V naši mali podalpski je že tradicija, da lahko hekerji kar tako mimo grede vdirajo v naše policijske, bančne, zdravstvene in sploh sisteme državne uprave. Skrb za informacijsko varnost državnih sistemov naših organov ne skrbi ravno kaj prida, kot ne skrbi niti slovenskih podjetij, ki razvijajo aplikacije za državne potrebe in se jih mirno hekersko rešeta…..

In tokrat je bil hekersko prerešetan sistem našega AJPESa. Da, tistega AJPESa, ki je nasledil nekoč zloglasni SDK in je Agencija RS za javnopravne evidence in storitve. Pestrost in zajetnost podatkov, katere zajema AJPES je tolikšna, da bi lahko upravičeno rekli, da gre za državo v državi.

AJPES hrani praktično vse – od registrov transakcijskih računov, prostovoljcev, poslovne registre, kopije centralnega registra prebivalstva Slovenije, v bistvu jim manjkajo le še podatki o številkah gat in čevljev posameznikov.

Vsak uspešen hekerski vdor v sistem AJPESa bi tako pomenil katastrofalne posledice za državo in državljane. In ravno to se je na letošnji Dan kulture zgodilo….

Tehnološki portal Slo-Tech je prejel anonimno obvestilo osebe, ki je odkrila na nedavno prenovljeni spletni strani AJPESa varnostno ranljivost z resnimi posledicami. Po navedbah ekipe Slo-Tech je obvestilo, podkrepljeno tudi s priloženimi zaslonskimi posnetki, dovolj verodostojno, da je na pomolu velika katastrofa.

Kot izhaja iz obvestila je v celoti dosegljivih vsaj 59 podatkovnih baz (CRP_presek, eObjave, ePodpis, eRtr, eVem_GD, eVem_SP, Rtr, RZIJZ, zPrs3, zRdz, zRtr, zRZPP, itd.), ki seveda ne bi smele biti varnostno nikakor dosegljive.

Avtocesta do dosega AJPESovih, torej državljanov sicer skrbno varovanih podatkov, tudi tistih, ki preko njih spletne strani sicer niso dosegljivi, se je odprla v polnem razkošju v roke nepooblaščenim.

V AJPES sistemu je ranljivih večje število zalednih baz, ki vsebujejo tudi množico osebnih podatkov, kot recimo tudi davčne in EMŠO številke vseh lastnikov, zastopnikov (197.286+) in nadzornikov vseh poslovnih subjektov v poslovnem registru in še marsikaj drugega.

Slo-Tech so takoj po prejetem obvestilu obvestili vzdrževalca spletne strani ter Informacijsko pooblaščenko Mojco Prelesnik, ki je takoj stopila v kontakt z AJPESom, sprožila inšpektorsko preiskavo in komentirala, da “Osebni podatki, ki so javno dostopni, pa to ne bi smeli biti, lahko posamezniku povzročijo veliko škodo. Takšnega spodrsljaja si ne bi smel privoščiti noben državni organ.”

Bolj redkobeseden je bil v izjavi vodja službe za informacijsko tehnologijo pri Ajpesu Marjan Babič. “Ker je šlo v tem primeru za napad, ki ga je vodila ena ali več oseb in je bil tempiran na državni praznik, je bil odziv na ugotovljen resnejši napad nekoliko kasnejši, kot bi bil ob delovnih dnevih, še vedno pa relativno hiter in učinkovit”, je komentiral in dodal, da bodo o morebitnih zlorabah obvestili prizadete posameznike in podjetja.

Vodilni na AJPESu torej nikakor ne zanikajo vdora v sistem, s tem pa tudi priznavajo, da so spustili “v promet” poosodobljen sistem brez zadostno temeljitega varnostnega pregleda, kdo pa je za te zadeve na AJPESu odgovoren vedo tudi sami.

