Riešenie pre bezpečnú hlasovú a dátovú komunikáciu predstaviteľov štátu máme priamo doma

Používanie bezpečnej mobilnej komunikácie je dnes nevyhnutná požiadavka a mala by byť samozrejmosťou nielen pre manažérov firiem na zachovanie priemyselného, či obchodného tajomstva, ale hlavne pre vysokých predstaviteľov štátnej a verejnej správy. Realita, zvlášť na Slovensku, je však často odlišná. O tom, v čom spočívajú hrozby a čo v tomto smere môže Slovensko zlepšiť nielen vo verejnej správe, sme sa zhovárali s Tomášom Kuchárikom, expertom na kybernetickú bezpečnosť a zároveň CEO slovenskej firmy Ardaco, ktorá sa zaoberá riešeniami pre bezpečnú komunikáciu.

Na bezpečnosť pri masových produktoch treba zabudnúť

Kybernetické hrozby sa neustále stupňujú, posledný rok aj v súvislosti s vojnou na Ukrajine. Všade vo svete sa na štátnej úrovni hovorí o ochrane dôležitej infraštruktúry, vrátane informačných systémov. Aj na Slovensku sa vynakladajú sa veľké prostriedky na rôzne technické a organizačné zabezpečenie IT. Avšak trochu v pozadí tohto úsilia zostávajú riešenia na bezpečnú komunikáciu najvyšších predstaviteľov štátnej a verejnej správy vrátane príslušníkov silových zložiek. “Podľa môjho názoru táto komunikácia v súčasnosti na Slovensku nie je adekvátne zabezpečená. Využívajú sa verejne dostupné aplikácie typu Signal, ktoré síce ich prevádzkovatelia vyhlasujú za bezpečné, avšak nedávne incidenty napríklad prostredníctvom spyware Pegasus ukázali, že predstava o ich bezpečnosti je viac menej ilúziou,” komentuje Tomáš Kucharik, expert na bezpečnosť mobilnej komunikácie.

Podľa neho predstavuje hlavný problém fakt, že pri komunikácii prostredníctvom takýchto verejne dostupných platforiem nemajú príslušné inštitúcie prakticky žiadnu kontrolu nad tokom dát. “Nikto nevie, cez aké servery sa údaje preposielajú, v ktorých krajinách sú tieto servery fyzicky umiestnené a kto k nim môže mať prístup. V prípade úniku informácií by mohlo dôjsť k ohrozeniu našej bezpečnosti alebo poškodeniu záujmov našich partnerov,” približuje Tomáš Kucharik.

To, že aplikácie verejne dostupných komunikačných platforiem sú zdarma, znamená, že väčšina ich prevádzkovateľov sa snaží profitovať iným spôsobom. Analyzujú obsah komunikácie a takto získané informácie využívajú na cielenie reklám, prípadne ich poskytujú, či predávajú tretím stranám, napríklad inzertným platformám. Analytické metódy s využitím AI sa neustále zdokonaľujú, takže nebude problém spojiť viac zdanlivo nesúvisiacich informácií a získať z nich informácie, ktoré by rozhodne mali podliehať utajeniu.     

Riešenie umožňujúce bezpečnú komunikáciu pre vrcholných predstaviteľov štátnej, či verejnej správy a silových zložiek by malo byť preverené a certifikované Národným bezpečnostným úradom. “Dodávateľ riešenia, vrátane jeho zamestnancov, musí mať príslušné bezpečnostné previerky od NBÚ. Nemalo by to byť novovytvorené riešenie, ale malo by byť už niekde dostatočne dlho nasadené, aby bola jeho bezpečnosť a spoľahlivosť overená,” hovorí Kucharik.

Zabezpečená platforma je jedna vec, či sa aj používa, je vec druhá. S tým súvisí aj otázka používateľskej prívetivosti. “V minulosti bola snaha o nasadenie niekoľkých takýchto riešení, avšak používatelia ich odmietli používať, pretože boli príliš zložité. Inak povedané, bezpečné komunikačné riešenie by malo byť z používateľského pohľadu rovnako prívetivé a jednoducho použiteľné ako platformy typu WhatsApp, či Signal, ktoré ľudia dokážu začať okamžite používať bez nutnosti akéhokoľvek zaškolenia,” približuje Tomáš Kucharik. Ak používateľ musí prácne zadávať dlhé heslo, alebo sa v telefóne musí zložito prepínať do rôznych zabezpečených režimov, logicky začne mať tendenciu bezpečné, ale komplikované riešenie obchádzať a namiesto neho použiť používateľsky prívetivejšiu platformu.

Ide aj o jednoduchosť používania

Podľa Kucharika v minulosti bola snaha používať rôzne špeciálne hardvérové zariadenia, či už samostatné, alebo ako doplnky ku smartfónu, avšak neosvedčilo sa to. “Prax bola taká, že špecializovaný hardvér bol odložený v šuplíku a komunikovalo sa pomocou smartfónov a verejne dostupných platforiem. Na bežnú komunikáciu, ktorá však z povahy výkonu funkcie vrcholných predstaviteľov s vysokou pravdepodobnosťou bude obsahovať citlivé a dôverné informácie, je z používateľského hľadiska ideálnym riešením smartfón, takže bezpečná komunikačná platforma pre by mala byť implementovaná  bez nutnosti prídavného hardvéru. Inak povedané, vysokí štátni predstavitelia, podobne ako top manažéri vo firmách, budú mať tendenciu využívať na komunikáciu svoj smartfón. A práve to je hlavný dôvod, prečo potrebujú bezpečnú certifikovanú komunikačnú platformu.”

