Štátnym úradníkom chýba bezpečná platforma. WhatsApp či Signal sú nevyhovujúce, tvrdí odborník

Vojna na Ukrajine so sebou prináša aj zvýšený počet kybernetických útokov proti štátnym inštitúciám v rôznych krajinách, vrátane Slovenska. Otázka kybernetickej bezpečnosti je tak dôležitejšia ako kedykoľvek predtým.

Bezpečnostné hrozby však číhajú aj na štátnych predstaviteľov prostredníctvom ich smartfónov, počítačov či bežných komunikačných aplikácií, ktoré však pre tieto účely vôbec nie sú vhodné, upozorňuje v rozhovore pre TREND Tomáš Kucharík, expert na kybernetickú bezpečnosť a bezpečnosť mobilnej komunikácie.

Ministerka Veronika Remišová nedávno nechtiac zverejnila na sociálnych sieťach vstupné heslo do svojho počítača. O čom takýto incident svedčí?

Pre korektnosť treba uviesť, že stanovisko MIRRI k tomuto prípadu bolo, že išlo o neaktuálne heslo a nálepky na zariadení boli už dva roky. Nechcem nejako ďalej špekulovať o tomto vyjadrení, nakoľko jeho pravdivosť by sa len veľmi ťažko overovala, no tento prípad je ukážkovým príkladom porušenia základných bezpečnostných zásad.

O tom sa nemusíme baviť. Od zamestnancov vo verejnej správe, ale aj v súkromných spoločnostiach sa vyžaduje dodržiavanie prísnych bezpečnostných pravidiel a naraz na sociálnych sieťach vidíme niečo takéto, čiže to určite nie je v poriadku.

Paradoxne sociálne siete v tomto prípade zohrali dôležitú rolu a verím, že na základe tejto medializácie došlo k náprave. Oveľa horšia situácia by mohla nastať, ak by si takéto heslo všimli potencionálni útočníci. Presne takýmto spôsobom v súčasnosti prebieha väčšina sofistikovaných útokov. Útočníkovi stačí získať nejaký záchytný bod, napríklad prístup na notebook jedného pracovníka z organizácie, z ktorého si následne bude postupne získavať viac informácií o celej organizácii a o celej sieti a pripravovať sa na spustenie útoku.

Niektorí štátni predstavitelia nielen na Slovensku používajú na komunikáciu aplikáciu Signal. Je aplikácia na tieto účely vhodná?

Napriek tomu, že Signal je považovaný za lepšie chránenú komunikačnú aplikáciu, aj v tomto prípade, samozrejme, platí, že môže byť napadnutá hackerským útokom. V prípade, že by cez túto aplikáciu boli zaslané nejaké tajné alebo citlivé informácie od vládnych činiteľov, môže dôjsť k ich napadnutiu a, samozrejme, ohroziť bezpečnosť štátu. Signal určite nie je odolný voči spywarom ako je Pegasus, čo je asi najzásadnejší rozdiel medzi systémom Silentel, ktorý poskytujeme vládnym organizáciám.

Sú zdokumentované prípady, v ktorých sa útočníkovi podarilo prevziať komunikáciu a kontrolu nad napadnutým telefónom, čo mu potom umožnilo čítať obsah šifrovaných aplikácií na odosielanie správ, ako sú WhatsApp, Signal alebo Telegram. Čiže Signal určite nie je vhodný na komunikáciu medzi štátnymi úradníkmi alebo akýmikoľvek štátnymi činiteľmi.

Slovensko ešte zaostáva

Pegasus sa objavil už v rôznych kauzách. Existuje pred ním nejaká účinná ochrana?

Áno existuje. Pegasus je malvér, ktorý môže infikovať mobilné zariadenia, aby umožnil administrátorom tohto systému extrahovať údaje používateľov. Vyvinula ho izraelská technologická spoločnosť. Nie je to však jediný malvér, ktorý môže infikovať mobilné telefóny.

Je to jeden z najznámejších, hlavne kvôli tomu, že sa často objavoval v médiách. Takýchto malvérov je veľmi veľa. Čo sa týka ochrany pred ním, v prvom rade musia byť prijaté bezpečnostné opatrenia, ktoré dokážu útoky špionážnych softvérov minimalizovať.

