Со наближувањето на изборите, Македонија се соочува со зголемена активност на сајбер-напади и дезинформации. Националниот центар за одговор на компјутерски инциденти (MKD-CIRT) регистрира постојан раст на бројот и сложеноста на нападите, кои најчесто се интензивираат пред или по значајни политички и општествени настани. Нападите главно потекнуваат од меѓународни извори и користат различни техники за прикривање – од ботнети до VPN мрежи. Иако MKD-CIRT обезбедува техничка поддршка и координација за повеќе од 150 институции, центарот располага со ограничени ресурси – само шест вработени. Овој недостаток на капацитети ја наметнува потребата за воспоставување национален SOC (Security Operations Center), кој би овозможил 24/7 мониторинг и автоматска детекција на инциденти. За тоа како Македонија се справува со овие предизвици и колку е усогласена со европските стандарди за сајбер-безбедност, разговаравме со директорот на Националниот центар, Севдали Селмани.
Која е улогата на MKD-CIRT?
MKD-CIRT е Национален центар за одговор на компјутерски инциденти во Северна Македонија. Неговата улога е да ги штити институциите и критичната инфраструктура од сајбер-напади преку превенција, навремено известување и техничка поддршка. Инциденти може да се пријават директно од институции, преку меѓународни партнери или автоматски системи. По добиена пријава, MKD-CIRT врши анализа, дава препораки, координира со други надлежни органи и предлага мерки за санирање и зајакнување на безбедноста.
Дали во последно време има зголемена активност на сајбер напади и дезинформации?
Да, во последно време се забележува зголемување на бројот и на сложеноста на сајбер-нападите. Според анализите на MKD-CIRT, нападите често се интензивираат по значајни политички, општествени или безбедносни настани, како што се избори, меѓународни конференции или промени во законска регулатива. Овој тренд е сличен со она што го забележуваат и други европски CIRT тимови – сајбер-просторот се користи како алатка за притисок, дестабилизација или дезинформација, особено во чувствителни периоди. Затоа MKD-CIRT континуирано го следи контекстот и ги засилува превентивните активности во вакви фази.
Македонија влегува и во предизборен период, пред нас се локалните избори. Како се подготвувате да одговорите на зачестените сајбер напади или на дезинформациски кампањи?
Со оглед на искуствата од претходни изборни процеси во регионот и во Европа, реално е да се очекуваат обиди за сајбер напади или дезинформациски кампањи во периодот пред и за време на локалните избори. Најчести ризици се поврзани со фишинг напади кон општински вебстраници, DoS напади врз јавни портали, манипулации со социјални мрежи и обиди за компромитирање на е-пошта или бази на податоци. Важно е да се нагласи дека изборниот систем сам по себе е офлајн и технички изолиран, но нападите најчесто се насочени кон јавната доверба преку парализирање на информациски портали или ширење лажни содржини. Нашата цел е рано откривање, брз одговор и заштита на кредибилитетот на изборниот процес.
Сајбер закани на дневна основа
Кои се најчестите видови на напади на кои се изложени државните институции и приватните фирми?
MKD-CIRT најчесто се соочува со сајбер-напади од типот на фишинг и spear-phishing, насочени кон крадење на лозинки и доверливи податоци преку лажни е-пошта и вебстраници. Рансомвер нападите се исто така застапени, при што напаѓачите ги криптираат податоците и бараат откуп. Се евидентираат и DDoS напади, кои имаат цел да ја нарушат достапноста на веб-страници и онлајн услуги. Чести се и нападите врз службени е-пошта акаунти (Business Email Compromise), со цел финансиска измама или злоупотреба на службена комуникација. Напаѓачите често искористуваат познати ранливости во софтверот особено кога системите не се ажурирани. Забележана е и злоупотреба на вебстраници на институции преку вметнување на злонамерни скрипти. Дополнително, сè почести се разни видови на скамови (измами), кои циркулираат преку е-пошта, пораки или социјални мрежи – како лажни награди, вложувања, криптовалути и слично – насочени кон граѓани, но и вработени во јавната администрација.
Од кои земји најчесто доаѓаат нападите?
