Quo vadis, Slovakia(Cyber(Security))?

( Originálna verzia publikovaná na https://pastebin.com/3p8iAG2b )

{ O Slovensku. O informačných systémoch. O verejných zákazkách. O bezpečnosti. }
{ O vlastníctve. O .sk doméne. O SK-NICu.                                      }


--------------------------------------------------------------------------------
(Dovolil som si skopírovať na úvod tri odstavce, ktoré podľa mňa prinášajú
zaujímavé/nové informácie a bola by škoda, keby zanikli medzi zvyškom textu.
Taktiež som do nich doplnil niekoľko zdrojov.
Celý pôvodný text s doplnenou diakritikou nasleduje nižšie.)

  A čo nedávny prípad (ktorý sa mimochodom dostal aj do médii) elektronických
schránok na slovensko.sk? "Používatelia si mohli prečítať predmety cudzích správ
a niekedy aj celý obsah."[1] Keď je toto tá sľubovaná bezpečnosť štátnych schránok,
aká je potom bezpečnosť elektronických občianskych preukazov? Zaujímali ste sa
niekedy o to, či sú tie eID kartičky a celý systém postavený na nich bezpečný?
Či boli navrhnuté dobre, či boli dobre naprogramované, či ich niekto naozaj
poriadne otestoval a prípadné zistené nedostatky boli odstránené?
Spýtajte sa. A nedajte sa odbiť, máte právo poznať odpovede, keď do toho štát
investoval viac peňazí, než mnohí z vás zarobia za celý život.[2] Dokonca viac, ako
by priemerne zarábajúci človek zarobil za 50 životov.[3]

  Pripravoval sa Zákon o kybernetickej bezpečnosti (ten sa síce pripravoval už
dlho, ale práve preto by bolo očakávateľné, že bude kvalitný). Namiesto kedysi
pripravovaného Zákona o informačnej bezpečnosti. Keď sa však už otvárala aj téma
kyberpriestoru a bezpečnosti, mohlo sa už niečo spraviť aj so situáciou okolo
.sk domény. Nestalo sa tak. Na prelome mája a júna bol zákon v pripomienkovom
konaní. Zákon je inak dosť zle napísaný (ale to by bolo na samostatnú tému),
dostalo sa mu obrovské množstvo pripomienok (aktuálne 706)[4], väčšina z nich
však bola dosť mierna, ba až opatrná (pripomienkujúci na to majú určité dôvody).
Pozorný čitateľ znalý situácie však mohol mať o to väčšie prekvapenie, keď sa
zrazu medzi pripomienkami objavila aj vyše stovka pripomienok od SK-NICu.
A navyše veľmi kvalitných pripomienok, ktoré priamo ukázali na problematické
časti zákona. Pozorný čitateľ však mohol zažiť aj ďalšie prekvapenie, keď
pripomienky SK-NICu zrazu začali ubúdať, až úplne zmizli. Mohlo by to znamenať,
že v SK-NICu sú aj ľudia, ktorí to myslia so Slovenskom a kyberzáležitosťami
dobre, sú však donútení správať sa podľa pokynov zamestnávateľa/majiteľa a jeho
záujmovej skupiny. Je ale zaujímavé, že o tomto sa doteraz nikde nepísalo,
drží sa to pod pokrievkou a dúfa sa, že sa na to zabudne.

...Takýchto úvah môže byť viac. Nielen odo mňa. Aj od ďalších, informovanejších
ľudí. Pokojne začnite písať anonymne. Ale hlavne píšte. Viem, že je vo verejnej 
správe aj v komerčných firmách mnoho ľudí, ktorí sú nespokojní s pomermi. Nielen
v IT, aj v iných oblastiach. Je načase pripraviť ľudí na pravdu a povedať im ju.
Ale tak, aby ju pochopili. 

(nasleduje pôvodný text s doplnenou diakritikou. Inak som do článku nezasahoval,
akurát úplne na koniec som pridal pár odkazov.)
--------------------------------------------------------------------------------

  V posledných mesiacoch sa viackrát v médiach objavili zmienky o informatizácii
na Slovensku, aj o kyberpriestore tejto krajiny a občas sa spomenula aj jeho
bezpečnosť. Média sa však tejto téme venujú iba veľmi povrchne, ba priam niekedy
až opatrne. Možno však nie je nutné v tom hľadať žiadny zlý úmysel, média možno 
iba jednoducho servírujú slovenským občanom jednotlivé témy v takom rozsahu,
v akom ich dokáže bežná verejnosť vstrebať.

