Kataster portál aj mesiac po kybernetickom útoku stále nefunguje. Tvrdí, že je podfinancovaný a nemá dostatočné zdroje na odstránenie následkov útoku ani na zabezpečenie adekvátnej kybernetickej ochrany.
Fakty však naznačujú, že v roku 2023 kataster vrátil väčšiu časť dotácie na kybernetickú bezpečnosť, pretože nestihol zaobstarať bezpečnostný systém, ktorý mohol úrad včas upozorniť na útok hekerov.
Reportéri STVR spolu s etickým hekerom preskúmali zraniteľnosti portálu katastra, o ktorých úrad vedel, či už prostredníctvom systému Achilles na monitoring zraniteľností, alebo vďaka pravidelným auditom kybernetickej bezpečnosti. Otázkou však ostáva, prečo úrad nepodnikol dostatočné kroky na ochranu pred útokom?
Kataster mal podľa ich zistení v roku 2023 v pláne obstarať systém na monitorovanie bezpečnostných incidentov, ktorý mohol zakúpiť. Na tento účel mal aj zabezpečené finančné prostriedky od ministerstva investícií, no úrad dotáciu nevyčerpal a peniaze musel vrátiť.
Kybernetický útok na kataster bol jednou z tém relácie STVR Reportéri v pondelok 17. 2. 2025:
Útok na kataster
Hekeri elektronické služby katastra paralyzovali začiatkom januára. „Vieme to, že hekeri sa dostali dovnútra. V zásade vieme, že zašifrovali samotné dáta. Je dosť možné, že zašifrovali aj samotné výkonné prvky serverov. Čiže došlo k úplnému znefunkčneniu,“ uviedol etický heker Tomáš Zaťko.
Bývalý predseda Úradu geodézie, kartografie a katastra (ÚGKK) SR Juraj Celler ubezpečil, že sa netreba obávať zásahov do databázy, kde dochádza k zmene vlastníka alebo k zmene nejakých vlastníckych vzťahov.
Útok podľa konateľa realitnej kancelárie Kristiána Koppa spôsobil to, že sa pozastavili všetky procesy kúpy nehnuteľnosti, financovania nehnuteľností, či schvaľovania hypotekárnych úverov.
Ľudia čakajúci na katastri v Bratislave potvrdili, že výpadok im skomplikoval život. „Budem to musieť otočiť, lebo je dlhý rad, takže nestíham,“ uviedol jeden pán. „Vystojím, vystojím, lebo akú mám inú možnosť, nepošlú mi to domov,“ hovorí ďalšia pani.
Kopp uviedol, že niektoré okresy sú na tom lepšie. „Dostanete tam aj list vlastníctva a viete podať návrh na vklad,“ uviedol. Na niektorých okresných úradoch však podľa jeho slov nevybavíte dokopy nič.
Zo správy zodpovedných inštitúcií mu chýba komunikácia. „Možno dátum, kedy sa táto situácia podarí vyriešiť. Prípadne kompenzáciu,“ uviedol.
Útočník žiadajúci výkupné
Zaťko pripomenul výborné načasovanie z pohľadu útočníka. „Vedia, že sú vo výhode a obeť – v tomto prípade kataster – nebude schopný efektívne a rýchlo na to reagovať,“ povedal. Ladislav Kovár zo Slovensko.digital to označil za štandardný útok typu ransomvér.
„V rámci systému zanechali správu, že ak chcete odkódovať tieto údaje, tak kontaktujte nás,“ opísal konanie útočníkov bezpečnostný analytik Pavel Macko. Minister pôdohospodárstva Richard Takáč (Smer-SD) tvrdil, že kataster má všetky zálohy a dáta. Ďalšie podrobnosti o údajoch a výkupnom však neposkytol.
Výkupné malo podľa etického hekera Ľubomíra Kopačka prilákať pozornosť verejnosti. “ Ono to tak strašne bombasticky znie, niekto žiada 12 miliónov eur výkupné,“ uviedol.