Pred niekoľkými rokmi na zachytenie GSM hovorov alebo SMS bolo potrebné špeciálne vybavenie za niekoľko stoviek tisíc dolárov. V súčasnosti sa cena napadnutia jedného mobilného telefónu dá vyčísliť na niekoľko stoviek dolárov, v prípade sofistikovaných útokov je cenovka približne na úrovni 20-tisíc dolárov.

Hrozí kauza Pegasus aj Slovensku?

V poslednom čase sa v niekoľkých medializovaných zahraničných kauzách spomína spyware Pegasus, najčastejšie v súvislosti, že bol zneužívaný na nelegálne aktivity. Oveľa nebezpečnejšie sú však prípady, keď sa takéto útočné systémy objavili napr. na dark webe, kde ich nelegálne kópie si bolo možné zakúpiť. Po nainštalovaní môže Pegasus teoreticky zbierať údaje zo zariadenia, ako sú protokoly hovorov, SMS, e-maily, fotografie, údaje o polohe a kompletné GPS záznamy, chatové správy z populárnych aplikácií a prenášať ich naspäť k útočníkovi.

Aj v tomto prípade má zmysel práve certifikované riešenie. “Na ochranu pred sofistikovanými hrozbami, v prvom rade musia byť prijaté bezpečnostné opatrenia, ktoré dokážu útoky špionážnych softvérov ako je napr. Pegasus minimalizovať a musí byť nasadený certifikovaný komunikačný systém. Aplikácie typu WhatsApp sú absolútne neprípustné, nakoľko existujú prípady, keď Pegasus využíval práve zraniteľnosti v takýchto aplikáciách,” podotkol Kucharik.

V mnohých krajinách si uvedomujú zraniteľnosti mobilných telefónov a mobilnej komunikácie a pre štátnych zamestnancov vydávajú odporúčania a smernice, ako používať mobilné telefóny, na čo si dávať pozor, v mnohých prípadoch existujú zákazy na konkrétne aplikácie. Rovnako majú striktne definované, aké komunikačné prostriedky musia používať najvyšší ústavní činitelia.

Domáce riešenie schválené NATO

Komunikačnú platformu Silentel, ktorá všetky vyššie uvedené požiadavky spĺňa, vyvinula slovenská firma Ardaco. Silentel ako prvá komunikačná platforma na Slovensku získala certifikát od NBÚ. Zároveň je certifikovaná vo viacerých krajinách EÚ a bola vôbec prvou komunikačnou platformou, ktorá má aj certifikát od NATO, ktorý je zárukou, že toto riešenie je skutočne bezpečné. Jeho architektúra riešenia je jednoduchá a transparentná. Na strane používateľa je klientska aplikácia, ktorá je k dispozícii pre mobilné platformy Android aj iOS. Backend, čiže serverové riešenie môže byť komplet nainštalované u klienta, takže klient, v tomto prípade vláda, ministerstvo, alebo iná štátna inštitúcia má nad ním úplnú kontrolu. Údaje používané systémom sú uložené v zašifrovanej podobe a ani fyzicky sa nikam mimo servery používateľa nemôžu dostať. Klientská aplikácia funguje tak, že po odhlásení sa všetky údaje týkajúce sa komunikácie zo smartfónu vymažú, vrátane kontaktov, histórie komunikácie a podobne. Ak používateľ zistí stratu, alebo krádež mobilného zariadenia, môže vymazanie údajov inicializovať na diaľku cez operátora. 

“Je trochu paradoxné, že takmer vo všetkých krajinách sú pre ochranu národných informácií a záujmov preferovaní domáci výrobcovia. Silentel je asi jediné certifikované riešenie na svete, ktoré má viac užívateľov mimo svoju „domovskú krajinu“. V niektorých krajinách je Silentel využívaný na vládnej úrovni - využívajú ho všetky ministerstvá, úrad vlády či tajné služby,” upozorňuje Kucharik.

Silentel je dostatočne navyše odolný aj proti útokom typu „Pegasus“, ktoré nie je možné jednoducho detegovať, nakoľko využívajú neodhalené zraniteľnosti v systémoch (Android aj iOS). “Nikto nevie dopredu povedať, akým spôsobom bude útok vedený. Na základe systémových logov a sledovania podozrivých udalostí v telefóne  - ako napríklad rýchlejšie vybíjanie baterky, nedostupné aktualizácie, neobvyklé pády jednotlivých systémových procesov, a podobne - je však možné s vysokou presnosťou určiť a následne vyhodnotiť potenciálny útok. Takúto kontrolu dokážu robiť špecialisti s manuálnym prístupom, vyhodnotenie trvá niekoľko dní aj týždňov. Najlepšia je však prevencia, a práve túto úlohu dokážu splniť overené a certifikované systémy, vrátane toho nášho,” uzatvára Kucharik.

Image by macrovector on Freepik