  Tento text však má v pláne zájsť ďalej a spomenúť aj záležitosti, ktorým sa
zatiaľ na Slovensku nevenovala taká pozornosť, akú by si zaslúžili. Pretože
či chceme alebo nie, informačné technológie sú už neoddeliteľnou súčasťou
života každého občana Slovenskej republiky. Každý jeden človek používa počítače
a mobilné zariadenia či už priamo alebo nepriamo. V informačných systémoch štátu
aj súkromných spoločností sa uchovávajú informácie (takmer) o každom jednom
občanovi SR. A tieto informácie majú častokrát citlivú povahu, dokonca až tak,
že dnešným zločincom by stačilo nahromadiť niekoľko informácii o svojej obeti 
a mohli by jej spôsobiť ďaleko väčšiu škodu, ako keby ju "iba" okradli na ulici.
Áno, s pár informáciami a vhodným postupom môže útočník "ukradnúť identitu".
Hocikomu. Virtuálnu, aj reálnu. So všetkými možnými dôsledkami.

  Použitím informácií, ktoré sú v informačných systémoch, v počítačoch, môže
útočník nielen písať vo vašom mene komentáre na Facebooku, ale môže aj ukradnúť
peniaze z vášho účtu, môže predať vaše auto, váš dom. Ale je to naozaj stále
vaše vlastníctvo? Keď si nedávate pozor na citlivé informácie, keď nedávate
pozor na zariadenia a systémy, v ktorých sú tieto informácie uložené, ako môžete
vedieť, že ešte stále sú vaše veci vaše? Je vaša identita ešte stále vaša?

  Na Slovensku sa povinne čoraz viac rozširujú elektronické schránky a skrz ne
je mnoho ľudí donútených používať elektronické občianske preukazy (eID). eID je
vaša elektronická identita. Keď útočník získa prístup ku nej, môže napr. predať
váš majetok. Alebo spáchať vo vašom mene zločin a vás budú čakať dlhoročné
opletačky s naším súdnictvom.
Myslíte si, že to predsa musí byť dobre zabezpečené. Prečo si to myslíte? Budete
veriť tvrdeniam niektorých štátnych inštitúcií a médiám, ktoré ich citujú?

  A čo nedávny prípad (ktorý sa mimochodom dostal aj do médii) elektronických
schránok na slovensko.sk? "Používatelia si mohli prečítať predmety cudzích správ
a niekedy aj celý obsah." Keď je toto tá sľubovaná bezpečnosť štátnych schránok,
aká je potom bezpečnosť elektronických občianskych preukazov? Zaujímali ste sa
niekedy o to, či sú tie eID kartičky a celý systém postavený na nich bezpečný?
Či boli navrhnuté dobre, či boli dobre naprogramované, či ich niekto naozaj
poriadne otestoval a prípadné zistené nedostatky boli odstránené?
Spýtajte sa. A nedajte sa odbiť, máte právo poznať odpovede, keď do toho štát
investoval viac peňazí, než mnohí z vás zarobia za celý život. Dokonca viac, ako
by priemerne zarábajúci človek zarobil za 50 životov.

  Podobne by sa dalo písať o ľubovoľnej oblasti, všade sa už elektronizuje a
vaše údaje sú spracovávané počítačmi. Kritickú infraštruktúru pre chod štátu
nevynímajúc. Na Slovensku išli na informatizáciu obrovské sumy peňazí, ďaleko
väčšie, ako si bežní ľudia dokážu predstaviť. Dokonca ďaleko väčšie, ako si
dokážu predstaviť aj programátori a informatici, ktorí tieto informačné systémy
vytvárali. Môžete sa spýtať programátorov alebo IT firiem, ktoré zatiaľ neboli
poznamenané štátnymi zákazkami, za koľko by vedeli štátne IT systémy vytvoriť.
Dostanete veľmi odlišné sumy. A potom sa opýtajte, kde skončil ten rozdiel.

