodne konzultantske kuće Lazard koja ima zadatak za račun Vlade provjeriti financijsko stanje u Ini i pronaći najpovoljniji model otkupa MOL-ovih dionica. S Ininom tvrtkom Plavi tim, čiji su zaposlenici zaduženi za IT projekte i održavanje sustava, tvrdi Nacionalov izvor, posljednjih nekoliko tjedana surađuju i informatički stručnjaci Microsofta koji nastoje pomoći u otključavanju napadnutih servera i povratku dragocjenih informacija, no u trenutku zaključenja ovog broja Nacionala nakon više od mjesec dana rada tek je dio baza podataka uspješno obnovljen. Ako je vjerovati Nacionalovim izvorima, mađarskom dijelu Uprave Ine na čelu sa Sandorom Fasimonom, jednako kao i nalogodavcu MOL-u kojem predsjeda na hrvatskom sudu nepravomoćno osuđeni Zsolt Hernádi, ne odgovara da Lazard dobije potpune i relevantne podatke o poslovanju Ine.

Prema neslužbenim informacijama do kojih je došao Nacional od izvora iz IT krugova koji je dobro poznaje funkcioniranje unutrašnjeg sustava Ine, zlonamjerni virus (malware) upao je u sustav i zaključao kompletnu internu prepisku unutar kompanije (e-mailove) i sve baze podataka o poslovanju. Prema tvrdnjama istog izvora napadom je obuhvaćeno ukupno 180 servera Ine, ali i u tvrtkama članicama Ina Grupe. Napada je ostao pošteđen sustav koji kontrolira sektor maloprodaje (benzinske postaje, kartično poslovanje,…) jer se taj sustav nalazi na zasebnoj domeni. Nedirnut je i SAP, Inin integrirani poslovni informacijski sustav, odnosno softverska aplikacija koja upravlja poslovnim procesima u svim segmentima poslovanja Ine, i to zahvaljujući činjenici da je to intranet, odnosno zatvoreni interni sustav koji funkcionira unutar kompanije i nije vezan uz internet pa u njega nije moguće prodrijeti izvana. To što je sustav maloprodaje ostao nedirnut sugerira da je taj segment bio posve nezanimljiv autorima napada i da su očito bili zainteresirani za baze podataka važne za funkcioniranje kompanije koje su znatno vrjednije. Po svemu sudeći napadači su točno znali što čine i napad su usmjerili na točno određeni segment poslovanja, ali i na unutrašnju poslovnu prepisku. To pak sugerira da je napad bio pažljivo isplaniran i da se na njegovoj pripremi radilo najmanje mjesec dana ili čak i više.

Zlonamjerni virus (malware) upao je u sustav i zaključao svu internu prepisku unutar kompanije (e-mailove) i sve baze podataka o poslovanju. Napadom je obuhvaćeno ukupno 180 servera Ine

Ina je, prema informacijama do kojih smo došli u stručnim IT krugovima, napadnuta računalnim virusom tipa ransomware. CERT, nacionalno tijelo za prevenciju i zaštitu od računalnih ugroza sigurnosti javnih informacijskih sustava u Hrvatskoj, definira ransomware kao skup zlonamjernih programa koji upadom u računalni sustav šifrira, odnosno „zaključava“ datoteke i onemogućuje njihovo korištenje. Na zaraženom računalu pojavi se poruka koju nije moguće maknuti, a od vlasnika računala (ili sustava) traži se otkupnina u zamjenu za dešifriranje, odnosno „otključavanje“ blokiranih datoteka i daljnje normalno korištenje računala. Prema još uvijek neslužbenim informacijama koje kolaju po stranicama specijaliziranim za informatičke tehnologije – jer ni Ina, a ni hrvatska vlada, odnosno Ministarstvo zaštite okoliša i energetike na čelu s ministrom Tomislavom Ćorićem koji je odgovoran za resor energetike ne izlaze u javnost s konkretnim podacima o napadu – javili su se i odgovorni za napad iznijevši zahtjev za isplatu 1500 bitcoina, odnosno oko 100 milijuna kuna kako bi otključali računalni sustav i vratili ga pod kontrolu Ine. Kako bi se spriječila šteta koju ovakav virus može nanijeti sustavu, CERT preporučuje poduzimanje brojnih preventivnih mjera poput redovitog ažuriranja operacijskog sustava i instaliranih aplikacija, opreza prilikom otvaranja nepoznatih mailova ili poruka sumnjivog sadržaja, a posebno je crvenom bojom istaknuto upozorenje: Najučinkovitiji način obrane od ransomwarea periodičko je kreiranje sigurnosnih kopija podataka (backup) na zasebne servere, a u slučaju kada se sigurnosne kopije datoteka pohranjuju na eksterni (vanjski) disk, taj je disk odmah nakon što su datoteke na njega pohranjene potrebno odspojiti (odvojiti) od računalnog sustava kako zlonamjerni virus ne bi detektirao i „zaključao“ i taj disk.

