Skoči do osrednje vsebine

Preklic stanja povečane ogroženosti varnosti omrežij in informacijskih sistemov

Uprava Republike Slovenije za informacijsko varnost preklicuje stanje povečane ogroženosti varnosti omrežij in informacijskih sistemov, ki je bilo razglašeno 7. marca 2021.

Na podlagi drugega odstavka 22. člena Zakona o informacijski varnosti (Uradni list RS, številka 30/18), Uprava Republike Slovenije  za informacijsko varnost kot pristojni nacionalni organ preklicuje stanje povečane ogroženosti varnosti omrežij in informacijskih  sistemov zavezancev iz Zakona o informacijski varnosti, ki so bili s sklepom Vlade Republike Slovenije na podlagi navedenega  zakona določeni kot izvajalci bistvenih storitev oziroma organi državne uprave. Stanje povečane ogroženosti varnosti omrežij in  informacijskih sistemov se je nanašalo tudi na druge organizacije, ki uporabljajo strežnike Microsoft Exchange.

Uprava Republike Slovenije za informacijsko varnost je v nedeljo, 7. 3. 2021, na podlagi objavljenih analiz in pridobljenih informacij ter v sodelovanju z drugimi pristojnimi organi ugotovila ter podala oceno, da gre za stanje povečane ogroženosti varnosti omrežij in informacijskih sistemov zavezancev iz Zakona o informacijski varnosti, ki so bili s sklepom Vlade Republike Slovenije na podlagi navedenega zakona določeni kot izvajalci bistvenih storitev oziroma organi državne uprave (dokument številka 386-2/2021-3132-17 z dne 7. 3. 2021) ter v nadaljevanju izvedla več ukrepov z namenom zmanjševanja vpliva več »0-day« ranljivosti strežnikov Microsoft Exchange.

S podporo SI-CERT je Uprava Republike Slovenije za informacijsko varnost redno spremljala število še ne nadgrajenih, in s tem potencialno ranljivih, strežnikov MS Exchange v slovenskem internetnem prostoru. Glede na ustrezne odzive izvajalcev bistvenih storitev in organov državne uprave ter glede na izrazito padajoči trend (35 ranljivih strežnikov v celotnem slovenskem internetnem prostoru na dan 1. 4. 2021) Uprava Republike Slovenije za informacijsko varnost ocenjuje, da ni več podana velika verjetnost  realizacije težjega ali kritičnega incidenta iz prvega odstavka oziroma kibernetskega napada iz drugega odstavka 21. člena Zakona o informacijski varnosti.

Uprava Republike Slovenije za informacijsko varnost kljub zgoraj navedeni oceni izvajalcem bistvenih storitev in organom državne uprave priporoča, da še naprej skrbno spremljajo delovanje svojih informacijskih sistemov, tako Microsoft Exchange kot tudi tistih, ki so povezani z njimi, predvsem Microsoftovi. Obstaja verjetnost, da kateri od vdorov ni bil zaznan in s tem možnost zlorabe tega  (konkretnega) strežnika kljub temu, da je bil ta (konkretni) Microsoft Exchange strežnik nadgrajen. Uprava Republike Slovenije za  informacijsko varnost zaradi tega priporoča, da izvajalci bistvenih storitev in organi državne uprave redno izvajajo dodatne varnostne aktivnosti in sicer tako, da preverjajo svoje Microsoft Exchange strežnike z orodjem Microsoft Safety Scanner (MSERT)12  v »Full Scan« načinu ter da dodatno analizirajo loge teh istih strežnikov z uporabo Microsoft Test-ProxyLogon.ps13 skripte. V primeru  zaznave kakršnih koli indikatorjev zlorabe naj o tem poročajo SI-CERT oziroma SIGOV-CERT. Predlagamo, da redno spremljajo objave  na spletni strani SI-CERT.