“Oddajanje letnih poročil Ajpesu je očitno pomembnejše kot varovanje podatkov podjetij in državljanov in državljank Slovenije. Da potencialne poslovne škode zasebnim podjetjem in možnosti kraje identitete državljanov sploh ne omenjamo,” so škandalozne odgovore vodje Ajpesove službe za informacijsko tehnologijo Marjana Babiča, ki jih je dal v pogovoru za MMC, komentirali na forumu Slo-tech, kjer so razkrili, da je sistem že eno leto tako slabo nadzorovan, da bi lahko prišlo do velikih kršitev osebnih podatkov.
“Pri analiziranju smo proučevali tudi nekatere bolj radikalne ukrepe, vendar smo ocenili, da jih trenutno brez občutnega vpliva na delovanje storitev Ajpesa ni smotrno izvesti. Posledice za uporabnike bi bile nesorazmerno velike, saj mora okrog 170 tisoč zavezancev v tem obdobju izpolnjevati zakonske obveznosti oddaje letnih poročil.”
Tako Babič pojasnjuje novinarju, zakaj v Agenciji za javnopravne evidence in storitve (Ajpes) niso storili nič, da bi odpravili zagato s podpisno komponento. Kriv je namreč podizvajalec, ki je komponento razvil. In mora zdaj napako odpraviti. Babič tako v pogovoru z novinarjem ni vedel, ali napaka še obstaja. Tega “Ajpes v tem trenutku ne more nedvoumno potrditi ali ovreči, saj ne razpolaga z dovolj strokovnega znanja na tem področju,” je dejal.
Od etičnega hekerja mimo javnega sektorja do znane odvetnice
Kot poudarjajo v Slo-techu, očitno prvi cilj Ajpesa in povezanih oseb in organizacij ni bil popraviti varnostne ranljivosti, ampak diskreditirati tiste, ki so nanje opozorili. Saga o švicarskem siru, imenovanem Ajpes, ki se odvija že skoraj drugi mesec, tako na žalost še vedno ni končana. V nadaljevanju vam predstavljamo tri osebe, ki so se v javnosti prostovoljno izpostavile v povezavi s to tematiko.
Gorazd Božič, vodja SI-CERT-a
V istem prispevku je Gorazd Božič neutemeljeno napadal glasnika, ki da bi moral pomagati pri prikrivanju dejstev, čeprav je Ajpes vmes že sporočil, da je napaka odpravljena: “Po moji osebni oceni ni bilo razloga za takšno hitenje in bolje bi bilo, če bi se z objavo počakalo nek minimalen čas, kjer bi lahko razvijalci napako odpravili. […] Osebno ne vidim razloga, zakaj ne bi dali vsaj nekajdnevnega roka. Standardi, ki veljajo v tujini, se začnejo celo pri 30-dnevnih,” je povedal za MMC.
Milan Gabor, etični heker
Po “naključju” pa je MMC nekaj dni pred pogovorom z Babičem objavil pogovor z etičnim hekerjem Milanom Gaborjem. Ta je med drugim dejal: “A način razpletanja zgodbe prek medijev ni pravi. Etični hekerji ne smejo “bombastično” udariti prek medijev, ker prav to lahko povzroči množične zlorabe, ampak se na varnostne luknje diskretno opozori, v tem primeru Ajpes, da problem rešijo. Zadeva se lahko javno objavi pozneje”, je komentiral Gabor in dodal, “da načeloma etični heker, ki nima slabih namenov, svoje identitete ne skriva za različnimi kriptiranimi povezavami, kar naj bi se v primeru napada na Ajpes prav tako zgodilo”.
Nataša Pirc Musar, odvetnica
Svoje pa je seveda dodala tudi odvetnica prve dame ZDA Nataša Pirc Musar. Za Planet TV je med drugim dejala: “V tem primeru bo zagotovo Informacijski pooblaščenec preverjal več vidikov. Prvi je ta, kako zavarovana je bila ta zbirka osebnih podatkov oziroma kako zavarovan je bil informacijski sistem. Ampak vendarle, jaz menim, da je hujša kršitev, hujša zloba, če hočete, na strani tistega, ki je to ranljivost pokazal na način, ki ni bil primeren.” In nadaljevala: “Vsekakor ta posameznik ni imel nikakršnega pooblastila te zbirke osebnih podatkov javno objaviti na svetovnem spletu.”
Kot ocenjujejo na tehnološkem forumu je odvetnica očitno povsem spregledala dejstvo, da zbirka osebnih podatkov ni bila javno objavljena na spletu. No, pravzaprav je bila, a objavil je ni varnostni raziskovalec, pač pa kar Ajpes. Sicer pa nekdanji informacijski pooblaščenki priznavajo vsaj to, da je zadnjih nekaj sekund izkoristila in povedala tisto, česar drugi sploh ne omenjajo. “Če bo pa posamezniku nastala škoda zaradi javno objavljenih osebnih podatkov, ki javno ne bi smeli biti objavljeni, potem pa takšen posameznik ima (pravico) do Ajpesa, do upravljalca zbirke osebnih podatkov, seveda podati odškodninski zahtevek.”
