BRATISLAVA - Včerajší deň poznačilo škandalózne zistenie. Viac ako stotisíc údajov o testovaných pacientoch na ochorenie Covid-19 sa na niekoľko mesiacov ocitlo v štátnej aplikácii bez akejkoľvek ochrany. Tento problém je už síce vývojármi opravený, no do času zistenia spoločnosťou Nethemba mohli tieto dáta putovať aj rôznym, tretím stranám. To, aké ohrozenie to predstavuje a čo sa vlastne stalo sme konzultovali s IT odborníkom Ondrejom Mackom. Ten vidí problém predovšetkým v tom, že program sa "šil horúcou ihlou", no v čase prichádzajúcej pandémie to vraj bolo aj sčasti pochopiteľné.
Skúste pre našich čitateľov zjednodušene vysvetliť, čo sa vlastne stalo?
Stalo sa to, že špecialista alebo etický hacker (v dobrom slova zmysle) ukázal, že keď je snaha, tak sa vie dostať ku všetkým informáciám, ktoré sú uschované v databáze zdravotníckeho centra NCZI. To znamená, že vie zistiť údaje o tom, ako je to s ľuďmi, ktorí sú postihnutí ochorením Covid-19 a vie sa dostať aj k ich osobným informáciám. Takže nie je to veľmi jednoduchá alebo ľahká situácia. Ukázalo sa teda, že na to netreba prakticky nič. Bol to asi taký 4 alebo 5-riadkový kus programu, ktorý použil na to, aby na diaľku vyčítal tieto údaje a dostal sa aj k veľkému množstvu ďalších, ku ktorým sa samozrejme nemal podľa očakávania verejnosti ako dostať.
Čo to pre testovaných občanov a aj tých, ktorí sa pôjdu testovať znamená? Kto im zaručí bezpečnosť zachovania údajov?
To je dobrá otázka. Momentálne si myslím, že v tomto centre majú čo robiť. V podstate ide o to, že na čítanie týchto údajov nebolo potrebné žiadne overenie používateľa, ktorý by mal naňho právo. To je veľmi veľký problém. To znamená, že on zadal takýto príkaz a vyčítal tie údaje z databázy bez toho, aby kdekoľvek musel dokazovať, že on je administrátorom tohto systému. Myslím si, že to vzniklo celé v tom, že to bolo celé robené uprostred začiatku pandémie narýchlo. Prišla korona a nikoho sa nepýtala. Databáza a prístup do nej ako taký nebol preverený dostatočne na to, aby bol zabezpečený, čo sa týka údajov. Myslím si, že v tejto chvíli je to už opravené. Čo sa týka bežných ľudí, mohla by byť známa ich adresa, dátum narodenia a diagnostika ochorenia či už v pozitívnom alebo negatívnom výsledku.
KORONAVÍRUS Črtá sa obrovský bezpečnostný škandál! Unikli informácie o pacientoch testovaných na COVID-19
Na aký účel možno zneužiť získané údaje v digitálnom priestore?
Sú tu určité príklady. Jednoznačne je to napríklad to, že ak je napríklad človek na ochorenie vyšetrený s pozitívnym výsledkom, možno hypoteticky očakávať to, že by si liek na koronu objednal a kúpil. Rovnako je známa jeho adresa aj jeho telefónny kontakt. Vieme si dokonca určiť aj vek. Všetky údaje na to, aby sa to dalo speňažiť tu sú.
Zrejme ste si všimli chybové hlásenie, ktoré včera systém stránky moje eZdravie na spomínanom kóde do istého času zobrazoval. Na stránke stálo „ No cntnt available 4 U :-* “. Pravdepodobne išlo o bezpečnostnú záplatu na už vyriešený problém s únikom údajov, no práve štýl tohto hlásenia vyznieva až ironicky. Ako to vnímate vy?
Pravdepodobne išlo o prvú záplatu, ktorú tam nasadili. Nebolo to celkom šťastné.
Aká je pravdepodobnosť, že sa niečo také mohlo stať? Poprípade, že sa niečo také môže stať v budúcnosti?
Môže. Čo človek urobil – človek dokáže prekonať. Toto bolo však úplne nezaplátané. Keďže išlo o pomerne citlivé údaje, tak si myslím, že tomu mali venovať podstatne intenzívnejšiu pozornosť. Chápem však, že sa to s príchodom pandémie robilo narýchlo, ale napriek tomu opakujem, že išlo o citlivé údaje. Percentuálnu pravdepodobnosť ďalšieho podobného problému si netrúfam predvídať. Nedá sa však úplne spoľahnúť na to, že je to v prípade týchto zdravotníckych informácií urobené dobre.
Sú podľa vás etickí hackeri na Slovensku podceňovaní? Napríklad, keď to porovnáme s ostatnými štátmi...
Áno. Myslím si, že tento potenciál u nás vôbec nie je využívaný. Tu ide o to, že firmy by si mali zaplatiť hackera, ktorý k tomu pristúpi. Ak ide o firmou plateného hackera, bude pod dohľadom vývojárov a neurobí to, čo anonymný hacker, ktorý môže informácie odcudziť. Sú to tí najlepší špecialisti, ktorí vedia poskytnúť svoju prácu. Málokto o tomto potenciáli dnes vie alebo sa o ňom rozpráva. Slovenskí etickí hackeri fungujú skôr smerom do zahraničia ako na naše inštitúcie.
Národný bezpečnostný úrad SR uviedol, že netestoval aplikáciu Moje eZdravie. Sú takéto praktiky pri vývoji aplikácií bežné?
So situáciami počas pandémie nemám skúsenosti, ale myslím si, že to malo byť samozrejme testované a zjavne nebolo. Bolo to tým, že čas bol neúprosný a robilo sa to veľmi rýchlo.
Čo môžu teraz dotknutí občania robiť? Mohlo by im pomôcť napríklad zrušenie účtu v aplikácii alebo niečo podobné?
Zrušenie účtu by im už nepomohlo, lebo údaje už unikli. Určite by ale stálo za to zmeniť si heslá napríklad na bankový účet. V skutočnosti sa im ale veľmi nemá čo stať, no počítam s tým, že by mohli prísť nejaké falošné ponuky napríklad na už spomínané „liečenie korony“, na ktoré samozrejme netreba reagovať.
Spoločnosť Nethemba zastáva názor, že sformulovať kód, vďaka ktorému sa k týmto citlivým údajom dostali, by zvládol útočník bez akýchkoľvek špeciálnych technických znalostí. Ako to vidíte vy keď sa pozeráte na túto kauzu?
Pozeral som si ten kód. Je to jeden príklad cyklu na úrovni začiatočníka, ktorý začína s programovaním. Jednoznačné z toho vyplýva ten problém, že absentovala akákoľvek autentifikácia užívateľa.
Je podľa vás Slovensko digitálne vyspelá krajina, keď sa pozrieme na túto ale aj mnohé iné kauzy z minulosti? (napr. heslo nbusr123 na Národnom bezpečnostnom úrade z roku 2006).
Povedal by som, že Slovensko je digitálne vyspelá krajina, ale tým, že je digitálne vyspelá napríklad v oblasti bankovníctva alebo v iných súkromných službách. No v prípade štátneho sektora je to tak, že často zaostáva.
Ondrej Macko
Ondrej Macko je šéfredaktorom portálu TOUCHIT. Venuje sa výhradne informačným technológiám. Ako novinár začínal už v roku 1990. V minulosti sa ako šéfredaktor periodika PC REVUE zaoberal a stále zaoberá najmä mobilnou komunikáciou, multimédiami, video recenziami a video reportážami z prostredia IT.
