Všetky pracoviská katastrálnych odborov okresných úradov sú až do odvolania uzavreté, oznamuje Ministerstvo vnútra. Informačné systémy katastra boli napadnuté kybernetickým útokom. Prípadom sa zaoberá Úrad boja proti organizovanej kriminalite, pokračuje tlačová správa.

Systém katastra nehnuteľností čelí kyberútoku, katastrálne odbory nebudú poskytovať služby

Mohlo by Vás zaujímať Systém katastra nehnuteľností čelí kyberútoku, katastrálne odbory nebudú poskytovať služby

Na verejnosť unikol príkaz: „Nezapínajte počítače“, ktorý portál Finsider získal od nemenovaného zamestnanca katastrálneho odboru.          

Ak chceš svoje dáta, zaplať

Hoci zasiahnuté inštitúcie, vrátane Úradu geodézie, kartografie a katastra SR ohľadom detailov útoku „držia bobríka mlčania“, portál Živé priniesol informáciu, že útočníci požadujú ako výkupné sedemmiestnu sumu v dolároch.

Pravdepodobne teda ide o ransomvérový útok.

Škodlivý softvér tohto druhu, nazvaný AIDS, pochádza ešte z roku 1989. Bol zasielaný fyzickou poštou na disketách a obeť si ho musela sama nainštalovať. S rozsahom a teda aj cenou dát uchovávaných v informačných systémoch však dopad ransomvéru rastie.

V prípade takéhoto incidentu útočník zašifruje dáta obete. Tá sa k svojim údajom dostane iba vtedy, ak zaplatí výkupné. Takáto transakcia prebehne zvyčajne vo forme kryptomeny, zanechá tak menej stôp, ktoré by orgány činné v trestnom konaní doviedli k útočníkovi. Po úspešnej platbe môže útočník obeti odovzdať šifrovací kľúč, ktorým boli dáta zašifrované. Ale aj nemusí.      

Čas tejto udalosti takisto potvrdzuje predchádzajúcu domnienku.

Šifrovanie rozsiahlych blokov údajov, takéto sa určite nachádzajú v informačných systémoch katastra, sa nedá urobiť okamžite. Zároveň platí, že šifrovanie je výpočtovo náročné.

Skúsený správca systémov okamžite zbadá zvýšenú záťaž procesorov, blikanie kontroliek na diskových poliach či hlučné ventilátory. Zmenu by si mohol všimnúť, na pomalšej odozve katastrálneho portálu, aj bežný používateľ jeho služieb.

Práve preto bol útok vykonaný počas dlhšieho sviatočného obdobia, keď si ľudia, vrátane „ajťákov“, čerpajú dovolenky a počet realitných transakcií je minimálny.   

Dalo sa útoku zabrániť?

Ako sa útočník dostal do systémov katastra? Neviem. Tu pomôže len hlbšia analýza odborníkmi na informačnú bezpečnosť, ktorí budú mať k dispozícií detailné záznamy aktivít zasiahnutých informačných systémov.

Vo všeobecnosti však platí, že páchatelia zneužívajú známe, aj zatiaľ neznáme, o to však cennejšie, softvérové chyby. Do systému sa potom útočníci dostanú priamo z internetu, cez administrátora alebo aj pomocou nevedomej „spolupráce“ bežného zamestnanca postihnutej inštitúcie. Niekedy stačí len otvoriť nevyžiadaný e-mail.

Komplexnú ochranu informačných systémov pred bezpečnostnými hrozbami predstavujú štruktúry Rozšírenej odozvy a detekcie (XDR). Aj keď, medzi takéto riešenia patrí aj softvér od firmy CrowdStrike, príčina jedného z najväčších technologických výpadkov minulého roku.  

Čo sa stalo: Analýza jedného z najväčších technologických výpadkov v histórii

Mohlo by Vás zaujímať Čo sa stalo: Analýza jedného z najväčších technologických výpadkov v histórii

Vhodným návrhom informačného systému sa síce dá riziko minimalizovať, úplne odstrániť sa nedá. Na záchranu napadnutého systému potom slúžia zálohy. Ide o kópie dát uložené mimo informačného systému.

V mojom poslednom zamestnaní, tesne predtým, ako som začal podnikať, som bol zodpovedný za zálohovací systém jednej z trojice najväčších bánk na Slovensku.

Vtedy sa zálohovalo na magnetické pásky. Ide o zariadenie, ktoré pripomína videokazetu a umožňuje uložiť obsah aj niekoľkých pevných diskov. Výrobca garantuje, že dáta na páskach vydržia minimálne desaťročie.

Banka, v ktorej som pracoval, mala obsah každého informačného systému zálohovaný na troch miestach. Dve kópie boli online, každá v samostatnom dátovom stredisku. Existovala aj verzia dát uložená offline, pásky sa fyzicky vyberali z mechaník a odvážali mimo dátových centier. Všetko spravoval komplexný softvér.

Je otázne, ako má zálohovanie vyriešené katastrálny portál. Informácia zverejnená na Živé hovorí o tom, že tejto oblasti nebola venovaná dostatočná pozornosť a obnova dát môže trvať aj týždne či dokonca mesiace.

Prídeme o domy či byty?

