Komisia pre štandardy ISVS - PS2 - Bezpečnostné štandardy

jasne … myslel som samozrewjme sluzbu overovania podpisov … ine ako peciatky, ci certifikaty … to poskytuje

Kvalifikovanú službu overovania podpisov má v SR iba Disig, ale vraj ani ten ju v skutočnosti neposkytuje, lebo zodpovednosť z toho vyplývajúca je tak veľká, že sa neoplatí ísť do rizika.
Zaujímavé je, že I.CA má v ČR kvalifikovanú službu pre overovanie, v SR nie. (Aj tak by nemal byť problém použiť u nás českú službu.)

mozes pouzit lubovolnu kvalifikovanu sluzbu ak sa nachadza v Trusted Liste EU. Ked si ceska firma, nebudes to registrovat v 28 lokalnych trusted listoch. Trusted List EU je ZJEDNOTENIE lokalnych trusted listov. Som zvedavy ako si s tymto poradia nase OVMs … ale to je uzakonene od roku 2014 a platne od roku 2016 … tak preco to “riesime” az teraz ?

V pripomienkovaní pracovných skupín PS1-4 je návrh novely výnosu o štd.: 03_navrh_standardy_pripomienkovanie PS.pdf (461.9 KB)

Oficiálne info:"
Vážení členovia pracovných skupín PS1, PS2, PS3 a PS4,
v prílohe tohto mailu si vám dovoľujem zaslať návrh novely výnosu č. 55/2014 Z. z. o štandardoch pre ISVS, v ktorom sú zmeny reflektujúce transpozíciu Smernice 2016/2102 o prístupnosti webových sídel a mobilných aplikácii verejného sektora. Ďalej sa upravujú bezpečnostné štandardy, technické štandardy a čiastočne dátové štandardy.

Prípadné pripomienky k návrhu nám prosím zasielajte prostredníctvom emailu najneskôr do 22.07.2018 podľa vášho členstva v jednotlivých skupinách k nasledovným bodom návrhu:

PS1: body č. 3, 4, 6, 14, 15
PS2: body č. 2, 9, 10, 11, 12, 13
PS3: body č. 1, 7, 8, 18, 19
PS4: body č. 2, 3, 4, 6, 17, 20, 21

Zároveň si vás dovoľujem upozorniť, že príloha č. 1 výnosu o štandardoch (navrhovaný bod 19) bude doplnená o znenie WCAG 2.1 v slovenskej verzii po oponentúre prekladu.

Niektoré návrhy zapracované do návrhu novely výnosu o štandardoch ešte neboli schválené samostatnými hlasovaniami pracovných skupín, avšak potreba ich úpravy vzišla zo Strategickej priority NKIVS Integrácia a orchestrácia a z pracovnej skupiny k NKIVS K 9.3 Architektúra.

Po skončení pripomienkovania budú príslušné body návrhu novely zaslané jednotlivým pracovným skupinám na ich schválenia prostredníctvo dištančného hlasovania v MetaIS."

K tomuto “pripomienkovaniu” za mňa posielam nasledovné stanovisko ( @hanecak ) :

Celkovo:
Žiadam aby ÚPVII rešpektovalo vlastný metodický pokyn k výnosu o štandardoch pre ISVS, konkrétne časť “4. Životný cyklus štandardov”. Zámery na zmenu štandardov majú najprv byť prerokované v pracovných skupinách, až následne môže byť nejaké paragrafové znenie pripomienkované a schvaľované. Za zmeny týkajúce s PS2 žiadam aby pred plánovaným hlasovaním v PS boli príslušné návrhy na rokovaní PS prezentované, v zmysle metodického pokynu bola vypracovaná analýza dopadov jednotlivých zmien a pracovná skupina o návrhoch rokovala.

