Članek je objavljen tudi v časniku Dnevnik

Informacijska varnostna politika policije in informacijska varnostna politika sistema Tetra nista bili spremenjeni že od leta 2010 in sta zato zastareli. Odgovorni za informacijsko varnost v policiji niso izvajali nikakršnih aktivnosti za dopolnitev varnostnih politik na podlagi komunikacij z ostalimi enotami v policiji. Odgovorni ob odkritjih varnostnih ranljivosti v Tetri obenem niso obveščali ostalih sektorjev policije, ki bi lahko te ranljivosti upoštevali pri svojem operativnem delovanju. Policija o varnostnih ranljivostih prav tako ne obvešča ostalih državnih organov, ki poleg nje uporabljajo Tetro; od njih pa kot upravljavec sistema Tetra tudi ne zahteva, da jim poročajo o ranljivostih Tetre, ki bi jih sami odkrili pri svojem delu s sistemom. Policija je izgubila že 13 radijskih postaj sistema Tetra, na seznamu policijskega intraneta pa jih je vpisanih le osem.

To so povzetki ugotovitev internega nadzora v policiji, ki ga je po razkritjih medija podcrto.si o varnostnih ranljivostih Tetre v začetku maja odredil generalni direktor policije Marjan Fank. Večina poročila o internem nadzoru, ki smo ga pridobili z zahtevo po dostopu do informacije javnega značaja, je sicer zakrita. Po trditvah policije bi razkritje podrobnejših informacij o nadzoru škodilo delu policije.

Spomnimo, marca letos smo na podcrto.si razkrili ugotovitve študenta Dejana Orniga o ranljivostih Tetre. Ornig je z analizo ugotovil, da komunikacija vojaške policije v sistemu Tetra do začetka letošnjega leta ni bila šifrirana, čeprav so bili v vojski po njihovih pojasnilih prepričani, da komunikacija je šifrirana. Nešifrirana komunikacija je omogočala prisluškovanje vojaškim pogovorom, kar bi lahko resno ogrozilo varnost države. Šifriranje pogovorov policije pa je bilo izvedeno tako slabo, da je neznanemu napadalcu konec lanskega leta uspelo vdreti v komunikacijo policije in prisluškovati pogovorom policistov.

Ornig je policijo na svoje ugotovitve opozoril že septembra 2013. A odgovorni  v Uradu za informatiko in telekomunikacije (UIT) v policiji, ki skrbi za celoten sistem Tetra, takrat Tetre niso ustrezno zaščitili.

Zaposleni pri UIT, ki ga vodi Andrej Bračko, so sicer še sredi aprila letos v sporočilu za javnost zatrjevali, da so za Dejana Orniga prvič slišali šele februarja letos in da ranljivosti sistema Tetra niso bile tako hude. A pri podcrto.si smo z objavo elektronskega sporočila Orniga policistu Mihi Rističu dokazali, da je Ornig policijo o svojih ugotovitvah o ranljivostih Tetre redno obveščal.

Poročilo o upravnem nadzoru odgovornim v UIT med drugim nalaga, da pripravijo načrt za odpravo pomanjkljivosti, ugotovljenih v nadzoru. Vodstvo UIT mora tudi ustrezno dopolniti informacijske varnostne politike policije tako, da »bo v prihodnje zagotovljeno sistemsko spremljanje in ukrepanje ob informacijskih varnostnih dogodkih«.

Izboljšati se mora tudi komunikacija o varnostnih incidentih v Tetri znotraj policije ter med policijo in ostalimi uporabniki Tetre. UIT mora izdelati tudi »postopkovnik, ki bo opredelil vloge in naloge vseh pristojnih služb policije za primere iskanja izgubljenih radijskih postaj in vdorov v sistemu Tetra«. Morda najpomembnejši ukrep, ki ga nalaga poročilo, pa je izdelava analize tveganj poslušanja in vdorov v Tetro.

Spomnimo, pri izdelavi analize tveganja sta svojo pomoč ponudila tako Dejan Ornig kot tudi Matej Kovačič, strokovnjak za informacijsko varnost na inštitutu Jožef Stefan, s katerim je Ornig delil svoje ugotovitve o ranljivostih Tetre. Kot nam je povedal Kovačič, se s policijo za izvedbo take analize (še) niso dogovorili.

Orniga sicer zaradi domnevnega vdora v Tetro policija kazensko preganja. Interni nadzor je glede kazenskega pregona ugotovil, da se ta izvaja »korektno in v skladu z metodiko in taktiko preiskovanja tovrstnih kaznivih dejanj«. Podrobnosti ugotovitev poročila glede kazenskega pregona nam s policije niso posredovali z obrazložitvijo, da bi to lahko otežilo delo policije pri preiskovanju dejanja.