SHARE
TWEET

Quo vadis, Slovakia(Cyber(Security))?

Vendelin Sep 1st, 2017 (edited) 1,302 Never
Not a member of Pastebin yet? Sign Up, it unlocks many cool features!
  1. Quo vadis, Slovakia(Cyber(Security))?
  2.  
  3. { O Slovensku. O informacnych systemoch. O verejnych zakazkach. O bezpecnosti. }
  4. { O vlastnictve. O .sk domene. O SK-NICu.                                      }
  5.  
  6.  
  7.   V poslednych mesiacoch sa viackrat v mediach objavili zmienky o informatizacii
  8. na Slovensku, aj o kyberpriestore tejto krajiny a obcas sa spomenula aj jeho
  9. bezpecnost. Media sa vsak tejto teme venuju iba velmi povrchne, ba priam niekedy
  10. az opatrne. Mozno vsak nie je nutne v tom hladat ziadny zly umysel, media mozno
  11. iba jednoducho serviruju slovenskym obcanom jednotlive temy v takom rozsahu,
  12. v akom ich dokaze bezna verejnost vstrebat.
  13.  
  14.   Tento text vsak ma v plane zajst dalej a spomenut aj zalezitosti, ktorym sa
  15. zatial na Slovensku nevenovala taka pozornost, aku by si zasluzili. Pretoze
  16. ci chceme alebo nie, informacne technologie su uz neoddelitelnou sucastou
  17. zivota kazdeho obcana Slovenskej republiky. Kazdy jeden clovek pouziva pocitace
  18. a mobilne zariadenia ci uz priamo alebo nepriamo. V informacnych systemoch statu
  19. aj sukromnych spolocnosti sa uchovavaju informacie (takmer) o kazdom jednom
  20. obcanovi SR. A tieto informacie maju castokrat citlivu povahu, dokonca az tak,
  21. ze dnesnym zlocincom by stacilo nahromadit niekolko informacii o svojej obeti
  22. a mohli by jej sposobit daleko vacsiu skody, ako keby ju "iba" okradli na ulici.
  23. Ano, s par informaciami a vhodnym postupom moze utocnik "ukradnut identitu".
  24. Hocikomu. Virtualnu, aj realnu. So vsetkymi moznymi dosledkami.
  25.  
  26.   Pouzitim informacii, ktore su v informacnych systemoch, v pocitacoch, moze
  27. utocnik nielen pisat vo vasom mene komentare na Facebooku, ale moze aj ukradnut
  28. peniaze z vasho uctu, moze predat vase auto, vas dom. Ale je to naozaj stale
  29. vase vlastnictvo? Ked si nedavate pozor na citlive informacie, ked nedavate
  30. pozor na zariadenia a systemy, v ktorych su tieto informacie ulozene, ako mozete
  31. vediet, ze este stale su vase veci vase? Je vasa identita este stale vasa?
  32.  
  33.   Na Slovensku sa povinne coraz viac rozsiruju elektronicke schranky a skrz ne
  34. je mnoho ludi donutenych pouzivat elektronicke obcianske preukazy (eID). eID je
  35. vasa elektronicka identita. Ked utocnik ziska pristup ku nej, moze napr. predat
  36. vas majetok. Alebo spachat vo vasom mene zlocin a vas budu cakat dlhorocne
  37. opletacky s nasim sudnictvom.
  38. Myslite si, ze to predsa musi byt dobre zabezpecene. Preco si to myslite? Budete
  39. verit tvrdeniam niektorych statnych institucii a mediam, ktore ich cituju?
  40.  
  41.   A co nedavny pripad (ktory sa mimochodom dostal aj do medii) elektronickych
  42. schranok na slovensko.sk? "Používatelia si mohli prečítať predmety cudzích správ
  43. a niekedy aj celý obsah." Ked je toto ta slubovana bezpecnost statnych schranok,
  44. aka je potom bezpecnost elektronickych obcianskych preukazov? Zaujimali ste sa
  45. niekedy o to, ci su tie eID karticky a cely system postaveny na nich bezpecny?
  46. Ci boli navrhnute dobre, ci boli dobre naprogramovane, ci ich niekto naozaj
  47. poriadne otestoval a pripadne zistene nedostatky boli odstranene?
