Ajpes končno priznal: Ne vemo, kaj delamo

Oddajanje letnih poročil Ajpesu je očitno pomembnejše kot varovanje podatkov podjetij in državljanov in državljank Slovenije. Da potencialne poslovne škode zasebnim podjetjem in možnosti kraje identitete državljanov sploh ne omenjamo. Vsaj tako razumemo odgovore vodje Ajpesove službe za informacijsko tehnologijo Marjana Babiča, ki jih je dal v intervjuju za RTV MMC.

»Pri analiziranju smo proučevali tudi nekatere bolj radikalne ukrepe, vendar smo ocenili, da jih trenutno brez občutnega vpliva na delovanje storitev Ajpesa ni smotrno izvesti. Posledice za uporabnike bi bile nesorazmerno velike, saj mora okrog 170.000 zavezancev v tem obdobju izpolnjevati zakonske obveznosti oddaje letnih poročil«

Tako Babič pojasnjuje novinarju, zakaj Ajpes ni storil ničesar, da bi odpravil zagato s podpisno komponento. Kriv je namreč podizvajalec, ki je komponento razvil. In mora sedaj napako odpraviti. Ajpes sam "nima usposobljenih strokovnjakov". Babič tako v pogovoru z novinarjem ni vedel, ali napaka še obstaja.

Tega »Ajpes v tem trenutku ne more nedvoumno potrditi ali ovreči, saj ne razpolaga z dovolj strokovnega znanja na tem področju.«

Tako Babič. No, saj je tudi Barack Obama potreboval kar nekaj časa, da je priznal nekompetentnost in je na koncu moral prositi inženirje iz Silicijeve doline, da so mu za silo pokrpali spletno platformo, na kateri je tekel Obamacare.

Od etičnega hekerja mimo javnega sektorja do znane odvetnice

V slovenski maniri očitno prvi cilj Ajpesa in povezanih oseb in organizacij ni bil popraviti varnostne ranljivosti, ampak diskreditirati tiste, ki so nanje opozorili. Saga o švicarskem siru imenovanem Ajpes, ki se odvija že skoraj drugi mesec, tako na žalost še vedno ni končana. V nadaljevanju vam predstavljamo tri osebe, ki so se v javnosti same prostovoljno izpostavile v zvezi s to tematiko.

Gorazd Božič, vodja SI-CERTa

V istem prispevku je Gorazd Božič neutemeljeno napadal glasnika, ki da naj bi moral pomagati pri prikrivanju dejstev, čeprav je Ajpes vmes že izjavil, da je napaka odpravljena:

"Po moji osebni oceni ni bilo razloga za takšno hitenje in bolje bi bilo, če bi se z objavo počakalo nek minimalen čas, kjer bi lahko razvijalci napako odpravili. [...] Osebno ne vidim razloga, zakaj ne bi dali vsaj nekajdnevnega roka. Standardi, ki veljajo v tujini, se začnejo celo pri 30 dnevnih," je povedal za MMC.

Milan Gabor, etični heker

Po »naključju« pa se je na MMC nekaj dni pred intervjujem z Babičem pojavil intervju z etičnim hekerjem Milanom Gaborjem. Ta je med drugim dejal:

"A način razpletanja zgodbe prek medijev ni pravi. Etični hekerji ne smejo "bombastično" udariti prek medijev, ker prav to lahko povzroči množične zlorabe, ampak se na varnostne luknje diskretno opozori, v tem primeru Ajpes, da problem rešijo. Zadeva se lahko javno objavi pozneje, je komentiral Gabor in dodal, da načeloma etični heker, ki nima slabih namenov, svoje identitete ne skriva za različnimi kriptiranimi povezavami, kar naj bi se v primeru napada na Ajpes prav tako zgodilo."

Nataša Pirc Musar, odvetnica

Svoje pa je seveda dodala tudi odvetnica prve dame ZDA Nataša Pirc Musar. Za Planet TV je med drugim dejala:

»V tem primeru bo zagotovo Informacijski pooblaščenec preverjal več vidikov. Prvi je ta, kako zavarovana je bila ta zbirka osebnih podatkov oziroma kako zavarovan je bil informacijski sistem. Ampak vendarle, jaz menim, da je hujša kršitev, hujša zloba, če hočete, na strani tistega, ki je to ranljivost pokazal na način, ki ni bil primeren.« In nadaljevala: »Vsekakor ta posameznik ni imel nikakršnega pooblastila te zbirke osebnih podatkov javno objaviti na svetovnem spletu.«

Očitno je odvetnica povsem spregledala dejstvo, da zbirka osebnih podatkov ni bila javno objavljena na spletu. No, pravzaprav je bila, a objavil je ni varnostni raziskovalec, pač pa kar Ajpes sam.

Moramo pa nekdanji informacijski pooblaščenki priznati vsaj to, da je zadnjih par sekund izkoristila in le povedala tisto, česar drugi sploh ne omenjajo.

