Članek je objavljen tudi v časniku Dnevnik

Naša razkritja slabe varnosti sistema Tetra, ki ga za komuniciranje uporabljajo policija, vojaška policija, Slovenska obveščevalno-varnostna služba (Sova) in nekateri drugi državni organi, zanimajo tudi poslance. Kot je povedal Matej Tonin, član državnozborske Komisije za nadzor obveščevalnih in varnostnih služb (KNOVS), so razpravo o varnostnih ranljivostih Tetre uvrstili na naslednjo sejo komisije. Ta bo, sodeč po urniku na spletni strani državnega zbora, v četrtek.

Spomnimo, sredi marca smo razkrili , da komunikacija vojaške policije v sistemu Tetra do začetka letošnjega leta ni bila šifrirana, čeprav so bili v vojski po njihovih takratnih pojasnilih prepričani, da je. Nešifrirana komunikacija je omogočala prisluškovanje vojaškim pogovorom, kar bi lahko resno ogrozilo varnost države. Šifriranje pogovorov policije pa je bilo izvedeno tako slabo, da je neznanemu napadalcu konec lanskega leta uspelovdreti v komunikacijo policije in prisluškovati pogovorom policistov.

Če še niste prebrali našega prvega članka o ranljivostih Tetre, vam priporočamo, da za boljše razumevanje zgodbe najprej preberete tega: Vdor v komunikacijo policije razkril hude varnostne ranljivosti sistema Tetra.

Po naših razkritjih so mnoga vprašanja o Tetri ostala neodgovorjena. Te lahko od odgovornih zdaj pridobijo poslanci, člani KNOVS. Spodaj predstavljamo ključna vprašanja, ki bi morala biti odgovorjena javnosti.

1. Kako varen je sistem Tetra v tem trenutku?

Po vdoru v omrežje Tetra konec lanskega leta je policija, ki je skrbnik celotnega omrežja, varnostne ranljivosti, ki so omogočile vdor, zakrpala. A varnostnih ranljivosti v sistemu niso odkrili od vzpostavitve Tetre leta 2004 do vdorov konec leta 2014. Zato se zastavlja vprašanje, kakšne varnostne ranljivosti trenutno še ima Tetra?

Matej Kovačič, strokovnjak za informacijsko varnost na Inštitutu Jožef Stefan, je policiji ponudil brezplačno varnostno analizo Tetre, ki bi lahko odkrila te ranljivosti. A po naših informacijah dogovor med inštitutom in policijo, ki upravlja si sistemom Tetra, še ni sklenjen. KNOVS mora zato od odgovornih pridobiti odgovore, kako se bodo prepričali, da je komunikacija v Tetri zdaj varna.

2. Zakaj policija varnostnih ranljivosti ni odpravila že leta 2013, ko je bila nanje prvič opozorjena?

Študent fakultete za varnostne vede Dejan Ornig je policijo že sredi leta 2013 opozoril na varnostne ranljivosti Tetre, ki jih je konec lanskega leta za vdor v policijsko komunikacijo izkoristil neznani napadalec. A policija takrat ni ukrepala. Še več, pristojni v policiji o teh kritičnih varnostnih ranljivostih – sodeč po njunih izjavah za časnik Dnevnik– niso obvestili niti takratnega generalnega direktorja Stanislava Venigerja niti notranjega ministra Gregorja Viranta. Ta dejstva kažejo na neustrezno varnostno politiko policije in notranjega ministrstva, ki lahko prav tako ogrozijo varnost delovanja policije, Sove, vojske, in s tem tudi celotne države. KNOVS bi morala zato pridobiti odgovore, kako bodo za varnost kritičnih sistemov odgovorni skrbeli v prihodnje in kakšne sankcije bodo doletele tiste, ki kritičnih ranljivosti niso odpravili že leta 2013, ko so bili nanje opozorjeni.

3. Ali bodo na sejo KNOVS povabili Dejana Orniga?

Avtor tega članka je v sodelovanju s portalom Slo-tech leta 2012 razkril slabo zaščitenost klicev v slovenskih mobilnih omrežjih. Zaradi slabega šifriranja klicev v GSM omrežju je lahko napadalec z opremo, vredno nekaj sto evrov, prisluškoval klicem posameznikov in jim celo ukradel njihovo mobilno identiteto. Tudi ta primer je takrat obravnavala KNOVS, vendar ni na sejo povabila niti enega izmed treh strokovnjakov – Jake Hudoklina, Mateja Kovačiča in Klemna Rupnika – ki so odkrili varnostne ranljivosti v GSM omrežju. Posledica? Predstavniki mobilnih operaterjev so na seji komisiji zagotovili, da je omrežje ustrezno zaščiteno, poslanci pa so jim verjeli na besedo. Resnica je bila drugačna: na Tušmobilovem omrežju je bilo namreč še kar mogoče prisluškovanje in kraja identitete njegovih uporabnikov.