  O bezpečnosti sme si už niečo napísali. Vráťme sa ale opäť k tomu, čo je ešte 
stále vaše. Čo je ešte stále slovenské. Je napríklad slovenský kyberpriestor
ešte stále slovenský? Odmyslime si teraz to, že to môže byť eldorádo útočníkov
(aj zahraničných). Pozrime sa na jednu jeho súčasť z pohľadu vlastníctva.

  Slovenská národná doména ".sk". Stretol sa s nou už snáď každý. V podstate
hocikto (spĺňajúci určité podmienky) môže byť držiteľom nejakej domény končiacej
".sk". Nie je to síce úplne vlastníctvo v pravom slova zmysle, držiteľ domény
by však mal mať právo rozhodovať o tom, ku ktorým IP adresám bude táto doména
priradená. Veľmi zjednodušene povedané, držiteľ domény by mal mať právo určovať
obsah, ktorý uvidia ostatní, keď do prehliadača naťukajú túto doménu.

  V rámci medzinárodných databáz a systémov, ktoré uchovávajú údaje o doménach
a ich previazaní s IP adresami, je jedna úloha mimoriadne dôležitá. Je to úloha
správcu národnej domény. Tento správca je poverený administráciou záznamov
o doménach v ich centrálnom registri, vrátane informácii o držiteľoch domén.

  Správou národnej domény .sk je v súčasnosti poverená spoločnosť SK-NIC a.s.
O tom, ako sa táto spoločnosť dostala ku správe národnej domény .sk, sa najmä
v posledných mesiacoch popísalo dosť. Nielen na Slovensku, aj v zahraničí.
Je to zaujímavé čítanie, tento "Příběh domény .SK, aneb krádež za bílého dne".
Vznikla aj iniciatíva nasadomena.sk, ktorá chcela súčasný stav zmeniť.

  A o čo vlastne ide? V krátkosti, národnú doménu spravuje súkromná spoločnosť,
ktorá sa ku tejto úlohe dostala za podivných okolností. A zmluva so štátom je
naformulovaná tak (ne)šťastne, aby sa nedala vypovedať. Táto súkromná spoločnosť
vyberá peniaze od držiteľov domén. Približne 10 eur za úpravu záznamu o doméne,
za úkon, ktorý nezaberie veľa času a navyše sa dá automatizovať. Drvivá väčšina
týchto peňazí vybratých za národnú doménu .sk končí vo vrecku súkromníka.
Súkromníka, ktorý navyše veľmi nepodporuje rozvoj .sk domény a IT komunity.
Môžete si to porovnať s neďalekým Českom, kde CZ.NIC, správca domény .cz, patrí
medzi svetovú špičku a robí množstvo aktivít na rozvoj a podporu komunity.
A Slovensko nemá ani len DNSSEC...

  Bolo viacero príležitostí, kedy sa tento nelichotivý stav mohol zmeniť. No
nezmenil sa. Alebo sa zmenil k horšiemu. Spomeniem pár príležitostí, ktoré sa
udiali počas tohto roka.

  Pripravoval sa Zákon o kybernetickej bezpečnosti (ten sa síce pripravoval už
dlho, ale práve preto by bolo očakávateľné, že bude kvalitný). Namiesto kedysi
pripravovaného Zákona o informačnej bezpečnosti. Keď sa však už otvárala aj téma
kyberpriestoru a bezpečnosti, mohlo sa už niečo spraviť aj so situáciou okolo
.sk domény. Nestalo sa tak. Na prelome mája a júna bol zákon v pripomienkovom
konaní. Zákon je inak dosť zle napísaný (ale to by bolo na samostatnú tému),
dostalo sa mu obrovské množstvo pripomienok (aktuálne 706), väčšina z nich
však bola dosť mierna, ba až opatrná (pripomienkujúci na to majú určité dôvody).
Pozorný čitateľ znalý situácie však mohol mať o to väčšie prekvapenie, keď sa
zrazu medzi pripomienkami objavila aj vyše stovka pripomienok od SK-NICu.
A navyše veľmi kvalitných pripomienok, ktoré priamo ukázali na problematické
časti zákona. Pozorný čitateľ však mohol zažiť aj ďalšie prekvapenie, keď
pripomienky SK-NICu zrazu začali ubúdať, až úplne zmizli. Mohlo by to znamenať,
že v SK-NICu sú aj ľudia, ktorí to myslia so Slovenskom a kyberzáležitosťami
dobre, sú však donútení správať sa podľa pokynov zamestnávateľa/majiteľa a jeho
záujmovej skupiny. Je ale zaujímavé, že o tomto sa doteraz nikde nepísalo,
drží sa to pod pokrievkou a dúfa sa, že sa na to zabudne.

