Národný bezpečnostný úrad (NBÚ) s najlepším a prakticky jediným špecializovaným tímom na počítačovú bezpečnosť vo verejnej správe spolupracoval na prvom komplexnom prieskume stavu informačnej bezpečnosti na Slovensku.
No pri zisťovaní, ako majú svoje systémy zabezpečené iné organizácie, pozabudol na ochranu vlastných serverov. Vďaka školáckym chybám administrátorov hackeri v apríli ovládli poštový server úradu a minulý mesiac ho odpojili od internetu.
Bez zákonov
Slabé zabezpečenie NBÚ, minimálne takzvanej verejnej zóny, čiže internetovej konektivity, e-mailovej komunikácie a webstránky, nie je len vecou nedôslednosti úradníkov či dodávateľskej firmy. Úlohu už tradične zohrávajú aj peniaze a zákony.
Predstavitelia NBÚ tvrdia, že ak by bolo príliš veľa finančných prostriedkov vynaložených na verejnú zónu, mohli by sa objaviť viaceré otázniky.
Napríklad prečo úrad investoval do niečoho, čo mu nevyplýva zo zákonov ani predpisov a či by to nebolo práve na úkor prioritných oblastí, vyjadruje obavy riaditeľ kancelárie NBÚ Ivan Goldschmidt.
Podobnú dilemu musia riešiť všetky štátne inštitúcie, pretože verejnej správe chýba koncepcia budovania bezpečnosti informačných systémov, ktorá by stanovila základné pravidlá a definovala kompetencie. Bezpečnosť je legislatívne podchytená len pri ochrane osobných údajov, utajovaných skutočnostiach a elektronickom podpise.
Ak chce orgán štátnej správy vypracovať analýzu rizík pre informačné systémy, ktoré sa týchto troch oblastí netýkajú, riskuje obvinenie zo zneužitia právomocí verejného činiteľa a neefektívneho nakladania s peniazmi daňových poplatníkov, súhlasí senior manažér KPMG Slovensko Pavol Adamec.
Situáciu nerieši ani zákon o informačných systémoch verejnej správy. Jeho primárnym cieľom je zabezpečiť elektronizáciu úradov, interoperabilitu jednotlivých systémov a vybudovanie ústredného portálu. Bezpečnosti informačných systémov sa venuje iba okrajovo. Vydávať bezpečnostné štandardy môže splnomocnenec vlády pre informatizáciu spoločnosti Miroslav Kukučka, no zatiaľ chýbajú.
Peniaze a filozofia
Pokiaľ verejná správa nedokáže zaplatiť počítačových expertov tak ako súkromný sektor, nedá sa očakávať, že v nej budú pracovať kvalitní ľudia. Nehovoriac o obmedzených možnostiach odborného rastu.
Súkromné firmy zvyčajne svojich špecialistov vzdelávajú a platia im drahé školenia, ktorých sa v štátnej správe nedočkajú. Ak experta neodradí ani toto, môže ho demotivovať obmedzený priestor na sebarealizáciu.
Na úrade musí zápasiť s nedostatkom zdrojov, čo mu znemožňuje realizovať predstavy o ochrane informačného systému, hovorí spoluzakladateľ konzultačnej spoločnosti Gordias Ivan Kopáčik. S dodatkom, že ak legislatíva zavedenie bezpečnostných štandardov neprikazuje, nemá čím argumentovať, keď žiada peniaze na ochranu systémov.
Verejný sektor si napriek rastúcemu povedomiu neuvedomuje hodnotu informácií spracúvaných v informačných systémoch. Niektoré firmy už vedia, že výpadky služieb informačného systému či únik databáz môžu spôsobiť konkrétne škody a ohroziť biznis. No verejnému sektoru je takéto rozmýšľanie cudzie, tvrdí I. Kopáčik.
Z verejného sektora majú podľa P. Adamca kultúru pre bezpečnosť najlepšie vyvinutú silové zložky, čiže ministerstvá vnútra a obrany. Veľká časť ich práce je totiž založená na obozretnom nakladaní s informáciami. Najlepšie chránené sú práve tajné a prísne tajné údaje v ich sieťach. Aj preto, lebo musia byť fyzicky oddelené od internetu.
No vo všeobecnosti sú informačné systémy vo verejnej správe chránené horšie ako v súkromnom sektore, zhodujú sa bezpečnostní špecialisti. Ich názory potvrdzuje aj prieskum, ktorý vlani na jeseň zverejnili KPMG, časopis DSM – Data Security Management a NBÚ.