Dejan Ornig je edini, ki lahko poslancem celovito pojasni ranljivosti Tetre. Če ga komisija ne bo povabila k pričanju, se poslanci izpostavljajo morebitnim manipulacijam predstavnikov policije, vojske in tajnih služb.

4. Kaj je vedela slovenska vojska?

Strah pred omenjenimi manipulacijami, sodeč po odzivu vojske na razkritja ranljivosti v Tetri, ni neupravičen. Spomnimo, pred objavo marčevskega razkritja o ranljivostih Tetre so nam v vojski nedvoumno zagotovili, da so njihovi pogovori v Tetri šifrirani od leta 2006. Po objavi dejstva, da pogovori niso bili šifrirani, pa so obrnili ploščo. Sporočili so nam, da so se vseskozi zavedali, da pogovori vojaških policistov niso šifrirani. So javnost s svojimi odgovori zavajali prvič ali drugič? In, kdo bo za ta zavajanja odgovarjal?

5. Kako porabljamo denar za Tetro?

Predstavniki ministrstva za notranje zadeve in policije kot enega izmed ključnih problemov varnosti sistema Tetra poudarjajo pomanjkanje denarja za vzdrževanje in razširitev sistema. A dejstvo, da so v začetku letošnjega leta razkrite varnostne luknje uspeli pokrpati brez dodatnih sredstev, maje njihove argumente.

Le vzdrževanje sistema Tetra državo stane okoli 2,5 milijona evrov na leto. Precej tega denarja dobi podjetje Santera, ki je ekskluzivni dobavitelj delov za Tetrino omrežje in vzdrževalec omrežja. Podjetje je od marca 2009 do danes s temi posli zaslužilo 12 milijonov evrov. Ta znesek predstavlja praktično vse prihodke podjetja. Zato se postavlja vprašanje, kakšna poslovna in morebiti celo korupcijska tveganja predstavlja za državo poslovanje s podjetjem, ki je po eni strani ekskluzivni dobavitelj in serviser Tetre, po drugi strani pa 100-odstotno odvisen od državnih poslov s sistemom Tetra.

Da je Santera precej nenavadno podjetje za servisiranje več milijonov vrednega sistema Tetra, kaže tudi diplomsko delo enega izmed zaposlenih v podjetju, Rollanda Turšiča, z datumom september 2014. Turšič v diplomskem delu z naslovom »Prototipna rešitev za informatizacijo poslovanja v sistemu Santera d.o.o.« med drugim ugotavlja, da Santera, ki s 13 zaposlenimi vzdržuje visokotehnološki infrastrukturni sistem države in le z vzdrževanjem Tetre letno zasluži 1,5 milijona evrov, nima vzpostavljenega niti osnovnega informacijskega sistema za poslovanje. Turšič zapiše:

»V [Santeri] se vsi podatki za poslovanje še vedno obdelujejo in shranjujejo v papirni obliki. Ker se trenutni postopki opravljajo ročno, se pojavljajo naslednje težave:

–          Ni trenutne evidence rezervnih delov [za sistem Tetra] v skladišču

–          Ni evidence napak in opravljenih popravil komponent

–          Ni evidenc napak in opravljenih posegov na posamezni lokaciji

–          Slab pregled nad delovnimi nalogi.«

Kakšne so posledice tega, da podjetje z milijonskimi prihodki ne vloži nekaj tisoč evrov v razvoj relativno preprostega informacijskega sistema za poslovanje? Zalog rezervnih komponent za Tetro v skladišču ne morejo preverjati elektronsko, temveč le z inventurnim pregledom. Zato v posameznih primerih potrebnih rezervnih delov podjetje v preteklosti ni imelo v skladišču. »Ugotavljanje, kje se posamezna komponenta trenutno nahaja, zahteva iskanje po mapah na strežniku ali pa po dokumentih v arhivu. Oboje zahteva veliko časa, prav tako pa obstaja možnost napak, saj obdobje, ki ga je treba pregledati, lahko obsega tudi več mesecev,« ugotavlja Turšič.

O težavah z iskanjem komponent smo povprašali tudi Santero in ministrstvo za notranje zadeve. »Podatki, ki jih navajate, nimajo niti vsebinske niti posredne povezave z našimi poslovnimi partnerji, zato jih, kot podjetje v zasebni lasti, ne komentiramo,« se je glasil odgovor Dušana Merklina, tehničnega direktorja Tetre.

»Ministrstvo za notranje zadeve kot naročnik ni nikoli od pogodbenega partnerja za vzdrževanje radijskega sistema TETRA zahtevalo vzpostavitve svojega informacijskega sistema za servisiranje oz. vodenje skladišča. Za Ministrstvo za notranje zadeve je bilo pomembnejše izpolnjevanje zahtev o kakovosti storitev – SLA (Service Level Agreement), ki so del pogodbe in jih je pogodbeni partner do sedaj izpolnjeval,« pa se je glasil odgovor ministrstva.