Najhorší kybernetický útok na kataster v histórii môže zasiahnuť každého

Rozsiahly útok neznámych páchateľov na počítačový systém Úradu geodézie, kartografie a katastra SR odstavil všetky systémy a spôsobil paralyzáciu kľúčovej štátnej inštitúcie, ktorá je zodpovedná za evidenciu a správu nehnuteľností.

Útočníci mali spôsobiť nefunkčnosť elektronických služieb katastra a vážne problémy s fungovaním katastrálnych odborov okresných úradov. Mali tiež zašifrovať dáta na serveroch a požadovať výkupné za ich obnovenie.

Pri danom útoku sa mal použiť takzvaný ransomvér. Ransomvér zašifruje dáta v počítačoch tak, že sa k nim používatelia nevedia dostať, a ich počítače či celý systém prakticky nefungujú. Útočníci v takom prípade zvyčajne požadujú výkupné výmenou za obnovenie prístupu k zašifrovaným dátam. Aj v tomto prípade malo dôjsť k požiadavke útočníkov na vysoké výkupné výmenou za navrátenie dát.

Úrad najprv hovoril o výpadku

Samotný úrad informoval o prvom výpadku dňa 6. januára 2025, pri ktorom malo dôjsť k dočasnému obmedzeniu prístupu ku všetkým elektronickým službám a informačným systémom. Dňa 8. januára 2025 už ÚGKK verejnosť informoval, že všetky ich systémy sa stali cieľom kybernetického útoku. Pracoviská katastrálnych odborov okresných úradov budú preventívne až do odstránenia dôsledkov kybernetického útoku dočasne uzatvorené.

Národná agentúra pre sieťové a elektronické služby z bezpečnostných a preventívnych dôvodov obmedzila prístup ku všetkým elektronickým službám ÚGKK prostredníctvom ústredného portálu slovensko.sk. Agentúra pozastavila doručovanie elektronických správ do elektronických schránok ÚGKK a orgánom štátnej správy na úseku katastra až do odvolania.

Pokročilý cielený útok na ÚGKK identifikoval dodávateľ informačných technológií Lukáš Hlavička už 5. januára 2025 o 8:50. Hlavička tvrdí, že úrad má niekoľkovrstvové zálohy, a tak je schopný obnoviť dáta na poskytovanie kritických služieb zo sekundárnych záloh. Zálohy sa však musia najprv zabezpečiť, skontrolovať, identifikovať, či je zabezpečená ich integrita, a až následne bude možné tieto dáta obnoviť a uviesť do prevádzky.

Predseda ÚGKK Juraj Celler hovorí, že nedochádza k nijakým zásahom do databázy katastra, nemenia sa vlastníci ani vlastnícke vzťahy. Krízový štáb ÚGKK podľa neho pracuje na tom, aby obnovil systém v čo najkratšom čase. V súčasnosti by mal byť nefunkčný portál ESKN, na ktorom sa zverejňujú elektronické údaje z katastra nehnuteľností, a portál CICA, ktorý umožňuje jednoduché vyhľadávanie popisných údajov z katastra.

Riešenie incidentu koordinuje Národný bezpečnostný úrad v spolupráci s Ministerstvom vnútra SR, vládnou jednotkou CSIRT, Centrom kybernetickej obrany Ministerstva obrany SR a ďalšími bezpečnostnými zložkami. Prípadom sa zaoberá aj Úrad boja proti organizovanej kriminalite.

Pre kybernetický útok bude mimoriadne zasadať parlamentný výbor na kontrolu činnosti Národného bezpečnostného úradu, na ktorom sa zúčastní riaditeľ NBÚ Roman Konečný, ako aj riaditeľ ÚGKK Juraj Celler. Vzniknutou situáciou sa bude zaoberať aj Bezpečnostná rada štátu, ktorej mimoriadne zasadnutie je naplánované na 10. januára 2025.

