Získajú Američania prístup k citlivým údajom Slovenska?

Počítače desaťtisícov štátnych úradníkov sa môžu už o pár mesiacov pravidelne prihlasovať na servery americkej spoločnosti Microsoft. Ministerstvo financií totiž rozbehlo za 48 miliónov eur súťaž na kúpu 100-tisíc licencií Office 365.

15.08.2019 06:30
Microsoft Foto:
Ministerstvo financií plánuje od americkej spoločnosti Microsoft kúpiť takmer stotisíc licencií Office 365.
debata (66)

Pri tomto produkte je používanie programov od spoločnosti Microsoft spojené s automatickým prihlasovaním na servery americkej spoločnosti. To môže byť obrovský problém v prípade tajných dát ministerstva obrany, Slovenskej informačnej služby či Národného bezpečnostného ú­radu.

„Neplánujeme používať licencie v modeli Microsoft Office 365, pretože sú podmienené pravidelným pripájaním zapojených pracovných staníc na servery spoločnosti Microsoft,“ uviedol Národný bezpečnostný úrad (NBÚ). Táto podmienka je vzhľadom na charakter spracovávaných informácií v rozpore s prísnymi pravidlami bezpečnostnej politiky štátneho úradu.

„Dodržiavanie týchto bezpečnostných pravidiel neumožňuje používať z prostredia úradu (z väčšiny počítačov) produkty, ktorých prevádzka je podmienená pravidelným pripájaním zapojených pracovných staníc na servery výrobcov týchto produktov,“ dodal NBÚ.

Americké tajné služby v minulosti nemali problém zneužiť najmodernejšie technológie na „kontrolu“ spojencov a ešte za čias amerického prezidenta Baracka Obamu bola odpočúvaná aj nemecká kancelárka Angela Merkelová. Zároveň americké firmy musia podľa miestnych zákonov sprístupniť všetky informácie uložené na serveroch. To platí aj v prípade, ak sa dátové centrá nachádzajú mimo územia Spojených štátov amerických. Na problém s nákupom licencií Office 365 ako prvý upozornil server Glob.sk.

Microsoft Office 365 obsahuje tri podmnožiny produktov a služieb. Prvou je operačný systém Windows, druhou nástroje pre spoluprácu Office 365 a treťou nástroje pre hromadné nasadzovanie a pokročilú ochranu pred kybernetickými hrozbami označované ako Enterprise Mobility + Security.

Pre bežných používateľov je najzaujímavejší balík počítačových programov Microsoft Office 365, ktorý obsahuje programy Word, Excel, PowerPoint, Outlook, Publisher, Access, One Driver či Skype. Tento produkt zároveň firmám aj štátnym orgánom ponúka takzvané cloudové úložisko, ktoré uloží dôležité údaje na servery nachádzajúce sa mimo počítača zamestnanca. Výhodou riešenia je, že zamestnanec o spravenú robotu nepríde ani v prípade pokazenia, straty či krádeže počítača. Zároveň sa po zadaní hesla dá firemná práca bez problémov robiť aj zo súkromného počítača doma, na dovolenke či na služobnej ceste. Rizikom je, že k uloženým údajom má prístup časť zamestnancov Microsoftu a v prípade záujmu môžu údaje získať aj americké úrady.

„Produkty Office 365, ktoré sú zaradené v rámci prebiehajúceho procesu verejného obstarávania, umožňujú využívanie offline alebo cloudovej verzie Office na základe bezpečnostných požiadaviek konkrétnej organizácie,“ povedala hovorkyňa ministerstva financií Alexandra Gogová.

V prípade obavy zo zneužitia citlivých údajov tak štátni zamestnanci nemusia ukladať dáta na servery spoločnosti Microsoft.

„Posúdenie bezpečnostného rizika používania cloudovej služby je na vyhodnotení samotnej organizácie v rámci platnej legislatívy, ako aj interných predpisov organizácie,“ dodala Gogová. Podľa nej boli v prebiehajúcej súťaži zohľadnené aj špecifické požiadavky organizácií spadajúcich pod osobitný režim, ako sú ministerstvo obrany alebo NBÚ.

„Zákaznícke dáta v službe Office 365 majú veľmi vysoký stupeň zabezpečenia, ktoré je podľa zmluvne zaistených opatrení zvyčajne vyššie, než si zákazníci dnes môžu dovoliť nasadiť vo svojich vlastných dátových centrách,“ povedala hovorkyňa Microsoftu Slovakia Miroslava Aleksieva.

Microsoft tiež pri používaní cloudových služieb reflektuje vyššiu ochranu súkromia nariadenú európskou smernicou GDPR. „Pre najvyššiu úroveň zabezpečenia majú zákazníci možnosť aktivovať šifrovanie s vlastnou kontrolou šifrovacích kľúčov a riadiť ich úschovu v prenajatých a certifikovaných hardvérových moduloch v cloude, ktorého obsah je nedostupný administrátorom zo strany Microsoftu,“ uviedla Aleksieva.

Podľa nej tak zákazníci majú proces šifrovania dát pod vlastnou kontrolou. „Administrátori zo strany Microsoftu nemajú na oblasti zákazníckych dát za normálnych okolností žiadny prístup. Taký prístup je možné umožniť len v prípadoch riešenia technických problémov a s vedomím zákazníka. Prístup môže byť potom umožnený len na základe auditovateľného schvaľovacieho procesu, a to určeným prevereným administrátorom na jasne stanovený čas,“ uzavrela Aleksieva.

Súťaž vypísanú ministerstvom financií na získanie nových licencií Office 365 aktuálne kontroluje Úrad pre verejné obstarávanie. V krajnom prípade môže úrad celú súťaž zrušiť. Ministerstvo bude môcť nové licencie nakúpiť jedine v prípade kladného výsledku kontroly.

© Autorské práva vyhradené

66 debata chyba
Viac na túto tému: #IT #Microsoft #bezpečnosť #Office 365