Čo ukázal rozruch okolo eID kariet na Slovensku

Krízové situácie obvykle nie sú niečo, čo by si človek želal – na druhej strane však ukážu charakteristiky osôb či organizácií, ktoré s krízou majú niečo do činenia. Tak sa pozrime na to, čo vyvolal jeden z posledných hitov výskumu v aplikovanej kryptografii – zistenie o  bezpečnostnej slabine, ktorá sa týka aj eID kariet vydávaných na Slovensku, špeciálne ich použitia na digitálne podpisovanie.

Zjednodušene povedané,  z tzv. verejného kľúča držiteľa eID karty sa dá s pomerne malým úsilím/nákladmi vypočítať tzv. podpisový kľúč a následne vytvárať digitálne podpisy nerozlíšiteľné od tých, ktoré boli vytvorené eID kartou. Toto zistenie má dva zásadné dôsledky. Prvý vychádza z toho, že pre značný počet občanov Slovenska (tých, ktorí svoju eID kartu použili, alebo použijú, na vytvorenie digitálneho podpisu) sa stala reálnou hrozba vierohodného „falšovania“ ich digitálneho podpisu, spochybnenia súvisiacich právnych vzťahov a záväzkov, či vytvorenia priestoru pre podvodné konanie. Druhým dôsledkom je –  v širšom kontexte –  spochybnenie pozície eID karty ako dôležitého prvku pre informatizáciu spoločnosti, resp. pre poskytovanie dôveryhodných služieb v kybernetickom priestore. Pozrime sa na to, kto a ako reagoval na takéto závažné zistenie.

Diskusné fórum zoskupenia Slovensko Digital uviedlo asi ako prvé linky na zahraničné informačné zdroje a následne sa rozpútala diskusia, ktorá sa točila okolo prvého z vyššie uvedených dôsledkov s tým, že riešenie situácie sa očakávalo od Ministerstva vnútra, ktoré eID karty vydáva.

Podobne reagovali aj médiá a okrem zjednodušených, ale vcelku správne odkomunikovaných základných informácií zo zahraničných zdrojov, sa pokúšali zistiť a neskôr aj prezentovať stanoviská Ministerstva vnútra. Pozitívne možno hodnotiť zverejnenie ďalších detailov ako aj  upresnenia koho a za akých podmienok sa predmetná hrozba týka ako aj krokov, ktoré môže občan vykonať na jej minimalizáciu, čím média občanom dodali hodnotu, ktorá chýbala v stanoviskách Ministerstva vnútra. Informáciami o výhradách odbornej komunity k stanoviskám Ministerstva vnútra prispeli aj k lepšiemu informovaniu verejnosti. Aj v tomto prípade sa prezentoval len prvý z vyššie uvedených dôsledkov, širší kontext  absentoval.

Postoj Ministerstva vnútra, sprostredkovaný verejnosti médiami, vykazoval známky chaosu a nepripravenosti a to aj napriek tomu, že o probléme bolo informované s niekoľkomesačným prestihom. Najprv len pripustilo existenciu problému a naznačilo, že pripravuje riešenie, zároveň však hrozbu falšovania digitálnych podpisov bagatelizovalo ako „len teoretickú“ a nesprávne tvrdilo, že bez znalosti tzv. Bezpečnostného osobného kódu (BOK) sa digitálny podpis vytvoriť nedá.  Nesúhlasné reakcie odbornej verejnosti sa potom priam detinsky pokúsilo „poraziť“ výzvou na „hacknutie“ digitálneho podpisu ministra vnútra, čím viditeľne ignorovalo svoju úlohu zaoberať sa minimalizáciou hrozieb pre občanov (ktorí svoju eID kartu použili/použijú na digitálne podpisovanie) bez ohľadu na to, či medzi nich patrí aj minister. Po týždni ministerstvo otočilo a ohlásilo vypnutie tých elektronických služieb štátu, ktoré predpokladali digitálne podpisovanie pomocou eID karty. Je otázne, ako dôkladne boli tieto opatrenia premyslené, nakoľko sa v diskusiách okamžite poukázalo na množstvo nejasností.  Aj v tomto prípade sa pozornosť venovala len prvému z vyššie uvedených dôsledkov, dokonca si Ministerstvo tento pohľad zúžilo ešte viac, keď sa sústredilo len na využívanie eID v prostredí slovensko.sk.

Téma digitálneho podpisovania je dlhodobo spojená s Národným bezpečnostným úradom (NBÚ), ktorý je navyše aj v pozícii Národnej autority pre kybernetickú bezpečnosť, takže by sa dalo čakať, že by k zistenej zraniteľnosti eID kariet mal čo-to povedať. Na webstránke NBÚ sa však k tejto téme dlho neobjavila ani zmienka, hoci NBÚ evidentne odpovedal na otázky od médií. Až po týždni sa na webstránke NBÚ objavila informácia, určená skôr vydavateľom certifikátov, ako bežným občanom (od ktorých sa nedá očakávať znalosť terminológie okolo certifikátov a digitálneho podpisovania).  Čo je dôležité, NBÚ v nej konečne „oficiálne“ potvrdil zraniteľnosť verejných certifikátov k eID kartám. Úrad podpredsedu vlády pre informatizáciu a investície by mal zaujímať druhý z vyššie uvedených dôsledkov, voči verejnosti však ostal neviditeľný.

Profesné organizácie ako Slovenská asociácia pre informačnú bezpečnosť (SASIB), ISACA Slovensko, či Slovenská informatická spoločnosť nevyužili príležitosť zviditeľniť sa zverejnením odborného stanoviska k tejto téme. Nakoniec to bolo neformálne zoskupenie profesionálov z oblasti informačnej a kybernetickej bezpečnosti, ktoré vyzvalo Ministerstvo vnútra aby prestalo zľahčovať vážnosť situácie a prijalo účinné opatrenia na minimalizáciu súvisiacich hrozieb.

Na informácie o zraniteľnosti eID kariet reagovali aj niektorí politici, ich vyhlásenia však boli tak nekvalifikované či úplne od veci, že venovať im viac, ako túto vetu, by bola len zbytočná strata času.

Suma sumárum, rozruch okolo eID kariet na Slovensku ukázal nepripravenosť štátnej správy zvládnuť krízové situácie, prinajmenšom v oblasti informatizácie spoločnosti, a to aj keď v predstihu disponuje informáciami o hroziacom probléme. V situácii, keď sa občan potrebuje zorientovať a zistiť, či sa ho zistený problém týka a aké kroky má urobiť aby minimalizoval možné straty, by bolo pekné, keby sa mohol spoľahnúť na správne a zrozumiteľné informácie, ktoré by mu poskytli štátne orgány.  Žiaľ, realita je iná. Z dlhodobého hľadiska je potrebné tiež poukázať na absenciu schopnosti vnímať a prezentovať zistený problém v širšom kontexte, v nadväznosti na strategický zámer budovania informačnej spoločnosti.

Jozef

 

Leave a Reply

Your email address will not be published. Required fields are marked *