„Na to, aby zaplatil orgán verejnej správy výkupné akúkoľvek odplatu, musí naplniť tri podmienky,“ vysvetľuje odborník na finančné právo Matej Kačaljak. Musí to byť účelne vynaložené – účinne, efektívne a hospodárne.
„Viem si predstaviť, že argument by bol sfunkčnenie katastra,“ povedal. Pripomenul i hospodárnosť. „Dávalo by zmysel sa pýtať, či by nebolo lacnejšie mať nejaký kvalitný antivírus,“ skonštatoval. „Keď zaplatíte výkupné, tak nemáte žiadnu istotu, že dáta odkódujú,“ upozornil Macko.
Kybernetická bezpečnosť
Za posledných desať rokov sme investovali na digitalizáciu a informatizáciu viac ako dve miliardy eur. Na internet sa tak dostali citlivé dáta, ktoré treba chrániť pred únikom a zneužitím.
„V momente, keď máme čokoľvek pripojené do internetu, stávame sa súčasťou globálneho sveta, tam nie sú žiadne hranice,“ hovorí Kovár. „Bezpečný systém je vypnutý, odpojený od elektriny a zakopaný pod zemou,“ dodal Zaťko. Kopaček potvrdil, že takéto útoky sú na dennom poriadku.
Stopercentnú úroveň bezpečnosti nie je možné dosiahnuť ani podľa generálneho riaditeľa Kompetenčného a certifikačného centra kybernetickej bezpečnosti (KCCKB) Ivana Makaturu. „Neexistuje nulové riziko,“ uviedol.
„Vieme povedať, že ÚGKK SR pravdepodobne nemalo dostatočne dobré zabezpečenie,“ uviedol Kovár na otázku o možnom pochybení štátu. „Technické prostriedky nie sú mreže a nie sú to zámky, ale sú to ošetrovania prístupov – firewally, segmentácie siete a kopec ďalších nástrojov,“ špecifikoval.
Minister vnútra Matúš Šutaj Eštok (Hlas-SD) uviedol, že za informačné systémy katastra je zodpovedný samostatný úrad geodézie a kartografie, nie ministerstvo vnútra.
Zraniteľnosť katastra
Na zraniteľnosť katastra už v minulosti poukázal Najvyšší kontrolný úrad (NKÚ) aj ministerstvo investícií. Vládna jednotka CSIRT upozornila úrad na potrebu zraniteľnosti odstrániť, no nestalo sa.
„Konštatovali sme, že tento systém vykazuje významné riziká, čo sa týka ochrany osobných údajov, ochrany dát i nevyhnutnej kybernetickej ochrany a udržateľnosti,“ hovorí predseda NKÚ Ľubomír Andrassy.
„Vládna jednotka CSIRT poskytuje subjektom verejnej správy prihláseným do systému Achilles pravidelné mesačné reporty o kritických zraniteľnostiach,“ uviedla hovorkyňa ministerstva investícií (MIRRI) Zuzana Krištofovičová.
ÚGKK dostal podľa jej slov prvý report v septembri 2021, kedy sa do služby Achilles zapojil. „Vtedy ukazoval, že 21 z 24 systémov obsahovalo zraniteľnosti, na ktoré bol úrad upozornený,“ uviedla.
„Pred kontrolou MIRRI mal ÚGKK 144 kritických zraniteľností, ktoré boli povinné odstrániť bezodkladne. Je dôležité uviesť, že nálezy VJ CSIRT majú podľa zákona len odporúčací charakter,“ spresnila.
Zaťko na monitore počítača ukázal konkrétne IP adresy patriace katastru a zoznam zraniteľností kategorizovaných podľa farieb. Červené je veľmi zlé, žlté je zlé a modré nie dobré,“ uviedol.