Upravo u sigurnosnim kopijama datoteka i leži najveći problem Ine zbog kojeg oporavak zaključanih datoteka toliko dugo traje. Prema onome što je Nacionalu potvrđeno, Ina očito nije sustavno radila tzv. „backup“ baze podataka i informacija vezanih uz poslovanje kompanije, odnosno kopije podataka na zasebnim serverima manjkave su i nepotpune ili su pak spremane neadekvatno. „Ina ima backup dijela dokumentacije, ali ne kompletne baze podataka“, potvrdio je Nacionalov visoki izvor blizak vrhu Ine. U Sektoru korporativnih komunikacija tvrde da se backup radi redovno i da se svi podaci spremaju na zasebne servere i na eksterne diskove. No naš neslužbeni izvor tvrdi da je istinitost tih tvrdnji vrlo upitna. „Kad bi postojao backup kompletne dokumentacije kako to tvrde u Ini, oporavak sustava trajao bi svega nekoliko dana jer bi se kompletni podaci jednostavno podigli s rezervnih servera ili eksternih diskova na kojima su pohranjeni i štete ne bi bilo. Umjesto toga, prošlo je već pet tjedana, a sustav još ne funkcionira“, upozorio je naš izvor. Iz Sektora za korporativne komunikacije Ine nisu željeli konkretnije govoriti o napadu. Na brojna Nacionalova pitanja o prirodi napada i širini zahvaćenih baza podataka te o šteti koju je napad načinio stigao je tek šturi odgovor da je „Ina Grupa u procesu otklanjanja poteškoća u informatičkim sustavima na koje je utjecao kibernetički napad, te da je većina usluga koje povremeno nisu radile u potpunosti oporavljena“. U odgovoru navode i da opskrba tržišta i prodaja goriva na Ininim maloprodajnim mjestima nisu ni u jednom trenutku bili ugroženi te da su sva plaćanja bila sigurna, neovisno o tome radi li se o gotovinskom plaćanju, Ina kartici ili bankovnoj kartici, čime su potvrđene riječi Nacionalovog izvora koji je kazao da je sustav maloprodaje ostao pošteđen jer se nalazi na drugoj domeni koja nije bila napadnuta. „Ina je bila transparentna za vrijeme ove situacije, a sve važne informacije mogu se pronaći u vijestima objavljenima na stranici kompanije. Kao što je već ranije spomenuto, kibernetički napad je prijavljen nadležnim institucijama s kojima Ina u potpunosti surađuje“, stoji na kraju odgovora. Iz istog su nam izvora potvrdili i da IT sektor u Ini održava tvrtka Plavi tim u vlasništvu Ine, no da u radu koriste i usluge vanjskih tvrtki-suradnika.

Na naš zahtjev da prokomentiraju okolnost da se kibernetički napad dogodio baš u vrijeme kada se u Ini nalaze Lazardovi konzultanti koji provjeravaju poslovanje Ine, odgovoreno nam je tek da je „proces dubinskog snimanja kompanije u tijeku i odvija se neometano“. No izvori upoznati s tom situacijom upozoravaju kako je očito da konzultanti Lazarda, baš kao ni zaposlenici Ine, nemaju uvid u dio dokumentacije koji je kriptiran uslijed kibernetičkog napada te da će to dodatno usporiti završetak posla i izradu izvješća koje ionako značajno kasni. Ni u MUP-u, čiji stručnjaci za kibernetički kriminal rade na istrazi ovoga napada, nisu bili rječitiji. „Kriminalističko istraživanje je u tijeku i u ovoj fazi nismo u mogućnosti iznositi više detalja kako ne bismo kompromitirali njegov tijek i konačan ishod“, stoji u kratkom odgovoru Službe za odnose s javnošću MUP-a.

Upozoravajuća je i činjenica da ni Nadzorni odbor Ine nema više informacija o prirodi napada i šteti koja je kompaniji nanesena prodorom zlonamjernog virusa u računalni sustav kompanije. „Znam samo da je napad izveden i kad je lansiran te da se funkcionalnost sustava skoro u potpunosti povratila“, kratko nam je događanje u Ini prokomentirao predsjednik Nadzornog odbora Damir Vanđelić, dodajući kako će vrlo vjerojatno tijekom ovoga tjedna imati više informacija o napadu. „Podsjećam na Ciceronovo pitanje ‘Qui prodest?’, odnosno tko bi i što tim napadom dobio“, kazao je Vanđelić u kratkom razgovoru za Nacional, no na naše podsjećanje da se napad dogodio upravo u vrijeme kada su u Ini Lazardovi konzultanti koji pročešljavaju baze podataka o poslovanju kompanije, odgovorio je tek da „za sada nije čuo ništa što bi opravdavalo takve sumnje“.

