Útok na kataster: Štát zlyháva v ochrane kritickej infraštruktúry, v komunikácii aj riešeniach

Celý týždeň Slovensko čakalo, kým sa k situácii s heknutým katastrálnym úradom (ÚGKK) vyjadria štátne orgány. Po pôvodnej bagatelizácii problému sa obyvatelia dozvedeli pozitívne správy: dáta katastra sú bezpečné a okresné úrady začnú postupne nabiehať od budúceho týždňa, hoci s obmedzeniami.

Zodpovední predstavitelia vyvrátili najhoršie špekulácie, no nič viac o situácii nepovedali, čo vyvoláva ďalšie otázky. Kritika následne prišla od viacerých inštitúcií. Národný kontrolný úrad napísal, že „štát dlhodobo zlyháva v oblasti kybernetickej ochrany“. NKÚ pokračoval, že systém kybernetickej ochrany štátu a spoločnosti vykazuje „významné riziká“.

Národný bezpečnostný úrad, ktorý má situáciu primárne riešiť, reagoval tiež až v piatok všeobecnou správou. NBÚ by pritom malo prebrať „zodpovednosť za riešenie kybernetického bezpečnostného incidentu na ÚGKK cez Národné centrum kybernetickej bezpečnosti SK-CERT v spolupráci s ÚGKK“, tvrdí Róbert Gašparovič, vedúci advokát kancelárie HAVEL & PARTNERS.

Nie je tak vôbec isté, kedy kataster opäť nabehne v plnej prevádzke. Podobné prípady v zahraničí si vyžiadali týždne až mesiace nápravy vzhľadom k rozsahu poškodenia.

Situáciu kritizovalo aj podnikateľské združenie. „Nefunkčnosť jednej z najdôležitejších inštitúcií výrazne oslabuje dôveru v štátne orgány na Slovensku a negatívne ovplyvňuje rozhodovanie o budúcich investíciách v krajine,“ uviedol Rastislav Machunka, viceprezident AZZZ SR.

K tomuto názoru sa pridali aj samosprávy. „Kybernetický útok na štátny informačný systém poukazuje na nefunkčnosť štátnej správy. Okresné úrady sú predĺženou rukou štátu a ich úlohou je profesionálna komunikácia a efektívna koordinácia aj v prípadoch, ako je tento. Opak je však realitou," dodáva Únia miest Slovenska.

Napriek silnej kritike tlačová konferencia zodpovedných predstaviteľov skončila výsmechom nad otázkou, či štát zaplatí výkupné. Analytik think-tanku INESS Martin Vlachynský sa v príspevku na LinkedIne pýta rétorickú otázku: „Akú šancu dávate tomu, že vláda útočníkom zaplatí výkupné, nikomu o tom nepovie a celé to odprezentuje štýlom ‚no, veľa kriku pre nič!‘?“

Odpovede odborníkov v TREND Barometri na otázku, ako hodnotia reakciu štátu na hekerský útok, sa takmer všetci zhodli na nekompetentnosti orgánov. Celý problém sa začal už hľadaním zodpovedného orgánu. Ministerstvo vnútra od začiatku tvrdilo, že riešenie problému nie je v jeho kompetencii.

V skutočnosti je však ÚGKK „súčasťou kritickej infraštruktúry štátu,“ povedal právnik Radoslav Procházka. „V kontexte ochrany kritickej infraštruktúry štátu je nositeľom bezprostrednej zodpovednosti za odolnosť ÚGKK ministerstvo vnútra".

Ministerstvo vnútra spolupodieľa na „vypracovaní stratégie zvýšenia odolnosti kritických subjektov, odporúča minimálne opatrenia na zabezpečenie odolnosti kritických subjektov, posudzuje a vyhodnocuje riziká v sektore, posudzuje a vyhodnocuje prijaté bezpečnostné plány kritického subjektu a ďalšie,“ pokračuje R. Gašparovič.

Podľa NKÚ je vlastník informačného systému povinný každé dva roky podstúpiť externý audit, ktorý môže odhaliť nedostatky v oblasti kyberochrany, a následne má zodpovedná osoba za informačný systém závery premietnuť do vecných opatrení na ich nápravu. Kontrolovaný je potom povinný závery auditu zaslať aj Národnému bezpečnostnému úradu, ktorý je najvyššou štátnou autoritou pre oblasť ochrany informačných systémov štátu a verejnej správy pred kybernetickými útokmi, vysvetľuje NKÚ.

Aj keď audit pravdepodobne prebehol, nie je verejný a o jeho výsledkoch sa môže verejnosť len dohadovať. NBÚ audit nezverejnilo, a tak ho zastúpili viacerí experti na kyberbezpečnosť. Jedným z nich je Martin Fabry, ktorý na LinkedIne rozoberá nedostatky ochrany ÚGKK.

Jeho záverom je, že „perimetrová bezpečnosť katastra bola v katastrofálnom stave“. Hovorí sa o chýbajúcich aktualizáciách a nezaplátaných dierach v horizonte viac ako dekády. Aj keď predstavitelia štátu povedali, že hekerský útok môže prísť kedykoľvek a na akúkoľvek inštitúciu, ÚGKK mohlo svojimi chybami v ochrane hekerov k činnosti priamo vyzývať.

Slovensko má zrejmý problém s chátrajúcimi mostami, no rovnako vážny systémový problém má okrem cestnej bezpečnosti aj so softvérovou bezpečnosťou. NKÚ už pred časom skonštatoval, že katastrálny informačný systém je ukážkovým príkladom zlého riadenia až s možnou trestnoprávnou zodpovednosťou ľudí, ktorí za realizáciu projektu zodpovedali.

Podobných projektov môže byť na Slovensku množstvo a v ďalších inštitúciách sa môžu skrývať kybernetické hrozby, ktoré budú stáť daňových poplatníkov milióny či dokonca rádovo viac. Podobne ako pri mostoch totiž platí, že chýbajúce investície na údržbu sa prejavia následne násobne drahšími výdavkami.

Aj keď sa v súčasnosti dá iba špekulovať o tom, kto je zodpovedný za situáciu v ÚGKK, ide o následok dlhodobého systémového problému. Ten sa začína dosádzaním politických nominantov do odborných a riadiacich funkcií. Práve súčasná vláda od svojho nástupu obmenila viac ako polovicu riadiacich pozícií v štátnych organizáciách. Vzniká tak problém nedostatočnej kontinuity a neodborného riadenia.

Ďalším faktom, ktorý k situácii prispel, je preferencia vládnych výdavkov na sociálne účely miesto posilňovania či udržania si hodnoty štátnej infraštruktúry. Následkom je úpadok funkčnosti štátneho majetku a koniec-koncov aj právneho štátu. Nefunkčnosť kľúčovej monopolnej štátnej inštitúcie totiž znižuje právne a transakčné istoty, čo následne vplýva na úpadok právneho štátu a spokojnosti obyvateľov.

Všetko sa udialo v časoch konsolidácie verejných financií, ktorá bude stáť rodinu tisíce eur ročne. Mnohí obyvatelia sa môžu pýtať, či sú vyššie dane skutočne vynaložené v ich prospech.