Aktualizace 23:10 – doplněno o informaci o geoblockingu provizorního portálu a o vyjádření ENISA.
Ani 44 dnů od kybernetického útoku na slovenský katastr nemovitostí není jeden z nejdůležitějších registrů státu u našich východních sousedů v pořádku. Co hůř, Úrad geodézie, kartografie a katastra Slovenskej republiky (ÚGKK) zatím nepřišel ani s odhadem, kdy by aspoň rámcově mohl být katastr v původní kondici. „Datum spuštění centrálního portálu ESKN není známo, vyvíjíme však maximální úsilí, aby to bylo v co nejkratším čase,“ píše provozovatel napadeného systému šest týdnů po útoku na svém webu.
Připomeňme, že úspěšný ransomwarový útok přišel na začátku roku (v pátek 3. ledna) a zasáhl zejména klíčovou databázi právních vztahů k nemovitostem. ÚGKK přiznal, že útok odhalil v neděli 5. ledna v 08:50 hodin a následně rozhodl, že své pobočky ponechá uzavřené. A tento stav vydržel deset dní, než postupně přecházely pobočky alespoň v menších městech do nouzového režimu, kdy se jejich úloha smrskla na podatelnu potvrzující čas přijetí došlých podání.
Provizoria nefungují
S přibývajícími dny roste nervozita nejen těch, kteří před útokem hackerů s katastrem vedli vkladové řízení. Ti mají často blokované celoživotní úspory na bankovních, notářských nebo advokátních úschovách, když jejich vyplacení je vázané na dokončení vkladu, který se musí v patřičném registru navenek projevit. A to není možné, pokud je katastr nemovitostí stále nedostupný. Probíhají sice pokusy zpřístupnit alespoň vyhledávání některých listů vlastnictví z období těsně před útokem. Provizorní web je však dostupný pouze ze slovenských IP adres (je zde uplatňován striktní geoblocking), a navíc, jak sám katastrální úřad uvádí, publikovaná data jsou „nepoužitelná na právní úkony“.
Podobně je na tom aplikace CICA (Cadastral Information Correctly Applied). Ta má za úkol zapracovávat změny na listech vlastnictví a k prohlížení zpřístupnit údaje popisných informací spolu s plombami signalizujícími započatý proces změny stavu. Ale také ta je přinejmenším pro české IP adresy nedostupná.
Jak navíc zaznamenal server žive.sk, do nouzového katastru se vyhledávané údaje zadávaly jinak než dřív, vybírají se na základě poptávané lokality a prvého písmene příjmení nebo názvu firmy. Pokud aplikace funguje, uživatel vidí kompletní seznam vlastníků v dané lokalitě, čímž se dá snadno dostat k osobním datům jakékoliv osoby. Zdá se tedy, že namísto postupné stabilizace situace a návratu k fungujícímu stavu Slovensko zabředá hlouběji do problémů, které se na sebe vrší.
Do těch se postupně dostávají také ti, kterým brzy vyprší fixace u hypotéky a rádi by ji refinancovali jinde. Nemají, jak by prokázali, že nemovitost je stále jejich, že na ní neváznou žádná další práva, zkrátka nejsou schopni splnit standardní nároky bankovního sektoru. Výpis z listu vlastnictví sice lze získat, avšak nepoměrně složitěji a nákladněji než dřív. A jen u nemovitostí, u nichž po ransomwarovém útoku nedošlo k podání návrhu na zápis změn. Žadatel musí v takovém případě namísto několika kliknutí v aplikaci na pobočku úřadu vyrazit osobně, vystát si několikahodinovou frontu a za každý výpis zaplatit 12 eur na správním poplatku.
Jestliže jsme říkali, že pobočky ÚGKK po útoku plnily roli razítkujících podatelen bez možnosti příslušné vklady do živé databáze promítnout, je jasné, že na těchto filiálkách se nahromadily stohy dokumentů čekajících na zpracování. Ty budou muset být zapsány přesně v tom pořadí, v jakém na úřad došly, jinak by to vedlo ke ztrátě konzistence dat. Po šesti týdnech nelze považovat takový stav za dobrý a po takové době je to trochu málo na to, že provozovatel systému tvrdil, že má k dispozici zálohy, z nichž bude schopný stav k době těsně před útokem rekonstruovat.