Existuje niekoľko prípadov, keď Pegasus využíval práve zraniteľnosti v bežne dostupných aplikáciách. Útoky typu Pegasus nie je možné jednoducho detekovať, nakoľko využívajú neodhalené zraniteľnosti alebo málo známe zraniteľnosti v systémoch, ako je Android alebo iOS. Zraniteľnosti sú vždy nové a nové, čiže nikto nevie predvídať, akým spôsobom bude útok vedený. Na detekciu takýchto malvérov však klasické antivírové alebo nejaké jednoduché programy nepomáhajú.

Čoho všetkého je Pegasus schopný?

Po nainštalovaní môže Pegasus teoreticky zbierať údaje zo zariadenia, ako sú protokoly hovorov, SMS, e-maily, fotografie, údaje o polohe a kompletné GPS záznamy, chatové správy z populárnych aplikácií a prenášať ich naspäť k útočníkovi.

Spomenuli ste tiež systém Silentel. Ako funguje?

Systém je certifikovaný NATO-m. Je certifikovaný Národným bezpečnostným úradom na Slovensku ako jediný na mobilnú bezpečnú komunikáciu. Je používaný vládnymi inštitúciami vo viacerých krajinách Európskej únie. Systém je vybavený množstvom bezpečnostných opatrení, ktoré zaisťujú bezpečnosť a integritu na úrovni systému ako takého a na úrovni aplikácií a ochranu používateľa, ktorý tento systém používa.

Fyzicky neukladá správy na zariadeniach používateľov. Správy sa načítajú iba vtedy, keď sa aplikácia otvorí. Už len toto opatrenie môže narušiť snahy malvéru a ľudí, ktorí sa pokúšajú fyzicky preniknúť do zariadenia. Pre štáty vieme napríklad brandovať tieto riešenia a robiť rôzne znaky alebo lokálne verzie tak, aby to bola nejaká unikátna aplikácia so štátnym logom.

Kde všade systém využívajú?

Používajú ho aj štátne organizácie na Slovensku, no v menšom. Nemôžem však o tom podrobnejšie hovoriť, lebo máme vo všetkých krajinách podpísanú mlčanlivosť. Ak by som to porovnal, máme zákazníkov v krajinách EÚ, ktoré systém používajú pre celú celoštátnu organizáciu. Mám taký dojem, že v jednej krajine už skoro všetky ministerstvá systém využívajú, vrátane prezidenta. Na Slovensku ešte v takomto stave nie sme.

Chýba edukácia politikov

V čom je to v iných krajinách iné?

Takmer vo všetkých krajinách sú pre ochranu národných informácií a záujmov preferovaní vždy domáci výrobcovia. V mnohých krajinách si uvedomujú zraniteľnosti mobilných telefónov a mobilnej komunikácie, a pre štátnych zamestnancov vydávajú smernice, ako používať mobilné telefóny, či na čo si dávať pozor. V mnohých prípadoch existujú zákazy na konkrétne aplikácie alebo aj na zákazy konkrétnych výrobcov mobilných telefónov.

Ide predovšetkým o niektorých výrobcov telefónov pochádzajúcich z Číny. V niekoľkých krajinách boli vydané zákazy na používanie ich celkovej techniky. Taktiež v mnohých krajinách majú striktne definované, aké komunikačné prostriedky musia používať najvyšší štátni predstavitelia. Akonáhle nastúpi nejaký minister alebo predstaviteľ do vládnej funkcie, tak je mu dodaný prostriedok, cez ktorý by mal komunikovať a nie je to jeho svojvôľa, že si vyberá on nejaké aplikácie.

Známy prípad v tomto smere predstavujú čínske značky. Majú tieto zariadenia naozaj také bezpečnostné trhliny?

Niektoré bezpečnostné úrady, dokonca aj v európskych krajinách mali konkrétne údaje, čo a akým spôsobom im na týchto zariadeniach prekáža. Z bezpečnostných hľadísk to štátom ani bezpečnostným úradom nevyhovovalo. Bolo tam toho viac. Išlo tam reálne aj o bezpečnosť na týchto zariadeniach.

Od čoho závisí, že niektoré krajiny majú o bezpečnostné riešenia pre štát väčší záujem ako iné krajiny?

Myslím si, že chýba nejaká uvedomelosť, edukácia na strane politikov a štátnych organizácií. Bezpečnosť je hlavne v súčasnosti veľmi dôležitá. Komunikácia cez produkty typu WhatsApp, Signal či Telegram je pre štátnych úradníkov absolútne nevyhovujúca.

Cloud využíva aj Pentagon