Državljani zdaj lahko le še upamo, da se kopija vseh teh baz čez določen čas ne bo znašla na štantu katere temačne spletne tržnice ali AJPESleaksa, odkoder bi bila možnost prevzemanj, kraj osebnih-poslovnih identitet le še korak proč od katastrofe.

Koliko “glav bo padlo” na AJPESu ?!

Da bi lažje razumeli, kaj vse zajema že samo ena od navedenih baz podatkov na AJPES, si poglejmo katere vrste osebnih podatkov se nahajajo recimo v Centralnem registru prebivalstva (CRP) :
Enotna matična številka občana (EMŠO), kraj rojstva, ime in priimek, državljanstvo, prebivališče in vrsta prebivališča, zakonski stan, volilna pravica, EMŠO matere, očeta, zakonca in otrok, lastništvo nepremičnine, vozila, identifikatorji za povezovanje z administrativnimi zbirkami podatkov v upravljanju javnega sektorja (šolstvo, zdravstvo), datumi in podatki o dogodkih, spremembah in popravkih.

Govorimo torej o bazi zelo konkretnih podatkih posameznikov, katere uporablja celoten državni sistem v svojem delovanju in AJPESova ponujena odprta možnost pridobivanje teh podatkov hekerjem ni le neka pomota, pač pa dejansko katastrofa.

Bi morali odgovorni na AJPESu za to odgovarjati, odškodninsko in kazensko, nenazadnje gre tudi za malomarno uporabljena davkoplačevalska sredstva ? Najmanj to.

Po mojem da. Kakor tudi predstavniki podjetja, ki so sistem postavljali in očitno takisto niso izvedli zadostno temeljitega varnostnega pregleda svojega dela. Zakonodajo za to imamo in če ne drugače, bi se morala policija odzvati na poročilo Informacijske pooblaščenke in začeti kazenski pregon.

V tujini podjetja in sploh državne službe dejansko za varnostne preglede sistemov državnih služb najemajo oz. pozovejo profi hekerje, da pokažejo svojo nadarjenost in poskušajo vdreti v te sisteme.

In za to jih tudi dobro nagradijo, bodisi z visoko denarno nagrado, bodisi odlično službo v državni varnosti, ali pa kar oboje, kakopak le tiste, ki dejansko prebijajo varnostni sistem in to dokažejo…Volk sit, koza cela, rečemo temu….

Pri nas pa je jasno le to, da je za hekerje, ki dokažejo ranljivosti sistema, najbolje da obvestijo dotične z varnostno pomanjkljivim sistemom preko nekega posrednika, kot v tem primeru, in se sploh ne izpostavljajo, ker naši organi pregona in parlamentarci so še vedno takšni kronični bebci, ki bi, namesto se mu vsaj zahvalili, raje začeli zoper njega kazenski pregon, ga zabili v zaporno samico ali po možnosti celo dobesedno ubili, kot se je recimo zgodilo tistemu bistremu varnostniku pred leti, ki je odkril hude luknje v takrat novem sistemu NLB, o tem obvestil vodilne, a tudi medije, čez par dni pa so ga našli mrtvega.

Sprijazniti se moramo z dejstvom, da slovenski razvijalci teh zaščit sistemov očitno (še) niso zadostno dozoreli, da bi bi bili kos že državnim institucijam v naši mali podalpski, kaj šele svetovnemu vrhu. A obenem se je težko sprijazniti z dejstvom, da se naši parlamentarci očitno ne zavedajo prihodnosti.

Prihodnosti, ki je sicer že danes možna in v kateri za uničenje in/ali prevzem države in državljanov sploh ne bodo več potrebne vojne s tanki, letali, vojaki, itd……Dovolj bo že mala četica prekaljenih hekerjev, ki bo že z enim samim kiber napadom ohromila delovanje cele države, s tem državljanov, z malo več napora pa bodo lahko milo rečeno uničili državo……

Tisti tapravi, profi lopovi, so pač vedno korak pred zakonom in državo. Razen…..hja, razen če sedijo na stolčkih, iz katerih upravljajo državo…..

Don Marko M