Aký teda bude mať dosah tento kybernetický útok? Závisí to aj od toho, ako rýchlo sa podarí škody na informačných systémoch odstrániť.

V tom najhoršom prípade nám hrozí návrat do „doby kamennej“, keď sa všetky informácie spracovávali mimo počítačov. Všetky realitné transakcie by sa vykonávali iba v papierovej forme a zákonné termíny by sa nepodarilo dodržiavať.

To by ovplyvnilo nielen realitné kancelárie a ich zákazníkov, ale aj oddelenia hypotekárneho financovania bánk a v neposlednej rade aj sektor stavebníctva, už dnes týraný zvýšenou DPH aj prichádzajúcou transakčnou daňou.  

Ak sa dáta nepodarí obnoviť či zrekonštruovať v elektronickej forme, musí nastúpiť úmorná úloha digitalizácie z papierových podkladov. Tá môže trvať aj roky a štát s napätým rozpočtom bude stáť nemalé prostriedky.

Nepredpokladám, že útočníci údaje v katastri zmenili, aj keď trebárs prevod nehnuteľnosti politika podozrivého z korupcie na bezdomovca by bol zaujímavým prípadom sociálnej spravodlivosti.

Na právoplatnú zmenu údajov, ktoré sú často krížovo kontrolované cez viaceré databázy, treba detailne poznať ich štruktúru. Ide o rádovo komplikovanejšiu úlohu ako ich zašifrovanie.

Mohlo sa však stať, že ešte pred zašifrovaním si útočníci údaje z katastra skopírovali. Vzhľadom na to, že prístup k informáciám o nehnuteľnostiach je verejný, nejde o významné riziko. Dnes si údaje o vlastníctve nehnuteľností potenciálnych nápadníkov kontrolujú aj vydajachtivé dámy.

Samozrejme, mohli uniknúť aj údaje, ktoré bežne zverejnené nie sú. Napríklad rodné čísla, iné osobné údaje či zmluvné detaily transakcií.

Pre štát pracuje málo kvalitných „ajťákov“

Hlavným dôvodom, prečo takéto prípady vznikajú, je však pravdepodobne nedostatočné personálne obsadenia štátnych úradov kvalitnými odborníkmi na informačné technológie.

Pracoval som pre štát na viacerých projektoch, pri neformálnych diskusiách so zamestnancami úradov sme sa dostali aj k otázkam platového ohodnotenia, a tu štát oproti súkromnému sektoru vždy ťahá za kratší koniec. To sa potom prejaví aj na kvalite výsledných projektov.

Znovu spomeniem príklad z mojej praxe, ktorý sa, zhodou okolností, týkal katastrálneho portálu. Nejde o aktuálnu verziu toho systému, udalosť sa stala skoro pred dvadsiatimi rokmi, keď sa budovala jeho prvotná inštancia.

Dodávateľ, ktorým bola globálna IT spoločnosť, pre ktorú som pár rokov pred touto udalosťou aj pracoval, fyzicky nainštaloval server, na ktorom malo celé riešenie bežať. Zamestnanec inej firmy, zodpovedný za inštaláciu softvérového riešenia, ostal v pomykove stáť pred „mŕtvym“ serverom.

Do projektu totiž „zabudli“ doplniť „oživenie“ celej infraštruktúry, teda inicializáciu diskových polí, nastavenie virtualizačného prostredia, inštaláciu operačných systémov, databáz a ostatného pomocného softvéru. Keď ponuku na požadované činnosti poslala globálna IT firma, do rozpočtu sa už nevošla, bol som teda oslovený ja, ako špecialista „na voľnej nohe“ so skúsenosťami s požadovanými systémami.

Okrem tejto „chybičky“, ktorú sa nepodarilo objaviť v priebehu projektového plánovania, nemalo prostredie zabezpečené ani núdzové napájanie počas výpadku elektriny. Zamestnancov vtedajšieho IT oddelenia úradu som musel zaškoliť, ako po nečakanom výpadku elektriny na seba naviazané systémy znovu naštartovať.

Na kybernetickú ochranu úradov máme úrady

Rozsah tohto bezpečnostného incidentu koliduje s faktom, že štát má špecializované úrady zaoberajúce sa kybernetickou bezpečnosťou. V prvom rade ide o Národnú jednotku SK-CERT, zriadenú Národným bezpečnostným úradom, ktorý je povestný používaním naozaj „silných“ hesiel.

Ďalším úradom chrániacim naše dáta by mal byť CSIRT.SK, vytvorený ako organizačný útvar Ministerstva investícií, regionálneho rozvoja a informatizácie SR (MIRRI SR).

Na svojej stránke inzeruje niekoľko otvorených pracovných pozícií. Páči sa mi, že e-mailová adresa, na ktorú majú záujemci odpovedať, je pri pokročilejších pozíciách uvedená v zakódovanej forme. Neznalých odradí, pre človeka, ktorý v IT pracuje, je príslušný kód hračkou.

Čo sa mi však nepáči, že na môj e-mail s priloženým životopisom, ponúkajúci spoluprácu, ktorý som im poslal 29. novembra, som doteraz nedostal (ani zamietavú) odpoveď. Ak štátna organizácia nedokáže zareagovať ani na záujem o spoluprácu, ako rýchlo bude reagovať na bezpečnostný incident?