Građani u magli! Evo šta su nam ukrali hakeri iz srpskih kompanija

Nacionalna aviokomapanija Er Srbija je pod hakerskim napadom i domaća javnost je to saznala tek juče, kada se  kompanija oglasila šturim saopštenjem, a nakon što se na domaćim i stranim portalima pojavila informacija o sajber napadu.

- Er Srbija se nedavno našla na meti sajber napada. Tu situaciju shvatili smo veoma ozbiljno. Naš tim za informacionu bezbednost, u saradnji sa eksternim stručnjacima iz te oblasti, odmah je započeo aktivnosti na identifikaciji i otklanjanju problema - navodi se u saopštenju kompanije

Ističu i da su preduzete sve potrebne mere "kako bi bezbednost sistema ostala očuvana i sprečile se eventualne posledice“ a o incidentu je, u skladu sa zakonom, obavešten i nacionalni CERT pošto je Er Srbija, kao avioprevoznik, kompanija od posebnog bezbednosnog značaja.

Aviokompanije su meta hakera kao i svaka druga i u tome što je neko napadnut nema nikakve sramote. Ipak, aviokompanije često sa javnošću komuniciraju o tim napadima tek kada su prinuđene (prekid usluga, mediji, regulatorni zahtevi). Pritom, zapadne kompanije su uglavnom transparentnije i sistematičnije u komunikaciji i zaštiti korisnika, dok su objave u Aziji i Indiji odložena i/ili štura.

Tako je i u ovo slučaju, gde osim informacije da se napad dogodio, nema nikakvih detalja šta je napadnuto/ugroženo, i da li putnici treba da brinu za svoje lične podatke (ID brojeve, bankovne račune s kojih su plaćali karte…) ili pak za sopstvenu bezbednost. I ako bi se pomislilo da je logično da se o tome "ćuti i ne širi panika", zakoni i dobra svetska praksa pokazuju da to nije najbolje rešenje.

Od Indije do Australije, preko Kanade i Evrope, u poslednjih pet godina zabeleženi su ozbiljni napadi na više desetina aviokompanija. Hakovane su baze podataka putnika, blokirani check-in sistemi, otkazivani letovi. U nekim slučajevima, putnici su o incidentima saznali tek iz medija, dok su avio-kompanije ćutale - ili umanjivale štetu.

Kolaps, pa muk

Jedan od najozloglašenijih primera desio se 2021. godine kada je globalni IT provajder SITA bio žrtva upada. U tom trenutku, milioni putnika kompanija poput Lufthanse, Singapore Airlinesa i Air Indije, bili su direktno ugroženi. Podaci o pasošima, email adresama i brojevima lojalnosti "curili" su iz sistema - ali javnost o tome nije bila obaveštena nedeljama. Air India, recimo, objavila je vest o incidentu tri meseca nakon što se dogodio.

A kada je 2024. godine "Delta Airlines" pretrpela ozbiljan IT kolaps, koji je doveo do otkazivanja preko 7.000 letova, kompanija je za razliku od drugih reagovala brzo. U roku od nekoliko sati održana je konferencija za medije, putnicima su poslate SMS poruke, a ceo incident objašnjen je kao posledica greške eksternog IT dobavljača - kompanije CrowdStrike. 

Delta je potom podnela i tužbu protiv partnera, pokazujući da transparentnost ne mora biti slabost, već način za povratak poverenja.

Qantas Airways iz Australije suočio se s tim scenarijem sredinom 2025. Više od 5,7 miliona naloga bilo je kompromitovano. Kompanija je brzo priznala štetu, obavestila korisnike i sudski pokušala da spreči širenje ukradenih podataka. To je bio izuzetak. U mnogim drugim slučajevima, korisnici nisu dobili ni email ni SMS, već su o hakovanju saznali sa društvenih mreža.

Zakon nalaže, kompanije ne poštuju

Prema evropskoj Opštoj uredbi o zaštiti podataka (GDPR), kompanije su dužne da incident prijave nadležnom telu u roku od 72 sata. Ako postoji visok rizik po pojedince - što je skoro uvek slučaj kada su u pitanju pasoši ili lični podaci - dužne su da direktno obaveste svakog pogođenog korisnika.