Makatura uviedol, že počet prevádzkovateľov základných služieb sa do 31. decembra minulého roku pohyboval niekde okolo 1 500 subjektov. „Na odber služby Achilles je v súčasnosti registrovaných 307 subjektov verejnej správy,“ uviedla Krištofovičová. Dodala, že služba je poskytovaná bezodplatne a možnosť pripojiť sa má každý subjekt verejnej správy.
Etický heking a legislatíva
Zaťko upozornil na tzv. penetračné testovanie – jeden z dôležitých prvkov bezpečnosti. „Hovorí sa tomu aj etický heking, čo znamená, že my, ako etickí hekeri, prídeme k nejakému systému a snažíme sa heknúť,“ povedal. Dodal však, že to robia len vtedy, keď sú k tomu pozvaní legitímnym vlastníkom toho systému.
„SR má pomerne silnú legislatívu,“ uviedol Kovár a pripomenul napríklad Zákon o kybernetickej bezpečnosti, ale aj Zákon o informačných technológiách vo verejnej správe.
„Povinnosti sú pomerne prísne, a keď sa podľa nich organizácia správa, tak bezpečnosť je na relatívnej vysokej úrovni. Ale rozchádza sa s realitou, že mám nastavené všetky prístupy, ale orgán verejnej moci má nezabezpečené alebo neaktualizované softvéry,“ povedal.
„KAPOR (portál katastra) je ukážkovým príkladom toho, ako to bolo zle naštartované, katastrofálne manažované, ako záver bol otáznikom, či vôbec tento IS bude nasadený,“ hovorí Andrassy. „Keď bol nasadený, bolo množstvo počiatočných chýb a boli identifikované aj riziká ochrany informácii v rámci tohto systému,“ upozornil.
Bývalý predseda ÚGKK SR Ján Mrva uviedol, že jeho administratíva po nástupe do funkcie v auguste 2020 zdedila „trestuhodne deravú sieť“, ktorá bola podľa názoru odborníkov prístupná odvšadiaľ. „Začali sme antivírovú ochranu počítačov, ani tá tam nebola, zaviedli sme mikrosegmentáciu, začali sme uzatvárať porty,“ povedal.
V roku 2023 úrad získal nenávratný finančný príspevok (NFP) od ministerstva investícií vo výške viac ako 400-tisíc eur na posilnenie kybernetickej bezpečnosti. Stošesťdesiattisíc eur využil v júli 2023 na zmluvu so spoločnosťou AXENTA.
„To dielo sa zaoberalo tromi vecami. Log management, skeny zraniteľnosti a sieťový bezpečnostný monitoring,“ uviedol konateľ spoločnosti (AXENTA s.r.o) Ján Lichvár. Tieto záležitosti boli podľa jeho slov implementované a odovzdané zákazníkovi.
Mrva pre reportérov potvrdil, že úrad si mal kybernetickú bezpečnosť zabezpečovať vo vlastnej réžii, interne, v zmysle zmluvy o dielo, kybernetickú bezpečnosť. Potvrdil, že k tomu s určitosťou došlo a vyjadril dôveru k ľuďom, ktorých na to zobral.
„S plnou vážnosťou môžem povedať, že to, čo sme tam zaviedli, tak sme odviedli odborne,“ povedal konateľ spoločnosti AXENTA Ján Lichvár.
Hekeri by však podľa jeho slov takúto škodu mohli spôsobiť aj v prípade, ak by sa úrad držal toho, čo jeho spoločnosť nastavila. „Nemali implementovaný iný technologický nástroj, ktorý zabraňuje alebo predchádza ransomvérovým útokom, aký sa stal,“ povedal. Podľa Macka je potrebné realizovať opatrenia zo správy a „neodložiť ju do šuflíka“.
„Dňa 6. 5. 2023 sa uskutočnila fyzická návšteva ÚGKK, kde inštitúcia uviedla, že situáciu rieši v spolupráci s dodávateľom,“ hovorí Krištofovičová. „Napriek tomu nedošlo k zlepšeniu,“ dodala.