Hoci informačnej bezpečnosti prikladajú z pohľadu svojich primárnych cieľov význam všetci respondenti zo štátnej správy, len štvrtina z nich venuje dostatočnú pozornosť praktickej realizácii.
(Ne)bezpečný Govnet
Slabiny informačných systémov verejnej správy budú hackerov lákať aj naďalej. Ťažko povedať, kam sa dostanú. Každý systém je zraniteľný a všetko závisí iba od toho, aké zdroje majú útočníci k dispozícii. Konzultanti a hackeri, s ktorými sa TREND rozprával, sa zhodli, že úplne bezpečná nie je žiadna sieť. Ani vládny Govnet.
Bežný hacker by zrejme nemal odvahu ísť tak ďaleko. No mohol by sa o to pokúsiť niekto, kto má záujem o citlivé údaje z vládnej siete a dostatok peňazí na zaplatenie špičkových ľudí a vybavenia.
I. Kopáčik si vie predstaviť, že by niekto sfalšoval uznesenia vlády, ktoré sa spracúvajú v elektronickej podobe.
Ak by hacker získal prístup na interné servery Úradu vlády SR, mohol by pozmeniť niektoré údaje uznesení, napríklad finančné položky, a vyvolať zmätok, dodáva. Možnosť, že by hacker siahol na obchodný register či register trestov je podľa neho nízka, no nie vylúčená.
Po technickej stránke je vládna sieť zabezpečená dobre, zhodujú sa odborníci. Peter Mihálik, ktorý spravuje sieť Slovenskej televízie a príležitostne spolupracuje s technologickými firmami na IT projektoch, prišiel do styku s Govnetom, keď pracoval na zákazke pre Úrad pre normalizáciu. Zo zabezpečenia vládnej siete má dobrý pocit.
Podľa neho je to „až paranoidne postavená sieť, v ktorej je takmer všetko zakázané“. No rovnako ako iní odborníci vidí problém v paralelných internetových pripojeniach, ktoré majú niektoré inštitúcie popri govnetovom pripojení. Pravidlá bezpečnostného projektu vládnej siete ich síce nepovoľujú, no úrady ich majú, pretože neexistuje zákon, ktorý by im to zakazoval.
Situáciu zhoršuje skutočnosť, že jednotlivé ministerstvá preferujú vlastných dodávateľov. A čím viac firiem nastavuje informačný systém rezortu, tým viac ľudí pozná technické prostriedky a metódy prístupu do vnútornej siete.
„Tým sa značne uľahčuje neautorizovaný prístup do informačného systému,“ vysvetľuje výkonný riaditeľ spoločnosti Kiss František Petro. Kiss bol systémový integrátor Govnetu, kým ho pred štyrmi rokmi nenahradil Swan.
Ak by hacker využil potenciálne slabšie chránené paralelné pripojenie a dostal sa na server niektorej z inštitúcii napojenej na Govnet, výrazne mu to zjednoduší cestu do iných častí vládnej siete. Aké informácie by získal, závisí od toho, ako hlboko sa dostane.
Sú rezorty, ktoré na Govnete nesprístupňujú žiadne významnejšie informácie. Iné tam môžu mať citlivé údaje, dodáva F. Petro. Najľahšie by sa podľa neho dali zneužiť informácie ekonomického charakteru a osobné údaje.
Policajné duo
Keď bezpečnostná ochrana útoku hackerov podľahne, na scénu nastúpi polícia. No tá má nedostatok pracovníkov a zastarané technické zariadenia, pripúšťa Marta Bujňáková z tlačového oddelenia Prezídia Policajného zboru.
Pred tromi rokmi sa softvérovou kriminalitou zaoberali traja policajti. Najneskôr pri vstupe do Európskej únie malo Slovensko pristúpiť k európskemu dohovoru o počítačovej kriminalite. Následne sa mal rozšíriť Trestný zákon.
Pribudnúť mala napríklad povinnosť poskytovateľov internetu a webového priestoru uchovávať záznamy o prevádzke na serveroch. Malo vzniknúť aj samostatné pracovisko venované kyberkriminalite s ôsmimi až desiatimi pracovníkmi.