  48. Spytajte sa. A nedajte sa odbit, mate pravo poznat odpovede, ked do toho stat
  49. investoval viac penazi, nez mnohi z vas zarobia za cely zivot. Dokonca viac, ako
  50. by priemerne zarabajuci clovek zarobil za 50 zivotov.
  51.  
  52.   Podobne by sa dalo pisat o lubovolnej oblasti, vsade sa uz elektronizuje a
  53. vase udaje su spracovavane pocitacmi. Kriticku infrastrukturu pre chod statu
  54. nevynimajuc. Na Slovensku isli na informatizaciu obrovske sumy penazi, daleko
  55. vacsie, ako si bezni ludia dokazu predstavit. Dokonca daleko vacsie, ako si
  56. dokazu predstavit aj programatori a informatici, ktori tieto informacne systemy
  57. vytvarali. Mozete sa spytat programatorov alebo IT firiem, ktore zatial neboli
  58. poznamenane statnymi zakazkami, za kolko by vedeli statne IT systemy vytvorit.
  59. Dostanete velmi odlisne sumy. A potom sa opytajte, kde skoncil ten rozdiel.
  60.  
  61.   O bezpecnosti sme si uz nieco napisali. Vratme sa ale opat k tomu, co je este
  62. stale vase. Co je este stale slovenske. Je napriklad slovensky kyberpriestor
  63. este stale slovensky? Odmyslime si teraz to, ze to moze byt eldorado utocnikov
  64. (aj zahranicnych). Pozrime sa na jednu jeho sucast z pohladu vlastnictva.
  65.  
  66.   Slovenska narodna domena ".sk". Stretol sa s nou uz snad kazdy. V podstate
  67. hocikto (splnajuci urcite podmienky) moze byt drzitelom nejakej domeny konciacej
  68. ".sk". Nie je to sice uplne vlastnictvo v pravom slova zmysle, drzitel domeny
  69. by vsak mal mat pravo rozhodovat o tom, ku ktorym IP adresam bude tato domena
  70. priradena. Velmi zjednodusene povedane, drzitel domeny by mal mat pravo urcovat
  71. obsah, ktory uvidia ostatni, ked do prehliadaca natukaju tuto domenu.
  72.  
  73.   V ramci medzinarodnych databaz a systemov, ktore uchovavaju udaje o domenach
  74. a ich previazani s IP adresami, je jedna uloha mimoriadne dolezita. Je to uloha
  75. spravcu narodnej domeny. Tento spravca je povereny administraciou zaznamov
  76. o domenach v ich centralnom registri, vratane informacii o drziteloch domen.
  77.  
  78.   Spravou narodnej domeny .sk je v sucasnosti poverena spolocnost SK-NIC a.s.
  79. O tom, ako sa tato spolonost dostala ku sprave narodnej domeny .sk, sa najma
  80. v poslednych mesiacoch popisalo dost. Nielen na Slovensku, aj v zahranici.
  81. Je to zaujimave citanie, tento "Příběh domény .SK, aneb krádež za bílého dne".
  82. Vznikla aj iniciativa nasadomena.sk, ktora chcela sucasny stav zmenit.
  83.  
  84.   A o co vlastne ide? V kratkosti, narodnu domenu spravuje sukromna spolocnost,
  85. ktora sa ku tejto ulohe dostala za podivnych okolnosti. A zmluva zo statom je
  86. naformulovana tak (ne)stastne, aby sa nedala vypovedat. Tato sukromna spolocnost
  87. vybera peniaze od drzitelov domen. Priblizne 10 eur za upravu zaznamu o domene,
  88.  za ukon, ktory nezaberie vela casu a navyse sa da automatizovat. Drviva vacsina
  89. tychto penazi vybratych za narodnu domenu .sk konci vo vrecku sukromnika.
  90. Sukromnika, ktory navyse velmi nepodporuje rozvoj .sk domeny a IT komunity.
  91. Mozete si to porovnat s nedalekym Ceskom, kde CZ.NIC, spravca domeny .cz, patri
  92. medzi svetovu spicku a robi mnozstvo aktivit na rozvoj a podporu komunity.
  93. A Slovensko nema ani len DNSSEC...
  94.  
  95.   Bolo viacero prilezitosti, kedy sa tento nelichotivy stav mohol zmenit. No
  96. nezmenil sa. Alebo sa zmenil k horsiemu. Spomeniem par prilezitosti, ktore sa
  97. udiali pocas tohto roka.
