Демант од ФЗОРСМ
Надополнето во 16.23 ч., 17-ти февруари:И покрај тоа што IT.mk за комуникација со ФЗОМ ги користеше официјалните телефонски броеви достапни на сајтот (бидејќи мејловите не им функционираат заради хакирањето) и од официјален службен телефонски повик, бевме препратени на друг официјален службен мобилен број и разговаравме со службено лице од ФЗОМ кое ни ги потврди и соопшти податоците, од ФЗОМ добивме барање да го објавиме следниот демант, кој го објавуваме во целост:
“ДЕМАНТ
Почитувани,
ФЗОРСМ најосто ги демантира наводите на it.mk дека на официјален начин, по официјален канал од страна на ИТ одделот на Фондот се дадени/споделени било какви информации.
Единствен официјален канал за комуникација во ФЗОМ е преку официјални лица за односи со јавност.
Со почит ФЗОРСМ”
Фондот за здравствено осигурување на Македонија е хакиран од 8-ми февруари, а со нападот огромен дел од податоците во институцијата се енкриптирани од страна на хакерот, кој за доставување на криптографски клуч кој би ги отклучил податоците бара исплата на одредена сума во биткоини. Фондот не може да исплати ништо од својот трезор, што значи дека исплата по било кој основ не е возможна, вклучувајќи и тоа дека вработените и здравствените работници не можат да земат плата. Овој вид на напад е познат како “ransomware“.
IT.mk контактираше со лица од ИТ одделот на ФЗОМ кои негираа дека сумата која се бара за исплата е 2.000 биткоини (околу 44 милиони евра), како што веќе пренесоа голем дел од медиумите. Според доставените информации, сумата која се бара за отплата на ransomware-от е смешна и не се брои ниту во неколку стотици евра. Од ФЗОМ, соопштија дека е најдено решение за проблемот и изјавија и дека имало валидни бекапи на податоците, но бидејќи станувало збор за огромен број на податоци процесот за враќање на бекапот е комплициран.
Што е ФЗОМ?
Фондот за здравствено осигурување на Македонија е основан со Законот за здравствено осигурување (“Сл.весник на РМ” бр.25/2000, 34/2000 и 96/2000) заради спроведување на задолжително здравствено осигурување, како институција која врши дејност од јавен интерес и јавни овластувања утврдени со Законот. Со Законот за здравствено осигурување се уредува здравственото осигурување на граѓаните, правата и обврските од здравственото осигурување, како и начинот на спроведување на здравственото осигурување. Врз основа на овластувањата дадени во Законот и делокругот на работа, со Фондот управува Управен одбор, а со работата на Фондот раководи Директорот на Фондот. Работите и работните задачи Фондот ги изврши согласно Програмата и Планот за работа на Фондот, усвоена на почетокот на годината. Планските активности се спроведуваат согласно реформските процеси во здравствениот сектор, со подршка на Светската банка и се одвиваа во следните насоки:– Реформи во примарната здравствена заштита
– Реформи во специјалистичко – консултативна здравствена заштита
– Реформи во болничката здравствена заштита
– Воведување на информациона технологија во здравството
– Континуирани тековни активности спрема планот и програмата за работа на Фондот за тековната година
– Фондот врши дејност од јавен интерес и врши јавни овластувања утврдени со овој закон.
– Фондот има својство на правно лице.
– Фондот е самостоен во својата работа.
– Седиштето на Фондот е во Скопје.
– Фондот има статут.
– Фондот има единствена жиро – сметка.
Горенаведените информации се информации кои IT.mk ги доби по официјален канал од страна на ИТ одделот на ФЗОМ и ги споделува без дополнителна проверка на вистинитоста на истите. IT.mk побара и коментар од страна на Национален центар за одговор на компјутерски инциденти (MKD-CIRT) поврзано со оваа ситуација.
