Tretjega marca letos je Finančna uprava (FURS) na spletni strani eDavki izdala opozorilo, da uporabniki brskalnika Firefox v informacijskih sistemih Linux in Mac od naslednje posodobitve dalje ne bodo mogli več uporabljati eDavkov.

Razlog za to so bile spremembe v brskalniku, ki so onemogočile delovanje tako imenovane podpisne komponente sistema eDavki. Podpisna komponenta je programska koda, ki uporabniku eDavkov omogoča, da s svojim unikatnim ključem (na primer Sigenco) elektronsko podpiše nek dokument. Tako program ve, da je avtor dokumenta prav ta uporabnik in ne nekdo drug.

FURS je strankam, ki v operacijskih sistemih Mac in Linux za dostop do eDavkov uporabljajo brskalnik Firefox, svetoval, naj preprečijo posodabljanje brskalnika. Z drugimi besedami: FURS je strankam svetoval, naj se izpostavijo varnostnim ranljivostim.

»Pravočasno posodabljanje programske opreme je eden od osnovnih mehanizmov zagotavljanja varnosti pri uporabi interneta. Brskalnik s svojimi vtičniki je pogosto prva tarča različnih izrab ranljivosti ob brskanju (za kar obstajajo na črnem trgu prave orodjarne – exploit toolkits). Ob izklopu posodabljanja se namreč s časom neizogibno povečuje tudi tveganje uporabnika,« je za podcrto.si poudaril Gorazd Božič, vodja nacionalnega odzivnega centra za obravnavo incidentov s področja varnosti elektronskih omrežij in informacij (SI-CERT). Neposodabljanje brskalnika je možen le kot skrajni in začasni ukrep, dodaja Božič, »ob čemer pa bi bilo smiselno uporabiti neposodobljeno kopijo brskalnika le za uporabo na eDavkih (s tem se bistveno zmanjša, a teoretično ne nujno tudi povsem odpravi tveganje), posodobljen brskalnik pa uporabljati za splošno brskanje«.

Za komponente več kot 100.000 evrov

Zakaj so na FURS strankam dali nasvet, naj se z neposodabljanjem brskalnika izpostavijo varnostnim ranljivostim?

Mozilla je že leta 2015 napovedala spremembe v brskalniku Firefox, ki so začele veljati marca letos in nekaterim strankam FURS onemogočile uporabo eDavkov. Kot so nam sporočili s FURS, se zavedajo varnostnih tveganj neposodobljenega brskalnika. Leta 2015 so že primerno priredili podpisno komponento za uporabnike Firefoxa v operacijskem sistemu Windows.

Niso pa priredili podpisne komponente za uporabnike sistemov Linux in Mac. Zakaj ne, niso odgovorili. Povedali pa so, da je »razvoj podpisne komponente za brskalnike na OS Linux in Mac v polnem teku, seveda pa moramo pri tem upoštevati tudi čas, ki je potreben za testiranja na zadnjih verzijah in različicah brskalnikov, s čimer se izognemo nejevolji uporabnikov in večkratnemu nameščanju opreme zaradi nekompatibilne programske opreme«.

Na FURS še zagotavljajo, da bodo podpisno komponento priredili do konca letošnjega aprila ali začetka maja.

Nadgradnje podpisnih komponent za sistem eDavki za FURS opravlja podjetje Comtrade. Med letoma 2014 in 2016 je FURS Comtradu za nadgradnje plačal skupno 127.086 evrov. Za priredbo komponente brskalnika Firefox v operacijskih sistemih Linux in Mac bo FURS podjetju letos plačal še 20.000 evrov.

Ranljivi tudi eDavki

Težava FURS pa niso le podpisne komponente. Kot smo opozorili že aprila 2014, je (pre)slabo varnostno zaščiten tudi sam portal eDavki.

Na testu varnosti na spletni strani SSL Labs je portal takrat dobil najslabšo oceno F. Nekaj mesecev pozneje so na FURS varnost eDavkov le nekoliko popravili – portal je dobil oceno B.

Toda, kot kaže naše zadnje preverjanje varnosti, je varnost eDavkov spet nazadovala. Na testu ta mesec so eDavki dobili oceno C. Portal namreč ne podpira uporabe edinega varnega protokola za prenos šifriranih podatkov po spletu, imenovanega TLS 1.2.

Zakaj je varnost portala eDavki spet nazadovala? FURS ima razvito novo verzijo eDavkov, ki ima najboljšo možno oceno A+, so nam odgovorili s finančne uprave. Vendar te verzije ne morejo dati v uporabo javnosti. Kot gre sklepati z odgovora FURS, je razlog v tem, da eDavke uporabljajo tudi nekatere druge državne institucije. V primeru dviga varnosti portala pa te institucije portala ne bi mogle več uporabljati, saj »še nimajo tehnoloških zmožnosti komunikacije z eDavki [z najboljšo verzijo protokola za prenos šifriranih podatkov po spletu TLS 1.2]«.

Ta odgovor FURS je skrb vzbujajoč. Kaže namreč, da tudi druge institucije državne uprave uporabljajo varnostno zastarelo tehnologijo. Da informacijska varnost javne uprave »drvi proti katastrofi« je sicer že aprila 2014 opozoril strokovnjak z direktorata za informatiko in e-storitve notranjega ministrstva Damjan Marinšek.