Tiskane izdaje
Ljubljana − Agencija RS za javnopravne evidence in storitve (AJPES) ima na nedavno prenovljeni spletni strani varnostno ranljivost z resnimi posledicami, na portalu Slo-Tech piše strokovnjak za informacijsko varnost Matej Kovačič.
Gre za ranljivost, kjer je s pomočjo SQL vrivanja iz zalednih podatkovnih baz mogoče pridobiti tudi tiste podatke, ki preko strani sicer niso dosegljivi. Kot kaže anonimna prijava, ki so jo posredovali na uredništvo portala Slo-Tech, je ranljivih večje število zalednih baz, ki vsebujejo tudi množico osebnih podatkov (davčne in EMŠO številke vseh lastnikov, zastopnikov in nadzornikov vseh poslovnih subjektov v poslovnem registru in drugo).
V celoti je dosegljivih vsaj 59 podatkovnih baz. Gre za baze poslovnega registra, registra transakcijskih računov, registra prostovoljcev in oseb, ki opravljajo dopolnilno delo, kopije centralnega registra prebivalstva in druge baze. V uredništvu Slo-tech v te baze niso vpogledovali, a kot piše Kovačič je anonimno obvestilo dovolj verodostojno, da ranljivost lahko potrdijo.
O napaki so takoj po obvestilu obvestili predstavnike Informacijskega pooblaščenca ter vzdrževalca spletne stran, ki so že ukrepali.
Kaj lahko ukrenejo podjetja oziroma posamezniki, katerih podatki so na voljo? Nič, pravi Kovačič. Edini, ki lahko ukrepa je Ajpes.
Vodja Službe za informacijsko tehnologijo pri Ajpesu Marjan Babič nam je povedal, da je bil Ajpes včeraj v večernih urah opozorjen na varnostno ranljivost novega spletnega portala. Ta je, tako Babič, verjetno posledica obsežne nadgradnje, ki so jo izvajali v drugi polovici lanskega leta, objavili pa v januarju 2017.
»Ranljivost je odkril usmerjen, načrtovan in dobro organiziranim napad strokovnjakov za informacijsko varnost na spletni portal Ajpes. Načrtovan je bil tudi čas napada (na dan kulturnega praznika). Razvijalci in sistemski skrbniki so grožnjo zaznali v popoldanskih urah, kljub temu pa so v kratkem času (v večernih in jutranjih urah) prepoznano ranljivost tudi odpravili,« je zatrdil Babič.
Takoj po prejetju obvestil o sumljivih napakah iz Ajpesovega informacijskega sistema v torek popoldan so omejili dostop do sistemov z računalnikov, s katerih so bile zahteve posredovane.
»Po tem novih poskusov ni bilo do naslednjega dne ni bilo. Naslednji dan (na državni praznik) se je število obvestil močno povečalo, zato so bili sprejeti najprej začasni protiukrepi, potem ko se je dejansko izkazalo, da gre za ranljivost, pa tudi odprava te ranljivosti,« nam je razložil Babič.
Običajni uporabniki portala so imeli ves čas dostop le do javnih podatkov, zato je verjetnost, da bi poleg napadalca lahko še kdo drug dostopal do nejavnih podatkov razmeroma majhna, je še dodal Babič.
V preiskavo okoliščin in obsega incidenta, ki je še v teku, sta vključena urad Informacijskega pooblaščenca in SI-CERT.
Kot pravi Babič, je bil po doslej znanih informacijah namen napada opozoriti institucije javnega sektorja na ranljivosti v programski opremi (odgovorno razkrivanje - responsible disclosure).
Več denarja in kadrov
»Dejstvo je, da se bodo varnostne ranljivosti vedno našle. Pomembno je, da se vzpostavi učinkovit sistem za odkrivanje teh ranljivosti in njihovo čim prejšnjo odpravo,« nam je na vprašanje o informacijsko varnost državnih organov odgovoril Kovačič in dodal:
»V preteklosti država področju informacijske varnosti ni posvečala kaj dosti pozornosti, po mojih informacijah pa se je to v zadnjem času pričelo spreminjati (na bolje). Vsekakor pa bo temu področju potrebno nameniti precej več finančnih in kadrovskih sredstev.«
