Zisťovali sme, aké riziká hrozia pri používaní voľne dostupných aplikácií pre vládne a štátne organizácie.
Bezpečnosť online komunikácie je hlavne v dobe aktuálneho zvýšeného geopolitického napätia dôležitou témou. Obzvlášť to platí pre komunikáciu na vládnej úrovni, keďže tá môže byť cieľom útočníkov zo štátov, ktoré Slovensko označujú ako nepriateľskú krajinu a zároveň sú známe svojimi kybernetickými útokmi.
Je preto dosť rozporuplné, že na rozdiel od niektorých západných krajín, v ktorých vládne kabinety svoju komunikáciu v tejto dobe ešte viac zabezpečujú, sa slovenská vláda v nezanedbateľnej miere spolieha na „obyčajnú“ aplikáciu Signal. Obyčajnú z toho uhla pohľadu, že nejde o oficiálne certifikovanú platformu, ktorá by spĺňala naše či európske štandardy utajovania.
Hoci Signal je vo všeobecnosti považovaný za jednu z bezpečnejších aplikácií svojho druhu, ide o riešenie, na ktoré štát nemá žiadny dosah a už vôbec ho nemôže priamo kontrolovať. Žiadny štátny orgán či bezpečnostná agentúra nedokáže overiť, cez aké servery komunikácia v rámci Signalu prebieha, kde sa ukladajú odoslané správy a osobné údaje a či k nim niekto nemá prístup. Z hľadiska bezpečnosti komunikácie a možného úniku dát ide jednoznačne o slabé a potenciálne zraniteľné miesto.
V mnohých štátoch je priamo zakázané, aby vládni činitelia a predstavitelia štátnej správy používali na oficiálnu komunikáciu neoverené riešenia tretích strán. Stačí pripomenúť bývalú kandidátku na prezidentku Spojených štátov amerických Hillary Clintonovú, ktorá ešte ako ministerka využívala na pracovnú komunikáciu súkromnú e-mailovú schránku. V dôsledku toho bola oficiálne vyšetrovaná.
Zatiaľ čo vtedy bol z toho škandál, ktorý zarezonoval doslova na celom svete, v prípade slovenských vládnych politikov sa bývalý minister hospodárstva Richard Sulík nijako netajil tým, že vláda na pracovnú komunikáciu a zasielanie oficiálnych materiálov využíva Signal.
Na Slovensku to ale nevzbudilo absolútne žiadny rozruch, práve naopak. Keď sme sa touto témou zaoberali v dvoch našich článkoch, narážali sme na neochotu štátnych orgánov komunikovať o tejto bezpečnostnej otázke, prípadne sme dostávali všeobecné, vyhýbavé a málo konkrétne odpovede.
Jedno z riešení máme priamo doma
Pri hľadaní informácií k danej tematike sme zistili, že priamo na Slovensku je vyvíjaná bezpečnostná platforma Silentel, ktorá je dokonca zaradená do produktového katalógu NATO. Na Slovensku je dokonca od roku 2006 certifikovaná Národným bezpečnostným úradom pre stupne utajenia Vyhradené a Dôverné. Certifikovaná je aj v ďalších európskych krajinách.
Nejde pritom o žiadnu formalitu. Takáto certifikácia je komplexný proces, ktorý trvá deväť až 12 mesiacov, nezriedka sa však môže natiahnuť aj na viac ako rok či dva. Skúma sa dokumentácia celého systému, vrátane zdrojových kódov a musia myť verifikované všetky kryptografické algoritmy a overená funkčnosť šifrovania.
Generálneho riaditeľa a predsedu predstavenstva spoločnosti Ardaco Tomáša Kucharika, ktorá Silentel vyvíja, sme preto poprosili o odpovede na niekoľko otázok. V prvom rade nás zaujímalo, či táto platforma spĺňa všetky parametre na to, aby mohla byť využívaná ako oficiálna komunikačná platforma vlády SR a v čom sú jej výhody oproti Signalu.