K bodu 2:

Súhlasím s používaním štandardu HSTS. Nevidím však zmysel do výnosu o štandardoch pridávať ustanovenie pre konkrétny modul a §9 ani nie je na to vhodné miesto. Ak cieľom návrhu je zaistenie vyššej bezpečnosti pri používaní elektronických služieb cez web, navrhujem dôsledné uplatňovanie princípu “HTTPS only”. Zároveň v súčasnosti zkonštrukcie §9 vyplýva iba, že používanie HTTPS je povolené, avšak nie je jasné kde má byť povinné. Preto navrhujem preformulovať znenie bodu 2 nasledovne:

“2. V § 9 sa vkladá písmeno e), ktoré znie:
„e) používanie výlučne protokolu podĺa bodu d) a používanie protokolu HTTP Strict Transport Security (HSTS) pri poskytovaní elektronických služieb a rozhraní,”"

K bodu 9:

Nemám problém s tým, aby vedenie “zoznamu aktív” bolo povinné. Keďže však definícia aktíva je pomerne široká a všeobecná (viď. §2 písm.c) ), pre reálnu prax bude dôležité upresniť čo všetko má v zozname byť evidované. Bolo by vhodné to vymedziť aspoň voči kritickým aktívam (def. §29 písm. a) bod 9).
Špeciálne nejasný je zmysel bodov 3 a 4, keďže “používaný operačný systém” sa môže vzťahovať napr. na počítač nepripojený do siete a už vôbec nie je jasné čo sú “používané technológie”. v čase MPK preto navrhujem aby súčasne s týmto bodom bol známy návrh doplnenia metodického pokynu k výnosu o štandardoch, ktorý spôsob a rozsah vedenia “zoznamu aktív” upresní.

Taktiež nemám problém, aby úrady hocikomu posielali informácie podľa bodu 1-4 novo navrhnutého §31 písm.g). Upozorňujem však, že “zasielanie ÚPVII” určite nie je “štandardom pre manažment rizík” a nie je mi jasné, či takúto povinnosť možno vytvoriť v rámci v súčasnosti platného rámca pre štandardy ISVS podľa z.275/2006. Taktiež nie je jasné, čo ÚPVII so zozbieranými informáciami bude ďalej robiť a v rámci ktorej svojej existujúcej kompetencie (v zmysle zákona č.275/2006) sú pre neho potrebné a na aké konanie.

V §31 som nenašiel písm.g). Preto navrhujem z bodu 9 vypustiť vetu “Doterajšie písmeno g) sa označuje ako písmeno h)”.
Keďže však skutočná konsolidovaná verzia výnosu 55/204 nie je dobre dostupná, je možné že v skutočnosti písm.g) už existuje. Nedostupnosť aktuálneho znenia výnosu o štandardoch považujem aj za bezpečnostné riziko - opravte si konečne stránku http://informatizacia.sk/standardy-is-vs/596s !

K bodu 10:

Ako v predchádzajúcom bode, povinnosť nahlasovania bezpečnostných incidentov na ÚPVII nie je štandard ISVS.

V bode 5 nie je jasné, pri ktorých incidentoch a pre ktoré aktíva majú byť digitálne stopy zaisťované. Pre právnu istotu ako minimum navrhujem bod 5 doplniť na nasledovné znenie: “5. spôsob zaistenia digitálnych stôp bezpečnostného incidentu a určenie pre ktoré typy bezpečnostných incidentov a nimi doknutých aktiv budú digitálne stopy zaisťované.”

K bodu 12:

Podľa bodu f) sa má oznamovať “PGP verejný kľúč”. Pokiaľ je mi známe, súčasné štandardy nepredpisujú povinnosť takýmto kľúčom disponovať, ani zasielať elektronickú poštu pomocou PGP. Naopak, podľa §8 písm.b) sa má používať S/MIME. Preto navrhujem časť “, oznámiť aj PGP verejný kľúč pre každú kontaktnú osobu” vypustiť.

Pre posúdenie bodu g) je potrebné vedieť aké náklady u správcov aj ÚPVII budú spojené s “poskytovaním netflow … automatizovaným spôsobom” a či vôbec príslušní správcovia takéto údaje majú dnes k dispozícii.

