Je vhodné a bezpečné, aby vládni činitelia využívali na svoju pracovnú komunikáciu a zasielanie štátnych dokumentov súkromnú aplikáciu?

Zisťovali sme to u viacerých vládnych inštitúcií a pýtali sme sa aj odborníkov na digitálnu bezpečnosť. Hneď na úvod treba poznamenať, že dostať sa k odpovediam nebolo vždy jednoduché.

Ministri slovenského vládneho kabinetu využívajú na vzájomnú komunikáciu a posielanie pracovných materiálov komunikačnú aplikáciu Signal. Prezradil to minister hospodárstva Richard Sulík (SaS) v relácii rádia Expres Braňo Závodský Naživo a viac sa o tom môžete dočítať v našom staršom článku.

Tejto téme sme sa rozhodli ďalej venovať, keďže z používania aplikácie tretej strany, na ktorú štát nemá nijaký priamy dosah, vyplývajú potenciálne bezpečnostné riziká. U viacerých štátnych inštitúcií sme zisťovali, či by nebola vhodnejšia komunikácia ministrov cez aplikáciu, ktorú majú štátne orgány pod kontrolou a či vôbec štát má k dispozícii vlastné komunikačné riešenie, ktoré by šéfovia vládnych rezortov mohli využívať namiesto Signalu.

Úrad vlády mlčí, podľa NBÚ sú citlivé informácie chránené

Ako prvý sme oslovili Úrad vlády SR, odtiaľ sme sa ale odpovede dodnes nedočkali. Obrátili sme sa teda následne na Ministerstvo vnútra SR. Jeho tlačový odbor nám odpovedal až po urgencii, pre úplnosť však treba doplniť ich tvrdenie, že náš prvý e-mail sa v ich pošte neobjavil.

Konkrétne odpovede na naše otázky sme však znova nedostali, len odporúčanie, aby sme sa s touto témou obrátili na Národný bezpečnostný úrad (NBÚ), prípadne na vládnu jednotku CSIRT.sk. Jej názov je skratkou z Computer Security Incident Response Team Slovakia a podľa informácií na jej oficiálnej stránke ide o organizačný útvar ministerstva, ktorý sa zaoberá riešením počítačových incidentov v SR podľa zákona o kybernetickej bezpečnosti.

NBÚ nám odpovedal prakticky obratom, jeho hovorca Peter Habara však zdôraznil, že im ako štátnemu orgánu neprináleží právo vyjadrovať sa ku komerčným produktom alebo službám. „Úrad nielen počas vrcholu pandémie ochorenia Covid-19 zabezpečoval a ďalej garantuje bezpečné vládne spojenie medzi jednotlivými členmi vlády a príslušným personálom technickými prostriedkami, ktoré sú certifikované na prenos utajovaných skutočností. Citlivé informácie sú chránené šifrovaním,“ priblížil Habara.

Priamu odpoveď na otázku, prečo ministri používajú Signal, keď NBÚ podľa vlastného tvrdenia zabezpečuje bezpečné vládne spojenie medzi členmi vládneho kabinetu, sme nedostali. Habara len vo všeobecnosti konštatoval, že NBÚ nepovažuje za rozumné a bezpečné informovanie o detailoch komunikácie v štáte, pretože sa tým zvyšuje potenciálna zraniteľnosť zariadení, ich používateľov a štátnych záujmov.

WiFi
WiFi – Bezpečnosť pripojenia

MIRRI: Nedisponujeme informáciou o existencii či príprave vlastnej aplikácie

Medzitým sme ešte oslovili Ministerstvo investícií, regionálneho rozvoja a informatizácie (MIRRI), keďže táto problematika sčasti spadá aj do jeho kompetencie a jeho súčasťou je i už spomínaná vládna jednotka CSIRT.sk. Z komunikačného odboru rezortu nám najprv odpísali, že CSIRT nedisponuje informáciou, že by SR momentálne mala vlastnú komunikačnú platformu s parametrami porovnateľnými s aplikáciou Signal. „Vládna jednotka CSIRT nedisponuje ani informáciou o plánovanom vytvorení vlastného komunikačného riešenia pre SR,“ dodali pracovníci komunikačného odboru rezortu investícií.

Keďže sme celý prípad riešili aj v čase, keď sa médiami prehnala infomácia o hesle nalepenom priamo na počítači ministerstva, rezort možno aj v tejto súvislosti zdôraznil, že vicepremiérka a ministerka informatizácie Veronika Remišová osobne žiadnu aplikáciu tretej strany nikdy nepoužila na posielanie materiálu, ktorý by obsahoval utajované skutočnosti a verí, že tak nikdy neurobil ani žiadny iný člen vlády.