„Silentel poskytuje bezpečnosť, ktorá je skutočne overená bezpečnostnými agentúrami nielen na Slovensku, ale aj v ďalších krajinách. Na základe toho môžu ministri a štátni úradníci používať Silentel na komunikáciu utajovaných, ale aj hocijakých senzitívnych informácií v súlade s našou legislatívou,“ vysvetlil Kucharik.
Zároveň pripomenul, že prevádzkovatelia cloudových služieb so sídlom v USA majú povinnosť napomáhať národným organizáciám pri prípadnom vyšetrovaní tým, že im sprístupnia dáta uložené na svojich serveroch. „To znamená, že hocijaké strategické, alebo inak citlivé informácie môžu byť posunuté tretím stranám bez vedomia našich štátnych orgánov,“ podotkol.
Silentel by sa dal vďaka svojej certifikácii okamžite využiť ako oficiálna bezpečná komunikačná platforma vlády SR. „Rokovania v tomto smere prebiehajú a Silentel už využívajú niektoré slovenské štátne organizácie. V porovnaní so zahraničím, kde ho používajú aj niektoré vlády vrátane premiéra, je to u nás v oveľa menšej miere,“ skonštatoval generálny riaditeľ. Ako dodal, ide predovšetkým o štáty západnej Európy.
Je presvedčený, že všeobecné bezpečnostné štandardy máme na Slovensku na podobnej úrovni ako v krajinách EÚ a NATO, niekedy dokonca ideme aj nad rámec medzinárodných požiadaviek. Druhá vec je však ich dodržiavanie. „Výslovne nám chýbajú bezpečnostné štandardy pre používanie online komunikácie štátnych predstaviteľov a v mnohých rezortoch absentuje zákaz používania voľne dostupných aplikácií,“ upozornil Kucharik.
Jeden používateľ so zle zabezpečeným telefónom pritom môže ohroziť bezpečnosť celej komunikačnej skupiny. „Východiskom by malo byť nejaké plne certifikované riešenie plne pod kontrolou štátu, dostupné pre jednotlivé rezorty na vzájomnú komunikáciu,“ načrtol generálny riaditeľ Ardaco, podľa ktorého takéto riešenie na Slovensku úplne chýba pre nižšie úrovne štátnej správy, akými sú krajské, mestské či obecné úrady.
Rôzne hrozby aj pre bežných používateľov
Keď hovoríme o možnom ohrození dôvernosti komunikácie a úniku dát, vôbec nejde o nejaké minimálne riziko. Existuje množstvo škodlivého softvéru v podobe rôzneho malware či spyware, ktoré dokážu infikovať telefón a získavať z neho citlivé informácie. Ohrození nemusia byť len politici či iní štátni predstavitelia, potenciálne nebezpečenstvo môže hroziť aj bežným používateľom.
Zrejme najviac sa v poslednej dobe v tejto súvislosti spomína softvér Pegasus. Ten, paradoxne, vlády niektorých európskych krajín využívajú na sledovanie vlastných občanov, ako informuje napríklad web Spravy.rtvs.sk.
„Je to asi najznámejší malware z hľadiska publicity, ale je ich celkovo oveľa viac. Podstatné je, že nejde len o softvér, ale celý systém. Na ovládanie softvéru totiž musí byť niekto zaškolený, aby vedel, ako ho používať, aký typ útoku na jednotlivých ľudí použiť,“ podotkol Kucharik.
Útočník sa vďaka takýmto nelegálnym softvérovým nástrojom môže nielen dostať do telefónu a získavať z neho rôzne informácie, ale v najhoršom prípade ho aj ovládať. Niektoré typy malware je možné v zariadení detegovať, ale konkrétne v prípade Pegasusu podľa generálneho riaditeľa Ardaco neexistuje žiadne štandardné riešenia v podobe antivírusových programov, ktorými by sa dalo zistiť, či je telefón napadnutý alebo nie.
„Sú len veľmi špecializované riešenia. S jednou takouto firmou aj spolupracujeme, má možnosti na zistenie toho, či konkrétny telefón bol napadnutý. Je to však dosť prácna a vysoko odborná robota,“ doplnil Kucharik.
Zdroj: vlastné, Spravy.rtvs.sk
Prečítajte si aj: