Agencija za civilno letalstvo (CAA) je postala tarča resnega kibernetskega napada. Po prvih podatkih so napadalci vdrli v aplikacijo UAS repozitorij, kjer so zbrani podatki o vseh registriranih operaterjih in pilotih dronov v Sloveniji. Medtem ko kriminalistična preiskava še poteka, sje na mestu previdnost zaradi nevarnosti zlorabe identitete.
V ponedeljek, 13. aprila, je prišlo do nepooblaščenega vstopa v informacijski sistem Javne agencije za civilno letalstvo RS, natančneje v spletno aplikacijo UAS repozitorij. Gre za ključno bazo, preko katere se posamezniki registrirajo kot operaterji brezpilotnih zrakoplovov, opravljajo izpite in pridobivajo licence za letenje.
Kateri podatki so bili zajeti?
Čeprav preiskava še ugotavlja natančen obseg odtekanja informacij, narava aplikacije UAS repozitorij pomeni, da so v bazi shranjeni občutljivi in osebni podatki. V skladu z evropsko uredbo (EU 2019/947) morajo uporabniki v sistem recimo vnesti:
- Osebne podatke: Ime, priimek, naslov stalnega prebivališča in datum rojstva.
- Identifikacijske številke: EMŠO in davčno številko (potrebne za uradne evidence).
- Kontaktne informacije: Elektronske naslove in telefonske številke.
- Podatke o usposobljenosti: Številke pilotskih licenc, rezultate opravljenih izpitov in podatke o zavarovanju opreme.
Kaj od tega je odtujeno, ne vemo v tem trenutku, ko nastaja ta članek. Upamo lahko, da čim manj.
Nevarnost zlorabe identitete in ciljano ribarjenje
Takšen nabor podatkov napadalcem lahko olajša izvedbo t. i. krajo identitete. Z osebnimi podatki in identifikacijskimi številkami lahko tretje osebe poskušajo sklepati naročniška razmerja ali odpirati račune pri tujih ponudnikih storitev. Problem je tudi v tem, da določenih podatkov posameznik ne more spremeniti: recimo davčne številke, EMŠO, tudi naslova, datuma rojstva itd. Ko ti podatki uidejo, so izgubljeni.
Še večja nevarnost v tem trenutku predstavlja ciljano ribarjenje (spear phishing). Ker napadalci vedo, da ste recimo pilot drona, lahko pričakujete lažna elektronska sporočila, ki so videti kot uradni dopisi agencije. V njih vas bodo morda pozivali k “ponovni potrditvi identitete” ali “plačilu takse zaradi varnostnega vdora”, s čimer bi poskušali pridobiti še dostop do vaših gesel ali bančnih podatkov. Zato bodite zelo previdni, če prejmete takšno pošto, email, SMS ipd.
Agencija ustavila dostope, preiskava v teku
Agencija je takoj po zaznavi vdora blokirala vse dostope do aplikacije in incident priglasila Uradu vlade za informacijsko varnost (URSIV) ter nacionalnemu centru SIGOV-CERT. Policijska uprava Ljubljana je potrdila, da izvaja kriminalistično preiskavo.
Med preiskavo bo treba razčistiti tudi kaj točno se je zgodilo. Kateri podatki so odtujeni, kateri niso in ali so podatki v bazah CAA še kredibilni, torej nespremenjeni.
Kaj lahko storite zdaj?
Če ste registrirani v sistemu CAA, razmislite o naslednjih preventivnih ukrepih:
- Zamenjava gesel: Če ste isto geslo, kot ga uporabljate za UAS repozitorij, uporabljali tudi za druge storitve (e-pošta, e-banka), ga nemudoma zamenjajte.
- Previdnost pri komunikaciji: Ne odpirajte povezav v e-poštnih sporočilih, ki zahtevajo vnos osebnih podatkov, tudi če so videti kot uradna obvestila CAA.
- Spremljanje bančnih izpiskov: Bodite pozorni na morebitne nepooblaščene transakcije ali obvestila o novih naročniških razmerjih, ki jih niste sklenili.
Vsi ti podatki so v aktualnem časovnem obdobju še posebej občutljivi. Seznam oseb, ki posedujejo in imajo znanja za upravljanje brezpilotnih letalnikov v državi, je lahko občutljiva informacija. Smo v svetu, kjer se brezpilotni sistemi vse bolj uporabljajo tudi v vojaške namene, ljudje, ki z njimi znajo upravljati pa so lahko koristni (in zanimivi) marsikomu. Konec koncev so med njimi posamezniki, ki bi se lahko zaradi določenega predznanja uporabe brezpilotnih letalnikov, četudi so to “samo” droni, lahko hitro (ali vsaj občutno hitreje kot popolni laiki) priučili za obrambno ofenzivne rabe brezpilotnih letalnikov. Od tu dalje razmišljajte sami, saj bi zaplavali na področje špekulacij.