Нападите најчесто потекнуваат од меѓународни извори, особено од земји како Русија, Кина, Иран, Северна Кореја, но и од делови на Европа и САД, каде напаѓачите користат компромитирани сервери или VPN сервиси за прикривање.
Важно е да се спомене дека геолокацијата на нападот не секогаш значи вистински извор, бидејќи напаѓачите често користат ботнети и прокси мрежи низ целиот свет. Затоа MKD-CIRT при секоја анализа се фокусира повеќе на техниките и тактиките на нападот, отколку само на IP адресата.
Кој напад можете да го издвоите како најсериозен досега?
Еден од најсериозните напади што се издвојува е рансомвер напад врз наш конституент, при кој беа криптирани сите критични податоци и системи, што предизвика прекин на услугите неколку дена. Нападот беше сложен, со висок степен на автоматизација и прикривање на траги. MKD-CIRT веднаш интервенираше со техничка поддршка, анализа на компромитацијата и препораки за обновување од бекап. Благодарение на координираната реакција, институцијата успеа безбедно да ги поврати системите. Овој случај го потенцира значењето на навремено ажурирање, бекап и подготвеност за одговор на инциденти.
Недостаток на кадар и буџет
Како е опремен Националниот центар, дали му недостига кадар или финансии?
Националниот центар за одговор на компјутерски инциденти (MKD-CIRT) моментално обезбедува техничка поддршка, координација и реакција за над 150 институции и оператори од критична инфраструктура, но располага со ограничени човечки капацитети – вкупно 6 лица, од кои дел се ИТ инженери. Со оглед на растечките обврски и зачестените закани, потребен е троен раст на кадарот, со нови профили како аналитичари за закани, форензичари. Исто така, се предвидува и целосна имплементација на национален SOC – централизирана оперативна платформа за 24/7 мониторинг, анализа и автоматска детекција на инциденти. Овој систем ќе овозможи рано предупредување, координиран одговор и техничка поддршка за институции од критичната инфраструктура, преминувајќи од реактивен кон проактивен пристап.
Од што зависи имплементацијата на оваа платформа?
Имплементацијата зависи од неколку предуслови, како што се, правна и буџетска поддршка, изградба на безбедна инфраструктура, ангажман на стручен кадар и воспоставување доверлива соработка со институциите чии системи се надгледуваат.
Како сте задоволни од финансиската рамка – дали имате зголемување на буџетот или кратење на финансиите?
Во моментов, буџетот за MKD-CIRT е ограничен и не секогаш го следи динамичното зголемување на ризиците и обврските кои произлегуваат од новиот закон и европските директиви. Иако има одредено зголемување во последните години, тоа не е доволно за да се поддржи целосна имплементација на клучни системи како национален SOC, ниту за вработување на доволен број стручни лица. Стабилен буџет е клучен бидејќи сајбер безбедноста бара постојани вложувања во технологии, обуки, инфраструктура и човечки капацитети, но се надеваме дека ова ќе се промени до датумот на примена на новиот закон.
Дали може да направите споредба како функционираат тимовите во Европската унија? MKD-CIRT учествува во меѓународни вежби и соработува со организации кои се препознатливи како лидери за одговор по компјутерски инциденти како што е FIRST, понатаму соработува со TF-CSIRT Trusted introducer, Германскиот ЦЕРТ.
Сите земји членки на ЕУ имаат воспоставени национални CIRT тимови (Computer Incident Response Teams), кои работат согласно ENISA стандардите и принципите на добри практики. Овие тимови се дел од европските мрежи за соработка, како што се TF-CSIRT, CSIRTs Network, и CSIRT-EU, каде се разменуваат информации, се координира одговорот на транснационални инциденти и се гради колективна отпорност. Во повеќето земји, овие тимови функционираат со јасно дефинирана законска рамка, која ги утврдува нивните надлежности, обврски и релации со институциите и приватниот сектор. Истовремено, имаат стабилен и независен буџет, што им овозможува да вработуваат доволен број експерти и да вложуваат во модерна инфраструктура – како што се Security Operations Centers (SOC) кои овозможуваат 24/7 мониторинг, автоматска детекција и анализа на закани.
На пример, во Холандија, националниот CIRT функционира со преку 60 високообучени експерти, вклучувајќи техничари, аналитичари за закани, правни советници и лица задолжени за меѓународна координација.
