Friendpaste

--- Revision None
+++ Revision 623236373361
@@ -0,0 +1,259 @@
+Quo vadis, Slovakia(Cyber(Security))?
+
+( Originálna verzia publikovaná na https://pastebin.com/3p8iAG2b )
+
+{ O Slovensku. O informačných systémoch. O verejných zákazkách. O bezpečnosti. }
+{ O vlastníctve. O .sk doméne. O SK-NICu.                                      }
+
+
+--------------------------------------------------------------------------------
+(Dovolil som si skopírovať na úvod tri odstavce, ktoré podľa mňa prinášajú
+zaujímavé/nové informácie a bola by škoda, keby zanikli medzi zvyškom textu.
+Taktiež som do nich doplnil niekoľko zdrojov.
+Celý pôvodný text s doplnenou diakritikou nasleduje nižšie.)
+
+  A čo nedávny prípad (ktorý sa mimochodom dostal aj do médii) elektronických
+schránok na slovensko.sk? "Používatelia si mohli prečítať predmety cudzích správ
+a niekedy aj celý obsah."[1] Keď je toto tá sľubovaná bezpečnosť štátnych schránok,
+aká je potom bezpečnosť elektronických občianskych preukazov? Zaujímali ste sa
+niekedy o to, či sú tie eID kartičky a celý systém postavený na nich bezpečný?
+Či boli navrhnuté dobre, či boli dobre naprogramované, či ich niekto naozaj
+poriadne otestoval a prípadné zistené nedostatky boli odstránené?
+Spýtajte sa. A nedajte sa odbiť, máte právo poznať odpovede, keď do toho štát
+investoval viac peňazí, než mnohí z vás zarobia za celý život.[2] Dokonca viac, ako
+by priemerne zarábajúci človek zarobil za 50 životov.[3]
+
+  Pripravoval sa Zákon o kybernetickej bezpečnosti (ten sa síce pripravoval už
+dlho, ale práve preto by bolo očakávateľné, že bude kvalitný). Namiesto kedysi
+pripravovaného Zákona o informačnej bezpečnosti. Keď sa však už otvárala aj téma
+kyberpriestoru a bezpečnosti, mohlo sa už niečo spraviť aj so situáciou okolo
+.sk domény. Nestalo sa tak. Na prelome mája a júna bol zákon v pripomienkovom
+konaní. Zákon je inak dosť zle napísaný (ale to by bolo na samostatnú tému),
+dostalo sa mu obrovské množstvo pripomienok (aktuálne 706)[4], väčšina z nich
+však bola dosť mierna, ba až opatrná (pripomienkujúci na to majú určité dôvody).
+Pozorný čitateľ znalý situácie však mohol mať o to väčšie prekvapenie, keď sa
+zrazu medzi pripomienkami objavila aj vyše stovka pripomienok od SK-NICu.
+A navyše veľmi kvalitných pripomienok, ktoré priamo ukázali na problematické
+časti zákona. Pozorný čitateľ však mohol zažiť aj ďalšie prekvapenie, keď
+pripomienky SK-NICu zrazu začali ubúdať, až úplne zmizli. Mohlo by to znamenať,
+že v SK-NICu sú aj ľudia, ktorí to myslia so Slovenskom a kyberzáležitosťami
+dobre, sú však donútení správať sa podľa pokynov zamestnávateľa/majiteľa a jeho
+záujmovej skupiny. Je ale zaujímavé, že o tomto sa doteraz nikde nepísalo,
+drží sa to pod pokrievkou a dúfa sa, že sa na to zabudne.
+
+...Takýchto úvah môže byť viac. Nielen odo mňa. Aj od ďalších, informovanejších
+ľudí. Pokojne začnite písať anonymne. Ale hlavne píšte. Viem, že je vo verejnej 
+správe aj v komerčných firmách mnoho ľudí, ktorí sú nespokojní s pomermi. Nielen
+v IT, aj v iných oblastiach. Je načase pripraviť ľudí na pravdu a povedať im ju.
+Ale tak, aby ju pochopili. 
+
+(nasleduje pôvodný text s doplnenou diakritikou. Inak som do článku nezasahoval,
+akurát úplne na koniec som pridal pár odkazov.)