Ako v predošlých bodoch, nahlasovanie na ÚPVII nie je štandard.

K bodu 13:

“Umožnenie vykonávať neinvazívne penetračné testy” pre ÚPVII nie je šandard. Ak ÚPVII potrebuje takéto testy vykonávať, môže to už dnes robiť v rámci výkonu kontrolnej činnosti podľa z.275/2006. Preto navrhujem písm.b) vypustiť.

Pre informáciu, v medzičase bolo “hlasovanie per-rollam” o návrhu novely výnosu o štandarodoch.
Návrh je presne to isté čo u bolo predtým “na pripomienkovanie” (v časti pre PS2, iné som nepozeral).

Žiadne pripomienky teda neakceptovali. K mojim nemám žiadne vyjadrenie. Neviem kto a aké pripomienky poslal.

Žiadal som veúceho PS (E.Šimko) aby nové veci bola normálne v PS prerokované - odmietol.
V hlasovaní sú zaznamenané 4 hlasy “za”, iné nič, skupina má 36 členov podľa MetaIS. Hlasovanie “vetoval” člen za MKSR. (Tým pádom sa hlasovanie uzavrelo, už som nestihol hlasovať, tiež by som vetoval.)
Keď som sa pýtal čo bude ďalej, Šimko povedal že veď s MKSR vyriešia ich pripomienku a tým je to vybavené, “ďalej bude hlasovať Komisia pre štandardy”.
Ale že “možno zvážia” aký bude ďalší postup.

Toto je hanba, takto sa štandardy nerobia…

Po dlhsej odmlke sa opat ide nieco diat v PS2, zacitujem z mailu z UPVII:

od 01.05.2019 je účinný zákon č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov (zákon o ITVS) https://www.slov-lex.sk/pravne-predpisy/SK/ZZ/2019/95/20190501, ktorý nám (ÚPPVII) ukladá povinnosť vydať nový vykonávací predpis k štandardom pre informačné systémy verejnej správy. V súčasnosti ho všetci poznáme ako výnos MF SR č. 55/2014 Z. z. o štandardoch pre informačné systémy verejnej správy v znení neskorších predpisov https://www.slov-lex.sk/pravne-predpisy/SK/ZZ/2014/55/20190501 .

Aktuálne sme v štádiu prípravy nového vykonávacieho predpisu k zákonu o ITVS v oblasti bezpečnosti, ktorý bude predstavený na 5. zasadnutí pracovnej skupiny PS 2. Súčasťou tohto vykonávacieho predpisu budú aj bezpečnostné štandardy.

V prílohe si Vám dovoľujeme zaslať pozvánku na 5. zasadnutie pracovnej skupiny PS 2, ktoré sa uskutoční dňa 30. mája 2019 od 9:30 hod. do 11:30 hod v bude Westend Court.

Potom este z agendy:

Program 5. zasadnutia PS 2:

  1. Otvorenie zasadnutia
  2. Príprava vykonávacieho predpisu v súlade s § 31 písm. a), písm. i) a písm. k) v spojení s § 32 zákona č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov
  3. Rôzne
  4. Záver zasadnutia

Áno, na stretnutí PS sa preberala vyhláška. Diskusia k tomu je tu: Vyhláška o klasfikácií informačných systémov a bezpečnostných opatreniach - pripomienkovanie
Prezentoval som tam rovnaké pripomienky ako v PS K9.8.

Aktuálny stav s vyhláškou viď. tu: Vyhláška o klasfikácií informačných systémov a bezpečnostných opatreniach - pripomienkovanie

Pracovnej skupine bol zaslaný takýto mail:

Vážení členovia PS2 pre bezpečnostné štandardy,

*dovoľujeme si Vás upozorniť na zverejnený útok na elektronické podpisy zahrnuté v PDF súboroch, najmä PAdES, na ktorý nás upozornil Národný bezpečnostný úrad SR. Podrobnosti sú zverejnené na nasledovnej adrese: *

https://pdf-insecurity.org/signature-shadow/shadow-attacks.html

Národný bezpečnostný úrad uvádza potrebu prijať opatrenia, aby jednotlivé orgány verejnej moci správnym spôsobom kontrolovali platnosť podpisov. Pri overovaní PAdES podpisov prípadne iných podpisov zahrnutých v PDF je potrebné na strane osoby overujúcej podpisy pracovať s príslušnou revíziou PDF a nie s PDF súborom ako celkom, nakoľko tento môže obsahovať úpravy vykonané po podpísaní dokumentu, čím môže prísť k prekrytiu podpísaných údajov.

Informácia s upozornením, ktorá nám bola zaslaná Národným bezpečnostným úradom SR sú v prílohe tohto mailu.

S pozdravom

Mgr. Simona Senková
odbor architektúry e-governmentu | sekcia informačných technológií verejnej správy

Informácia od NBÚ.docx (190.1 KB)
hideQF1.pdf (294.6 KB)

Na to som napísal takúto reakciu:

Dobrý deň,
uvedené typy útokov - manipulácia s PDF dokumentom po podpísaní - sú známe už dlhšiu dobu. Informovať všetky OVM je správne, avšak je absolútne neadekvátne iba ponechať to iba na vykonanie individuálnych opatrení každého OVM.

Žiadam o informáciu, ako budú gestori informatizácie verejnej správy a informačnej bezpečnosti, t.j. MIRRI SU a NBÚ SR koordinovať riešenie týchto zraniteľností na centrálnej úrovni (ako sa pýtal už aj p. Brza), a taktiež na individuálnej báze u jednotlivých OVM. Vykoná napr. aspoň niektorý z našich CERT tímov testovanie odolnosti na tieto zraniteľnosti u OVM? Je treba nejako kontrolovať už spracované dokumenty?

Zároveň postup, ktorý zaslalo NBÚ SR považujem za zásadne nedostatočný. Uvedená aplikácia totiž rozdelí PDF dokument na samostatné časti, pričom niektoré z nich ani nezobrazuje. Avšak obsahom podania je celý PDF dokument. Podľa môjho názoru nemá OVM oprávnenie “vybrať” nejakú jeho časť a spracovávať ju odlišne od ostatných, resp. nejakú časť dokumentu “ignorovať”. A to bez ohľadu na to, ktoré časti sú akým spôsobom validované (podpísané). V tejto oblasti taktiež očakávam jasné metodické usmernenie pre postup OVM.

Ľubor Illek
Slovensko.Digital

3 Likes

Tak veru. Bez ohladu na uvadzanu zranitelnost jedneho dna musela tato otazka prist na svetlo sveta.
Ano aj ked nebudeme hovorit o podstrcenom obsahu a zranitelnostiach, tak PDF format ma velke mnozstvo moznosti pouzitia a v kombinacii s podpisom PAdES vznikaju dalsie a dalsie kombinacie.
Na to sa celkom pozabudlo aj pri nase informatizacii. Uradnici sice vedia overit podpisany pdf dokument, lenze ako spravne poznamenavas predmetom podania je cely dokument a ten moze obsahovat neobmedzene mnozstvo podpisov a kazdy z tych podpisov sa moze vztahovat na iny obsah. Toto je uskalie o ktorom bezny uradnik netusi, takze ani neskuma po vyhlaseni overovaca podpisu ze je platny, ze co je vlastne tym platnym podpisom v dokumente podpisane. A ak je tam viac podpisov ci sa vztahuju na rovnaky obsah alebo kazdy z podpisov podpisal iny obsah.
Tento problem by sa mal podla mna objavit v nasich standardoch a od neho by sa mala praca uradnika z podpisanymi PDF dokumentami(PAdES) odvyjat (musi mat nastroj ktory mu toto vsetko poskytne v jednoduchej a prehladnej podobe).