Logicky tak sílí tlak pohnat k zodpovědnosti ty, co mají systém na starosti. Navzdory tomu, že už v lednu oznámil svou rezignaci, ke které ho vyzval premiér Robert Fico, zůstává šéf katastru Juraj Celler na svém místě. A navíc slovenská média zjistila, že Celler už několik let čelí obžalobě kvůli svému předchozímu působení ve firmě na projektování a výstavbu solárních elektráren. Obžaloba se týká porušení povinností při správě cizího majetku, když škoda, kterou měl šéf katastru svému bývalému zaměstnavateli způsobit, přesahuje milion eur.
Nestihneme, vrátíme poplatek
Zoufalou situaci pak podtrhuje, že jediný vstřícný krok, který zatím tamní vláda vlastníkům realit nabídla, je vrácení správních poplatků lidem, pokud o jejich návrhu nebude rozhodnuto v zákonných lhůtách. Standardně je to 30 dnů, ve speciálních případech, kdy vkladovou listinu sepsal notář nebo advokát, se lhůta zkracuje na 20 dnů. Vláda přitom před téměř rokem správní poplatky zvýšila.
Velkorysost tohoto dobrodiní veřejnost v plné šíři nedocenila, jak je možné si přečíst na sociálních sítích.
Kataster by mal poplatky odpustiť celoplošne všetkým občanom minimálne na najbližší rok a každému občanovi pri príchode ako gesto ospravedlnenia ponúknuť v čakárni bezplatne kávu a prosecco.
— Marek Galinski 🇸🇰🇪🇺🇺🇦 (@MarekGalinski) January 15, 2025
Veľkorysé, že odpustia poplatok. Ešte ani pracovať nezačali.🤬https://t.co/Lseb0ofEw0
Nebyli by to však Slováci, kdyby je tato vleklá krize katastru připravila o chuť vtipkovat.
Udalosti 5. januára 2025 (útok na kataster) si budeme pripomínať každoročnou spomienkou, spojenou s kladením vencov pri pomníku neznámeho vlastníka 💐
— Lucia Liptakova (@LuckaLiptakova) January 22, 2025
Kybernetická krize na národní úrovni
Z pohledu kybernetické bezpečnosti je nefungující katastr nemovitostí bez diskusí velkým průšvihem, který lze podřadit pod kybernetickou krizi na národní úrovni, jak na ni pamatuje směrnice NIS2 v článku 9. Slovensko navíc do své vlastní legislativy už tuto směrnici začlenilo, takže se na něj vztahuje povinnost podle kyberbezpečnostních regulí Bruselu postupovat.
Členské státy pro takový případ mají mít zřízeny orgány pro řešení kybernetických krizí, vybavené odpovídajícími zdroji pro rychlé, účinné a účelné plnění svěřených úkolů. Vedle toho pak každý stát má mít přijatý národní plán reakce na rozsáhlé kybernetické bezpečnostní incidenty a krize. A pokud problém přeroste do nadnárodních důsledků, pak je tu síť EU-CyCLONe, tedy Evropská síť styčných organizací pro řešení kybernetických krizí. Ta by měla být o všem informována a společnými silami hledat možnosti, jak následky incidentu rychle eliminovat.
Výpadkem se zaobírá slovenský národní CSIRT, který ale je na slovo skoupý s poukazem na „mlčenlivost podle zákona o kybernetické bezpečnosti“. Evropská agentura ENISA po vydání článku reagovala na dřívější dotazy Lupy vyjádřením, že je se situací na Slovensku obeznámena a monitoruje ji. Přímo do jejího řešení ale ani ENISA ani EU-CyCLONe zapojeny nejsou.
- Chcete mít Lupu bez bannerů?
- Chcete dostávat speciální týdenní newsletter o zákulisí českého internetu?
- Chcete mít k dispozici strojové přepisy podcastů?
- Chcete získat slevu 1 000 Kč na jednu z našich konferencí?
Staňte se naším podporovatelem
