Preiskava 25-letnega študenta Dejana Orniga, ki je odkril nepravilnosti v delovanju komunikacijskega sistema Tetra in o njih tudi obveščal policijo, je v javnosti naletela na izrazito negativen odziv. »Zaposlite ga, namesto da ga preganjate,« je bil pogost komentar na družbenih omrežjih. Nekateri so spomnili celo na pokojnega hekerja R. Š., ki je konec leta 2002 NLB opozoril na ranljivosti storitve Klik in jim predlagal, da odkupijo njegove rešitve, vodstvo NLB pa ga je policiji prijavilo zaradi izsiljevanja. Ta zgodba sicer ni doživela epiloga, saj je tedaj 28-letni Gorenjec avgusta 2003 storil samomor.
Včeraj so nam s policije sporočili, da je generalni direktor Marjan Fank že odredil notranji nadzor v zadevi Tetra. »Namen tega je predvsem preveriti, kdaj so bile strokovne službe obveščene o možnosti vdora ali pomanjkljivosti sistema Tetra, kot tudi, ali so v tej zvezi postopale skladno s sprejeto informacijskovarnostno politiko. Obenem bo predmet nadzora tudi predkazenski postopek, ki poteka v tej povezavi,« nam je povedal Drago Menegalija z generalne policijske uprave.
Zgodba o preiskavi mladega strokovnjaka ima sicer vsaj dve plati. Ornig je po hišni preiskavi prejšnji teden zatrdil, da nikakor ni bil vpleten v aktivni napad na omrežje Tetra decembra lani, je pa marca letos za portal Podcrto.si in Dnevnikov Objektiv predstavil svoje ugotovitve iz analize sistema Tetra (poleg policije ga uporabljajo tudi druge varnostne službe in državni organi), ki jo je začel že leta 2012.
Policistom je po drugi strani preiskovalno sodnico uspelo prepričati, da odobri hišno preiskavo pri Ornigu. Po naših neuradnih informacijah naj bi se policisti pri tem v veliki meri oprli na komunikacijo med Ornigom in policistom, s katerim je bil Ornig v stiku že v času sestankovanj na temo pomanjkljivosti v sistemu.
Decembrski napad, ki se je začel v dopoldanskih urah, naj bi se končal po tretji uri popoldne, neposredno za tem, ko je Ornig prejel klic policista. Prav tako naj bi policisti že pred tem več ur spremljali napad in tudi odkrili približno lokacijo domnevnega napadalca.
Neplodno dogovarjanje o testnem napadu
Ornig je policijo s pomanjkljivostmi Tetre sicer seznanil že septembra 2013 in nato še lani, ko se je povezal tudi s strokovnjakom na inštitutu Jožefa Stefana. S policijo naj bi se dogovarjal tudi za nadzorovan testni napad na omrežje, a se to ni zgodilo.
Marca je javnost seznanil s svojimi ugotovitvami, policisti pa so ga v začetku aprila zaslišali kot osumljenca za decembrski napad. Tedaj jim je tudi izročil nekaj računalniške opreme, s katero je testiral ranljivosti Tetre, in povedal, da je s policijo pripravljen sodelovati. Po hišni preiskavi na njegovem domu je policijo okrcal, da prej ni imela dovolj posluha za tveganja z vidika nacionalne varnosti, do katerih lahko pride zaradi ugotovljenih ranljivosti sistema Tetra, v odredbi za hišno preiskavo pa mu (kot osumljencu) očitajo prav to. Po njegovih razkritjih si je policija na vladi sicer izborila 4,5 milijona evrov za izboljšave sistema Tetra.
Na nekatere očitke so se v policiji že odzvali: »V predkazenskem postopku je osumljenec določene predmete dejansko izročil sam, ne pa predmetov, ki bi lahko bili dokaz oziroma s katerimi je bilo v mesecu decembru 2014 izvršeno kaznivo dejanje napada na informacijski sistem. Med samim postopkom kriminalisti osumljencu niso obljubljali neuvedbe postopkov zoper njega, v kolikor bo izročil predmete, saj kriminalisti preiskujejo uradno pregonljivo kaznivo dejanje in opustitev preiskovalnih dejanj bi pomenila storitev kaznivega dejanja s strani kriminalistov,« je sporočila Nataša Pučko z ljubljanske policijske uprave.
Popolna in odgovorna razkritja
Primer pomanjkljivosti Tetre sproža tudi več vprašanj, kako obravnavati raziskovalce, ki na lastno pest razkrivajo pomanjkljivosti v informacijskem svetu. Strokovnjak za računalniško varnost dr. Gorazd Božič konkretnega primera ne more komentirati, opozarja pa na različne oblike razkrivanja pomanjkljivosti sistemov.
Ta v svetu niso nič novega, v grobem pa se delijo na tako imenovana popolna razkritja in odgovorna razkritja. S prvimi se ukvarjajo bolj radikalni »hekerji«, ki kot neodvisni raziskovalci odkrijejo pomanjkljivosti sistema in jih nato v celoti objavijo na kakšnem forumu. Za tem stojita filozofija nesodelovanja z oblastmi in kapitalom ter absolutna transparentnost brez kakršnih koli zadržkov. »Tako imenovana odgovorna razkritja pa so se oblikovala skozi leta in posvojila jih je tudi informacijska industrija, ki se proti tovrstnim razkritjem ne bori več, temveč pristane na igro, v kateri ima tudi sama korist. Tisti, ki razkriva, dobi možnost, da lahko po določenem času in pod določenimi pogoji svoje ugotovitve javno predstavlja na različnih varnostnih konferencah, industrija pa si zagotovi čas, da napake odpravi in zakrpa luknje,« razlaga vodja slovenskega odzivnega centra za obravnavo incidentov s področja varnosti elektronskih omrežij in informacij.
Peter Lovšin