+--------------------------------------------------------------------------------
+
+  V posledných mesiacoch sa viackrát v médiach objavili zmienky o informatizácii
+na Slovensku, aj o kyberpriestore tejto krajiny a občas sa spomenula aj jeho
+bezpečnosť. Média sa však tejto téme venujú iba veľmi povrchne, ba priam niekedy
+až opatrne. Možno však nie je nutné v tom hľadať žiadny zlý úmysel, média možno 
+iba jednoducho servírujú slovenským občanom jednotlivé témy v takom rozsahu,
+v akom ich dokáže bežná verejnosť vstrebať.
+
+  Tento text však má v pláne zájsť ďalej a spomenúť aj záležitosti, ktorým sa
+zatiaľ na Slovensku nevenovala taká pozornosť, akú by si zaslúžili. Pretože
+či chceme alebo nie, informačné technológie sú už neoddeliteľnou súčasťou
+života každého občana Slovenskej republiky. Každý jeden človek používa počítače
+a mobilné zariadenia či už priamo alebo nepriamo. V informačných systémoch štátu
+aj súkromných spoločností sa uchovávajú informácie (takmer) o každom jednom
+občanovi SR. A tieto informácie majú častokrát citlivú povahu, dokonca až tak,
+že dnešným zločincom by stačilo nahromadiť niekoľko informácii o svojej obeti 
+a mohli by jej spôsobiť ďaleko väčšiu škodu, ako keby ju "iba" okradli na ulici.
+Áno, s pár informáciami a vhodným postupom môže útočník "ukradnúť identitu".
+Hocikomu. Virtuálnu, aj reálnu. So všetkými možnými dôsledkami.
+
+  Použitím informácií, ktoré sú v informačných systémoch, v počítačoch, môže
+útočník nielen písať vo vašom mene komentáre na Facebooku, ale môže aj ukradnúť
+peniaze z vášho účtu, môže predať vaše auto, váš dom. Ale je to naozaj stále
+vaše vlastníctvo? Keď si nedávate pozor na citlivé informácie, keď nedávate
+pozor na zariadenia a systémy, v ktorých sú tieto informácie uložené, ako môžete
+vedieť, že ešte stále sú vaše veci vaše? Je vaša identita ešte stále vaša?
+
+  Na Slovensku sa povinne čoraz viac rozširujú elektronické schránky a skrz ne
+je mnoho ľudí donútených používať elektronické občianske preukazy (eID). eID je
+vaša elektronická identita. Keď útočník získa prístup ku nej, môže napr. predať
+váš majetok. Alebo spáchať vo vašom mene zločin a vás budú čakať dlhoročné
+opletačky s naším súdnictvom.
+Myslíte si, že to predsa musí byť dobre zabezpečené. Prečo si to myslíte? Budete
+veriť tvrdeniam niektorých štátnych inštitúcií a médiám, ktoré ich citujú?
+
+  A čo nedávny prípad (ktorý sa mimochodom dostal aj do médii) elektronických
+schránok na slovensko.sk? "Používatelia si mohli prečítať predmety cudzích správ
+a niekedy aj celý obsah." Keď je toto tá sľubovaná bezpečnosť štátnych schránok,
+aká je potom bezpečnosť elektronických občianskych preukazov? Zaujímali ste sa
+niekedy o to, či sú tie eID kartičky a celý systém postavený na nich bezpečný?
+Či boli navrhnuté dobre, či boli dobre naprogramované, či ich niekto naozaj
+poriadne otestoval a prípadné zistené nedostatky boli odstránené?
+Spýtajte sa. A nedajte sa odbiť, máte právo poznať odpovede, keď do toho štát
+investoval viac peňazí, než mnohí z vás zarobia za celý život. Dokonca viac, ako
+by priemerne zarábajúci človek zarobil za 50 životov.
+
+  Podobne by sa dalo písať o ľubovoľnej oblasti, všade sa už elektronizuje a
+vaše údaje sú spracovávané počítačmi. Kritickú infraštruktúru pre chod štátu
+nevynímajúc. Na Slovensku išli na informatizáciu obrovské sumy peňazí, ďaleko
+väčšie, ako si bežní ľudia dokážu predstaviť. Dokonca ďaleko väčšie, ako si
+dokážu predstaviť aj programátori a informatici, ktorí tieto informačné systémy
+vytvárali. Môžete sa spýtať programátorov alebo IT firiem, ktoré zatiaľ neboli
+poznamenané štátnymi zákazkami, za koľko by vedeli štátne IT systémy vytvoriť.