Od oktobra 2024. u EU se primenjuje i NIS2 direktiva, koja uvodi još strože obaveze za sektore "od esencijalnog značaja", uključujući vazdušni saobraćaj. Incident mora biti prijavljen unutar 24 sata, uz pun tehnički i završni izveštaj.

Uprkos tome, praksa pokazuje da se mnoge kompanije oslanjaju na tišinu. Ili pokušavaju da "kupe vreme", nadajući se da će incident proći ispod radara medija. Zabrinjavajuće je to što čak i kada su zakonski obavezne da obaveste putnike - mnoge to učine nevoljno, kasno ili previše apstraktno, bez preciznog opisa rizika.

Razloga za ćutanje je više: strah od panike, zaštita reputacije, sprečavanje pada vrednosti akcija, ali i kompleksnost istrage. Neke kompanije ni ne znaju odmah obim napada, niti šta je tačno kompromitovano. Međutim, to ne opravdava odlaganje informacija koje bi putnicima omogućile da zaštite sebe - promenom lozinki, aktiviranjem dvostruke autentifikacije ili zamrzavanjem podataka kod nacionalnih registara.

Pravo na istinu

Putnici koji lete, ostavljaju više nego samo kofer na gejtu - ostavljaju svoj digitalni identitet. U tom kontekstu, transparentnost nije stvar dobre volje, već osnovno pravo korisnika. U vremenu kada se lični podaci tretiraju kao valuta, kompanije ne smeju sebi da dozvole luksuz ćutanja. Zakoni ih obavezuju, a moral bi morao još više.

Ako je avion simbol brzine, sigurnosti i poverenja, onda mora isto važiti i za informacije koje kompanije dele u trenutku krize.

Od RGZ do vojske

Er Srbija nije ni prva ni poslednja kompanija koju će tehnološki sve potkovaniji sajber-kriminalci napasti u Srbiji. 

U junu 2022. godine, Republički geodetski zavod je bio meta intenzivnog hakerskog napada, što je dovelo do zaključavanja i zaustavljanja kompletnog informacionog sistema zbog zaštite podataka. Tada su bili aktivirani svi bezbednosni protokoli ali javnost je dobijala samo najosnovnije informacije, a Katastar nije normalno radio mesecima. 

Iste godine BIG tržni centri (BIG CEE Serbia) napala je poznata hakerska grupa "LockBit", koja je tvrdila da je došla do finansijskih podataka kompanije koja upravlja BIG tržnim centrima u Srbiji i tražila otkup od 150.000 dolara.

Godinu dana kasnije isto se ponovilo kada je Elektroprivreda Srbije (EPS) napadnuta u decembru 2023. godine. Hakeri izveli ransomware napad (preko grupe Qilin), preuzeli i objavili na dark webu oko 34 GB poverljivih dokumenata: finansijski izveštaji, bilateralni ugovori, interne mejl prepiske, izveštaji i bilansi. I EPS je kasnio sa obaveštenjem javnosti, i šturo rekao da je reč o "kripto tipu napada" i da proizvodnja nije ugrožena. Nije otkriveno da li su kompromitovani lični podaci zaposlenih ili korisnika.

Crno tržište

Te godine je napadnuta i Vojska Srbije, odnosno kompromitovan je test server Ministarstva odbrane, a podaci su se, kako je pisao "Forum Bezbedan Balkan", prodavali na crnom tržištu. Ovde nije bilo ni javnog priznanja, ni informacija o vrsti kompromitovanih podataka niti o dužini trajanja incidenta.

Sa ransomver napadom se susretala prethodnih godina i Gradska uprava Novog Sada, kada je privremeno onemogućen rad više gradskih servisa.

Prema procenama sajber-bezbednjaka, više od 88 odsto velikih kompanija u Srbiji bilo je meta bar jednog sajber napada u poslednje tri godine. Najčešći su fišing napadi i krađa poverljivih podataka.

Oni kažu da će uspešnost tih napada biti velika sve dok se ne poveća i svest svih napadnutih ali i potencijalno ugroženih (a to su praktično svi) da što se više o napadima zna, kako je do njih došlo i kakve su posledice. Tek tada će i sajber-bezbednost imati svoju pravu ulogu - da sprečava one najteže oblike napada a ne da svuda zapušava rupe u tehnici i protokolima ponašanja zaposlenih. 
 

BONUS VIDEO

Instalirajte našu iOS ili android aplikaciju – 24sedam Vest koja vredi