Ľubomíra Šoltysová z legislatívno-právneho odboru ÚGKK uviedla, že v rámci kybernetického auditu na jeseň 2023 odhalili viaceré nesúlady, na ktorých úrad priebežne pracuje.
SIEM systém
Nadstavbou kybernetickej bezpečnosti katastra mal byť nákup SIEM systému na monitoring bezpečnostných incidentov, ktorý mal úrad zaobstarať v roku 2023. K nákupu však nakoniec neprišlo a kataster musel časť nenávratného finančného príspevku vrátiť.
„V roku 2022 sa naplánovalo, že sa bude takto bezpečnosť zvyšovať a alokovali na to 447-tisíc,“ uviedol externý spolupracovník ÚGKK. „Keby to bolo 2023 a peniaze na to boli, tak to určite máme. To je 100 percent,“ hovorí Mrva.
Podľa externého spolupracovníka sa zo štátneho rozpočtu reálne minulo 25-tisíc eura, z NFP sa minulo 204-tisíc eur. „Čiže teoreticky tam bol ešte priestor, či to bolo na SIEM alebo na čo, ale teoreticky to mohlo byť,“ konštatoval. Šoltysová však uviedla, že v roku 2023 sa verejné obstarávanie na nákup tohto systému nezrealizovalo.
Mrva pripomenul, že jeho informačných technikov postupne prepustili. „Tam to nemá ani kto rozchodiť podľa mňa,“ povedal.
Lichvár uviedol, že AXENTA je špeciálna firma, ktorá sa zaoberá iba implementáciou bezpečnostných monitorovacích nástrojov. „Nikto nás neoslovil, ani sme žiadnu súťaž nevideli na toto,“ povedal.
Peniaze z MIRRI prepadli
Úrad sa pokúsil sa nákup SIEM systému zopakovať aj v roku 2024, po zmene vlády, a žiadal o 170-tisíc eur. Finančné prostriedky mu vláda neschválila.
Externý spolupracovník ÚGKK uviedol, že v roku 2023 sa pripravil plán o obstarávaní na rok 2024. Mal sa v rámci neho obstarať aj SIEM za pravdepodobne 160-tisíc. K tomu však nedošlo.
„V roku 2024, hoci sa verejné obstarávanie plánovalo, úrad geodézie už na nákup tohto systému nemal pridelené finančné prostriedky,“ uviedla Šoltysová.
„Čo mám informácie, tak manažér kybernetickej bezpečnosti aj tlačil na vedenie, ktoré došlo po nás, aby ho kúpili, aby sa zabezpečili, aby sa zaplátali diery, ktoré tam ešte boli v tom systéme, ale kúpený nebol,“ povedal Mrva.
„Treba naozaj transparentne priznať̌, kto, čo spravil, akú chybu. Tam sa dokonca vravelo o tom, že niektorí zamestnanci, ak som to dobre pochopil, zamestnanci daného úradu umožnili prístup,“ povedal Macko.
Štát by mal mať podľa Kopačka školených zamestnancov v oblasti kybernetickej bezpečnosti aspoň tých, ktorí majú byť. „No je to zákonná povinnosť, školenia sú povinné zo zákona,“ povedal. „Moja skúsenosť je taká, že organizácie tieto školenia robia, otázne je do akej miery sú účinné,“ konštatoval.
„Môžete zabezpečiť všetko technologicky, ale keď mate ľudskú chybu, že niekto prezradí svoje meno a heslo do daného systému, tak vtedy sa stáva tento systém otvoreným,“ upozorňuje Macko.
„Ľudí školili na to, aby neotvárali podozrivé maily o tom, že niekde zdedili nejaké milióny. Pravidelne sme menili aj heslá, tam sa každý štvrťrok menili heslá,“ hovorí Mrva.