Во споредба со тоа, нашето национално CIRT тело – MKD-CIRT – е сè уште во фаза на институционално градење. Иако обезбедуваме услуги за над 150 институции, функционираме со ограничен број кадар и без национален SOC. Законот за сајбер безбедност конечно создава основа за тоа да се промени, но потребна е реална имплементација – кадровска, технолошка и финансиска.
Од закон до практична заштита
Го споменавте Законот за сајбер безбедност на мрежни и информациски системи, кој неодамна се усвои. Што очекувате да се промени?
Усвојувањето на Законот за безбедност на мрежни и информациски системи претставува клучна пресвртница во градењето на националната сајбер-отпорност во државата. Овој закон првпат воспоставува јасни обврски за јавни и приватни субјекти што обезбедуваат клучни услуги – како што се енергетиката, транспортот, водоснабдувањето, финансиските институции, но и сите државни органи. Законот предвидува период на транзиција – очекувано е одредбите да почнат да се применуваат по 01.1.2026 година, до тој период ќе се донесат подзаконски акти, ќе се формираат или формализираат надлежните органи.
Во законот се предвидува и формирање на владин центар. Дали тоа ќе ја олесни вашата работа?
Да, формирањето на владиниот центар за сајбер безбедност, како што е предвидено со новиот закон, претставува значаен чекор напред. Владиниот центар за сајбер безбедност, ќе биде национално координативно тело, со улога да ги поврзе сите клучни државни институции и надлежни владини органи во справувањето со сајбер ризиците што ќе ја олесни работата на MKD-CIRT за конституентите од владиниот сектор. Исто така ќе се воспостави стратешка вертикала помеѓу MKD-CIRT (како Национален центар за одговор на компјутерски инциденти) и владиниот центар (како координативно тело) и ова ќе овозможи побрзо носење на одлуки, особено во кризни ситуации. Тој ќе биде фокусиран исклучиво на сајбер-безбедноста на институциите од државната управа според НИС2 директивата, додека MKD-CIRT ќе продолжи да има координациска и стратешка улога на национално ниво, како и во меѓународната соработка.
До примена на законот, се очекува Владата да донесе одлука за основање, структура и надлежности на центарот, а постапките за кадровска и техничка екипираност би започнале веднаш потоа.
Дали личните податоци на граѓаните со кои располагаат државните институции се безбедни? Дали граѓаните можат да ја тужат државата ако нивните лични податоци се злоупотребени?
Заштитата на личните податоци е законска обврска на сите државни институции, а MKD-CIRT соработува со нив во насока на зајакнување на техничките и организациските мерки за сајбер-безбедност. Сепак, како и во секоја држава, не постои апсолутна безбедност, и постои ризик од инциденти, особено доколку системите не се соодветно одржувани или заштитени.
Во случаи кога дојде до повреда на лични податоци, институциите имаат обврска да го известат Агенцијата за заштита на лични податоци и засегнатите граѓани, согласно Законот за заштита на личните податоци. Граѓаните имаат право да поднесат тужба против државата или конкретната институција доколку нивните лични податоци се злоупотребени или недоволно заштитени, и доколку од тоа претрпеле штета. Ова право произлегува од националното законодавство, но и од прописите на ЕУ (како што е GDPR), кои се земаат предвид во домашниот правен систем.
Што според Вас е клучно за да се изгради систем кој ќе понуди поголема заштита од сајбер напади?
Мое мислење е дека треба да постои централизирана национална координација, но со децентрализирана техничка имплементација. Тоа значи едно координирачко владино тело што ќе поставува политики, приоритети и ќе обезбеди буџет и надзор, но и силни, стручно опремени CIRT тимови, кои оперативно ќе се справуваат со инциденти и ќе бидат во постојана комуникација со операторите од критична инфраструктура. Премногу централизација носи ризик од тесно грло и одложена реакција, додека добро организирана мрежа со јасни улоги и одговорности ја зголемува отпорноста и ја подобрува координацијата во реално време. Клучот е во јасна структура, ресурси, координација и доверба помеѓу сите засегнати страни.
Оваа содржина ја изработи Институтот за комуникациски студии.
Новинарка: Соња Петрушевска Поповска
