Kot je napovedal Matej Tonin, član komisije državnega zbora za nadzor obveščevalnih in varnostnih služb, so razpravo o varnostnih ranljivostih sistema Tetra uvrstili na sejo komisije ta četrtek.
Sredi marca smo v Objektivu razkrili, da komunikacija vojaške policije v sistemu Tetra do začetka letošnjega leta ni bila šifrirana, čeprav so bili v vojski po njihovih takratnih pojasnilih prepričani, da je. Nešifrirana komunikacija je omogočala prisluškovanje vojaškim pogovorom, kar bi lahko resno ogrozilo varnost države. Šifriranje pogovorov policije pa je bilo izvedeno tako slabo, da je neznanemu napadalcu konec lanskega leta uspelo vdreti v komunikacijo policije in prisluškovati pogovorom policistov.
Tudi po naših razkritjih so mnoga vprašanja o Tetri ostala neodgovorjena. Odgovore lahko od odgovornih zdaj pridobijo poslanci, člani pristojne parlamentarne komisije. Predstavljamo pet ključnih vprašanj, na katera bi javnost morala dobiti odgovore.
Kako varen je sistem Tetra v tem trenutku?
Po vdoru v del omrežja, ki ga uporablja policija – sicer skrbnica celotnega omrežja –, je ta sicer zakrpala varnostne ranljivosti, ki so omogočile vdor. A varnostnih ranljivosti v sistemu niso odkrili od vzpostavitve Tetre leta 2004 do vdorov konec leta 2014. Zato se zastavlja vprašanje, kakšne varnostne ranljivosti trenutno še ima Tetra. Matej Kovačič, strokovnjak za informacijsko varnost na Inštitutu Jožefa Stefana, je policiji ponudil brezplačno varnostno analizo, ki bi lahko odkrila te ranljivosti. A po naših informacijah dogovor med inštitutom in policijo še ni sklenjen. Parlamentarna komisija mora zato od odgovornih pridobiti odgovore, kako se bodo prepričali, da je komunikacija v Tetri zdaj varna.
Zakaj policija varnostnih ranljivosti ni odpravila že leta 2013, ko je bila nanje prvič opozorjena?
Študent fakultete za varnostne vede Dejan Ornig je policijo že sredi leta 2013 opozoril na varnostne ranljivosti Tetre, ki jih je konec lanskega leta za vdor v policijsko komunikacijo izkoristil neznani napadalec. A policija takrat ni ukrepala. Še več, pristojni v policiji o teh kritičnih varnostnih ranljivostih niso obvestili niti takratnega generalnega direktorja Stanislava Venigerja niti notranjega ministra Gregorja Viranta, sodeč po njunih izjavah za Dnevnik. To kaže na neustrezno varnostno politiko policije in notranjega ministrstva, ki lahko ogrozi varnost delovanja policije, Sove, vojske, s tem pa tudi celotne države. Komisija bi zato morala pridobiti odgovore, kako bodo za varnost kritičnih sistemov odgovorni skrbeli v prihodnje in kakšne sankcije bodo doletele tiste, ki kritičnih ranljivosti niso odpravili že leta 2013, ko so bili nanje opozorjeni.
Ali bodo na sejo komisije za nadzor obveščevalnih služb povabili Dejana Orniga?
Avtor tega članka je v sodelovanju s portalom Slo-tech leta 2012 razkril slabo zaščitenost klicev v slovenskih mobilnih omrežjih. Zaradi slabega šifriranja klicev v GSM-omrežju je lahko napadalec z opremo, vredno nekaj sto evrov, prisluškoval klicem posameznikov in jim celo ukradel njihovo mobilno identiteto. Tudi ta primer je takrat obravnavala parlamentarna komisija za nadzor obveščevalnih služb, vendar ni na sejo povabila niti enega izmed treh strokovnjakov – Jake Hudoklina, Mateja Kovačiča in Klemna Rupnika –, ki so odkrili varnostne ranljivosti v GSM-omrežju. Posledica? Predstavniki mobilnih operaterjev so na seji komisiji zagotovili, da je omrežje ustrezno zaščiteno, poslanci pa so jim verjeli na besedo. Resnica je bila drugačna: Tušmobilovo omrežje je še kar omogočalo prisluškovanje in krajo identitete uporabnikov. Ornig je edini, ki lahko poslancem celovito pojasni ranljivosti Tetre. Če ga komisija ne bo povabila k pričanju, se poslanci izpostavljajo morebitnim manipulacijam predstavnikov policije, vojske in tajnih služb.
Kaj je vedela Slovenska vojska?
Strah pred manipulacijami, sodeč po odzivu vojske na razkritja ranljivosti v Tetri, ni neupravičen. Pred objavo marčevskega razkritja o ranljivostih Tetre so nam namreč v vojski nedvoumno zagotovili, da so njihovi pogovori v Tetri šifrirani od leta 2006. Po objavi dejstva, da pogovori niso bili šifrirani, pa so obrnili ploščo. Sporočili so nam, da so se ves čas zavedali, da pogovori vojaških policistov niso bili šifrirani. So javnost s svojimi odgovori zavajali prvič ali drugič? In kdo bo za to zavajanje odgovarjal?
Kako porabljamo denar za Tetro?
Predstavniki ministrstva za notranje zadeve in policije kot enega izmed ključnih problemov varnosti Tetre poudarjajo pomanjkanje denarja za vzdrževanje in razširitev sistema. A dejstvo, da jim je v začetku letošnjega leta razkrite varnostne luknje uspelo pokrpati brez dodatnih sredstev, maje njihove argumente. Le vzdrževanje sistema državo stane okoli 2,5 milijona evrov na leto. Precej tega denarja dobi podjetje Santera, ekskluzivni dobavitelj delov za Tetrino omrežje in vzdrževalec omrežja. Podjetje je od marca 2009 do danes s temi posli zaslužilo 12 milijonov evrov. Ta znesek predstavlja praktično vse prihodke podjetja. Zato se postavlja vprašanje, kakšna poslovna in morebiti celo korupcijska tveganja predstavlja za državo poslovanje s podjetjem, ki je po eni strani ekskluzivni dobavitelj in serviser Tetre, po drugi strani pa 100-odstotno odvisen od državnih poslov s sistemom Tetra.