U Ini tvrde da je proces dubinskog snimanja kompanije u tijeku i odvija se neometano, ali Nacionalovi izvori tvrde da ni konzultanti Lazarda ni zaposlenici Ine nemaju uvid u dio dokumentacije kriptiran u napadu

Ugledni stručnjak za informacijsku sigurnost Lucijan Carić, suvlasnik tvrtke DefenseCode koja se bavi izradom cyber-alata za borbu protiv hakera, kazao nam je kako je, u slučaju kada kompanija nema potpuni backup datoteka, posve suvišno govoriti o tome koliko traje napad, jer bez sigurnosnih kopija računalni sustav može biti praktički vječno zaključan. „U slučaju da je kompromitirana sigurnosna kopija, odnosno ako nije napravljeno nekoliko verzija sigurnosnih kopija, a ransomware je oštetio postojeći backup, onda šteta može biti vrlo velika. Ne mogu govoriti što se dogodilo u konkretnom slučaju Ine jer ne poznajem njihov sustav, no načelno mogu kazati da je u ovakvim slučajevima u pravilu odgovornost na administratorima sustava koji očito nisu bili dovoljno kontrolirani ili je netko, posluživši se administratorskim ovlastima, načinio štetu u sustavu.

Je li to učinio namjerno ili nenamjerno teško je sa sigurnošću reći“, objasnio je Carić. I on je potvrdio ono što su nam u razgovoru kazali svi naši izvori: da je Ina imala kvalitetno i redovno ažuriran sustav sigurnosnih kopija, računalni sustav bi se oporavio vrlo brzo, već za nekoliko dana. Dodao je i kako svakako postoji i mogućnost ciljane kompromitacije sustava te da je kroz sigurnosnu „rupu“ u sustavu ubačen ransomware. No da bi se to realiziralo, kaže, potrebno je pronaći ranjivu točku unutar sustava – bilo da je riječ o računalu ili osobi – koja se potom iskoristi za ubacivanje virusa. „Teško mi je vjerovati da bi velika kompanija poput Ine u potpunosti izdvojila svoj računalni sustav i prepustila ga kompletno nekom vanjskom suradniku. S druge strane znam da mnoge kompanije koje pružaju takve usluge – a moja je kompanija jedna od takvih – već unutar vlastitog sustava kreira visoku razinu zaštite kako bi se spriječili napadi ovakve vrste, pa ne mora značiti da je outsourcing kompanija krivac za ovakav napad“, objasnio je naš sugovornik, dodajući da u Hrvatskoj ne postoji mnogo tvrtki koje se bave zaštitom podataka.

Carić kaže kako mu nije jasno da Ina u mjesec dana nije poduzela kvalitetne korake da vrati kontrolu nad vlastitim bazama podataka. Dodao je i da napad ovakve vrste uz pomoć osobe unutar kompanije nije uobičajen, ali ako se doista dogodio onda je to, kako je objasnio, najopasnija vrsta napada te da je moguće i da je napad bio ciljan. Naš sugovornik kaže i kako je iz kuloara saznao da su hakeri zatražili velik novac na ime otkupnine, no točan mu iznos nije poznat. „Iznos otkupnine uvijek ovisi o razini štete koja je načinjena sustavu, pa se računa, ako je potencijalna šteta velika, da će tvrtka biti spremna platiti velik novac kako bi izbjegla štete koje bi virus nanio poslovanju tvrtke. U pravilu razina štete ovisi o tome na koji način imate riješeno arhiviranje podataka i radite li redovne sigurnosne kopije datoteka.

Nažalost, vrlo često kompanije nisu u potpunosti svjesne opasnosti od napada i često ne pristupaju zaštiti podataka ozbiljno“, kazao je Carić, potvrdivši time neizravno da uzroci golemoj šteti koju je Ina pretrpjela od ovog napada leže upravo u nedovoljno ažuriranim sigurnosnim kopijama. Što se pak tiče otkupnog zahtjeva, Carić kaže kako hakeri u pravilu ne postavljaju nerealne zahtjeve, već traže iznose za koje procjenjuju da su ih „žrtve“ spremne platiti, ali upozorava da isključivo forenzička istraga može dati precizan odgovor na pitanje je li Ina bila žrtva ciljanog napada ili tek slučajno ubačenog virusa. No Carić kaže kako sumnja u sposobnost države i MUP-a da se aktivno nose s visokom razinom tehnološkog kriminala.

