PRIE KRAŠTO APSAUGOS MINISTERIJOS RESPUBLIKOS PREZIDENTO IR EUROPOS PARLAMENTO RINKIMŲ KIBERNETINĖS ERDVĖS STEBĖSENOS ATASKAITA 2019 m. gegužės 28 d. Vilnius Santrauka: Respublikos Prezidento ir Europos Parlamento rinkimų metu, kibernetinių atakų prieš Lietuvos Respublikos vyriausiosios rinkimų komisijos (VRK) sistemas fiksuota nebuvo. Tačiau, Respublikos Prezidento I turo rinkimų metu, NKSC registravo incidentą, kai iš apylinkių per kenkėjišku kodu apkrėstas darbo stotis buvo bandoma jungtis prie VRK sistemų. Organizatoriai rinkimų metu galėjo naudoti ir savo asmeninius kompiuterius - tai, NKSC vertinimu, didina kibernetinio saugumo incidentų rizikas ir ateityje rekomenduojama rinkimų metu prie VRK sistemų jungtis tik per darbo funkcijoms atlikti skirtas priemones. Rinkimų periodu gegužės 10 13 ir 24 26 d. Nacionalinis kibernetinio saugumo centras prie Krašto apsaugos ministerijos (NKSC) iš viso užblokavo 919 IP adresų, kurie VRK rinkimams skirtoje informacinėje infrastruktūroje vykdė veiklas, tokias kaip išorinė perimetro žvalgyba, prievadų skenavimas, pažeidžiamumų paieška ir pan. Rinkimų periodu NKSC fiksavo kandidato į prezidentus bei politinių partijų interneto svetainių pasiekiamumo problemas dėl techninių priežasčių, tačiau pačiam rinkimų procesui tai įtakos neturėjo. Specialiai rinkimams NKSC parengė operacinę sistemą KAMOS-VRKS bei pagal VRK poreikį patobulintą antrąją jos versiją VRKIS LiveCD, kuri skirta rinkimų elektroniniam saugumui užtikrinti. Apie 150 operacinės sistemos VRKIS LiveCD komplektų buvo perduoti VRK personalo naudojimui. 1
Situacijos analizė Šių metų gegužės 10 13 ir 24 26 d. NKSC vykdė sustiprintą ir nepertraukiamą Lietuvos kibernetinės erdvės ir VRK sistemų stebėseną (1 pav.). Pagrindinis dėmesys buvo sukoncentruotas į rinkimams skirtos informacinės infrastruktūros, politinių partijų bei kandidatų į Prezidento postą svetainių, valstybės informacinių išteklių ir ypatingos svarbos informacinių infrastruktūrų apsaugą bei pasiekiamumo stebėseną. 2018 m. VRK informacinėje infrastruktūroje buvo įdiegtos NKSC kibernetinio saugumo priemonės. 2019 m. papildomai įdiegtos techninės priemonės, leidžiančios rinkti įvykių žurnalus iš VRK informacinės infrastruktūros. Rinkimų laikotarpiu NKSC taip pat organizavo, kad kenkėjiški IP adresų sąrašai būtų blokuoti dėl jų prieigos prie VRK. NKSC vykdė šių išorinių ir vidinių rinkimams skirtų VRK informacinių sistemų stebėseną ir apsaugą: www.vrk.lt išorinė svetainė, reprezentuojanti VRK; www.rinkejopuslapis.lt išorinė svetainė, skirta visuomenei ir leidžianti Lietuvos Respublikos piliečiams prisijungti prie savo paskyrų, atsispausdinti rinkėjo kortelę ir gauti kitą svarbią informaciją; org.rinkejopuslapis.lt vidinė svetainė, skirta tik autorizuotiems naudotojams (rinkimų apylinkėms) darbui su rinkimams skirta informacine sistema; Rinkimų laikotarpiu NKSC taip pat atliko 20 Lietuvos politinių partijų ir kandidatų į Respublikos Prezidento postą interneto svetainių pasiekiamumo ir turinio pakeitimų monitoringą. Pirmą kartą Lietuvoje rengiamų rinkimų istorijoje, NKSC parengė specialią operacinę sistemą KAMOS-VRKS, kurios paskirtis yra užtikrinti rinkimų elektroninį saugumą. KAMOS-VRKS yra į saugą, mobilumą ir naudojimo paprastumą orientuota sistema, kurioje realizuota kontroliuojama saugi prieiga prie rinkimų sistemų. Sistema vartotojui pateikiama DVD diske, o kompiuterio įjungimo metu jį įdėjus į disko skaitymo įrenginį (DVD-ROM) ji startuota automatiškai. KAMOS-VRKS sukomponuota taip, kad nepažeistų esamos vartotojo operacinės sistemos (pvz., Windows 10 ar kitų kompiuteryje įdiegtų operacinių sistemų), ji užtikrina sąlygas naudotis tik DVD diske esamomis NKSC patikrintomis taikomosiomis programomis ir saugiai pasiekti rinkimų informacinius išteklius. 2
