NALED je, uz pomoć kompanija u svom članstvu – Asseco-a, IBM-a i Saga – sproveo jednu vrstu etičkog hakerisanja informacionih sistema jedinica lokalne samouprave.
Nedostatak IT kadra, nedostatak tehničkih i finansijskih resursa, zastarela oprema i krhki sistemi i mreže, uzrok su većine problema koje JLS imaju sa informacionim sistemom, zaključak je istraživanja koje je sproveo NALED.
Ilija Gavrilović, saradnik za regulatornu reformu u NALED-u, objašnjava za Portal Naša mesta da etičko hakerisanje (eng. ethical hacking) predstavlja skup aktivnosti, odnosno usluga, u vidu „kontrolisanog napada“ na mrežne resurse i/ili aplikacije.
Etičko hakerisanje je zapravo verna imitacija realnog napada nekog malicioznog aktera.
Jedan od vidova etičkog hakerisanja jeste i Penetration Testing odnosno testiranje napada na mrežne resurse i aplikacije iz perspektive neautorizovanih korisnika. Cilj takvog testiranja jeste identifikacija, analiza i demonstriranje postojanja i mogućnosti zloupotrebe ranjivosti u sistemima i podacima kako bi se za njih i povezane rizike saznalo pre nego to uradi neki haker i napravi stvarnu štetu.
Šta je pokazalo etičko hakerisanje JLS?
„Kada je reč o zaštiti podataka o ličnosti, istraživanje koje smo sproveli pokazalo je da se u čak 45 lokalnih samouprava ni na koji način se ne vrši kontrola odliva informacija. S druge strane, deo ispitanih lokalnih samouprava (18), koji vrši kontrolu, to najčešće radi putem kontrole pristupa javnim servisima za razmenu i čuvanje dokumenata, kontrolom elektronske pošte i kontrolom prenosivih memorijskih uređaja. Slično tome, 45 gradova i opština ne vrši ni enkripciju osetljivih podataka“, naveo je Gavrilović.
Prema informacijama dobijenim u istraživanjima gotovo sve lokalne samouprave navele su da beleže napade na informacione sisteme putem elektronske pošte (mejla), a par njih je navelo i napade randsomeware virusa. U tom periodu, tek svaka šesta nije zabeležila prekide u radu informacionog sistema, a one koje jesu, zabeležile su prekide u električnom napajanju, mrežnoj infrastrukturi ili telekomunikacionih linkova.
U skladu sa tim, zaključci istraživanja su: da je neophodno raditi na jačanju kapaciteta zaposlenih kroz organizaciju različitih treninga i radionica. Neophodna su veća finansijska ulaganja u oblast informacione bezbednosti. Izuzetno je značajno da zaposleni i njihovi rukovodioci imaju razvijenu svest o značaju informacione bezbednosti i posledica koje neki hakerski napad može da prouzrokuje.
Izuzetna ranjivost sistema na svim nivoima
Možemo govoriti o zaista katastrofalnim posledicama po rad lokalnih samouprava ukoliko bi se nešto tako desilo. Poslednji primeri Elektroprivrede Srbije i Republičkog geodetskog zavoda govore nam koliko su ranjivi sistemi i na državnom nivou, a kamoli na lokalnom.
„Dodatni problem za lokalne samouprave može predstavljati i to što su oni prvi kontakt građana sa državom i njenom administracijom. Samim tim, one čuvaju ogroman broj ličnih podataka građana i bilo bi veoma nezgodno kada bi se one našle na meti sajber napada„, istakao je Gavrilović.