Dohovor síce Slovensko podpísalo, no zatiaľ ratifikovaný nie je. Záznamy o prevádzke takzvaných log súbor, legislatíva podľa M. Bujňákovej neupravuje.
Oddelenie počítačovej kriminality bolo v rámci reorganizácie presunuté z Úradu boja proti organizovanej kriminalite pod Úrad justičnej a kriminálnej polície.
Podľa informácií TRENDU došlo pri presune aj k zníženiu platov, preto sa v súčasnosti venujú softvérovej kriminalite už len dvaja policajti. Okrem hackovania musia riešiť porušovanie autorských práv, extrémistické prejavy a detskú pornografiu v internete, podvody i ohováranie na webe. Práve táto agenda im zaberie väčšinu času.
- Nepoučiteľný NBÚ
Pri jarnom útoku na Národný bezpečnostný úrad (NBÚ) využili hackeri dieru vo webovom e-mailovom rozhraní, na ktorej chýbala záplata, a vzápätí uhádli heslo nbusr123, ktoré nespĺňa najzákladnejšie bezpečnostné pravidlá.
Úrad po zverejnení útoku odstavil na niekoľko dní servery, ktoré zabezpečovali fungovanie verejnej zóny, čiže pripojenie úradu do internetu, e-mailovú komunikáciu zamestnancov a fungovanie webstránky. Incident urýchlil prestavbu architektúry verejnej zóny, ktorú úrad pripravoval niekoľko mesiacov.
Napriek tomu v lete zaútočili hackeri znovu a využili pritom to isté heslo ako v apríli. Tentoraz neprenikli na server úradu, ale odpojili ho od internetu tým, že vypli smerovač u providera NetlabPlus, cez ktorého je NBÚ pripojený do internetu.
Okrem toho, že správcovia siete nezmenili niekoľko mesiacov po prvom incidente na celej infraštruktúre primitívne heslá, urobili aj ďalšiu školácku chybu. Povolili zmenu nastavení routera cez internet.
Úrad potvrdil, že k hackerskému útoku došlo mimo jeho infraštruktúry, no udalosť nechcel širšie komentovať. „Ťažko hodnotiť, čo sa presne stalo, keďže hackeri udávajú, že zneprístupnili stránku a servery o štvrtej hodine a my sme si ich sami vypli o pol štvrtej,“ hovorí I. Goldschmidt.
Ako dodáva, servery odpájajú pracovníci NBÚ pravidelne, mimo pracovného času – teda cez víkendy a cez pracovné dni večer. Je to jedno z opatrení, ktoré úrad prijal po apríli. No hackeri tvrdia, že ak by úrad chcel webovú stránku sprístupniť, nedokázal by to.
Ani pri jednom útoku nedošlo podľa úradu k úniku utajovaných skutočností. Nebola narušená ani činnosť koreňovej certifikačnej autority, ktorá slúži na overovanie autorizovaného elektronického podpisu medzi štátnou správou a občanmi. Odborníci dávajú úradu za pravdu.
Certifikát koreňovej certifikačnej autority je zabezpečený podľa náročných medzinárodných noriem, preto nemohol byť kompromitovaný, vysvetľuje konateľ konzultačnej firmy Digmia Vladislav Konečný. A utajované skutočnosti sú uložené na fyzicky izolovanom systéme.
To znamená, že ich s internetom nespája žiaden kábel. Citlivé údaje z NBÚ mohli v dôsledku hackerského útoku uniknúť vtedy, ak by pracovníci úradu porušovali predpisy a komunikovali utajované informácie cez e-maily. Aj bežná komunikácia úradu však môže obsahovať citlivé a zaujímavé informácie.
„No vezmime si hypotetickú situáciu, že niekto vysoko postavený z úradu má popri manželskom vzťahu milenku. A začnete ho vydierať, že odovzdá diskreditujúce maily manželke, pokiaľ nedostane určitá firma alebo osoba bezpečnostnú previerku,“ naznačuje správca servera Hysteria.sk Peter Mihálik.
Význam informačnej bezpečnosti podľa odvetví
(tu nájdete zväčšený náhľad)
(%)
Pozn.: Prieskum prebiehal v roku 2004 na vzorke 199 organizácií
PRAMEŇ: Prieskum stavu informačnej bezpečnosti na Slovensku(KPMG, Národný bezpečnostný úrad, časopis DSM - Data Security Management)
Ilustračné foto – IBM, Profimedia.cz
