Možná zranitelnost ESSL

Spisová služba je páteřním procesem každého veřejnoprávního původce, v podstatě je páteřním procesem každé veřejnoprávní organizace. Pokud se jedná o určeného původce tedy veřejnoprávního původce, který má povinnost vykonávat spisovou službu v elektronické podobě v elektronických systémech spisové služby, je právě elektronický systém spisové služby jeho páteřním informačním systémem, který výše uvedený proces zabezpečuje.

Mezi určené původce patří ze zákona o archivnictví a spisové službě (zákon č. 499/2004 Sb.) organizační složky státu, ozbrojené síly, bezpečnostní sbory, státní příspěvkové organizace, vysoké školy, zdravotní pojišťovny, právnické osoby zřízené zákonem, kraje a hlavní město Praha.

V současné době však přibývá i původců, kteří nejsou určenými původci, a přesto zabezpečují proces spisové služby prostřednictvím elektronických systémů spisové služby a tyto systémy se stávají klíčovou komponentou jejich informačního systému i funkční architektury celé organizace.

Lze konstatovat, že v případě zastavení provozu tohoto informačního systému může dojít k fatálním následkům, a to k omezení nebo dokonce zastavení chodu úřadu, neboť chod každého úřadu je plně závislý na řádném průběhu všech procesů v celém životním cyklu dokumentů, bez kterých nemůže řádně vykonávat svoji činnost. Tyto procesy zahrnují příjem, označování a evidenci dokumentů, jejich rozdělování, oběh a vyřizování, vyhotovování a podepisování dokumentů, odesílání dokumentů jejich ukládání a vyřazování. Všechny tyto procesy jsou realizovány prostřednictvím elektronického systému spisové služby.

V našem příspěvku se však zaměříme pouze na možnou zranitelnost výše uvedeného systému u vstupně – výstupních procesů, kterými jsou příjem a odesílání dokumentů v digitální podobě přijímaných a vypravovaných prostřednictvím veřejné služby „e mail“.

Příjem a vypravovaní dokumentů, ať již v podobě analogové nebo digitální, zabezpečuje u úřadu podatelna, přičemž příjem a vypravování dokumentů v digitální podobě zabezpečuje její organizační součást, která pokrývá komunikaci jak prostřednictvím Informačního systému datových schránek, tak i prostřednictvím elektronické pošty.

Vyhláška o podrobnostech výkonu spisové služby č. 259/2012 Sb., přináší podrobný popis úkonů, které je nutné při přijmu dokumentů zabezpečit. Pro náš příspěvek je však nejdůležitější, že podatelna musí zpětně reagovat na jakýkoli doručený e mail u kterého je uvedena elektronická adresa odesilatele v reálném tvaru. Tudíž musí odpovědět na e mail, který splňuje, všechny formální požadavky přijmu, tak i na e mail, který vykazuje určité vady, například obsahuje škodlivý kód.

Důsledky připuštění nedůvěryhodného kanálu komunikace

Na elektronickou podatelnu přijímající dokumenty prostřednictvím veřejné služby „e mail“ lze uskutečnit dva velmi jednoduché útoky, které její činnost paralyzuji, a to i za předpokladu, že systém i obsluha budou důsledně dodržovat výše uvedené povinnosti stanovené příslušnou legislativou.

Útok č. 1 – Opakované robotické zasílání e mailů, například s dotazem podle zákona o svobodném přístupu k informacím (zákon č. 106/1999 Sb.), zasílané z různých fiktivních adres, s obměňujícím se textem s logickým významem.

  • z výše popsaných úkonů je zřejmé, že příjem dokumentů v digitální podobě je poměrně časově náročný proces, vzhledem k tomu, že takto generovaný e mail splnil veškeré požadavky příjmu, musí jej obsluha elektronické podatelny zanést do systému elektronické spisové služby a předat k dalšímu zpracování. Odesílající stranu musí o příjmu vyrozumět, protože e mail splnil všechny požadavky příjmu, a tudíž je známa adresa odesílající strany, byť fiktivní. K přetížení dojde jak na straně přijmu, zpracování, tak i odesílání.