+Dostanete veľmi odlišné sumy. A potom sa opýtajte, kde skončil ten rozdiel.
+
+  O bezpečnosti sme si už niečo napísali. Vráťme sa ale opäť k tomu, čo je ešte 
+stále vaše. Čo je ešte stále slovenské. Je napríklad slovenský kyberpriestor
+ešte stále slovenský? Odmyslime si teraz to, že to môže byť eldorádo útočníkov
+(aj zahraničných). Pozrime sa na jednu jeho súčasť z pohľadu vlastníctva.
+
+  Slovenská národná doména ".sk". Stretol sa s nou už snáď každý. V podstate
+hocikto (spĺňajúci určité podmienky) môže byť držiteľom nejakej domény končiacej
+".sk". Nie je to síce úplne vlastníctvo v pravom slova zmysle, držiteľ domény
+by však mal mať právo rozhodovať o tom, ku ktorým IP adresám bude táto doména
+priradená. Veľmi zjednodušene povedané, držiteľ domény by mal mať právo určovať
+obsah, ktorý uvidia ostatní, keď do prehliadača naťukajú túto doménu.
+
+  V rámci medzinárodných databáz a systémov, ktoré uchovávajú údaje o doménach
+a ich previazaní s IP adresami, je jedna úloha mimoriadne dôležitá. Je to úloha
+správcu národnej domény. Tento správca je poverený administráciou záznamov
+o doménach v ich centrálnom registri, vrátane informácii o držiteľoch domén.
+
+  Správou národnej domény .sk je v súčasnosti poverená spoločnosť SK-NIC a.s.
+O tom, ako sa táto spoločnosť dostala ku správe národnej domény .sk, sa najmä
+v posledných mesiacoch popísalo dosť. Nielen na Slovensku, aj v zahraničí.
+Je to zaujímavé čítanie, tento "Příběh domény .SK, aneb krádež za bílého dne".
+Vznikla aj iniciatíva nasadomena.sk, ktorá chcela súčasný stav zmeniť.
+
+  A o čo vlastne ide? V krátkosti, národnú doménu spravuje súkromná spoločnosť,
+ktorá sa ku tejto úlohe dostala za podivných okolností. A zmluva so štátom je
+naformulovaná tak (ne)šťastne, aby sa nedala vypovedať. Táto súkromná spoločnosť
+vyberá peniaze od držiteľov domén. Približne 10 eur za úpravu záznamu o doméne,
+za úkon, ktorý nezaberie veľa času a navyše sa dá automatizovať. Drvivá väčšina
+týchto peňazí vybratých za národnú doménu .sk končí vo vrecku súkromníka.
+Súkromníka, ktorý navyše veľmi nepodporuje rozvoj .sk domény a IT komunity.
+Môžete si to porovnať s neďalekým Českom, kde CZ.NIC, správca domény .cz, patrí
+medzi svetovú špičku a robí množstvo aktivít na rozvoj a podporu komunity.
+A Slovensko nemá ani len DNSSEC...
+
+  Bolo viacero príležitostí, kedy sa tento nelichotivý stav mohol zmeniť. No
+nezmenil sa. Alebo sa zmenil k horšiemu. Spomeniem pár príležitostí, ktoré sa
+udiali počas tohto roka.
+
+  Pripravoval sa Zákon o kybernetickej bezpečnosti (ten sa síce pripravoval už
+dlho, ale práve preto by bolo očakávateľné, že bude kvalitný). Namiesto kedysi
+pripravovaného Zákona o informačnej bezpečnosti. Keď sa však už otvárala aj téma
+kyberpriestoru a bezpečnosti, mohlo sa už niečo spraviť aj so situáciou okolo
+.sk domény. Nestalo sa tak. Na prelome mája a júna bol zákon v pripomienkovom
+konaní. Zákon je inak dosť zle napísaný (ale to by bolo na samostatnú tému),
+dostalo sa mu obrovské množstvo pripomienok (aktuálne 706), väčšina z nich
+však bola dosť mierna, ba až opatrná (pripomienkujúci na to majú určité dôvody).
+Pozorný čitateľ znalý situácie však mohol mať o to väčšie prekvapenie, keď sa
+zrazu medzi pripomienkami objavila aj vyše stovka pripomienok od SK-NICu.
