Slovenija živi v oblakih, a ne računalniških

Lani jeseni je finančni minister ­Dušan Mramor na tiskovni konferenci predstavil finančno stanje v državi in povedal, da čaka državo radikalno zmanjševanje stroškov. Varčevanje je slikovito ponazoril z ukrepi na finančnem ministrstvu, kjer tako zelo pazijo na proračunske evre, da ni mogel dobiti niti službenega računalnika. »Zato imam kar domačega,« je povedal novinarjem.

Slabo leto pozneje je hrvaški časopis Večernji list objavil prepise pogovora med predstavnico slovenskega zunanjega ministrstva Simono Drenik in članom arbitražnega sodišča Jernejem Sekolcem. Ta je Drenikovi po telefonu poročal, kaj se je pogovarjal s predsednikom sodišča Gilbertom Guillaumom in drugimi arbitri. Med drugim ji je namignil, da so pogajanja za Slovenijo ugodna, in razkril nekatere druge podrobnosti, ki jih Drenikovi kot predstavnici stranke v postopku (države Slovenije) ne bi smel razkriti. Hrvaška stran je po julijski objavi posnetkov enotno sklenila, da bo zaradi neverodostojnega postopka odstopila od arbitražnega sporazuma in ne bo priznavala odločitve sodišča.

Dogodka nista neposredno povezana, a ju druži skupna problematika: informacijska varnost.

Prostodušna izjava finančnega ministra, da mora zaradi strogega varčevanja uporabljati domači računalnik, zelo nazorno kaže informacijsko varnostno kulturo slovenske države. Osebni računalnik in druge komunikacijske naprave za visokega predstavnika vlade niso samo strošek, ki ga je mogoče oklestiti. Minister na računalniku shranjuje in prebira pomembne dokumente, pripravlja strategije, odgovarja na elektronsko pošto, digitalno podpisuje sklepe vlade in se udeležuje sestankov. Zato računalnika ne sme uporabljati kot običajni državljan – nameščati nepreverjenih programov, se priklapljati na domače omrežje, nezavarovano brskati po spletu in prenašati podatkov na odklenjenem (nešifriranem) disku. Vse njegove elektronske naprave bi morali potrditi informacijski strokovnjaki in poznavalci (proti)obveščevalne dejavnosti, ki bi mu pripravili tudi ustrezne varnostne protokole za uporabo elektronskih komunikacij: kaj in s kom se sme pogovarjati po telefonu, katere podatke sme prenašati na prenosniku in kako ravnati s tajnimi dokumenti.

Objavljeni pogovori med Simono Drenik in Jernejem Sekolcem so pokazali, da slovenska ministrstva in druge državne ustanove nimajo takšnih varnostnih protokolov. Sogovornika nista uporabljala zavarovane (šifrirane) povezave, ampak sta govorila po običajnem telefonu. Po vsebini in tonu pogovora je bilo očitno, da nista opravila niti najosnovnejšega varnostnega usposabljanja, čeprav sta bila udeležena v pomembnem mednarodnem postopku, kakršne rutinsko spremljajo vse največje obveščevalne agencije. Slovenske pogajalce, vlado in komunikacijske stratege je objava prisluhov popolnoma presenetila, saj nanjo niso bili pripravljeni. Kljub dejstvu, da so domači in svetovni mediji zadnji dve leti veliko poročali o razkritjih nekdanjega ameriškega obveščevalca Edwarda Snowdna in globalni razsežnosti elektronskega vohunjenja, pred katerim ni bila varna niti nemška kanclerka Angela Merkel.

Slovenska elektronska ključavnica

Na Snowdnova razkritja se niso odzvala samo civilnodružbena in novinarska združenja, ampak tudi vlade, podjetja in mednarodne ustanove. Velika ameriška internetna in tehnološka podjetja so pozvala Belo hišo, naj zaostrijo prisluškovalna pravila, ker neregulirani množični prisluhi zmanjšujejo zaupanje uporabnikov v njihove tehnologije in povzročajo veliko poslovno škodo celotni informacijski panogi. Ponudniki informacijskih rešitev so prepričevali stranke, da so njihovi izdelki varni pred elektronskimi vohuni, na velikih tehnoloških sejmih in poslovnih konferencah pa so informacijski varnosti namenili bistveno več prostora kot prejšnja leta.

Slovenije tedaj ni dosegel val informacijske varnostne zaskrbljenosti. Na številnih neuradnih pogovorih s predstavniki informacijskih podjetij smo lani poskusili izvedeti, ali so opazili večje zanimanje naročnikov za varnostne rešitve, a so brez izjeme povedali, da informacijska varnost za slovenske stranke ni zelo pomembna. Enako neuspešna so bila poizvedovanja, ali je slovenski premier (ali kak drug visoki politik) sklical predstavnike slovenskih obveščevalcev (Sove), urada za varovanje tajnih podatkov ali direktorata za informatiko ter zahteval oceno varnostnih tveganj. Edina javna pobuda, ki bi lahko preprečila ali otežila »piranske prisluhe«, je bila nacionalna strategija kibernetske varnosti. Ali načrti za prenovo in centralizacijo informatike v javni upravi.