Cez platformu Signal sa posielajú bežné správy, často verejne dostupné dokumenty alebo pripomienky k nim a ich prípadné zverejnenie by nepredstavovalo žiadne bezpečnostné riziko. Na narábanie s utajovanými skutočnosťami má vláda osobitné postupy, rovnako je osobitný postup na pripomienkové konanie pri návrhoch, o ktorých vláda rozhoduje,“ podčiarkol komunikačný odbor.

Zároveň spomenul, že aplikácia Signal využíva end-to-end šifrovanie, jej zdrojový kód je verejne prístupný a bezpečnosť aplikácie je všeobecne považovaná za porovnateľnú alebo vyššiu ako iné spôsoby komunikácie.

Pracovná či súkromná komunikácia?

Samozrejme, aspekt, či ide o pracovnú alebo súkromnú komunikáciu je v tomto prípade kľúčový. Aj ministri sú len ľudia, ktorí majú svoje záujmy a záľuby. Ak to okomentujeme s trochou humoru a nadsádzky, minister hospodárstva Igor Matovič môže bez akýchkoľvek obmedzení svojim kolegom z vlády cez Signal rozposielať fotografie svojho mediálne známeho kocúra Mačiaka a na oplátku sa s ním minister hospodárstva Richard Sulík môže podeliť o recepty na svoje kulinárske špeciality z pizzapiecky.

V prípade pracovných dokumentov je už ale situácia trochu iná a prihliadnuť treba na stupeň ich utajenia. V tomto zmysle sa pre náš portál vyjadril Ondrej Kubovič, odborník na digitálnu bezpečnosť zo spoločnosti ESET, ktorú sme požiadali o stanovisko k téme.

Pokiaľ ide o bežnú komunikáciu, prípadne o návrhy zákonov, ktoré sú aj verejne prístupné, nevidíme v tom zásadný problém. Aplikácia Signal patrí k najlepšie zabezpečeným a je určite bezpečnejšia ako napríklad Facebook Messenger či WhatsApp. V prípade, ak by si posielali povedzme rozpracované návrhy zákonov, o ktorých ešte prebieha debata v rámci koalície a nie sú verejne dostupné, ich uniknutie by bolo skôr politicky nepríjemné, ale nepredstavovalo by to riziko pre štátnu bezpečnosť,“ ozrejmil Kubovič. Ak by ale išlo o utajované skutočnosti, ktoré by zo zásady nemali opúšťať zabezpečené kanály, to by už podľa neho predstavovalo bezpečnostné riziko.

V prípade vytvorenia vlastnej štátnej aplikácie považuje za nevyhnutné porovnať jej potenciálne prínosy s nákladmi na výrobu, zabezpečenie či údržbu. „Pokiaľ by šlo o aplikáciu na chatovanie pre úzky okruh ľudí, ako v tomto prípade pre ministrov, nemusí to byt efektívne riešenie. Navyše aj takáto aplikácia by bola náročná na údržbu a zabezpečenie – čo môže predstavovať potenciálne bezpečnostné riziko,“ upozornil Kubovič.

Doplnil, že jej tvorca by tiež musel vytvoriť mechanizmy, aby zo štátneho „chatu“ neunikali informácie. „Asi je dobré pre kontext spomenúť, že štátne IT systémy na Slovensku mali viaceré problémy a neboli na ideálnej úrovni. Príkladom môžu byť napríklad portál Slovensko.sk či systémy NCZI, ktoré mali koordinovať očkovanie proti COVID-19,“ načrtol Kubovič.

Väčšie a vyspelejšie štáty majú podľa jeho slov viac možností a finančných prostriedkov na vytvorenie podobných bezpečných aplikácií, ale opäť ide skôr o platformy na posielanie utajených informácií. „Pre malý štát ako je Slovensko s obmedzenými IT kapacitami sú aplikácie na úrovni Signal jednou z lacných, no stále lepších možností. Samozrejme, za predpokladu, že sú samotní politici oboznámení s tým, aké informácie môžu a aké nemôžu zdieľať cez tieto platformy,“ zakončil Kubovič.

Hlavne cez Facebook

Keďže komunikátory a hlavne sociálne siete sú medzi politikmi čoraz obľúbenejšie, podobné dilemy sa podľa nášho názoru budú objavovať častejšie. Osobitným príkladom je forma komunikácie bývalého premiéra a súčasného ministra financií Igora Matoviča, ktorý smerom k verejnosti ako svoj hlavný komunikačný kanál využíva svoj súkromný profil na sociálnej sieti Facebook.

Informuje na ňom nielen o osobných záležitostiach, ale neraz aj o pracovných témach či dianí a sporoch vo vládnej koalícii, prípadne na ňom avizuje svoje plány v ministerskej funkcii. Za tento spôsob komunikácie bol opakovane kritizovaný z viacerých strán, nezdá sa však, že by ho to podnietilo k nejakej zásadnej zmene.

Zdroj: vlastné

Prečítajte si aj: