Po úpravách softwaru Státní pokladny zůstaly bezpečnostní díry. Ministerstvo financí neví, kdo a odkud mohl nahlížet do citlivých dat a měnit je
Ministerstvo financí má problém. Jeho informačněekonomický systém Státní pokladna, v kterém se eviduje hospodaření celého státu, má bezpečnostní trhliny. A to přestože je systém součástí kritické kybernetické infrastruktury země a z hlediska IT na úrovni eráru v této zemi nic významnějšího neexistuje (viz box Vrchní účetní Česka).
Ze zjištění týdeníku Euro vyplývá, že do počítačového systému mají přístup civilisté, kteří se mohou dostat k citlivým státním informacím a důležitým ekonomickým datům, ať už v rámci resortu financí, nebo dalších složek veřejné a státní správy. Data můžou „vytáhnout“ a pracovat s nimi, třeba i prodat bonitním zájemcům. V extrémním případě by hackeři mohli v systému provést změny, a dokonce vyřadit celý software z provozu. Následky zablokování státních plateb, třeba výplaty důchodů, sociálních dávek nebo různých dotací, by mohly být pro spoustu jedinců i firem zcela fatální.
Andrejův pohrobek
„Státní pokladna je děravá od dob, kdy si ministerstvo financí pod vedením Andreje Babiše nechalo programovat různé nadstavby nad tento systém, ale dodělávaly se idalší softwary v resortu. Když tyto projekty skončily, tak řadě externích programátorů nikdo neodebral přístup do systému, takže mají - více či méně -otevřenou cestu k zajímavým údajům, možná i zásahům do kódu (změně funkčnosti softwaru - pozn. red.),“ popisuje situaci zdroj týdeníku Euro s tím, že se může jednat až o desítky rizikových, tedy nehlídaných účtů.
U systému, který se řadí mezi kritické prvky státní správy, je takové pochybení naprosto bezprecedentní a především nepochopitelné. „Šikovný a jiák, který disponuje přístupovými údaji, se přes různé skuliny v systému může dostat ke klíčovým informacím státní správy, ať už to jsou platební příkazy eráru směrované do České národní banky, nebo třeba detailní údaje o státním rozpočtu. Systém, respektive ministerstvo financí, v daný čas určitě nevyhovuje zákonu o kybernetické bezpečnosti,“ říká manažer z IT branže obeznámený se situací, který si nepřál být jmenován.
Nekecáme, mlžíme
Ministerstvo financí připouští, že si je určitých hrozeb vědomo, a přijímá opatření proti vniknutí zvnějšku, které však nemůže konkretizovat, neboť by zveřejnění mohlo posloužit „k návodnému zneužití“. Na přímou otázku, zda systém v současné době splňuje veškeré legislativní náležitosti (dle zákona o kybernetické bezpečnosti), odpověděl mluvčí Filip Běhal vyhýbavě: „Požadavky zákona 181/2014 Sb. jsou průběžně plněny a vyhodnocovány. Případné zjištěné nedostatky jsou postupně eliminovány v souladu s harmonogramem.“
Stejně neurčitě reagoval mluvčí na dotaz, zda ministerstvo řeší současnou situaci s Národním centrem kybernetické bezpečnosti a Národním úřadem pro kybernetickou a informační bezpečnost (NÚKIB), tedy novými státními úřady, jež mají hlídat ICT bezpečnost Česka.
„Spolupráce s NÚKIB probíhá na úrovni metodické pomoci včetně pokynů pro odstranění nedostatků. Konkrétní informace jsou považovány za neveřejné údaje,“ uvedl Běhal pro týdeník Euro.
Nezaplacené faktury
Podle dostupných informací již ministerstvo financí vyřešilo základní problém, tedy odebrání přístupů civilistům do Státní pokladny, situace však není tak banální, jak se na první pohled může zdát. Prvotní opatření je totiž jen dílčím řešením komplexního problému. Resort kupříkladu neví, kdo a odkud do Integrovaného informačního systému Státní pokladny (IISSP) nahlíží či provádí změny, neboť systém nedisponuje programem pro hlídání zákaznického kódu či řízení přístupových práv.
„Finance vůbec nemají ponětí, kdo do státní kasy leze, a pokud se to někde neprovalí, nemají ani jak to zjistit“ popisuje zdroj týdeníku Euro.
Situace v resortu financí je podle všeho kritická. V létě po několikaletém působení odešel Tomáš Bauer, vedoucí oddělení Kybernetická bezpečnost a strategické řízení ICT resortu. Je otázkou, zda odešel dobrovolně - například proto, že nechtěl být svědkem nějakého bezpečnostního incidentu -, nebo z jiných důvodů. Faktem je, že kvůli vyhrocené situaci ministerstvo nezaplatilo některým IT dodavatelům faktury za odvedenou práci. „Ano, to je pravda,“ potvrdil mluvčí Běhal.
Situaci s mírným znepokojením sleduje společnost SAP, na jejímž softwaru je základ Státní pokladny postaven.
„Ministerstvo financí si v listopadu loňského roku objednalo posouzení míry zranitelnosti vybraných prvků IISSP, tedy kontrolu částí systému Státní pokladny. Závěry posouzení a naše doporučení byly ministerstvu předány v lednu 2017, cena analýzy byla 19 900 korun bez DPH. Bližší informace nemůžeme komentovat,“reagoval Jiří Malík, ředitel pro sektor veřejné správy v SAP ČR. Bez komentáře nechala současnou situaci společnost Atos, která se poslední dva roky stará o provoz IISSP.
„Nejsme kompetentní vyjadřovat se k bezpečnostním otázkám,“ uvedl mediální zástupce Atosu Jaroslav Tík. •
Vrchní účetní Česka
Integrovaný informační systém Státní pokladny, jak zní oficiální název robustního počítačového systému, se skládá z několika modulů, jejichž plná funkčnost je zcela zásadní pro bezproblémový c h o d státu.
Název modulu Centrální systém účetních informací státu sám avizuje, co řeší; část nazvaná Rozpočtový informační systém s několika moduly zase slouží úředníkům resortu pro plánování a samotnou realizaci státního rozpočtu.
Manažerský informační systém umožňuje úředníkům „vytáhnout“ z erárních databází důležité informace podle aktuálních požadavků a Ekonomický informační systém Úřadu vlády funguje jako základní byznysový software.
IISSP je postaven na softwaru SAP, vítězem tendru za 2,2 miliardy korun v roce 2008 se stala společnost IBM, v současnosti systém spravuje Atos IT Solutions and Services (loňské náklady ve výši 303 milionů).
Celkově již ministerstvo financí do IISSP investovalo 5,753 miliardy korun.
mld. Kč 5,753
dosud investovalo ministerstvo financí do vybudování a provozu Státní pokladny.
uživatelů 28 854
Následky zablokování státních plateb, třeba výplat důchodů, sociálních dávek nebo různých dotací, by mohly být pro spoustu jedinců i firem zcela fatální.
O autorovi| Ondřej Hergesell, hergesell@mf.cz