  98.  
  99.   Pripravoval sa Zakon o kybernetickej bezpecnosti (ten sa sice pripravoval uz
  100. dlho, ale prave preto by bolo ocakavatelne, ze bude kvalitny). Namiesto kedysi
  101. pripravovaneho Zakona o informacnej bezpecnosti. Ked sa vsak uz otvarala aj tema
  102. kyberpriestoru a bezpecnosti, mohlo sa uz nieco spravit aj so situaciou okolo
  103. .sk domeny. Nestalo sa tak. Na prelome maja a juna bol zakon v pripomienkovom
  104. konani. Zakon je inak dost zle napisany (ale to by bolo na samostatnu temu),
  105. dostalo sa mu obrovske mnozstvo pripomienok (aktualne 706), vacsina z nich
  106. vsak bola dost mierna, ba az opatrna (pripomienkujuci na to maju urcite dovody).
  107. Pozorny citatel znaly situacie vsak mohol mat o to vacsie prekvapenie, ked sa
  108. zrazu medzi pripomienkami objavila aj vyse stovka pripomienok od SK-NICu.
  109. A navyse velmi kvalitnych pripomienok, ktore priamo ukazali na problematicke
  110. casti zakona. Pozorny citatel vsak mohol zazit aj dalsie prekvapenie, ked
  111. pripomienky SK-NICu zrazu zacali ubudat, az uplne zmizli. Mohlo by to znamenat,
  112. ze v SK-NICu su aj ludia, ktori to myslia so Slovenskom a kyberzalezitostami
  113. dobre, su vsak donuteni spravat sa podla pokynov zamestnavatela/majitela a jeho
  114. zaujmovej skupiny. Je ale zaujimave, ze o tomto sa doteraz nikde nepisalo,
  115. drzi sa to pod pokrievkou a dufa sa, ze sa na to zabudne.
  116.  
  117.   Dalsia prilezitost bola priprava noveho dodatku k zmluve o domene .sk, ktory
  118. pripravoval Pellegriniho urad tvariac sa, ze bude pri tom spolupracovat aj
  119. s komunitou a roznymi iniciativami, ktore v suvislosti so slovenskym IT vznikli.
  120. No dopadlo to tak, ze "Pellegrini tajne podpísal dodatok k zmluve so správcom
  121. domény .sk.", pricom "Zmluva medzi štátom a správcom národnej domény .sk je
  122. nevýhodná". Pre stat.
  123.  
  124.   A cela verejna diskusia ohladom SK-NICu a buducnosti .sk domeny dostala dalsiu
  125. facku v podobe odpredaja spolocnosti SK-NIC. Jej majitelia (DanubiaTel/Swan) ju
  126. odpredali britskej spolocnosti CentralNic za 26 milionov. Poslednu vetu si
  127. precitajte este raz a pomaly predychajte takmer kazde jedno slovo v nej. Ci uz
  128. je to Swan, britsky CentralNic, 26 milionov alebo odpredaj. Ano, Swan predava
  129. zahranicnej firme nieco kedysi statne a zinkasuje za to opat niekolko desiatok
  130. celozivotnych prijmov bezneho slovenskeho obcana. Dobre, aby som bol ferovy,
  131. tak Swan za predaj priamo zinkasuje nieco vyse 21 mil, zvysnych takmer 5 mil
  132. CentralNic zaplati az neskor, pravdepodobne ked budu traktory z neba padat.
  133.  
  134.   Na tomto predaji je zaujimavych niekolko faktov. Jednak casove naslednosti
  135. s ohladom na Zakon o kybernetickej bezpecnosti, dodatok zmluvy o domene .sk. Ale
  136. aj fakt, ze v tychto dnoch SK-NIC prechadza na novy technicky system, prave od
  137. CentralNicu. Tento prechod sa pripravoval minimalne rok, no len pred par dnami
  138. predaj (resp. kupu) spolocnost CentralNic oficialne potvrdila. S tym, ze po
  139. pravnej stranke bude transakcia dokoncena zaciatkom septembra. Teda najprv
  140. SK-NIC prechadza na novy system, a az potom bude jeho predaj dokonceny.
  141. Divne, nemyslite?
  142.  