+A navyše veľmi kvalitných pripomienok, ktoré priamo ukázali na problematické
+časti zákona. Pozorný čitateľ však mohol zažiť aj ďalšie prekvapenie, keď
+pripomienky SK-NICu zrazu začali ubúdať, až úplne zmizli. Mohlo by to znamenať,
+že v SK-NICu sú aj ľudia, ktorí to myslia so Slovenskom a kyberzáležitosťami
+dobre, sú však donútení správať sa podľa pokynov zamestnávateľa/majiteľa a jeho
+záujmovej skupiny. Je ale zaujímavé, že o tomto sa doteraz nikde nepísalo,
+drží sa to pod pokrievkou a dúfa sa, že sa na to zabudne.
+
+  Ďalšia príležitosť bola príprava nového dodatku k zmluve o doméne .sk, ktorý
+pripravoval Pellegriniho úrad tváriac sa, že bude pri tom spolupracovať aj 
+s komunitou a rôznymi iniciatívami, ktoré v súvislosti so slovenským IT vznikli.
+No dopadlo to tak, že "Pellegrini tajne podpísal dodatok k zmluve so správcom
+domény .sk.", pričom "Zmluva medzi štátom a správcom národnej domény .sk je
+nevýhodná". Pre štát.
+
+  A cela verejná diskusia ohľadom SK-NICu a budúcnosti .sk domény dostala ďalšiu
+facku v podobe odpredaja spoločnosti SK-NIC. Jej majitelia (DanubiaTel/Swan) ju
+odpredali britskej spoločnosti CentralNic za 26 miliónov. Poslednú vetu si
+prečítajte ešte raz a pomaly predýchajte takmer každé jedno slovo v nej. Či už
+je to Swan, britský CentralNic, 26 miliónov alebo odpredaj. Áno, Swan predáva
+zahraničnej firme niečo kedysi štátne a zinkasuje za to opäť niekoľko desiatok
+celoživotných príjmov bežného slovenského občana. Dobre, aby som bol férový,
+tak Swan za predaj priamo zinkasuje niečo vyše 21 mil, zvyšných takmer 5 mil
+CentralNic zaplatí až neskôr, pravdepodobne keď budú traktory z neba padať.
+
+  Na tomto predaji je zaujímavých niekoľko faktov. Jednak časové následnosti
+s ohľadom na Zákon o kybernetickej bezpečnosti, dodatok zmluvy o doméne .sk. Ale
+aj fakt, že v týchto dňoch SK-NIC prechádza na nový technický systém, práve od
+CentralNicu. Tento prechod sa pripravoval minimálne rok, no len pred pár dňami
+predaj (resp. kúpu) spoločnosť CentralNic oficiálne potvrdila. S tým, že po
+právnej stránke bude transakcia dokončená začiatkom septembra. Teda najprv
+SK-NIC prechádza na nový systém, a až potom bude jeho predaj dokončený.
+Divné, nemyslíte?
+
+  Ďalšie zaujímavé fakty sa týkajú samotnej spoločnosti CentralNic. Ta už má pod
+palcom niektoré menej významné národne domény. Konkrétne Laosu (.la) a Palau
+(.pw). Prvú doménu marketingovo využíva ako doménu pre Los Angeles. Druhú ako
+doménu pre Profesionálny Web. Môžeme iba hádať, ako bude využívaná slovenská
+doména .sk. Možno Saskatchewan (kanadská provincia). Alebo South Korea. Alebo
+Software Kit. Prípadne celkom výstižné by mohlo byť aj Script Kiddie, nech
+táto kategória útočníkov má priestor, kde sa bude môcť pochváliť svojimi útokmi.
+Spomínaný dodatok síce zakazuje SK-NICu propagáciu domény .sk v rozpore so
+záujmami SR, ale pri vhodnom marketingu môže aj doména pre Script Kiddie
+zviditeľniť SR.
+
+  Nemenej zaujímavý je aj fakt, že o kúpu SK-NICu mal záujem aj CZ.NIC. Lenže
+ponúkol iba sumu okolo 20 mil. Teda o nejaký ten milión menej, ako teraz zaplatí
+CentralNic. Lenže peniaze by nemali byť jediné kritérium. Swan mohol urobiť
+veľkú vec pre slovenské IT, mohol SK-NIC predať CZ.NICu. Ten je v tomto smere
+svetová špička a veľmi výrazne by pomohol zlepšiť situáciu okolo .sk domény. Len
+CZ.NIC asi zabudol na províziu...
