Informacijska varnostna politika policije in informacijska varnostna politika sistema Tetra nista bili spremenjeni že od leta 2010 in sta zato zastareli. Odgovorni za informacijsko varnost v policiji niso izvajali nikakršnih aktivnosti za dopolnitev varnostnih politik na podlagi komunikacij z drugimi enotami v policiji. Odgovorni ob odkritjih varnostnih ranljivosti v Tetri obenem niso obveščali preostalih sektorjev policije, ki bi lahko te ranljivosti upoštevali pri svojem operativnem delovanju. Policija o varnostnih ranljivostih prav tako ne obvešča drugih državnih organov, ki poleg nje uporabljajo Tetro; od njih pa kot upravljalec sistema Tetra tudi ne zahteva, da jim poročajo o ranljivostih Tetre, ki bi jih sami odkrili pri svojem delu s sistemom. Policija je izgubila že 13 radijskih postaj sistema, na seznamu policijskega intraneta pa jih je vpisanih le osem.
To so povzetki ugotovitev internega nadzora v policiji, ki ga je po razkritjih medija podcrto.si o varnostnih ranljivostih Tetre v začetku maja odredil generalni direktor policije Marjan Fank. Večina poročila o internem nadzoru, ki smo ga pridobili z zahtevo po dostopu do informacije javnega značaja, je sicer zakrita. Po trditvah policije bi razkritje podrobnejših informacij o nadzoru škodilo delu policije.
Slabo ali pa celo nešifrirana komunikacija
Marca letos je portal podcrto.si razkril ugotovitve študenta Dejana Orniga o ranljivostih Tetre. Z analizo je ugotovil, da komunikacija vojaške policije v sistemu do začetka letošnjega leta ni bila šifrirana, čeprav so bili v vojski po njihovih pojasnilih prepričani, da komunikacija je šifrirana. Nešifrirana komunikacija je omogočala prisluškovanje vojaškim pogovorom, kar bi lahko resno ogrozilo varnost države. Šifriranje pogovorov policije pa je bilo izvedeno tako slabo, da je neznanemu napadalcu konec lanskega leta uspelo vdreti v komunikacijo policije in prisluškovati pogovorom policistov.
Ornig je policijo na svoje ugotovitve opozoril že septembra 2013. A odgovorni v Uradu za informatiko in telekomunikacije (UIT) v policiji, ki skrbi za celoten sistem, takrat Tetre niso ustrezno zaščitili.
Zaposleni pri UIT, ki ga vodi Andrej Bračko, so sicer še sredi aprila letos v sporočilu za javnost zatrjevali, da so za Dejana Orniga prvič slišali šele februarja letos in da ranljivosti sistema Tetra niso bile tako hude. A portal podcrto.si je z objavo elektronskega sporočila Orniga policistu Mihi Rističu dokazal, da je Ornig policijo o svojih ugotovitvah o ranljivostih Tetre redno obveščal.
Odpraviti je treba kup pomanjkljivosti
Poročilo o upravnem nadzoru odgovornim v UIT med drugim nalaga, da pripravi načrt za odpravo pomanjkljivosti, ugotovljenih v nadzoru. Vodstvo UIT mora tudi ustrezno dopolniti informacijske varnostne politike policije tako, da »bo v prihodnje zagotovljeno sistemsko spremljanje in ukrepanje ob informacijskih varnostnih dogodkih«.
Izboljšati se mora tudi komunikacija o varnostnih incidentih v Tetri znotraj policije ter med policijo in drugimi uporabniki sistema. UIT mora izdelati »postopkovnik, ki bo opredelil vloge in naloge vseh pristojnih služb policije za primere iskanja izgubljenih radijskih postaj in vdorov v sistemu«. Morda najpomembnejši ukrep, ki ga nalaga poročilo, pa je izdelava analize tveganj poslušanja in vdorov v Tetro.
Spomnimo, pri izdelavi analize tveganja sta svojo pomoč ponudila tako Dejan Ornig kot tudi Matej Kovačič, strokovnjak za informacijsko varnost na Inštitutu Jožefa Stefana, s katerim je Ornig delil svoje ugotovitve o ranljivostih Tetre. Kot nam je potrdil Kovačič, se s policijo za izvedbo take analize (še) niso dogovorili.
Orniga zaradi domnevnega vdora v Tetro policija kazensko preganja. Interni nadzor je glede kazenskega pregona ugotovil, da se ta izvaja »korektno in v skladu z metodiko in taktiko preiskovanja tovrstnih kaznivih dejanj«. Podrobnosti ugotovitev poročila glede kazenskega pregona nam s policije niso poslali z obrazložitvijo, da bi to lahko otežilo delo policije pri preiskovanju dejanja.