  143.   Dalsie zaujimave fakty sa tykaju samotnej spolocnosti CentralNic. Ta uz ma pod
  144. palcom niektore menej vyznamne narodne domeny. Konkretne Laosu (.la) a Palau
  145. (.pw). Prvu domenu marketingovo vyuziva ako domenu pre Los Angeles. Druhu ako
  146. domenu pre Profesionalny Web. Mozeme iba hadat, ako bude vyuzivana slovenska
  147. domena .sk. Mozno Saskatchewan (kanadska provincia). Alebo South Korea. Alebo
  148. Software Kit. Pripadne celkom vystizne by mohlo byt aj Script Kiddie, nech
  149. tato kategoria utocnikov ma priestor, kde sa bude moct pochvalit svojimi utokmi.
  150. Spominany dodatok sice zakazuje SK-NICu propagaciu domeny .sk v rozpore so
  151. zaujmami SR, ale pri vhodnom marketingu moze aj domena pre Script Kiddie
  152. zviditelnit SR.
  153.  
  154.   Nemenej zaujimavy je aj fakt, ze o kupu SK-NICu mal zaujem aj CZ.NIC. Lenze
  155. ponukol iba sumu okolo 20 mil. Teda o nejaky ten milion menej, ako teraz zaplati
  156. CentralNic. Lenze peniaze by nemali byt jedine kriterium. Swan mohol urobit
  157. velku vec pre slovenske IT, mohol SK-NIC predat CZ.NICu. Ten je v tomto smere
  158. svetova spicka a velmi vyrazne by pomohol zlepsit situaciu okolo .sk domeny. Len
  159. CZ.NIC asi zabudol na proviziu...
  160.  
  161.   Co bude nasledovat, ukaze cas. Zatial si mozete domyslat. Pre inspiraciu dam
  162. jeden scenar, ktory by novi majitelia teoreticky mohli zneuzit. Vsetky slovenske
  163. stranky, ktore vyuziva verejna sprava pre elektronicke sluzby statu a pre
  164. komunikaciu s obcanmi, maju domeny tvaru ".sk", pripadne ".gov.sk". Majitelia
  165. mozu prostrednictvom SK-NICu urobit zmenu v centralnom registri. Pripadne mozu
  166. SK-NIC prinutit, aby si odpilil pod sebou konar a zmenil technicky kontakt.
  167. Nasledne mozu presmerovat lubovolnu .sk domenu na obsah, ktory budu chciet.
  168. Potom by sa mohlo stat, ze slovensko.sk by bolo nasmerovane na pornostranku. Je
  169. len otazne, ci by na nej boli proslovenske alebo protislovenske prostitutky.
  170. Alebo by mohli presmerovat nbusr.sk a nbu.gov.sk na stranku zobrazujucu vecne
  171. memento slovenskej kyberbezpecnosti: NBUSR123. Alebo by tym iba mohli pohrozit
  172. a prinutit slovensku vladu splnit lubovolne ich poziadavky. Technicka zmena
  173. v centralnom registri je totiz ovela rychlejsia nez pravny spor ohladom zmluvy.
  174.  
  175.  
  176.  
  177.   Tato uvaha bola dlhsia, ako som povodne planoval. Dakujem tym, ktori sa
  178. docitali az sem. Miestami je viacero technickych veci velmi zjednodusenych.
  179. Viem. To preto, aby mohli pochopit aj bezni ludia. Aj politici.
  180. Takychto uvah moze byt viac. Nielen odo mna. Aj od dalsich, informovanejsich
  181. ludi. Pokojne zacnite pisat anonymne. Ale hlavne piste. Viem, ze je vo verejnej
  182. sprave aj v komercnych firmach mnoho ludi, ktori su nespokojni s pomermi. Nielen
  183. v IT, aj v inych oblastiach. Je nacase pripravit ludi na pravdu a povedat im ju.
  184. Ale tak, aby ju pochopili.
  185.  
  186.                                 V. ako Vendelin
  187.  
  188. PS: vsetky faktograficke udaje v tejto uvahe sa daju dohladat na Internete,
  189. alebo vypocitat z dohladatelnych udajov. Alebo o tom su zaznamy (pripomienky
  190. SK-NICu k Zakonu o kybernetickej bezpecnosti).
RAW Paste Data
Pastebin PRO Autumn Special!
Get 40% OFF on Pastebin PRO accounts!
Top