Direktor direktorata za informatiko Jurij Bertok je lani jeseni povedal, da zadnje leto čutijo nekaj več politične volje za sprejetje strategije kibernetske varnosti (ta je do danes ostala samo osnutek) in poenotenje informatike v javni upravi (vsako ministrstvo naroča drugačno opremo in programe pri dobaviteljih, nad katerimi ni skoraj nobenega nadzora). Pojasnil je, da bi morale vse državne ustanove pri nakupu informacijske opreme in storitev že v javnih naročilih zahtevati, da morajo zagotoviti predpisano stopnjo informacijske varnosti, poskrbeti za dokumentirane varnostne preizkuse in sproti skrbeti za odpravo novih varnostnih ranljivosti. Predstavil je načrte za postavitev državnega računalniškega oblaka in namignil, da želijo razvoj varnostnih tehnologij – programov in kriptografskih algoritmov – zaupati domačim strokovnjakom.

Prvi razlog za izbiro domačega ponudnika je večja varnost, ker da pri tujih rešitvah nikoli ni mogoče vedeti, kakšne programske vrstice se skrivajo v izdelku in katere varnostne luknje so ostale namenoma odprte, je dejal Bertok. Hkrati bi spodbudili tudi gospodarski razvoj, saj informacijska podjetja potrebujejo domače referenčne projekte, preden lahko ponudijo varnostne izdelke tujim kupcem. Takšno stališče med državnimi načrtovalci informacijskih rešitev ni redko, saj so zelo podobno razmišljanje prejšnji teden objavili tudi na spletni strani urada za varovanje tajnih podatkov, ko so predstavili javni osnutek nacionalne kriptografske strategije.

Direktor urada Boris Mohar je povedal, da države vsaj pri varovanju tajnih podatkov nočejo biti popolnoma odvisne od tujih rešitev, ampak uporabljajo tudi lastna šifrirna orodja – zaradi večje varnosti in izobraževanja domačih strokovnjakov, ki znajo zavarovati podatke. Za pripravo strategije so se odločili, ker Slovenija potrebuje nacionalni dokument, v katerem bodo opredelili področje kriptologije in priporočili uporabo nacionalnih šifrirnih rešitev. Med pripravo javnega osnutka so namreč ugotovili, da so državni organi in organizacije pogosto prepuščeni sami sebi in lastnim varnostnim usmeritvam, čeprav zakonodaja opredeljuje in celo zahteva uporabo šifrirne komunikacije. Njihove usmeritve pa so lahko zelo pomanjkljive, kar je pokazala nedavna prisluškovalna afera.

Nacionalni interes ali varnost?

Bi lahko sprejetje in udejanjanje nacionalne strategije kriptologije pomagalo preprečiti podobne varnostne ­incidente?

Matej Kovačič, strokovnjak za informacijsko varnost z inštituta Jožefa Stefana, je za novinarski spletni portal Pod črto pripravil prvo analizo osnutka in zapisal, da je priprava ustrezne strategije na tem področju zelo dobrodošla, saj ima Slovenija z (ne)uporabo šifrirnih orodij zelo očitne težave. Vendar ga je zmotilo vztrajanje avtorjev osnutka, da šifrirnih rešitev za varovanje podatkov ne bi smeli kupovati v tujini, ampak bi jih raje naročili domačim izvajalcem.

Ko se pogovarjamo o informacijski varnosti, ne smemo mešati varnosti in nacionalnega interesa – podpore domačemu gospodarstvu in raziskovalcem, je opozoril Kovačič. V Sloveniji bi zelo težko razvili in predvsem varnostno preverili kakovostno šifrirno rešitev, saj na uradu za varovanje tajnih podatkov in v večini domačih tehnoloških podjetij preprosto ni dovolj strokovnjakov za tako obsežno nalogo. Namesto tega bi bilo bolje uporabiti obstoječe, preverjene in po možnosti odprtokodne algoritme, jih ustrezno implementirati ter poskrbeti za tajnost šifrirnega ključa. Poleg tega lahko javne in uveljavljene varnostne rešitve preverja široka akademska, raziskovalna in hekerska skupnost: išče napake in pomaga odpraviti varnostne ranljivosti, ki niso odvisne samo od moči algoritma, ampak je pomembna celotna zasnova elektronske zaščite.

Denis Čaleta z inštituta za korporativne varnostne študije razume željo države, da bi razvila lastne varnostne rešitve. Prepričan je, da so odprtokodni in komercialni (zaprti) algoritmi dovolj dobri za osnovno varnostno zaščito – šifriranje elektronske pošte, varovanje internih dokumentov in telefonskih klicev. Za višje stopnje tajnosti pa podjetja in države uporabljajo lastne rešitve in izdelke, ki jih zahtevajo njihovi strateški (Nato, EU) ali poslovni ­partnerji.