Útok č. 2 – Opakované robotické zasílání e mailů zasílaných z různých fiktivních adres, s obměňujícím se textem, avšak s logickým významem. E mail bude obsahovat škodlivý kód.

  • po zjištění, že datová zpráva obsahuje škodlivý kód, musí být podatelnou zasílající strana, pokud je známa její adresa, o této skutečnosti vyrozuměna. K přetížení dojde jak na straně přijmu, zpracování, tak i odesílání.

V obou uvedených případech nelze na takto učiněná podání v první fázi nereagovat. Pokud je totiž při útoku generována formálně korektní konstrukce e mailové adresy, nelze jednoznačně určit, zda se jedná o skutečnou adresu reálného odesilatele, nebo o fiktivně vygenerovanou adresu.

Slabina celého vstupně – výstupního procesu je v tom, že reakce musí nastat i na informace zaslané tak nedůvěryhodným zdrojem, jako je veřejný „e mail“, a v první fázi musí podatelna reagovat i na e maily, které neobsahují žádné autentizační prvky. Tudíž musí reagovat i na e maily, které lze i automaticky generovat.

Riziková integrace prostřednictvím webových služeb

Jiná možnost zranitelnosti vstupně – výstupního procesu vyplývá z toho, jak již bylo výše uvedeno, že elektronický systém spisové služby je „páteřním informačním systémem každého určeného původce“, takový páteřní informační systém je pak často integrován s dalšími informačními systémy, s kterými sdílí svá data. Dnes již je obvyklé, že elektronický systém spisové služby komunikuje s informačními systémy Datových schránek, Základními registry, CzechPointem, Registrem živnostenského podnikání a mnohými agendovými systémy.

Jednotlivé funkce elektronického systému spisové služby ovládají nejen jeho uživatelé, ale nepřímo i uživatelé napojených informačních systémů. Touto možností komunikace je vyzdvižen význam a přínos elektronického systému správy dokumentů, ale je tím zároveň zvýšena jeho zranitelnost. Komunikace integrovaných informačních systémů prostřednictvím elektronického systému spisové služby bývá často zabezpečována prostřednictvím webových služeb, takzvaných Web Services (WS). Útok přes WS je možný v zásadě třemi způsoby:

  • generování velkého množství dotazů, které neprojdou autentizačním procesem, elektronický systém spisové služby je zařadí do fronty a vyřizuje tak, jak dojdou, s odpovědí „není oprávnění“,
  • generování velkého množství požadavků s validní autentizací a maximem dotazů, které elektronický systém spisové služby zahltí,
  • generování standardního množství požadavků s validní autentizací s nesmyslnými údaji, útočník se vloží do komunikace a svými požadavky záměrně mění standardní komunikaci, přičemž to netuší odesilatel původních požadavků ani jejich příjemce.

Výsledkem takovéhoto útoku může být zpomalený nebo nefunkční elektronický systém spisové služby, což může mít za následek nefunkčnost napojeného agendového informačního systému. Tímto může být například znemožněno včasné vyřízení žádosti o sociální dávky, které nebude možno následně včas vyplatit, a fatální kolapsy napojených systémů.

ESSL jako významný informační systém

Elektronický systém spisové služby, jako jeden z klíčových informačních systémů organizace, dle definice zákona č. 181/2014 Sb. (Zákon o kybernetické bezpečnosti) spadá do kategorie tzv. významných informačních systémů . Významné informační systémy jsou taxativně vyjmenovány v Příloze 1 vyhlášky 317/2014 Sb. Nad tento rámec jsou v Příloze 2 předmětné vyhlášky stanovena tzv. oblastní určující kritéria, na základě kterých lze stanovit, zdali daný systém spadá (či nikoliv) do definice významného informačního systému. Pro tento účel zpracovalo Národní centrum kybernetické bezpečnosti jako pomocný nástroj vývojový diagram [2]. Z něho jednoznačně vyplývá, že systém spisové služby je v případě centrálních orgánů státní správy, krajských úřadů a celé řady dalších institucí veřejné správy významným informačním systémem. Dotčený subjekt veřejné správy je tak povinen dle zmíněného zákona provádět nejen relevantní bezpečností opatření, ale také zohlednit tyto požadavky při výběru významného informačního systému, resp. podpůrné informační infrastruktury.