Šoltysová uviedla, že potenciálny únik dát je predmetom vyšetrovania a preto bližšie informácie vedia poskytnúť iba orgány činné v trestnom konaní, prípadne vládna jednotka CSIRT. Makatura uviedol, že záležitosť je v utajenom režime a aj položenie otázky na predmet utajovanej skutočnosti môže byť trestným činom.
Zaťko ozrejmil rôzne kategórie útočníkov. Niektoré skupiny, ktoré to robia komerčne, chcú peniaze. „Druhá skupina sú štátom podporovaní hekeri, čiže tam ide o nejaké politické ciele,“ dodal. „Niekedy sa aj štátni vydávajú za komerčných, ľahšie sa zato skrýva,“ uzavrel.
Chýbajú peniaze aj odborníci
Úrad katastra prijal po incidente ďalšie opatrenia. „V rámci opatrení, ktoré sme prijali, bola implementovaná napríklad viacfaktorová autentifikácia všetkých zamestnancov. Obstarali sme vzdelávací systém školenia pre zamestnancov kybernetickej bezpečnosti, aj s dvomi phishingovými kampaňami,“ uviedla Šoltysová.
„Treba tiež povedať, že viaceré opatrenia sa nedajú realizovať ihneď, a to z dôvodu podfinancovania,“ upozornila.
Andrassy tiež varoval, že ak tu „dnes“ máme problém s katastrom, „zajtra“ tu môžeme mať iný problém vo vzťahu k inému informačnému systému štátu. Kopaček pripomenul útok na Riaditeľstvo ciest a diaľnic v Českej republike.
„Dokonca na ruský kataster boli nejaké útoky, úspešné ransomvérové útoky na policajné systémy v USA. V 2015/16 v dôsledku hekerských útokov obrovské výpadky elektriny na Ukrajine,“ povedal Zaťko. „Takže nefunkčný kataster je nepríjemný, ale ak časť krajiny nemá elektrinu, tak to je ešte horšie,“ porovnal.
Štát podľa Andrassyho nemá dostatok odborníkov – špecialistov pre oblasť kybernetickej ochrany. „Na trhu je veľký nedostatok týchto špecialistov,“ povedal. „Robili sme výskum, mapovali potreby prevádzkovateľov základných služieb, tak nám vyšlo číslo 20-tisíc okamžite potrebných pracovných miest,“ uviedol Makatura.
„Keď si zoberiete, že na Slovensku končí priemerne 50 odborníkov na kyberbezpečnosť, tak je to strašne málo,“ povedal Lichvár. „Štát nevie zaplatiť expertov. To je holý fakt,“ hovorí Kopaček.
Zaťko však prípadnú ponuku, kde je koncovým zákazníkom štát, označil za červený výkričník, kde si treba dávať pozor. „Každá výmena nejakého riaditeľa alebo politických nominantov znamená obrovskú komplikáciu spolupráce,“ uviedol.
Investície do kybernetickej bezpečnosti nie sú podľa Kopačka adekvátne. Makatura uviedol, že jedným zo zdrojov peňazí na projekty v kybernetickej bezpečnosti sú už dlhodobo funkčné EÚ štrukturálne fondy.
„Ďalším zo zdrojov sú tzv. priamo riadené programy z programu Digital EÚ. Práve bežiaca výzva z týchto zdrojov, ktorá predstavuje približne o 100 miliónoch eur len na kybernetickú bezpečnosť, ktorú mali uzatvoriť v januári, tak uzávierku predĺžili až do 27.marca,“ uviedol.
Verejnosť musí mať podľa Andrassyho istotu, že štátne inštitúcie robia maximum preto, aby takýmto útokom zabránili a minimalizovali ich na čo najväčšiu úroveň. „Asi by bolo dobré, keby všetci začali kybernetickú bezpečnosť brať konečne vážne,“ uviedol Kopaček.