Slovensko.Digital vyzýva kompetentné orgány, aby poskytli občanom pravdivé a detailné informácie o aktuálnej mimoriadne vážnej situácii súvisiacej s bezpečnostným incidentom na Úrad geodézie, kartografie a katastra Slovenskej republiky (ďalej iba ÚGKK). Nedostatočná a útržkovitá komunikácia zo strany štátu len prehlbuje nedôveru verejnosti a zvyšujú neistotu, najmä pokiaľ ide o citlivé údaje o majetku občanov.

Zlyhanie vidíme najmä v dvoch úrovniach: 

• Technická rovina 

“Z dostupných verejných informácií nie je zrejmé, o aký presne bezpečnostný incident sa jedná. Na základe zverejnených informácií sa domnievame, že ide o tzv. ransomware útok, ktorého následkom je zašifrovanie súborov a strata prístupu k informáciám. Takéto útoky sú časté a úplne vyhnúť sa im nedá. Každý orgán verejnej moci je povinný pravidelne vykonávať zálohovanie aj pre takéto situácie. Fakt, že ešte nedošlo k obnove dát a prevádzky, naznačuje, že zálohy sa nevykonávali, alebo sa vykonávali s nedostatočnou pravidelnosťou a nebola testovaná obnova zo záloh,” konštatuje Ladislav Kovár zo Slovensko.Digital.

2. Komunikačná rovina

ÚGKK pri komunikácii s občanmi úplne zlyháva. Rovnako ani Ministerstvo investícií, regionálneho rozvoja a informatizácie Slovenskej republiky o situácii neinformuje. 

Niekoľko dní po zverejnení informácií o incidente, nie sú zverejnené a komunikované základné informácie:

• Aký je rozsah zasiahnutých dát a služieb?
  • Čo funguje a čo nefunguje? Kde sa občan dozvie túto informáciu? Aké sú potenciálne dopady? 
  • Boli napadnuté údaje o vkladoch alebo bol napadnutý aj katastrálny operát (resp. údaje o vlastníckych právach)?
• Kto je hlavným zodpovedným za odstránenie aktuálneho stavu a nápravu vzniknutej situácie?
  • Úrad geodézie, kartografie a katastra Slovenskej republiky?
  • Národný bezpečnostný úrad?
    • Národná jednotka CSIRT
  • Ministerstvo investícií, regionálneho rozvoja a informatizácie Slovenskej republiky?
    • Vládna jednotka CSIRT
• Ako často sa vykonávali plné zálohy?
  •  Ku ktorému dňu vie ÚGKK obnoviť dáta?
• Kto vykonáva obnovu dát? 
  • Kto mal na starosti zálohovanie (ÚGKK interne alebo nejaký komerčný dodávateľ)?
• Aké sú lehoty na vykonanie obnovy a aké sú sankcie za ich nedodržanie?
• Aký bude ďalší postup pre občanov, ktorí boli incidentom dotknutí?

Slovensko.Digital žiada, aby kompetetné orgány zmenili prístup a začali verejnosť otvorene informovať o tejto mimoriadne vážnej situácii. Občania majú právo vedieť, aké kroky sa podnikajú na ochranu ich údajov o vlastníckych právach k nehnuteľnostiam.

“Zároveň chceme vyzvať všetky úrady, aby preverili zálohovanie vo svojich systémoch a bezpečnostné projekty, nakoľko každý informačný systém verejnej správy musí mať: 

• vypracovaný bezpečnostný projekt, v ktorom je vopred definované ako sú zálohované dáta a ako bude prevádzkovateľ postupovať v prípade mimoriadnej situácie pri obnovovaní informačného systému a obnove dát
• podpísanú zmluvu SLA na podporu prevádzky, v ktorej sú stanovené lehoty na odstránenie závad, ktoré znefunkčnili informačný systém,” dodáva Ladislav Kovár.

Hľadanie vinníkov v tejto chvíli nie je priorita, ale po tom, ako sa podarí situáciu stabilizovať, očakávame, že kompetentné a dotknuté úrady pristúpia k tejto udalosti mimoriadne zodpovedne a budú transparentne a detailne informovať o tom, čo sa stalo a aké nápravné opatrenia vykonali a vykonajú. Takýto postup je bežný v komerčnom sektore pri veľkých výpadkoch. Zároveň očakávame aj vyvodenie zodpovednosti za zistené pochybenia.