VDORI SO, VDORI BOJO, AMPAK KDO JIH GLEDA?
O poletnem vdoru v informacijski sistem Univerze v Ljubljani
Novo študijsko leto je že v polnem teku, kljub temu da se zaradi različnih težav z informacijskimi sistemi nekaterih visokošolskih članic ljubljanske univerze ni začelo tekoče. Do sedaj smo lahko zasledili zgolj špekulacije glede poletnega vdora v informacijski sistem Univerze v Ljubljani, zato smo za današnjo oddajo Kaj pa univerza poizvedovale, kaj se je sploh zgodilo ob vdoru in kakšne posledice je prinesel. O dogodku in o odzivu Univerze v Ljubljani smo se pogovarjale z rektorjem Gregorjem Majdičem, o vdorih v informacijske sisteme pa z raziskovalcem na ljubljanski Fakulteti za računalništvo in informatiko Davidom Modicem.
Do vdora v informacijski sistem Univerze v Ljubljani je prišlo 15. julija letos. Študentke in študenti smo v prvem pojasnilnem elektronskem sporočilu univerze z dne 21. julija pridobili informacijo, da so, citiramo, »napadalci s šifriranjem dela podatkov, ki ga obdeluje Univerza, naredili nedostopne, in jih – kot trenutno kaže – v določenem manjšem delu, delno tudi odtujili.« Konec citata. Da bi razumele, zakaj in kako se vdori zgodijo, smo kontaktirale strokovnjake. Kakšna je logika napadalcev oziroma o povodih ali motivacijah za vdor razloži raziskovalec na Fakulteti za računalništvo in informatiko David Modic.
Kaj pa se ob vdoru zgodi, kako napadalec ali heker vdre v informacijski sistem oziroma kaj sploh pomeni šifriranje podatkov na strežniku, nadaljuje Modic.
Kako so na univerzi, natančneje v univerzitetni službi za informatiko, vdor detektirali in ob njem ravnali ter zakaj sedaj še ne smejo podati podrobnejših tehničnih informacij o vdoru, pove rektor Gregor Majdič.
Kako pa se vdor sploh zazna in kako delujejo varnostni sistemi, pove Modic.
Modic še o tem, kaj se zgodi po detekciji vdora.
Univerza v Ljubljani je zaradi dogodka sprejela tudi nekaj varnostnih ukrepov, kot predvideva Pravilnik za varstvo osebnih podatkov Univerze v Ljubljani, pa so ga prijavili pristojnim organom: informacijski pooblaščenki Republike Slovenije ter policiji, da torej steče forenzična preiskava. Po 28. členu istega pravilnika mora rektorat ali dekanat posameznikom in posameznicam poslati sporočilo v roku štiriindvajsetih ur od ocene osebe, pooblaščene za varstvo osebnih podatkov, o verjetnosti kršitve varstva osebnih podatkov. Sporočilo o tem so z univerze poslali 21. julija – torej en teden po vdoru oziroma dva dni po ponovni vzpostavitvi univerzitetnega informacijskega sistema –, v njem pa so tudi zapisali, da po takratnih ocenah obstaja verjetnost odtujitve osebnih podatkov oziroma odtekanja podatkov iz okolja univerze. V sporočilu so svetovali previdnost pri vnosu svojih podatkov in pozornost pri telefonskih klicih ali elektronskih sporočilih sumljivih kontaktov, priporočili pa so tudi menjavo gesel. O varnostnih ukrepih Majdič.
Ker torej niso vsi upoštevali priporočil univerze glede menjave gesel, so se na kolegiju dekanov, ki je potekal 14. septembra, odločili za ukrep obvezne menjave gesel. Študentke in študenti smo tako 25. septembra prejeli sporočilo o ukrepu, ki predvideva obvezno menjavo gesel na 180 dni in uporabo kompleksnih varnostnih gesel, torej vsaj 10 znakov, obvezne uporabe velikih in malih črk ter kompleksnih znakov in podobno. Avtomatska obvezna menjava gesel se je tako zgodila v noči iz srede, 27. septembra, na četrtek, 28. septembra. Na vprašanje, zakaj so ta ukrep uvedli 4 dni pred začetkom novega študijskega leta, odgovori Majdič.
V izjavi je sicer rektor dejal, da med 15. julijem do konca septembra na univerzi niso prejemali pritožb zaradi dogodka oziroma posledic dogodka, razen pritožbe enega študenta, ki se mu menjava gesel ni zdela primerna rešitev, vendar so to na univerzi pripisali lastnemu mnenju osebe, ne mnenju strokovnjaka. Ali je menjava gesel ustrezen ukrep, smo vprašali tudi Modica.
Nekaj pritožb študentk in študentov pa smo na redakciji ujeli iz Filozofske fakultete. Zaradi nedelovanja informacijskega sistema, ki je prenehal delovati v času obvezne menjave gesla, študentke in študenti, med njimi tudi bruci in brucke, na začetku študijskega leta niso imeli dostopa do informacijskega sistema VIS, torej do svojih vpisnih podatkov oziroma vpisnega lista, in do urnika. Več o težavah pove študentka Filozofske fakultete.
O povezavi dogajanja na Filozofski fakulteti z varnostnimi ukrepi Univerze v Ljubljani smo povprašale tudi rektorja univerze. Majdič pove, zakaj so se pojavljale težave na Filozofski fakulteti.
Za bodoče delovanje glede informacijske varnosti pa univerza, po besedah rektorja, namerava še naprej spremljati svoje varnostne sisteme in jih nagrajevati. Za dostopnost informacijskega sistema oziroma za informacijske storitve univerze sicer študentke in študenti po aktualnem ceniku iz januarja 2023 po novem odštejejo dobrih 13 evrov za postavko »pravica do uporabe informacijsko-komunikacijske opreme«, ta pa ob določenih zunanjih vdorih torej odpove. Komentira Majdič.
Koliko pa je dejansko vdorov dandanes oziroma kaj lahko pričakujemo v prihodnosti, pove Modic.
Študentke in študenti ter zaposleni moramo torej vsake tri mesece vsakih šest mesecev biti odgovorni in obvezno menjati svoja gesla, če pa tega ne storimo, zaradi avtomatske menjave ne moremo dostopati do informacijskih sistemov. Kaj točno se je na univerzi zgodilo 15. julija in kasneje, pa za zdaj zaradi teka preiskave še ne moremo izvedeti.
Spremljevalna slika je delo avtorice prispevka. Za osnovo je uporabljena fotografija Cyber attacks.
Prikaži Komentarje
Komentiraj