Hudič je vedno skrit v podrobnostih
“Povejmo dokončno, da državnim dobaviteljem, javnim uslužbencem in iskalcem pozornosti ne bo več treba govoriti na pamet.” Slo-Tech je ranljivost razkril šele po tem, ko so na Ajpesu zatrdili, da je ranljivost odpravljena. Ranljivost je bila torej razkrita odgovorno, torej po tem, ko je Ajpes zatrdil, da je že odpravljena.
To je sicer potrdil tudi Babič v že večkrat omenjenem intervjuju za MMC. Dejal je, da so v Ajpesu po prejemu informacije takoj ukrepali in je zunanji izvajalec, vzdrževalec portala, v večernih urah odpravil prvo ranljivost, do jutranjih ur pa so odpravili tudi iste ranljivosti, ki so jih odkrili še na drugih delih portala.
Ob tem dodajajo, da se je na člana Slo-Tech 9. februarja v dopoldanskih urah (torej takoj po objavi članka) obrnil eden izmed Ajpesovih izvajalcev, in sicer s prošnjo, naj jim pomagamo pri odpravi napake. Komunikacija z izvajalcem je potekala še do 14. februarja, kar nakazuje, da so bile napake na Ajpesovem portalu dokončno odpravljene šele slab teden po tem, kot to javno zatrjujejo na Ajpesu. Že samo to dejstvo si zasluži resno preiskavo, saj kaže, da so pri Ajpesu glede odprave ranljivosti morda zavajali javnost, so bili kritični.
Gre za enega večji primerov ogrožanja osebnih podatkov
Obvestilo o odkritih luknjah v sistemu Ajpesa so na Slo-Techu prejeli od anonimnega raziskovalca. Ker so ocenili, da gre za izredno resno napako in enega večjih primerov ogrožanja osebnih podatkov v samostojni Sloveniji, so o napaki najprej odgovorno skušali obvestiti predstavnike Ajpesa. Žal niso bili dosegljivi, zato so se obrnili neposredno na podizvajalca in Informacijskega pooblaščenca.
Ko so v Ajpesu zatrdili, da je napaka odpravljena in so od njih dobili odgovore na njihova novinarska vprašanja, so na Slo-techu objavili tudi članek. Pri tem pa v članku niso objavili podrobnosti o tem, kako je bilo napako mogoče izkoristiti (čeprav je bila napaka po navedbah Ajpesa že odpravljena).
Članek je bil torej objavljen šele po tem, ko – glede na uradne odgovore pristojnih – škode ni bilo več mogoče povzročati. Po njihovem je to povsem odgovorno razkrivanje ranljivosti, predvsem pa kasnejše dogajanje kaže na to, da pri Ajpesu glede odprave napake morda niso govorili resnice. Za takšno zavajanje, če je do njega res prišlo, in za vse posledice takšnega zavajanja pa je seveda odgovoren tisti, ki je javnosti sporočal neresnične informacije, so kritični do ravnanja odgovornih.
Napake stare že več kot leto dni
Na Slo-techu opozarjajo na trditve Ajpesa, kjer so v začetku menili, da so napake v dostopu do baz nastale s prenovo, torej letos januarja, vendar vse kaže, da je problem bistveno večji. Neuradno se je že ves čas govorilo, da prvi rezultati pregleda kažejo, da so nekatere “napake stare vsaj že leto dni”. In končno je za Planet TV to priznal tudi Babič.
“Pomanjkljivost v programski opremi, ki je omogočila izrabo ranljivosti, je bila posledica napake na dveh mestih. Na enem mestu je bila ranljivost vnesena ob zadnjih spremembah na programski opremi, ki je bila nameščena 6. 1. 2017, na drugem mestu pa je bila posledica starejše napake iz marca 2016,” je dejal, s čimer priznava, da so sistemske napake stare vsaj leto dni.
Kdo bo odgovarjal?
Na forumu Slo-tech se tako opravičeno sprašujejo, kdaj bomo izvedeli resnico in če bo kdo odgovarjal za to, da je na Ajpesu lahko prišlo do tako velikih napak. Kot pravijo, je treba s prstom pokazati vsaj na odgovorne na Ajpesu in njihovo nevestno delo v službi ter opustitev dolžnega nadzora nad izvajalci, saj so informacijski sistem očitno zasnovali zelo slabo. S tem so ogrozili osebne podatke velikega števila državljanov Slovenije in podjetij v Sloveniji.
M. P.