Kybernetický útok, ktorý zasiahol kataster, poukázal na vážne nedostatky v ochrane jedného z kľúčových informačných systémov Slovenska. Úrad geodézie, kartografie a katastra SR (ÚGKK) čelí otázkam o zodpovednosti za únik dát, ako aj o transparentnosti a efektivite IT zmlúv, na ktoré štát vynakladá značné verejné financie.
Zmluva na podporu a údržbu informačného systému ESKN, podpísaná medzi ÚGKK a IT firmami Jump Soft a Synchronix na základe verejného obstarávania v decembri 2022, mala riešiť aj kybernetickú bezpečnosť. Predmetná zmluva v hodnote 5,4 milióna eur zahŕňa technickú podporu, údržbu a reakciu na bezpečnostné incidenty v súlade s požiadavkami štátnej metodiky kybernetickej bezpečnosti.
Reakčná doba od nahlásenia bezpečnostného incidentu po jeho riešenie je zmluvne stanovená na jednu hodinu, pričom maximálny čas na neutralizáciu incidentu je osem hodín. Napriek tomu, že útok sa odohral v nedeľu ráno 5. januára, služby katastra zostali odstavené až do pondelka večera. Ministerstvo vnútra vydalo záhadné vyhlásenie o „nevyhnutných úpravách informačných systémov,“ no až v stredu priznalo, že ide o kybernetický útok.
Sporné IT zmluvy a otázky zodpovednosti
Podľa verejne dostupných zmlúv má ÚGKK so spoločnosťou Synchronix viacero kontraktov. Okrem vyššie uvedenej zmluvy za vyše päť miliónov eur, v decembri 2024 nasledovala ďalšia zmluva za 211-tisíc eur na zabezpečenie podpory pre licencie.
Okrem toho, ÚGKK uzavrel zmluvu so spoločnosťou Slovanet, dňa 27. októbra 2023, v hodnote 3 964 677,60 eur na podporu prevádzky a rozvoj IKT infraštruktúry. Zmluva o poskytovaní vybraných údajov z informačného systému katastra nehnuteľností bola podpísaná so spoločnosťou GSoft-Group, dňa 9. novembra 2022, v hodnote 196 357,70 eur. V decembri 2024 bola zverejnená zmluva s firmou InterWay, a.s., na poskytovanie služieb technickej podpory pre produkty Oracle v hodnote 745 540,44 eur. Ďalší významný kontrakt bol uzavretý so spoločnosťou Zymestic Solutions, 18. decembra 2024, v hodnote 1 915 395,12 eur na zabezpečenie podpory pre licencie. S tou istou spoločnosťou úrad podpísal v novembri 2022 Zmluvu o podpore prevádzky a rozvoji informačného systému za 4 066 666 eur.
Tieto služby však očividne nepostačovali na to, aby sa predišlo narušeniu kybernetickej bezpečnosti. Národný kontrolný úrad (NKÚ) opakovane upozorňoval, že informačné systémy verejnej správy sú realizované netransparentne a za predražené sumy, pričom riziká spojené s ich prevádzkou nie sú adekvátne riešené.
„NKÚ dlhodobo upozorňuje, že informačné systémy sú realizované netransparentne s výrazným časovým oneskorením a rizikami, ktoré súvisia s ohrozením bežnej prevádzky systému či ochrany údajov, ktoré sa v nich nachádzajú,“ zdôraznila Daniela Bolech Dobáková, hovorkyňa NKÚ. Zodpovednosť podľa nej leží na IT oddelení katastra aj na externých dodávateľoch, ktorí monitorujú servery a zálohy dát.
Nefunkčný systém a pomalá reakcia štátu
Štátne inštitúcie zodpovedné za riešenie kybernetických incidentov si vyslúžili ostrú kritiku. Národný bezpečnostný úrad (NBÚ) reagoval na situáciu oneskorene. Podľa advokáta Róberta Gašparoviča by NBÚ mal intenzívnejšie spolupracovať s Národným centrom kybernetickej bezpečnosti SK-CERT.
Podnikateľské združenie AZZZ SR zdôraznilo, že nefunkčnosť katastra vážne oslabuje dôveru občanov v štátne inštitúcie. Viceprezident Rastislav Machunka varoval, že takéto zlyhania môžu negatívne ovplyvniť rozhodovanie investorov.
Minister vnútra Matúš Šutaj Eštok uviedol, že niektoré okresné katastrálne úrady obnovia prevádzku v najbližších dňoch, no návrat celého systému môže trvať až sedem dní. Michal Šimečka z Progresívneho Slovenska upozornil, že chaos spôsobil problémy mnohým občanom, ktorí riešili kúpu bytov, dedenie či hypotéky.
Marketingové tvrdenia vs. realita
Synchronix vo svojom propagačnom videu na LinkedIn vyzdvihuje bezpečnostné vlastnosti jedného zo svojich softvérov SARA, ktorý bol údajne navrhnutý na maximálnu ochranu infraštruktúry katastra. Napriek tomu systém zlyhal. Podľa odborníkov na kybernetickú bezpečnosť mohla byť príčinou aj nedostatočná kontrola administrátorov alebo zlyhanie automatizovaných monitorovacích systémov.
Audit kybernetickej bezpečnosti, ktorým ÚGKK prešiel, pravdepodobne neodhalil všetky riziká. Interné zdroje naznačujú, že audity často prebiehajú povrchne, pričom niektoré nedostatky sú prehliadané. Objavujú sa špekulácie o možnej účasti osôb zvnútra – či už z IT oddelenia katastra, alebo zo strany dodávateľov IT služieb.
Pretrvávajúce systémové problémy
História vlastníckych štruktúr firiem ako Synchronix poukazuje na väzby na osoby, ktoré v minulosti profitovali zo štátnych zákaziek. Podnikateľ Jozef Brhel, označovaný za jedného z kľúčových oligarchov spojených s politickou garnitúrou, oficiálne vo firmách nefiguruje, no zmluvy uzatvárané v minulosti zostávajú predmetom kritiky.
Kybernetický útok na kataster odhalil nielen technologické, ale aj systémové zlyhania štátu pri ochrane citlivých údajov. Ak štát nezlepší kontrolu IT služieb a neprijme opatrenia na posilnenie kybernetickej bezpečnosti, riziko podobných incidentov sa zvýši. To by mohlo ešte viac podkopať dôveru občanov v schopnosť štátu efektívne spravovať verejné služby.
Bohužiaľ, absencia transparentnej komunikácie a rýchlej reakcie ukazuje, že štát stále nedokáže dostatočne čeliť kybernetickým hrozbám.