3 Likes

Do PS prišiel takýto oznam o pripomienkovaní nového štandardu pre autorizáciu klikom:

…dovoľujeme si Vám zaslať na pripomienkovanie návrh štandardu pre potvrdenie autorizácie vykonanej podľa § 23 ods. 1 písm. a) bod 2 zákona o e-Governmente (tzv. “autorizácia klikom”). Návrh obsahovej štruktúry pripájame v prílohe. Zdôvodnenie návrhu je uvedené v samostatnej prílohe.

Vaše prípadné pripomienky najmä z hľadiska údajov uvádzaných v doložke, väzby medzi podaním a doložkou a prípadných návrhov na dodatočné požiadavky pre riešenie nám zasielajte najneskôr do 30. októbra 2020 na emailové adresy simona.senkova@vicepremier.gov.sk a monika.mosejova@vicepremier.gov.sk .

Predmetom pripomienkovania je potvrdenie o vykonanej autorizácii klikom. Technické riešenia autorizácie klikom sú mimo rámec tohto návrhu.

AutorizaciaKlikomNavrhStandardu_pripomienkovanie.pptx (47.8 KB)
Návrh autorizácie klikom_na pripomienkovanie.docx (16.6 KB)
Návrh autorizácie klikom_na pripomienkovanie.odt (7.6 KB)


Ak správne rozumiem mierne chaotickú dokumentáciu (samotné “znenie štandardu” je asi tak zrejmé, že je opomenuté), tak pointa návrhu je, že musí byť vytvorená “autorizačná doložka”, pomocou el. formulára, autorizované KEPečaťou OVM a zaslaná do el. schránky (toto zaslanie je vyžadované zákonom).
Za mňa po prvom prečítaní prečo nie, zmysel to má však iba ak úkon s jeho autorizáciou má byť nejako prenášaný od tohto OVM niekde von, ináč je to dosť prehnané. Čiže ako štandard pre “centrálnu autorizáciu klikom” je táto myšlienka v pohode.

1 Like

Vdaka. Toto si niekto dovolil nazvat navrhom? Kto to pripravoval?

zo skvostov vyberam

je možné jeho platnosť overiť v elektronických podateľniach, rozdiel je v tom, že údaje o autorizujúcej osobe klikom sú uvedené v doložke a nie v pečati, ktorou iba prístupové miesto potvrdzuje úspešný a plnohodnotný úkon autorizácie klikom"

`

1 Like

Pridal by som do tohto zoznamu problemov aj PDF parser differentials, kedy rozne PDF readery alebo ich verzie zobrazuju pre jeden PDF subor rozne veci. PDF standard je imho taky ze nejaky podpis na PDFku sa neda moc dobre (bez presnej konfiguracie toho konkretneho cieloveho readra a systemu) na ten content naviazat. Vcelku zaujimave utoky na statnu spravu by sa tu dali realizovat ak by mal utocnik informacie o PDF readroch.

Aký v tom je problém?

Tazko sa vysvetluje problem v tom gulasi pojmov…terminus technicus “platnost asic”, ktorym veta zacina je non-sense, udaje o autorizujucej osobe(konkretne fyzickej) v pacati?, existujuca podatelna mi je naco, ked podstatne - “autorizaciu osobou” neoverim pri kliku…a pri nekliku budem musiet vyhodnocovat podpis (asi) aj voci dolozke?

Cely tento nezmysel len dalej veci komplikuje, vymysla sa hranate koleso … Ked uz, preco sa jednoducho tie udaje, ktore chcu davat do “dolozky” nedoplnia do dorucenky? Co tymto ziskam naviac?

Ok skusil som odpovedat, skus prosim aj Ty, Vieme, kto konkretne to pripravoval? (clovek, skupina, oddelenie…)

Zda sa ze sa ide tvrdohlavo proti vlastnorucnemu podpisu (KEP) resp. je citit tlak na zrovnopravnenie kliku s vlastnorucnym podpisom…
"Môže sa používať pre všetky elektronické podania (t.j. údaje vyplnené podľa elektronického formulára), pri ktorých sa nevyžaduje úradne overený podpis. " - teda takto napisany text obchadza KEP ktory je nahradeny autorizaciou nizsej urovne.