O tome je li moguće ciljano napasti točno određene segmente poslovanja, odnosno određene vrste fajlova i datoteka unutar kompanije – u Ininom slučaju to su e-mail prepiske i baze podataka o poslovanju – a one nezanimljive (poput maloprodaje) zaobići, pitali smo i direktora jedne IT tvrtke koji je odgovorio potvrdno. „Ako se to dogodilo u Ini, a sve upućuje na to da jest, onda je netko očito dobro poznavao strukturu njihove računalne mreže i način njezinog funkcioniranja te na koji način mogu aktivirati virus kako bi on zahvatio i kriptirao ciljane dijelove sustava. Treba znati da ransomware selektivno bira datoteke koje su mu zanimljive, ovisno o tome što mu je programski zadano i moguće ga je kreirati tako da on kriptira samo određene vrste dokumenata, a da ostale ne dira. Aktivacija ransomwarea uništava resurse računala, pa u slučaju da virus napadne neselektivno sve fajlove i sve datoteke može se dogoditi da čak i jednostavniji antivirusni program zaustavi takav napad. Mnogo je teže spriječiti virus koji selektivno kriptira samo određene vrste dokumenata jer takav će virus antivirusni program, ma kako sofisticiran bio, vrlo teško prepoznati kao anomaliju i neće ga spriječiti“, objasnio je taj sugovornik.

‘Podsjećam na Ciceronovo pitanje Qui prodest? odnosno tko bi i što tim napadom dobio’, prokomentirao je u kratkom razgovoru za Nacional predsjednik Nadzornog odbora Ine Damir Vanđelić

On kaže: „Ako se već radi računalna analiza virusa koji je pogodio Inu, a pretpostavljam da istražitelji za kibernetički kriminal rade na ovom slučaju, bilo bi zanimljivo vidjeti koji tipovi datoteka su zahvaćeni napadom. Tako se može dobiti ideja tko je i zbog čega te s kojom pozadinom napao Inin sustav. Ne vjerujem da je virus stvoren s namjerom da se intervenira unutar pojedinih dokumenata, no već je dovoljna šteta Ini nanesena činjenicom da bazama podataka ne mogu pristupiti više od mjesec dana.“ On tvrdi da već podatak da su ciljano napadnuti dokumenti i baze podataka koje nisu dio maloprodajne mreže svjedoči u korist vrlo realne mogućnosti da je napad doista izveden uz nečiju pomoć iznutra, a posve je moguće, kazao je, i da su hakeri bili dobro upoznati s činjenicom da Ina nije dovoljno ozbiljno i temeljito pristupila poslovima izrade sigurnosnih kopija baze podataka. „S backupom ovakav se problem jednostavno i brzo rješava u roku od nekoliko dana, no taj je sustav zakazao i samo je potvrdio da očito nije vođen dovoljno ozbiljno i temeljito“, potvrdio je ovaj IT stručnjak, no dodao je i da, s druge strane, treba znati da ovakve napade ne rade neuki materi. „Uzevši u obzir genezu cijele priče, očito je da je ovo posao dobro pripremljenih i visoko stručnih profesionalaca koji ne samo da su izveli cijeli posao na visokoj razini, nego su se zasigurno potrudili i zamesti svoje tragove. Oni dobro znaju kako istražitelje navesti na krivi trag i zamaskirati prave izvore iz kojih je napad došao i sumnjam da će biti moguće ući im u trag“, rekao je.

„S prilično velikom dozom sigurnosti mogu reći da je napad izvršen ciljano i da su hakeri imali informaciju na koji način napasti mrežu. Doista me čudi da je tako velika kompanija kakva je Ina tako olako pristupila problemu zaštite poslovnih podataka. Ne sumnjam da je tvrtka imala neke oblike zaštite, no netko je očito imao insajderske informacije i dobro je znao kako probiti taj sustav i na koji način ubaciti virus u mrežu“, kategoričan je ovaj sugovornik. On je na kraju upozorio i na činjenicu da suludo visok i nerealan zahtjev za otkupninu od 100 milijuna kuna, koji je navodno postavljen Ini kako bi se dešifrirale zaključane datoteke, samo potvrda činjenice da financijski interes napadačima nije bio najvažniji. „Tražiti toliki iznos posve je nerazumno i siguran sam da su hakeri bili svjesni činjenice da taj novac od Ine neće dobiti. Zahtjev za otkupninu je nesumnjivo bio paravan za neke druge interese. Uvjeren sam da je primarni interes napadača bio načiniti štetu Ini i spriječiti dostupnost poslovne dokumentacije i baza podataka“, zaključio je.