Kaj je Cynet 360 in zakaj mu slovenska država zaupa?
Zaupanje v programsko in strojno opremo, zlasti kadar služi prenosu občutljivih informacij, je ključno pri vzpostavljanju kateregakoli sistema. Iz zgodovine poznamo primere, ko so obveščevalne službe več desetletij prisluškovale, ker so uspele sovražnikom podtakniti kompromitirano opremo.
Tak primer je švicarsko podjetje Crypto AG, ki je bilo od 70. let preteklega stoletja pod nadzorom ameriške in nemške obveščevalne službe. V izdelke za varno komuniciranje in šifriranje so vstavili stranska vrata, da so lahko neomejeno prisluškovali kupcem: Iranu, Pakistanu, Argentini in številnim drugim državam. To ni osamljen primer, saj je na primer Omnisec podobno kompromitiran, pa smo to izvedeli šele leta 2020. Preveriti posamezno programsko opremo pa je brez dostopa do izvorne kode praktično nemogoče.
Skočimo v sedanjost - v Sloveniji bomo očitno kupili sistem Cynet 360, piše v predlanskem Načrtu za okrevanje in odpornost. Gre za programsko opremo, ki na računalnikih analizira delovanje in odkriva morebitne grožnje in vdore. Taka oprema ima popoln dostop do sistema, zato mora biti absolutno zaupanja vredna. Kaj pa vemo o Cynetu? Izraelsko podjetje Cynet se je preselilo v ZDA, financirajo pa ga skladi in izraelski podjetnik, ki je bil v preteklosti član tamkajšnje vojaške enote za kibernetsko vojskovanje.
Cynet 360 naj bi že uporabljal vsaj en slovenski državni organ. Ali lahko Cynetu zaupamo? Tega ne vemo, prvi vtisi pa niso najbolj optimistični. V preteklosti so v Cynet 360 že odkrili zelo resne, a hkrati osnovnošolske varnostne ranljivosti. Podjetje jih je po opozorilu popravilo, a se sploh ne bi smele pojaviti. Cynet trdi, da so vse ranljivosti odpravili. Te so namreč omogočale dostop do podatkov tudi napadalcem, pri čemer se razume, da ima dostop tudi Cynet. Podjetje zagotavlja, da tega nikoli ne bodo zlorabljali. Pri tem jim moramo žal verjeti na besedo.
Več o sistemu Cynet 360 v prispevku varnostnega strokovnjaka Mateja Kovačiča: Telefoncek
Odziv
Iz podjetja Cynet smo dobili naslednji odziv. V osnovi se nanaša na specifične zapise na blogu Telefonček, vendar ga objavljamo tudi tukaj. Zapisan je v Angleščini.
Komentarji
zelenj@var | 15.1.2023 | 17:18
Ne razumem, zakaj se je avtor spustil prav in samo v Cynet. Na portalu CVE Details: https://www.cvedetails.com/ lahko preverite varnostne pomanjkljivosti programske opreme 2.091 ponudnikov, vključno s produkti kibernetske varnosti. Je Cynet edina rešitev za kibernetsko varnost, ki jo uporabljajo v slovenski državni upravi? Slabo za Monitor, da se kot medij, ki ponuja bralcem najpopolnejši pregled ponudbe informacijske in telekomunikacijske tehnologije v Sloveniji, sklicuje na takšne enostranske zapise. Lahko predstavite takšne zanimive informacije tudi za ostale ponudnike, ki dobavljajo produkte kibernetske varnosti slovenski državni upravi?
JohnnyBoi | 16.1.2023 | 08:02
Neumnost. Iz članka se vidi, da je sponzoriran s strani konkurence. Avtor pa se blamira ali pa nima elementarnih znanj s področja kibernetske varnosti. V Sloveniji uporabljamo ( vključno z javnimi institucijami) desetine varnostnih programov in vsak od njih je v določeni meri ranljiv. Velika večina bistveno bolj kot Cynet. Ravno tako obveščevalne službe, če želijo nadzirati delovanje institucij ne potrebujejo "backdoor-ov" v XDR-ju temveč to počnejo na bolj sofisticiran način. Predlagam, da ne objavljate takih neumnosti, ker se stroka smeji.