  Ďalšia príležitosť bola príprava nového dodatku k zmluve o doméne .sk, ktorý
pripravoval Pellegriniho úrad tváriac sa, že bude pri tom spolupracovať aj 
s komunitou a rôznymi iniciatívami, ktoré v súvislosti so slovenským IT vznikli.
No dopadlo to tak, že "Pellegrini tajne podpísal dodatok k zmluve so správcom
domény .sk.", pričom "Zmluva medzi štátom a správcom národnej domény .sk je
nevýhodná". Pre štát.

  A cela verejná diskusia ohľadom SK-NICu a budúcnosti .sk domény dostala ďalšiu
facku v podobe odpredaja spoločnosti SK-NIC. Jej majitelia (DanubiaTel/Swan) ju
odpredali britskej spoločnosti CentralNic za 26 miliónov. Poslednú vetu si
prečítajte ešte raz a pomaly predýchajte takmer každé jedno slovo v nej. Či už
je to Swan, britský CentralNic, 26 miliónov alebo odpredaj. Áno, Swan predáva
zahraničnej firme niečo kedysi štátne a zinkasuje za to opäť niekoľko desiatok
celoživotných príjmov bežného slovenského občana. Dobre, aby som bol férový,
tak Swan za predaj priamo zinkasuje niečo vyše 21 mil, zvyšných takmer 5 mil
CentralNic zaplatí až neskôr, pravdepodobne keď budú traktory z neba padať.

  Na tomto predaji je zaujímavých niekoľko faktov. Jednak časové následnosti
s ohľadom na Zákon o kybernetickej bezpečnosti, dodatok zmluvy o doméne .sk. Ale
aj fakt, že v týchto dňoch SK-NIC prechádza na nový technický systém, práve od
CentralNicu. Tento prechod sa pripravoval minimálne rok, no len pred pár dňami
predaj (resp. kúpu) spoločnosť CentralNic oficiálne potvrdila. S tým, že po
právnej stránke bude transakcia dokončená začiatkom septembra. Teda najprv
SK-NIC prechádza na nový systém, a až potom bude jeho predaj dokončený.
Divné, nemyslíte?

  Ďalšie zaujímavé fakty sa týkajú samotnej spoločnosti CentralNic. Ta už má pod
palcom niektoré menej významné národne domény. Konkrétne Laosu (.la) a Palau
(.pw). Prvú doménu marketingovo využíva ako doménu pre Los Angeles. Druhú ako
doménu pre Profesionálny Web. Môžeme iba hádať, ako bude využívaná slovenská
doména .sk. Možno Saskatchewan (kanadská provincia). Alebo South Korea. Alebo
Software Kit. Prípadne celkom výstižné by mohlo byť aj Script Kiddie, nech
táto kategória útočníkov má priestor, kde sa bude môcť pochváliť svojimi útokmi.
Spomínaný dodatok síce zakazuje SK-NICu propagáciu domény .sk v rozpore so
záujmami SR, ale pri vhodnom marketingu môže aj doména pre Script Kiddie
zviditeľniť SR.

  Nemenej zaujímavý je aj fakt, že o kúpu SK-NICu mal záujem aj CZ.NIC. Lenže
ponúkol iba sumu okolo 20 mil. Teda o nejaký ten milión menej, ako teraz zaplatí
CentralNic. Lenže peniaze by nemali byť jediné kritérium. Swan mohol urobiť
veľkú vec pre slovenské IT, mohol SK-NIC predať CZ.NICu. Ten je v tomto smere
svetová špička a veľmi výrazne by pomohol zlepšiť situáciu okolo .sk domény. Len
CZ.NIC asi zabudol na províziu...