+
+  Čo bude nasledovať, ukáže čas. Zatiaľ si môžete domýšľať. Pre inšpiráciu dám
+jeden scenár, ktorý by noví majitelia teoreticky mohli zneužiť. Všetky slovenske
+stránky, ktoré využíva verejná správa pre elektronické služby štátu a pre
+komunikáciu s občanmi, máju domény tvaru ".sk", prípadne ".gov.sk". Majitelia
+môžu prostredníctvom SK-NICu urobiť zmenu v centrálnom registri. Prípadne môžu
+SK-NIC prinútiť, aby si odpílil pod sebou konár a zmenil technický kontakt.
+Následne môžu presmerovať ľubovoľnú .sk doménu na obsah, ktorý budú chcieť.
+Potom by sa mohlo stať, že slovensko.sk by bolo nasmerované na pornostránku. Je
+len otázne, či by na nej boli proslovenské alebo protislovenské prostitútky.
+Alebo by mohli presmerovať nbusr.sk a nbu.gov.sk na stránku zobrazujúcu večné
+memento slovenskej kyberbezpečnosti: NBUSR123. Alebo by tým iba mohli pohroziť
+a prinútiť slovenskú vládu splniť ľubovoľné ich požiadavky. Technická zmena
+v centrálnom registri je totiž oveľa rýchlejšia než právny spor ohľadom zmluvy.
+
+
+
+  Táto úvaha bola dlhšia, ako som pôvodne plánoval. Ďakujem tým, ktorí sa
+dočítali až sem. Miestami je viacero technických vecí veľmi zjednodušených.
+Viem. To preto, aby mohli pochopiť aj bežní ľudia. Aj politici.
+Takýchto úvah môže byť viac. Nielen odo mňa. Aj od ďalších, informovanejších
+ľudí. Pokojne začnite písať anonymne. Ale hlavne píšte. Viem, že je vo verejnej 
+správe aj v komerčných firmách mnoho ľudí, ktorí sú nespokojní s pomermi. Nielen
+v IT, aj v iných oblastiach. Je načase pripraviť ľudí na pravdu a povedať im ju.
+Ale tak, aby ju pochopili. 
+
+
+								V. ako Vendelin
+
+PS: všetky faktografické údaje v tejto úvahe sa dajú dohľadať na Internete,
+alebo vypočítať z dohľadateľných údajov. Alebo o tom sú záznamy (pripomienky
+SK-NICu k Zákonu o kybernetickej bezpečnosti).
+
+--------------------------------------------------------------------------------
+(Odkazy na online zdroje, citácie a výpočty, ktoré aspoň čiastočne podkladajú
+tvrdenia v predchádzajúcej úvahe.)
+
+[1] https://ekonomika.sme.sk/c/20624819/slovensko-sk-sa-znovu-predviedlo-dali-sa-citat-cudzie-spravy.html
+[2] https://ekonomika.sme.sk/c/7021016/kalinak-elektronicke-obcianske-preukazy-zacal-aj-dokoncil.html
+[3] http://www.minimalnamzda.sk/priemerna-mzda.php
+	podľa [2] šlo o 33 mil Eur, podľa [3] je odhadovaná priemerná mzda na r.
+2017 rovná 945 Eurám. Takže ak by niekto zarábal túto mzdu po dobu 50 rokov, za 
+50 životov zarobí 28,35 mil Eur (samozrejme, v hrubom, a tento výpočet
+nezohľadňuje infláciu)
+[4] https://www.slov-lex.sk/legislativne-procesy/SK/LP/2017/407/pripomienky/zobraz
+
+(pár odkazov na záležitosti okolo .sk domény a CentralNicu)
+https://www.nic.cz/files/nic/IT_17/Prezentace/Platon_nasa_domena.pdf
+https://www.root.cz/clanky/pribeh-domeny-sk-aneb-kradez-za-bileho-dne/
+https://www.tyzden.sk/politika/41587/pellegrini-pripravil-slovensko-o-miliony-eur/
+https://ekonomika.sme.sk/c/20622070/zmluva-medzi-statom-a-spravcom-narodnej-domeny-sk-je-nevyhodna.html
+http://dsl.sk/article.php?article=20144
+https://www.centralnic.com/portfolio/cctlds