Katast(e)rofa. Príbeh o zraniteľnosti katastra a ako by to vyzeralo v súkromnom sektore…

Katast(e)rofálna situácia s ochranou dát občanov

Dovolím si povedať, že ak by sme sa my v TULIP-e  postavili k podobnému bezpečnostnému incidentu rovnako ako vláda/štátna správa/kompetentní (?), a teda absolútne amatérsky zo všetkých uhlov pohľadu, bolo by to pre nás ako súkromnú firmu v podstate likvidačné. Dáta sú pre nás, rovnako ako pre katastrálny úrad, hlavným aktívom a to, že ich máme chrániť ako oko v hlave je absolútnou samozrejmosťou. Samozrejme, útok a ohrozenie dát sa môže stať. Je to realita aj v súkromnom sektore. Ale v prípade katastra ma zaráža do očí bijúci amaterizmus (skutočne to neviem inak nazvať)  v podstate na všetkých frontoch… Už samotné zabezpečenie katastra bolo, ak mám byť mierny, prinajlepšom dosť podcenené. Netrúfam si povedať či a ako často prebiehali penetračné testy, prípadne či má kataster nejaký business continuity plán (BCM – riadenie kontinuity činností, čiže systematická príprava na zvládnutie krízových situácií). Ukazuje sa, že asi ani jedno z toho.

Porovnajme si realitu zo súkromného sektora:  nás ako firmu, ktorá poskytuje podobnú službu, naši klienti na bezpečnosť neskutočne grilujú. Pravidelne zasielame sumár z penetračných testov. V prípade, že sa nebodaj nájde nejaká vyššie ohodnotená zraniteľnosť, systém ani nie je v podstate schopný produkčnej prevádzky. Vypĺňame množstvo bezpečnostných dotazníkov, prechádzame pravidelnými auditmi, vlastníme niekoľko certifikácií.

Chápem, že v prípade tejto zraniteľnosti šlo zrejme o ľudskú chybu a niekto zo zamestnancov pravdepodobne otvoril v e-maile niečo čo nemal, ale aj tak… Nepoznám architektúru katastra, ale ten dôsledok je skutočne obrovský. V prípade takejto straty dát a absolútneho výpadku systému na viac dní by to napríklad podľa našich servisných SLA zmlúv v podstate znamenalo, že všetci naši klienti nám môžu jednostranne vypovedať zmluvy a dožadovať sa finančnej kompenzácie. V prípade štátnej inštitúcie, kde my všetci túto službu cez naše dane platíme, nie je v podstate vyvedená žiadna zodpovednosť, od štátu nedostaneme žiadnu kompenzáciu, a to ani viac ako 8 dní od incidentu nie je systém v prevádzke, bez výhľadu toho, kedy sa situácia napraví.

Čo nás privádza na ďalšiu otázku, a to k zálohám. Áno, uznávam, vôbec netuším ako ich má kataster riešené; áno, uznávam, že databázy katastra majú určite terabajty dát a ich obnova, kontrola konzistencie a podobne je už len čisto technicky určite veľmi náročná, ale na prvý pohľad sa zdá, že existencia záloh a ich kvalita sú minimálne otázne.

Katast(e)rofálna komunikácia zo strany štátu

V neposlednom rade je tu absolútne, ale skutočne do očí bijúce zlyhanie v komunikácii smerom k nám občanom, ktorí danú službu platíme, máme tam naše citlivé dáta a je na ňu naviazaných X ďalších služieb, ktoré sú dnes nefunkčné alebo obmedzené. Komunikácia zlyhala a naďalej zlyháva na celej čiare. Do dnes nevieme, čo sa vlastne stalo, kto je zodpovedný, kedy a aké nápravné opatrenia budú, kedy bude k dispozícii aspoň akýsi workaround alebo aspoň nejaké online služby katastra. Pre mňa je to absolútne nepredstaviteľné a ak by sme sa my správali k našim klientom takýmto spôsobom firma dávno skrachuje.

Za mňa štát/úrad/neviem kto ďalší, vlastne nezvládol nič z kľúčových vecí pri krízovej situácii:

• Zabezpečenie služby
• Zabezpečenie Business continuity
• Oprava následkov
• Vyvedenie zodpovedností
• A hlavne komunikácia

Čo bude ďalej?

Nevieme a nevieme, kedy sa to dozvieme. Systém nefunguje, ľuďom stojí práca a internetové vtipy hovoria, že aj bez majetku. Ak sa kataster znova spustí, mnohí sa dušujú (a experti to aj odporúčajú), že si pôjdu skontrolovať stav svojho majetku. Ak sa ani na toto štát nepripraví, služba znovu spadne. Tentokrát kvôli masovému zahlteniu serverov. Nedokážem predikovať ako sa štát zachová, ale ako som spomenul vyššie, ak by sa takto správala súkromná firma tak skrachuje a jej klienti idú inam… ale čo budeme alebo môžeme teraz robiť my občania?

Zdroje obrázkov: https://www.facebook.com/zomriofficial