Kybernetický útok môže predstavovať niekoľko trestných činov

Úrad boja proti organizovanej kriminalite tento útok kvalifikoval ako podozrenie z trestného činu neoprávneného zásahu do počítačového systému. Toho sa dopustí páchateľ, ktorý obmedzí alebo preruší fungovanie počítačového systému alebo jeho časti, zneprístupní počítačové údaje alebo urobí neoprávnený zásah do technického alebo programového vybavenia počítača a získané informácie neoprávnene zničí, poškodí, vymaže, pozmení alebo zníži ich kvalitu.

Vzhľadom na možnú škodu veľkého rozsahu, ktorá je odstavením tak významného systému na niekoľko dní viac než pravdepodobná, hrozí páchateľovi trest odňatia slobody až na osem rokov. Rovnaký trest hrozí, ak by za útokom stálo nebezpečné zoskupenie osôb.

Páchatelia sa týmto útokom mohli dopustiť aj trestného činu neoprávneného prístupu do počítačového systému. Toho sa dopustí ten, kto prekoná bezpečnostné opatrenie a tým získa neoprávnený prístup do počítačového systému alebo jeho časti. V tomto prípade by im hrozil trest odňatia slobody najviac na päť rokov.

Ak by sa následne preukázalo, že páchatelia pozmenili údaje v systéme katastra, dopustili by sa trestného činu neoprávneného zásahu do počítačového údaja.

Vzhľadom na údajnú požiadavku vysokého výkupného v súvislosti s navrátením prístupu do systému možno uvažovať aj o trestnom čine vydierania. Toho sa dopustí páchateľ, ktorý iného násilím, hrozbou násilia alebo hrozbou inej ťažkej ujmy núti, aby niečo konal, opomenul alebo trpel. Pod pojem „iná ťažká ujma“ možno zaradiť hrozbu spôsobenia majetkovej ujmy, čo by v tomto prípade znamenalo stratu dôležitých dát z katastra. Vzhľadom na škodu veľkého rozsahu možno uvažovať až o treste odňatia slobody na 25 rokov.

Ak útočníci pôsobia zo zahraničia, môže dôjsť aj k uplatneniu medzinárodných zmlúv, ako napríklad Dohovoru o počítačovej kriminalite. Cieľom dohovoru je pomôcť v boji proti trestným činom, ktoré možno spáchať len s použitím technológií, keď sú zariadenia nástrojom na spáchanie trestného činu a zároveň jeho cieľom.

Následky útoku budú mimoriadne

Pri posudzovaní trestnej zodpovednosti nepôjde o až tak náročný prípad ako z hľadiska posudzovania právnych následkov tohto činu. Z právneho hľadiska otvára tento útok obrovské množstvo otázok, ktoré nepochybne budú predmetom skúmania po obnovení všetkých systémov.

Pôjde totiž o mimoriadne zložitý prípad, ktorý otvorí mnoho otázok o zodpovednosti a dôsledkoch pre dotknuté osoby.

Hackerský útok má vážne dopady na chod katastra v podobe prerušenia evidencie nehnuteľností. Kataster, ako databáza, ktorá zhromažďuje a garantuje vlastnícke práva všetkých občanov a subjektov, nemôže spracúvať údaje o prevodoch nehnuteľností, čo môže zastaviť trh s nehnuteľnosťami. Rovnako budú musieť byť zastavené alebo prerušené stavebné konania.

Ohrozená bude dôveryhodnosť údajov, pretože ak útok spôsobil zmenu alebo stratu údajov, môže to viesť k sporom o vlastnícke práva. Netreba pritom zabúdať na milióny údajov, ktoré budú musieť byť verifikované. Z toho následne vznikajú právne riziká pre občanov a firmy. Subjekty, ktoré boli dotknuté útokom, môžu čeliť komplikáciám pri dokladovaní vlastníctva, čo môže viesť k finančným stratám alebo právnym sporom.

Ak kataster obsahuje nesprávne údaje o vlastníckych vzťahoch, právne úkony, ktoré od nich závisia (napríklad zmluvy o predaji, darovacie zmluvy, zriadenie vecných bremien), môžu byť právne neplatné. Kupujúci alebo iné strany môžu čeliť súdnym sporom o neplatnoti zmlúv, čo bude mať za následok nárast žalôb na zrušenie alebo nápravu chybných údajov.