Z praxe je však zřejmé, že dokud nedojde k bezpečnostnímu incidentu , jsou technická opatření prováděna pouze v rozsahu obecně definovaném v § 5 zákona o kybernetické bezpečnosti. Protože každý významný informační systém musí mj. obsahovat systém pro detekci, sběr a vyhodnocování kybernetických bezpečnostních událostí, lze v případě úspěšné detekce bezpečnostního incidentu v rámci nápravných opatření (§ 24 zákona) nařídit zákaz používání předmětného informačního systému, a to až do doby, než bude toto nebezpečí zažehnáno. V důsledku lze tedy, i v případě simulovaného útoku, docílit odstavení systému spisové služby a tím i ochromení chodu úřadu.

V tomto příspěvku nejsou uvažovány techniky jako sociální inženýrství, i když člověk v důsledku rozhoduje o závažnosti bezpečnostního incidentu a případném odstavení systému spisové služby. Útoky na infrastrukturu významného informačního systému tak lze rozdělit do dvou hlavních skupin:

  • Útoky s cílem získání osobních či jiných citlivých údajů, včetně přístupových oprávnění – do této skupiny jsou zahrnuty útoky využívající známé bezpečnostní chyby, nerespektování doporučení či (závazných) pokynů při tvorbě hesla, či kompromitování přístupového certifikátu, například získání PIN kódu spolu s certifikátem (čipovou kartou).
  • Útoky s cílem omezení či úplného vyřazení systému z provozu – tato skupina pokrývá útoky typu (d)DoS či další útoky na síťovou infrastrukturu (SYN FLOOD atd.), již zmíněné přehlcení legitimními požadavky nebo využití přítomnosti nástroje pro ochranu před škodlivým kódem a jeho zahlcení .

Útoky v druhé skupině jsou pravděpodobnější [1] a každý významný informační systém by měl být na tento typ útoku připraven. Útoky typu (d)DoS se odehrávají v menší míře pravidelně, avšak na cílený útok na konkrétní systém s použitím BotNetu musí být cíl připraven. Paradoxně obrana je jednoduchá, jak se ukázalo již v roce 2013, a tou je používání systému dDNS.

Dopadová kritéria dle vyhlášky 317/2014 Sb. (Vyhláška o významných informačních systémech a jejich určujících kritériích), kdy nefunkčnost jednoho významného informačního systému může negativně ovlivnit funkčnost jiného informačního systému (v tomto případě by se jednalo například o tzv. IDM systém, tj. systém pro správu identit) jsou paralyzující v případě druhé skupiny, ale extrémně nebezpečná v případě první. Při snahách o tzv. SSO napříč orgány veřejné správy, kompromitování přístupových údajů de facto znamená přístup do všech napojených informačních systémů.

Jako preventivní opatření proti útokům prováděným ze sítě internet se doporučuje integrace systémů IDS (nebo velmi měkce nakonfigurovaného systému IPS) do infrastruktury.

Otázka na závěr

Závěrem našeho článku si musíme položit otázku, zda v některých případech elektronický systém spisové služby není systémem obsahujícím údaje o vice než 300 000 osobách. Pokud by tomu tak bylo, jednalo by se o prvek kritické infrastruktury (dle nařízení vlády 315/2014 Sb.) a nikoliv „pouze“ o významný informační systém.

Originální znění zprávy vč. poznámkového aparátu je k dispozici zde.