AKTUÁLNE: NCZI namiesto poďakovania hekerom, ktorí objavili chybu v systéme, podáva trestné oznámenie

NCZI robí presný opak toho, čo by malo. Na zodpovedného človeka podáva trestné oznámenie.

Národné centrum zdravotníckych informácií (NCZI) podalo v súvislosti s únikom dát trestné oznámenie na neznámeho páchateľa. V utorok to na tlačovej konferencii uviedol generálny riaditeľ NCZI Pavol Capek. Myslí si, že útoky mali súvis s výberovým konaním na post šéfa tejto inštitúcie.

Slovenská bezpečnostná IT spoločnosť Nethemba tvrdí, že NCZI nebolo opäť schopné ochrániť osobné dáta miliónov ľudí. Poukázala na to, ako je možné získať európske vakcinačné preukazy všetkých zaočkovaných občanov. NCZI odmietlo, že by nedokázalo dáta ochrániť.

Robia to vraj kvôli sláve

Šéf NCZI hovorí, že IT firma vo svojich výrokoch zavádza. “Vyháňajú čísla a strach do výšky, len aby sa spopularizovala firma Nethemba, ktorá cieleným útokom prostredníctvom možno sprostredkovaných informácií zvnútra štátu dokázala urobiť takúto akciu. Je možné, že scenár, ktorí použili, im bol podhodený a práve v súvislosti s výberom generálneho riaditeľa použitý,” dodal.

Na otázku TASR, či NCZI vie garantovať ochranu dát občanov, Capek uviedol, že robia všetko preto, aby sa tak dialo. Tiež povedal, že mal záujem prihlásiť sa do výberového konania na post šéfa NCZI, ktoré vyhlásilo Ministerstvo zdravotníctva (MZ) SR.

Nethemba spravila dobrú vec. Nájdené chyby v štátnom systéme zodpovedne nahlásila, aby ich štát mohol opraviť. Teraz čelí trestnému oznámeniu.

Capek tiež tvrdil, že ho spoločnosť Nethemba neupozornila na chybu. Podľa jeho slov spoločnosť NCZI upozornila, že zneužil funkciu tým, že od niekoho odcudzil prihlasovacie údaje.

Úrad na ochranu osobných údajov Slovenskej republiky v reakcii pre TASR uviedol, že disponuje mediálnou informáciou o uniknutých dátach NCZI a odhalení zraniteľnosti systému eHranice. “Úrad sa spracovaním osobných údajov v kontexte prijatých informácií zaoberá a podniká ďalšie kroky vyplývajúce z jeho kompetencie,” dodal.

Pavol Lupták je tzv. white hat heker. Zodpovedný heker, ktorý pred zverejnením zraniteľnosti najskôr upovedomí dotknutú firmu či inštitúciu.

Namiesto pochvaly trestné oznámenie

IT spoločnosť Nethemba potvrdila, že je pripravená čeliť obvineniu. Etický heker Pavol Lupták pre TASR zdôraznil, že NCZI dopredu informovali, preto mala štátna inštitúcia čas si chybu opraviť a predísť masívnemu úniku informácií. “Namiesto toho, aby nám verejne poďakovali, tak sa nám vyhrážajú trestným konaním,” povedal.

Poukázal tiež na to, že “triviálnu zraniteľnosť” môže nájsť a zneužiť akýkoľvek IT zdatný človek. “Zlí hekeri” by podľa jeho slov neriešili porušenie zákona a NCZI by ani neinformovali.

Podotkol, že žiadne rodné čísla neodcudzili, ale si ich vygenerovali a cez verejne dostupný štátny portál overili, ktoré z nich sú platné. “Podobne v prípade eHranica sme použili bežnú funkcionalitu aplikácie (z prehliadača), ktorú mohol využiť úplne ktokoľvek. Žiadne cielené hekovanie a hlbšiu analýzu sme nerobili,” zdôraznil.

Myslí si tiež, že takýmto krokom zo strany NCZI stratia spoločnosti akýkoľvek zmysel reportovať prípadné chyby. Trestné oznámenie označil za “morálne dno NCZI”.