AJPES kot najbolj transparentni državni organ javno objavil vse svoje registre
Matej Kovačič
9. feb 2017 ob 09:50:38
Da slovenski državni organi bistveno premalo, oziroma praktično nič, ne vlagajo v informacijsko varnost, vemo že dolgo časa. To priznavajo tudi strokovnjaki iz državne uprave sami.
Včasih se na dobronamerna opozorila organi (napol) odzovejo šele čez leta, včasih pa tistega, ki jih opozori na lastne napake kar ovadijo. Tako je bilo zgolj vprašanje časa, kdaj bo sledila kakšna večja katastrofa epskih razsežnosti.
In ta se je tokrat pripetila AJPESu. AJPES, ali Agencija RS za javnopravne evidence in storitve, ima namreč na nedavno prenovljeni spletni strani varnostno ranljivost z resnimi posledicami. Gre za ranljivost, kjer je s pomočjo SQL vrivanja iz zalednih podatkovnih baz mogoče pridobiti tudi tiste podatke, ki preko strani sicer niso dosegljivi. Kot kaže, je ranljivih večje število zalednih baz, ki vsebujejo tudi množico osebnih podatkov. Na primer davčne in EMŠO številke vseh lastnikov, zastopnikov (197.286+) in nadzornikov vseh poslovnih subjektov v poslovnem registru in še marsikaj drugega.
Iz anonimnega obvestila, ki smo ga dobili - oseba, ki je ranljivost odkrila se ni želela razkriti - izhaja, da je v celoti dosegljivih vsaj 59 podatkovnih baz (nekatere izmed njih so sicer testne, vendar CRP_presek, eObjave, ePodpis, eRtr, eVem_GD, eVem_SP, Rtr, RZIJZ, zPrs3, zRdz, zRtr, zRZPP, ... to najverjetneje niso). V te baze sicer nismo vpogledovali, a obvestilo je dovolj verodostojno, da ranljivost lahko potrdimo (sploh glede na priložene zaslonske posnetke). Iz imen baz, ki so dostopne preko napada z SQL vrivanjem, izhaja, da gre za baze poslovnega registra, registra transakcijskih računov, registra prostovoljcev in oseb, ki opravljajo dopolnilno delo, kopije centralnega registra prebivalstva, itd.
AJPES tako s prenovo svojega spletišča postaja precej bolj transparenten, kot je bil v preteklosti. Lansko leto namreč AJPES zaradi skrbi glede varstva osebnih podatkov nekaterim prosilcem po zakonu o dostopu do informacij javnega značaja ni želel posredovati podatkov iz PRS registra, po prenovi pa so čisto vsi osebni podatki iz njihovih registrov dostopni praktično vsakomur z nekoliko več računalniškega znanja.
Šalo na stran, gre za resno varnostno ranljivost s katastrofalnimi posledicami za varstvo osebnih podatkov. Po zagotovilih predstavnice AJPESa imajo baze, ki so dostopne preko portala samo pravice bralnega dostopa, produkcijske baze pa so ločene in niso dostopne preko spleta.
O napaki smo takoj po obvestilu obvestili predstavnike Informacijskega pooblaščenca ter vzdrževalca spletne strani (ostali morebiti zainteresirani naslovniki na državni praznik niso bili dosegljivi). Informacijski pooblaščenec je v zvezi s primerom nemudoma ukrepal (rezultate tovrstnega ukrepanja bomo vsekakor pridobili po ZDIJZ, ko bodo na voljo), izvajalec pa je popravil v obvestilu sporočeno napako na v obvestilu omenjenem mestu.
Naj še dodamo, da so nam iz AJPES še sporočili, da so "v zadnjem obdobju izvedli več zunanjih varnostnih pregledov vendar nobeden od njih ni odkril tovrstne ranljivosti", ponoven varnostni pregled pa je bil načrtovan za ta oz. naslednji mesec. Prav tako naj bi na AJPES aktivno spremljali delovanje sistemov in večkrat zaznali poskuse nelegitimnih dostopov do podatkov, uspešnih poskusov pa do sedaj niso zaznali.
Očitno varnostni pregledi niso bili dovolj temeljiti. Vse to je po našem mnenju posledica premajhnega zavedanja o pomenu informacijske varnosti pri razvoju aplikacij.
Sistematično nevlaganje v informacijsko varnost ima očitno svojo ceno. Današnji dogodek je morda resno opozorilo, da je čas za razmislek kako naprej. Le upamo lahko, da se kopija vseh baz čez nekaj časa ne bo pojavila na kakšnem Wikileaksu, torrentu ali temačni tržnici.
Dopolnitev: Opravičujemo se Gorazdu Božiču (SI-CERT) ter radovedni polovici Slovenije, ker smo bili pri formulaciji zainteresirani naslovniki nejasni in nismo pojasnili, da smo se ukvarjali samo z naslovniki, ki bi bili dolžni ukrepati, ne pa tudi z "zainteresiranimi naslovniki", ki jih zadeva zanima zgolj iz radovednosti (radovedna polovica Slovenije). Naslovnikov, ki nimajo zakonskih pristojnosti in/ali dolžnosti ukrepati, nismo kontaktirali.
Dopolnitev 2: SI-CERT je objavil, da je do nadaljnjega pripravljen prevzeti vlogo koordinatorja za razkrivanje ranljivosti v zvezi z AJPESovo spletno stranjo. Zato vas prosimo, da obvestila o dodatnih napakah v zvezi s to stranjo do nadaljnjega posredujete na naslove omenjene v sporočilu in ne več nam (Slo-Techu).