V prípade straty údajov alebo nesprávnych záznamov môžu byť dedičské konania (ktoré často závisia od katastrálnych údajov) komplikované alebo pozastavené. Dediči môžu mať problém preukázať vlastnícke práva k nehnuteľnostiam a problémy pri určovaní rozsahu majetku zanechaného zosnulým.

Mnohé povolania nemôžu vykonávať činnosť

Zastavená je činnosť geodetov, notárov či advokátov, ktorí potrebujú údaje z katastra nehnuteľností na výkon svojho povolania. To isté platí pri prepisoch či iných úkonoch spojených s nehnuteľnosťami v prípade ľudí alebo subjektov, ako sú banky, ktoré si následne nemôžu overiť potrebné údaje na iné dôležité úkony.

Hypotéky a iné záložné práva sú zapísané v katastri. Manipulácia s týmito údajmi môže spôsobiť vymazanie existujúcich záložných práv (banky prídu o zabezpečenie úverov) alebo nesprávne zapísanie nových záložných práv, ktoré nemajú právny základ. Banky tak môžu utrpieť značné finančné straty a hypotekárni klienti môžu čeliť sporom alebo strate právnej ochrany svojho majetku.

Hackeri môžu vložiť fiktívne bremená (napríklad vecné bremená prechodu alebo iné obmedzenia vlastníckeho práva) na nehnuteľnosti. Vlastníci tak môžu čeliť obmedzeniam v nakladaní so svojím majetkom (napríklad nemôžu nehnuteľnosť predať alebo prenajať), čo môže vyústiť do dlhodobých súdnych sporov na odstránenie neoprávnených bremien.

Fiktívne prevody, ale aj daňové podvody

Útočníci môžu previesť vlastníctvo nehnuteľností na tretie osoby, ktoré následne nehnuteľnosť predajú. Kupujúci, aj keď konajúci v dobrej viere, môže prísť o nehnuteľnosť, ak sa zistí, že predaj bol podvodný. Pôvodný vlastník môže byť nútený viesť zdĺhavý súdny proces na vrátenie nehnuteľnosti, pričom celý proces zvyšuje pravdepodobnosť komplikácií pri odškodnení poškodených strán.

Kataster slúži aj ako podklad na výpočet daní z nehnuteľností. Ak sú údaje poškodené alebo nesprávne, môžu vzniknúť problémy s nesprávnym výberom daní. Občania môžu byť zbytočne zdanení alebo im môžu byť vyrubené pokuty, čo opäť vyústi do administratívnych komplikácií.

Databáza katastra obsahuje presné údaje o hraniciach pozemkov. Ak dôjde k manipulácii, môžu vzniknúť spory medzi susedmi o vlastnícke hranice, čo vyústi do konfliktov pri určovaní práv na využívanie pôdy a súdnych sporov o znovuvymeranie hraníc. Kataster obsahuje osobné údaje vlastníkov (napríklad rodné čísla, adresy) a môže dôjsť k ich zneužitiu na neoprávnené úvery alebo iné podvodné aktivity.

Investori môžu čeliť problémom pri kúpe alebo zjednocovaní pozemkov na rozvojové projekty (napríklad výstavba bytov, priemyselných parkov), čo môže vyústiť do omeškania alebo úplného zrušenia projektov a následných finančných strát pre investorov a štát.

Ak kataster nie je schopný poskytnúť presné údaje, môže dôjsť k prerušeniu alebo zastaveniu prebiehajúcich súdnych konaní o vlastníctve nehnuteľností alebo k nesprávnym rozhodnutiam súdov na základe nepresných údajov.

Bývalý predseda ÚGKK Ján Mrva pritom tvrdí, že až 92 % listov vlastníctva je v súčasnosti iba v elektronickej podobe. Ich údaje tak bude mimoriadne ťažké overiť, keďže neexistujú v papierovej forme.

Overovanie všetkých relevantných skutočností po vyriešení útoku bude mimoriadne náročné a už dnes možno pripustiť, že dôjde k mnohým chybám či podvodným konaniam. Ako štát vysvetlí, že na tak kritický systém bolo možné nielen zaútočiť, ale aj ochromiť ho na niekoľko dní, zostáva záhadou.