Вчера јавно, хакирањето го потврди и премиерот Димитар Ковачевски, кој соопшти дека се ангажирани експерти од Германија а воедно и дека станува збор за хибридна војна – термин кој во последно време зачести во изјавите на владините претставници:
– Се работи за напад со „ransomware“. Тоа е дел од хибридната војна која се води моментално во Европа, покрај класичната војна што се води во Украина со нападот од Русија. На вакви напади беа изложени голем број институции во голем број држави, особено членките на НАТО. Имаше сајбер напади во Албанија и во Црна Гора. Моментално тимовите на Министерството за здравство и ФЗОМ и други институции работат со експерти од Германија и од други партнерски држави за да се реши проблемот со хакерскиот напад во Фондот за здравство бидејќи моментално не може да функционира трезорот и исплатата на финансиските средства по различни основи. Вчера разговарав со министерот за финансии да се најде начин во наредните денови ќе имаат решение, но свесен дека вработените немаат земено плата и имаат кредитни картички, разговаравме да се направи исплата преку централниот трезор, а потоа порамнување со трезорот во ФЗОМ. Сега и Министерството за финансии е вклучено. Се работи за комплексна операција. Апелирам сите вработени во здравството и корисниците на услугите на Фондот да имаат трпение, бидејќи вработените во Фондот деноноќно работат со цел проблемот да биде решен во корист на сите корисници. Преку вработените во ФЗОМ немаше застој на услугите, ги продолжија работните часови, ги сменија процедурите рачно да се процесираат барањата на осигурениците – изјави премиерот Ковачевски.
ФЗОМ имал докази дека податоците се само енкриптирани, но не и украдени
Од ФЗОМ велат дека според логови од нивниот Firewall, како и според анализата на MKD-CIRT, огромниот број на податоци, во кои се наоѓаат и купишта лични податоци на граѓани и здравствени работници, не биле украдени и изнесени, туку само енкриптирани.
При разговорот, IT.mk побара коментар на шпекулацијата кои одредени медиуми ја пренесоа дека ФЗОМ нема валиден бекап, на што беше одговорено дека институцијата имала бекап но процесот на враќање на истиот – бидејќи имало голем број на податоци – траел доста време. За оддржувањето на афектираните системи на ФЗОМ надлежен бил ИТ одделот на ФЗОМ, кој поради недостиг на ресурси уште лани побарал за овој работен ангажман да се организира тендер и да се додели работата на трета фирма, но според нашиот соговорник, одговорот бил дека немало пари да се спроведе тендерот – факт што многу говори за грижата за инфраструктурата ако се знае дека се очекувало “хибридна војна”.
Хибридна војна како изговор за неодговорноста и непрофесионализмот
Терминот хибридна војна е фраза воспоставена во 2007 година од страна на Френк Хофман од Potomac Institue for Policy Studies во истражувањето “Conflict in the 21st Century: The Rise of Hybrid Wars“. Самиот термин, за кој нема универзално прифатена дефиниција, во истражувањето на Хофман е опишан како:
“Хибридното војување е теорија на воена стратегија, која користи политичко војување и ги спојува конвенционалното војување, нередовното војување и сајбер војната со други методи на влијание, како што се лажните вести, дипломатија, законодавство и странска изборна интервенција. Со комбинирање на кинетичките операции со субверзивни напори, агресорот има намера да избегне препознатливост или одмазда.”
Сумарно, станува збор за термин кој може да се користи при многу политички случувања и нестабилности, а некои експерти и аналитичари имаат и аргументи дека терминот е комплетно некорисен и апстрактен. Во Македонија, користењето на терминот во медиумите некако зачести по руско-украинскиот конфликт, а особено по стотиците лажни дојави за бомби.
Од нашите разговори со ИТ експерти кои работат и ИТ безбедност во своето секојдневие, се јавува чувство дека терминот се користи чисто политички а всушност со него се прикрива непрофесионализмот и неодговорноста за ИТ инфраструктурата на целата држава.
Откако ја почнавме темата „Системот е паднат“ – најважните владини сајтови со невалиден сертификат веќе 2 дена во јануари минатата година, до нашата редакција пристигнуваат неделно линкови и поплаки за нефункционалноста на државните сајтови, кои доколку се анализираат од ИТ аспект не би го поддржале ставот дека сè е чин на хибридна војна, или пак во најмала рака би аргументирале дека државата не презема ништо за да се заштити од хибридните војувачи.
Еве неколку илустративни примери од многуте достапни низ македонските gov.mk домени:
1. Сајтот на Министерството за здравство е без валиден SSL сертификат најмалку 5 месеци, нема ажуриран и користи PHP 7.4.6 (EOL Jan, 2021)
Дека Zdravstvo.gov.mk нема SSL е објавено од страна на IT.mk на 19-ти октомври, 2022 година во текстот Анти-кризни мерки: По продажба на патики преку Vlada.mk, државните сајтови сега копаат криптовалути
2. Vlada.mk не може да исчисти SPAM на Google веќе 6 месеци
На 28-ми септември, 2022-ра година пишувавме за како Vlada.mk „препродава“ патики, дресови, ташни и чевли по поволни цени. Ден денеска, скоро 6 месеци од јавната објава, Google резултатите за Vlada.mk сè уште имаат над 414.000 индексирани резултати за Nike,
Print Screen од резултати на Google.com од 17-ти февруари, 2023 година
3. Болница во Скопје без заштитен пристап до мрежна опрема
4. Јавна манипулација, неодговорно однесување и никаква одговорност
Не треба да копаме низ архивата за да споделиме повеќе примери од неодговорното однесување на државните институции кога е во прашање ИТ инфраструктура, доволно е да го земеме како пример официјалното соопштение испратено од ФЗОМ само неколку минути пред објава на овој текст во кое Фондот до јавноста испраќа известување во кое вели, цитираме:
“Како што ја информиравме јавноста уште од почетокот, при сајбер нападот немаше излевање на податоци надвор од базите на Фондот. Тоа го потврди анализата на експертските технички тимови. Оттука, децидни сме дека, податоците на корисниците на здравствени услуги вклучително и личните податоци се безбедни и заштитени и нема неовластено преземање на личните податоци, потенцираат од Фондот.”
Значи, да појасниме… Институција за која дури и премиерот потврди дека е хакирана, сè уште неопоравена од хакирањето, која тврди дека има огромен број на податоци, бекапи кои требало многу време да се враќаат, со моментално нефукционални системи излегува во јавност и граѓаните ги уверува:
…дека здравствените и личните податоци се целосно безбедни.
Јасно е дека треба да се смири топката… меѓутоа да се каже дека податоците на тукушто хакирана институција се “целосно безбедни”… однапред се извинуваме, но…
WTF!?!?
Стани премиум член и доби пристап до сите содржини, специјален попуст на над 2.200 производи во ИТ маркет, верификуван профил и можност за огласување на ИТ Огласник. Плус ќе го поддржиш медиумот кој го градиме цели 16 години!
Доколку веќе имаш премиум членство, најави се тука.
Друштво за информатичка технологија Некстсенс од 2011 година до денес е редовен добитник на тендерите на Фондот за здравствено осигурување поврзани со софтверските решенија на информатичкиот систем на ФЗОМ и нивна надградба и одржување. Вредноста на тие 14 договори е безмалку три милиони евра.
Nemam nisto protiv Nextsense no moze li nekade da doznaeme kakvi se tie softverski resenija koi se implementirani, dali se vo produkcija, dali nekoj voopsto gi koristi, dali naplatenite sumi za odrzuvanje na sistemot se realni i uste mnogu drugi prasanja na koi treba da se dade odgovor….
Mene me interesira i ovoj del:
Во моментов, како што велат оттаму, апликативните решенија/софтверот и базите на податоци се изолирани од делот на системот којшто беше предмет на напад и се финализираат сите активности за прочистување и проверка на целокупниот систем на Фондот за Здравство за да се обезбедат услови за повторно вклучување во нормален режим на работа.
Prasuvam, javno, ako moze nekoe tehnicko lice da ni objasni, ne pieme nafta nie tuka, koj e toj del od sistem koj bese predmet na napad i zosto treba dve nedeli za da se vrati vo zivot? Mozebi se vo pravo, no ostavate golem prostor za somnez.
Многу кеш треба да се издвои за купување лиценци
Кој е тој посочен вирус? И да бидеш апдејтиран, можеш сам ако сакаш да си инсталираш рансомвер, ако е направен саглам тој ќе ти го угаси антивирусот, или ако е уште пософистициран може да го прескокне.
Најчесто не се прават апдејти на системите затоа што апликациите кои се користат – работат. При апдејт има можност тоа да прекине со работа и потоа треба некој да загрее столче да го оправи проблемот.
Дали има ексфилтрација може да се дознае со читање логови, колкав аплоад има направено во тој период, дали се софпаѓа количината со да речеме претходната година или слично.
Има момци кои се разбираат со проблематикава и кај нас, не знам зошто по дифолт се иде со “експерти од странство”.
Огромна сума издвојуваат фирми за сајбер секјурити и сепак се случува да бидат пробиени.
Дали се знае за кој рансомвер станува збор? Ги има мал милион, не мора да значи дека е софистициран, може е лоша енкрипцијата па да се вратат директно без бекапи.
Plus toa ‘germanski’ :)
Шо ве читам вака смешни, мислите дека ИТ специјалистот Љутви од арачиново со основно 4-то одделение може да ги заштити системите :))))
Јас бев економски директор на една здравствена институција пред 10тина години и соработував со IT тимот на Министерството и на Фондот. Тоа беше здрава екипа луѓе од ПМФ потковани со знаење ентузијасти и се дискутираше за развој и надградување на системот. Од двата тима кој беа тогаш вработени денес нема ниту еден од нив. Дуи го наполни Фондот и Министерството со полуписмени и скрос неписмени нвини кадри и не трабаат никакви хакери, Системот сам ке падне од себе. Државата ни се претвори во неодржлива творба
Мислам дека бидејќи сте единствен медиум кој има квалификувани лица кои може да прашаат соодветни прашања, не треба паушално само да ја пренесувате веста и треба да побарате технички одговори.
Definitivno prasanja na koi treba kako javnost da barame odgovor i ja ohrabruvam redakcijata na IT.mk da bide uporna vo potraga po vistinata.
Да е само ПИОМ..се крие за другите државни институции исто вака што ги “хакираа”..нема обуки, нема свест за сигурност и нормално дека кога тогаш некоја тетка ќе кликне да се пријави за наследството од милион долари :)
Истражете како ќе делува ова — https://www.reddit.com/r/technology/comments/113j149/microsoft_permanently_disables_internet_explorer/ — на целиот процес на електронско поднесување документи во УЈП, особено сега во сред рокови за поднесување на годишно сметки. Hint: со јава се потпишуваат документи во ујп.
нема што да делува, може да се поднесуваат документи на e-tax системот со mozilla firefox.
Збориме тука за безбедност и ти викаш дека треба да користиме Firefox верзија од 2018 година со Java за да поднесуваме документи во УЈП: https://www.java.com/en/download/help/firefox_java.html :)
Истото и за ПИОМ. Сајтот https://uslugi.piom.com.mk/ исто има невалиден сертификат и е истечен уште на 28.11.2021 година, што значи година и 3 месеци.
Odlicen post, se soglasuvam so se ona sto e napisano.
Jas bi dodal i slednovo:
Celosno otsustvo na odgovornost prikrieno pozadi terminot ‘hibridna’ vojna.
Maksimalna netransparentnost od strana na drzavni institucii i nejzini reprezenti. Gi nema nikade cela nedela da objasnat sto se slucilo so sto dopolnitelno se zgolemuvaat spekulaciite. Ostavaat na politicarite da sirat demagogija (kako na primer Spasovski koj izjavuva deka po 6 meseci nemalo da bide vekje relevantno ona sto vazi deneska ili pak premierot koj treba da ja smiri topkata so toa sto angazirale
germanski eksperti? Na nasive sto im fali gospodine premier?)Zarem treba da se komentira zosto 5 meseci ne e updejtiran SSL certifikatot, zarem i za toa treba nadvoresna firma ili pak pricinata e lukrativna? Kolku vreme treba za update na SSL certifikat? I za SSL da ne vi treba slucajno koordinacija so NATO partnerite?
Imale backup podatoci, ok, sega pomirno spieme. Sto znaci ogromen broj na podatoci, dali moze nekako da se kvantificira, gigabajti, terabajti ? Kako se vrsi ‘restore’ procedurata i dali voopsto nekogas ja imaat istestirano? Ako ja imaa do sega se kje bese zavrseno….
Za ova:
и личните податоци се безбедни и заштитени и нема неовластено преземање на личните податоци
ne treba nikakov komentar.