»Če bo pa posamezniku nastala škoda zaradi javno objavljenih osebnih podatkov, ki javno ne bi smeli biti objavljeni, potem pa takšen posameznik ima (pravico) do Ajpesa, do upravljalca zbirke osebnih podatkov seveda odškodninski zahtevek. «

Hudič je vedno skrit v podrobnostih

Povejmo dokončno, da državnim dobaviteljem, javnim uslužbencem in iskalcem pozornosti ne bo več treba govoriti na pamet. Slo-Tech ranljivost razkril šele po tem, ko so na Ajpesu zatrdili, da je ranljivost odpravljena. Ranljivost je bila torej razkrita odgovorno, torej po tem, ko je Ajpes zatrdil, da je že odpravljena.

To je sicer potrdil tudi Babič v že večkrat citiranem intervjuju za MMC. Dejal je, da so v Ajpesu po prejetju informacije takoj ukrepali in da je zunanji izvajalec, vzdrževalec portala, v večernih urah odpravil prvo ranljivost, do jutranjih ur pa so odpravili tudi iste ranljivosti, ki so jih odkrili še na drugih delih portala.

Ob tem pa je zanimivo, da se je na člana Slo-Tech 9. februarja v dopoldanskih urah (torej takoj po objavi članka) obrnil eden izmed Ajpesovih izvajalcev in sicer s prošnjo, da jim pomagamo pri odpravi napake. Komunikacija z izvajalcem je potekala še do 14. februarja, kar nakazuje, da so bile napake na Ajpesovem portalu dokončno odpravljene šele slab teden po tem, kot to javno zatrjujejo na Ajpesu. Že samo to dejstvo si zasluži resno preiskavo, saj kaže na to, da so pri Ajpesu glede odprave ranljivosti morda zavajali javnost.

Obvestilo o odkritih luknjah v sistemu Ajpesa smo na Slo-Techu prejeli s strani anonimnega raziskovalca. Ker smo ocenili, da gre za izredno resno napako in enega večjih primerov ogrožanja osebnih podatkov v samostojni Sloveniji, smo o napaki najprej odgovorno skušali obvestiti predstavnike Ajpesa. Žal niso bili dosegljivi, zato smo se obrnili neposredno na podizvajalca ter na Informacijskega pooblaščenca.

Ko so na Ajpesu zatrdili, da je napaka odpravljena (njihovem zatrdilu pa smo verjeli), in ko smo od njih dobili odgovore na naša novinarska vprašanja, smo objavili članek. Pri tem pa v članku nismo objavili podrobnosti o tem kako je bilo napako mogoče izkoristiti (čeprav je bila napaka po zatrdilih Ajpesa že odpravljena).

Članek je bil torej objavljen šele po tem, ko - glede na uradne odgovore pristojnih - škode ni bilo več mogoče povzročati. Po našem mnenju je to povsem odgovorno razkrivanje ranljivosti. A kot rečeno, kasnejše dogajanje kaže na to, da pri Ajpesu glede odprave napake morda niso govorili resnice. Za takšno zavajanje, v kolikor je do njega res prišlo, in za vse posledice takšnega zavajanja, pa je seveda odgovoren tisti, ki je javnosti sporočal neresnične informacije.

Za konec

In če se ponovno vrnemo k Ajpesu, je potrebno izpostaviti še nekaj, o čemer do sedaj drugi mediji niso poročali. Čeprav je na začetku Ajpes trdil, da so napake v dostopu do baz nastale s prenovo, torej letos januarja, pa vse kaže, da je problem veliko bolj korenit. Neuradno se je že ves čas govorilo, da prvi rezultati pregleda kažejo, da so nekatere »napake« stare vsaj že leto dni. In končno je za Planet TV to priznal tudi Babič.

»Pomanjkljivost v programski opremi, ki je omogočila izrabo ranljivosti je bila posledica napake na dveh mestih. Na enem mestu je bila ranljivost vnesena ob zadnjih spremembah na programski opremi, ki je bila nameščena 6. 1. 2017, na drugem mestu pa je bila posledica starejše napake iz marca 2016.«

Veliki zaključek? Da so luknje v sistemu (bile?) in da je bilo možno dostopati do vseh njihovih baz, Ajpes priznava. Da so napake v sistemu stare že vsaj eno leto, Ajpes zdaj prav tako priznava.

Zato je na mestu vprašanje, kdaj bomo izvedeli resnico in če bo kdo odgovarjal za to, da je na Ajpesu lahko prišlo do tako hudih napak. S prstom je potrebno pokazati vsaj na odgovorne na Ajpesu. Nevestno delo v službi. Opustitev dolžnega nadzorstva nad svojimi izvajalci. Ti so informacijski sistem očitno zasnovali slabo. In s tem ogrozili osebne podatke velikega števila državljanov Slovenije in podjetij v Sloveniji. Morali in mogli bi se zavedati, da zaradi tega lahko pride do hujših kršitev pravic njihovih zavezancev oz. uporabnikov in/ali škode. A raje prepustimo moraliziranje in pridiganje politikom. To bosta tako ali tako edini realni posledici celotne zgodbe.