  Čo bude nasledovať, ukáže čas. Zatiaľ si môžete domýšľať. Pre inšpiráciu dám
jeden scenár, ktorý by noví majitelia teoreticky mohli zneužiť. Všetky slovenske
stránky, ktoré využíva verejná správa pre elektronické služby štátu a pre
komunikáciu s občanmi, máju domény tvaru ".sk", prípadne ".gov.sk". Majitelia
môžu prostredníctvom SK-NICu urobiť zmenu v centrálnom registri. Prípadne môžu
SK-NIC prinútiť, aby si odpílil pod sebou konár a zmenil technický kontakt.
Následne môžu presmerovať ľubovoľnú .sk doménu na obsah, ktorý budú chcieť.
Potom by sa mohlo stať, že slovensko.sk by bolo nasmerované na pornostránku. Je
len otázne, či by na nej boli proslovenské alebo protislovenské prostitútky.
Alebo by mohli presmerovať nbusr.sk a nbu.gov.sk na stránku zobrazujúcu večné
memento slovenskej kyberbezpečnosti: NBUSR123. Alebo by tým iba mohli pohroziť
a prinútiť slovenskú vládu splniť ľubovoľné ich požiadavky. Technická zmena
v centrálnom registri je totiž oveľa rýchlejšia než právny spor ohľadom zmluvy.



  Táto úvaha bola dlhšia, ako som pôvodne plánoval. Ďakujem tým, ktorí sa
dočítali až sem. Miestami je viacero technických vecí veľmi zjednodušených.
Viem. To preto, aby mohli pochopiť aj bežní ľudia. Aj politici.
Takýchto úvah môže byť viac. Nielen odo mňa. Aj od ďalších, informovanejších
ľudí. Pokojne začnite písať anonymne. Ale hlavne píšte. Viem, že je vo verejnej 
správe aj v komerčných firmách mnoho ľudí, ktorí sú nespokojní s pomermi. Nielen
v IT, aj v iných oblastiach. Je načase pripraviť ľudí na pravdu a povedať im ju.
Ale tak, aby ju pochopili. 


								V. ako Vendelin

PS: všetky faktografické údaje v tejto úvahe sa dajú dohľadať na Internete,
alebo vypočítať z dohľadateľných údajov. Alebo o tom sú záznamy (pripomienky
SK-NICu k Zákonu o kybernetickej bezpečnosti).

--------------------------------------------------------------------------------
(Odkazy na online zdroje, citácie a výpočty, ktoré aspoň čiastočne podkladajú
tvrdenia v predchádzajúcej úvahe.)

[1] https://ekonomika.sme.sk/c/20624819/slovensko-sk-sa-znovu-predviedlo-dali-sa-citat-cudzie-spravy.html
[2] https://ekonomika.sme.sk/c/7021016/kalinak-elektronicke-obcianske-preukazy-zacal-aj-dokoncil.html
[3] http://www.minimalnamzda.sk/priemerna-mzda.php
	podľa [2] šlo o 33 mil Eur, podľa [3] je odhadovaná priemerná mzda na r.
2017 rovná 945 Eurám. Takže ak by niekto zarábal túto mzdu po dobu 50 rokov, za 
50 životov zarobí 28,35 mil Eur (samozrejme, v hrubom, a tento výpočet
nezohľadňuje infláciu)
[4] https://www.slov-lex.sk/legislativne-procesy/SK/LP/2017/407/pripomienky/zobraz

(pár odkazov na záležitosti okolo .sk domény a CentralNicu)
https://www.nic.cz/files/nic/IT_17/Prezentace/Platon_nasa_domena.pdf
https://www.root.cz/clanky/pribeh-domeny-sk-aneb-kradez-za-bileho-dne/
https://www.tyzden.sk/politika/41587/pellegrini-pripravil-slovensko-o-miliony-eur/
https://ekonomika.sme.sk/c/20622070/zmluva-medzi-statom-a-spravcom-narodnej-domeny-sk-je-nevyhodna.html
http://dsl.sk/article.php?article=20144
https://www.centralnic.com/portfolio/cctlds