To ne pomeni, da bi Slovenija morala (ali zmogla) razviti čisto nove šifrirne algoritme, kar bi bilo skoraj primerljivo z razvojem novega orožja. Vendar se pri varovanju tajnih dokumentov ne bi smela zanašati na tuje ponudnike, saj njihovi lastniki skoraj vedno obdržijo elektronske »ključavnice«, ki jim omogočajo dostop – na kar je opozoril ­Edward Snowden. Strinjal se je tudi z argumenti direktorja urada Borisa Moharja, da je izobraževanje domačih strokovnjakov pomemben del varnostne politike in velika poslovna priložnost. Kakovostne varnostne rešitve so ključna sestavina digitalne ekonomije, saj brez zmogljivih šifrirnih algoritmov ni mogoče zagotoviti varnega elektronskega poslovanja ali zaščite osebnih podatkov. V Evropi in Aziji je vse močnejši tudi občutek prevelike odvisnosti od ameriške tehnologije, kar odpira trg za manjše ponudnike varnostnih izdelkov – sploh če prihajajo iz držav brez velikih geostrateških interesov.

Vztrajanje pri domačih ponudnikih ni edina pomanjkljivost, ki je zmotila Mateja Kovačiča. »Še tako sofisticirana zaščita je neučinkovita, če je uporabniki ne uporabljajo ali pa jo uporabljajo napačno,« je zapisal v članku. Po njegovem mnenju se avtorji strategije preveč ukvarjajo z informatiki, programerji in matematiki, ki bi razvijali nove rešitve. Premalo pa razmišljajo o uporabniški izkušnji, psihologiji, izobraževanju uporabnikov in dvigu varnostne kulture, ki je v Sloveniji na zelo nizki ravni – kar so nazadnje potrdili Mramor, Drenikova in Sekolec.

Nizka varnostna kultura

Strokovnjaki za informacijsko varnost in zasebnost zelo radi uporabljajo primerjave iz neračunalniškega življenja, kadar laičnemu občinstvu predavajo o varnostnih tveganjih. Si pripnete varnostni pas, ko sedete v avtomobil? Ali zaklenete vhodna vrata, ko zapustite stanovanje? Pustite ključ pod predpražnikom? Se slačite na odprtem balkonu in objavljate fotografije otrok na javni oglasni deski? Zakaj potem ne zaklenete računalnika z močnim geslom, ne šifrirate kratkih sporočil in pošiljate interne dokumente po nezavarovani elektronski pošti?

Takšni primeri so zelo učinkoviti retorični pripomočki, a večinoma ne spremenijo uporabniškega obnašanja. Zgodovina varnostnega pasu v osebnem avtomobilu zelo dobro pokaže, kako dolgo je trajalo, preden so ga začeli vozniki dejansko pripenjati. Zakonodajalci so morali spremeniti ali sprejeti cestnoprometne predpise in preganjati kršitelje. Regulatorji so prisilili proizvajalce, da so avtomobile serijsko opremili z najpomembnejšimi varnostnimi pripomočki. Zavarovalnice so s popusti spodbujale varnejšo vožnjo in zaračunavale visoke dodatne premije za voznike, ki se niso hoteli prilagoditi novi varnostni kulturi. Podoben program kazni in spodbud bi bil potreben tudi na področju informacijske varnosti, a so ga le redke države pripravljene uvesti in ­financirati.

Druga velika ovira je udobje, ki ga ponujajo vse priljubljene aplikacije in storitve na elektronskih napravah. Pomemben gospodarstvenik ali politik, ki je vajen uporabljati najnovejši pametni mobilnik z vsemi dodatnimi zmogljivostmi – fotoaparatom, hipnim dostopom do družabnih omrežij in mobilne zabave –, se bo težko sprijaznil z okornim kriptofonom, v katerega je treba pred vsakim klicem vpisati dolgo geslo in ima v imeniku le nekaj nujnih številk. Informatiki v podjetjih ugotavljajo, da je mlajše zaposlene zelo težko prepričati, da njihova »kultura deljenja« ni primerna za poslovni svet, kjer je treba ves čas paziti na poslovne skrivnosti, podatke o strankah in druge občutljive podatke. Enako pomembno je tudi (ne)zaupanje v ustanove, zaradi katerega zaposleni zelo neradi sprejemajo strožje varnostne ukrepe. Predvsem zato, ker najprej (upravičeno) pomislijo na povečan nadzor na delovnem mestu, ki ga bo delodajalec uporabil proti njim – denimo ugotavljal, da so bili kako minuto preveč na kosilu.

Na uradu za varovanje tajnih podatkov so objavili osnutek kriptološke strategije v zelo primernem trenutku: samo nekaj tednov po katastrofalni varnostni lahkomiselnosti slovenskih arbitražnih pogajalcev. Takšni dogodki lahko pospešijo sprejemanje potrebnih strategij in pobud, ki jih politični odločevalci še pred nekaj meseci ne bi niti opazili. Vendar nobena, še tako dobro napisana strategija ne more dvigniti varnostne kulture v slovenskih državnih ustanovah, če vlada ne bo namenila dovolj denarja, kadrov in politične podpore za njeno uresničevanje. Ter poskrbela, da ideja varnostnega »nacionalnega interesa« ne bo koristila samo nekaterim domačim podjetjem, ampak bo dejansko pomagala preprečiti prihodnji varnostni Černobil. Ki je v sedanjih razmerah verjetno neizogiben.