Podanie kde sa nevyzaduje v podstate nic rovnako ako podanie u ktoreho nejaky zakon pozadoval vlastnorucny podpis tymto klikom splnia rovnake kriteria na autorizaciu.

Dobre uz nebudem pisat o tom o tom ako degradujeme vlastnorucny podpis-KEP.

Len si vsimnime napr. v CR u nich podanie cez datovu ma rovnake ucinky ako ukon ucineny pisomne a podpisany. (vsimnime si ze ani naznakom nehovori o vlastnorucnom podpise ani ked tam ziadny nieje aj tak sa sprav takto zaslana povazuje za podpisanu.)

(2) Úkon učiněný osobou uvedenou v § 8 odst. 1 až 4 nebo pověřenou osobou, pokud k tomu byla pověřena, prostřednictvím datové schránky má stejné účinky jako úkon učiněný písemně a podepsaný, ledaže jiný právní předpis nebo vnitřní předpis požaduje společný úkon více z uvedených osob.

Elegantne, jednoduche, pochopitelne a tam kde sa vyzaduje vyssi typ autorizacie tak sa tam taka pouzije. Ale tu ju neriesia. Neni treba postacuje.

99percent podpisovanych veci spada do tejto kategorie. A tych par podani kde musi byt z dovodu napr. zakona kvalifikovany alebo osvedceny podpis to uz je nic to ani netreba riesit to uz mame.
CR definicia elegantne pomenovala ukon ako ucineny pisomne a podpísaný (bez ohladu ci si ho elektronicky podpisal alebo nie). Vsetko vypovedajuce a nepokusa sa prerobit KEP-vlastnorucny podpis k obrazu svojemu. Vety absolutne jasne.

Navrhoval by som tuto vetu:
"Môže sa používať pre všetky elektronické podania (t.j. údaje vyplnené podľa elektronického formulára), pri ktorých sa nevyžaduje úradne overený podpis. "
upravit v style a neformulovat ju ze co sa mozepouzivat, ale jednoducho konstatovat ze ukon ucineny prostrednictvom schranky sa automaticky povazuje za ukon urobeny pisomne a podpisany.
Vynimky iba tam kde zakon stanovi kvalifikovany alebo osvedceny podpis.

Dosiahne sa pozadovany ucinok a nedojde k zrovnopravneniu vlastnorucneho podpisu s nizsim stupnom autorizacie

Priznam sa, ze nerozumiem tomuto tvrdohlavemu davaniu rovnitka medzi vlastnorucny podpis a KEP.

Autorizacia klikom je sposob ako spravit vlastnorucny podpis. KEP je sposob ako urobit vlastnorucny podpis. Oba sa pouzivaju v uplne v inych kontextoch (jeden pre podania vnutrostatne, druhy pre akekolvek podpisovanie v ramci eidas aj B2B a medzi ludmi zaroven, je pochopitelne, ze to bude vyrazne komplikovanejsie).

Rad si necham vysvetlit aky je rozdiel medzi tymto a vlastnorucnym podpisom (nie KEP!). Resp. co presne by bolo inak, keby sme to trebars presne takto napisali aj do nasho zakona.

Nedal som ho tam ja ale eIDAS.

Bohuzial to sa neda takto jednym prispevkom.
Dobre clanky o tom su napr na lupa.cz, alebo nedavno vysla pravnicka publikacia pod nazvom
Elektronické právní jednání (Vojtěch Kment). Neviem ti viac k tomu povedat lebo je to zlozitejsie ako sa na prvy pohlad zda…

Veruze nedal, mame tu o tom uz nejednu siahodlhu diskusiu. To, ze KEPom sa da spravit vlastnorucny podpis este neznamena, ze sa to nemoze spravit aj inak. Implikacia nie je ekvivalencia.