Detali įvykių suvestinė ir apsaugą. Rinkimų laikotarpiu NKSC vykdė išorinių ir vidinių rinkimams skirtų VRK informacinių sistemų stebėseną 1 pav. NKSC specialistai atlieka kibernetinės erdvės ir VRK informacinių sistemų stebėseną Vykdant interneto puslapių monitoringą buvo užfiksuoti keli trumpalaikiai sutrikimai, kilę dėl techninių priežasčių. Gegužės 11 d. 16.49 val. fiksuotas trumpalaikis (maždaug 2 min.) www.vrk.lt puslapio nepasiekiamumas, kuris pavaizduotas 2 paveiksle. 2 pav. Trumpalaikis www.vrk.lt nepasiekiamumas 3
Gegužės 12 d. nuo 07:00 val. aptiktos galimai užkrėstos kelios darbo stotys, kurios iš prisijungimų langų nukreipiamos į neegzistuojantį failą svetainės sistemoje. NKSC bendradarbiaujant su VRK atstovais identifikavo tris darbo stotis ir iniciavo jų atjungimą. Gegužės 12 d. 13.08 val. fiksuotas trumpalaikis (maždaug 4 min.) www.nauseda2019.lt puslapio nepasiekiamumas, kuris pavaizduotas 3 paveiksle. 3 pav. Trumpalaikis www.nauseda2019.lt puslapio nepasiekiamumas Gegužės 26 d. 00.00 val. gegužės 27 d. 8 val. laikotarpiu buvo užfiksuoti trumpalaikiai politinių partijų interneto puslapių nepasiekiamumai, kurie pavaizduoti 4 paveiksle. 4 pav. Trumpalaikiai politinių partijų interneto puslapių nepasiekiamumai Kibernetinės erdvės stebėjimo periodu NKSC rinkimams skirtoje VRK informacinėje infrastruktūroje fiksavo įtartinas veiklas, tokias kaip išorinė perimetro žvalgyba, prievadų skenavimas, pažeidžiamumų paieška ir pan., taip pat blokavo susijusius IP adresus. NKSC per rinkimų laikotarpį iš viso užblokavo 919 IP adresų. Keletas išorinės žvalgybos pavyzdžių pateikiami 5 ir 6 pav. 4
5 pav. NKSC užfiksuota išorinio perimetro žvalgybos veikla 6 pav. NKSC užfiksuota išorinio perimetro žvalgybos veikla Abiejų Respublikos Prezidento rinkimų turų ir rinkimų į Europos Parlamentą metu buvo stebimi VRK informacinių sistemų lankytojų srautai. NKSC stebėjimo duomenimis, užklausų kiekis tiek gegužės 12 d. tiek gegužės 26 d. padidėdavo nuo 20 val., piką pasiekdavo apie 22.30 val. (7 ir 8 pav.). Rinkimų į Europos Parlamentą rezultatai buvo skelbiami nuo 00.00 val., todėl tuo metu matomas srauto padidėjimas (8 pav.) Nuo gegužės 12 d. 21 val. iki gegužės 13 d. 1.30 val. išaugusios rinkimų puslapių apkrovos susinormalizavo apie 2 val. nakties (7 pav.). 7 pav. VRK informacinių sistemų vartotojų srautas Prezidento rinkimų (I turas) metu 5
Nuo gegužės 26 d. 21 val. iki gegužės 27 d. 1 val. išaugusios rinkimų puslapių apkrovos susinormalizavo apie 3 val. nakties (8 pav.). 8 pav. VRK informacinių sistemų vartotojų srautas Prezidento rinkimų (II turas) ir rinkimų į Europos Parlamentą metu Operacinė sistema VRKIS LiveCD Specialiai šių metų rinkimams Lietuvoje NKSC pagamino rinkimų elektroniniam saugumui užtikrinti skirtą operacinę sistemą KAMOS-VRKS ir pagal VRK poreikį patobulintą antrąją jos versiją VRKIS LiveCD (9 pav.). 9 pav. NKSC parengtos operacinės sistemos VRKIS LiveCD DVD diskas (a) ir startavusios sistemos (b) vaizdas VRKIS LiveCD elektroniniam rinkimų saugumui užtikrinti skirta operacinė sistema, kuri yra atnaujinta 2019 m. kovo mėn. savivaldybių rinkimuose naudotos sistemos KAMOS-VRKS versija. Modifikacijos buvo atliktos atsižvelgiant į vartotojų pastebėjimus ir VRK įžvalgas. Atnaujinta operacinė sistema buvo papildyta aparatinės įrangos tvarkyklėmis, įdiegti VRK sistemoje naudojami specializuoti šriftai (angl. Fonts) ir norimos naršyklės su numatytais parametrais. Taip pat atsižvelgus į gautus rinkimų apylinkių prašymus, suderinti nešiojamų kompiuterių energijos taupymo režimai, pagerinta prieiga prie tinklo konfigūravimo panelės, praplėstos PDF rinkmenų prieigos galimybės, įdiegtas USB laikmenų automatinis atpažinimas, įdėtos prašomos piktogramos ir naršyklių žymos, nustatyta operacinės sistemos kalba lietuvių. Pagal VRK reikalavimus atnaujintos operacinės sistemos VRKIS LiveCD 150 komplektų buvo perduoti VRK personalo naudojimui. 6