DRŽAVNI regulator, Hrvatska agencija za nadzor financijskih usluga (Hanfa), izgubila je sve podatke odnosno dokumente o nadzoru. Naime, ovaj je državni regulator nedavno pozvao sve subjekte nadzora od osiguravajućih kuća pa do mirovinskih fondova da im što prije pošalju sve informacije, podloge i dokaze vezano uz nadzor koji su provodili u 2023. godini. Kažu da su ti podaci izgubljeni tijekom kibernetičkog napada.
>> Pad Hanfe najozbiljniji je sigurnosni incident u povijesti javnog sektora
>> Sabor produžio mandat šefu Hanfe
U odgovoru na upit Indexa, Hanfa nam je potvrdila kako je od svojih subjekata nadzora zatražila podatke iz prošle godine. To je informacija o napadu koja se do sada nije znala niti je Hanfa o tome obavijestila javnost.
Informatički stručnjak Marko Rakar u kratkom razgovoru za Indexu naglasio je kako je, sukladno zakonu, upravo Hanfa zadužena da nadzire sigurnost Informatičkih sustava nadziranih subjekata, a sasvim je očito da nisu u stanju nadzirati niti vlastiti do razine kriminalne odgovornosti za nemar. No, krenimo redom.
Hanfa nadzire osiguravatelje, mirovince, brokere...
U utorak, 23. siječnja ove godine objavljeno je kako je na računalni server Hanfe izvršen kibernetički napad. Svi računalni sustavi unutar Hanfe nisu bili u funkciji, a Agencija nije bila u stanju odgovarati na upite putem službenih e-mail adresa. Nedostupna je bila i Hanfina internetska stranica.
Nakon dva do tri dana oporavljeni su e-mail komunikacija i internetske stranice, no baze podataka i registri i dalje su, čini se, nedostupni. Stručnjak za informacijsku sigurnost Lucijan Carić ocijenio je kako je riječ o najozbiljnijem sigurnosnom incidentu u povijesti Hrvatske koji se odnosi na javni sektor.
Sredinom veljače Hanfa je objavila da nema dokaza, a ni indicija, da je došlo do izvlačenja osobnih podataka, no čini se da nisu još uvijek našli način kako da, nakon napada, dođu do vlastitih podataka. Hanfa je državni regulator koji provodi nadzor nad poslovanjem burzi i uređenih javnih tržišta, investicijskih društava i izdavatelja vrijednosnih papira, brokera i investicijskih savjetnika.
Nadzire, između ostalog, investicijske i mirovinske fondove, osiguravajuća društva, nadzire i ima podatke središnjeg registra osiguranika, Fonda hrvatskih branitelja iz Domovinskog rata i članova njihovih obitelji i pravnih osoba koje se bave poslovima leasinga i faktoringa.
Rakar: Svi podaci Hanfe su kompromitirani
"Po javno dostupnim informacijama, kao i informacijama koje kolaju u struci, svi IT sustavi koje Hanfa posjeduje uključivo i sigurnosne kopije, sve je kompromitirano kroz ransomware napada. Nadalje, čini se kako je napadač u IT sustavima Hanfe bio prisutan mjesecima i nejasno je jesu li neki ili svi podaci kopirani i 'izneseni' iz institucije", kaže informatički stručnjak Rakar u razgovoru za Index.
Kako je dodao, neprihvatljivo je da Hanfa nije jasno i transparentno objasnila što se dogodilo. Rakar smatra kako je akumuliranom nekompetencijom Hanfe u ovom slučaju propala mogućnost da se proradi u osvješćivanju ljudi o napadima te sukladno tome potrebi za zaštitom IT sustava.
"Umjesto svega, uprava ove posrnule ustanove nedavno je nagrađena novim mandatima", ističe Rakar te podsjeća kako je početkom veljače ove godine sabor produžio mandat Anti Žigmanu na čelu Hanfe. Sabor je potvrdio i da zamjenik predsjednika Upravnog vijeća ostane Tomislav Ridzak, a članovi Jurica Jednačak i Antun Palarić, te da Ilijanu Jeleč zamijeni Anamarija Staničić.
U Hanfi su nam priznali kako su zaista obavijestili subjekte nadzora da im šalju podatke, dokumente i informacije vezano za prijašnji nadzor Hanfe, a zbog posljedica kibernetičkog napada.
Hanfa: Cilj napada je bio onemogućiti redovan rad Hanfe. U tome nisu uspjeli
"Od subjekata nadzora zatraženo je da se ponovo registriraju za neke od sustava Hanfe koje su ranije koristili s obzirom na to da raniji podaci za korištenje više ne vrijede, sve u cilju dodatne kontrole i dodatne sigurnosti korištenja", kažu između ostalog u Hanfi.
Na izravan upit je li cilj napada uspio, s obzirom na to da su onemogućeni redovan rad i djelovanje Hanfe, iz ovog državnog regulatora odgovaraju nam kako cilj napada ipak nije ostvaren.
"Hanfa kontinuirano radi i obnaša svoje dužnosti te je zadržala kontinuitet poslovanja i nakon navedenog incidenta. U tom smislu krajnji cilj napada nije ispunjen. Također je važno istaknuti da nema dokaza da je tom prilikom došlo do neovlaštenog korištenja i otuđenja podataka iz sustava Hanfe", stoji u odgovoru Hanfe.
Na kraju nam kažu kako se proces oporavka od napada provodi po fazama, a istodobno se radi i na dodatnom unaprjeđenju i podizanju razine sigurnosti, što zahtijeva dodatna ulaganja u IT infrastrukturu. O kojim se troškovima radi, za sada iz Hanfe nisu spremni reći.
"Ti će troškovi i ulaganja biti podmireni iz proračuna Hanfe i iskazani u njezinom godišnjem izvještaju za 2024. godinu", kažu nam na kraju.