Po úpravách softwaru Státní pokladny zůstaly bezpečnostní díry. Ministerstvo financí neví, kdo a odkud mohl nahlížet do citlivých dat a měnit je.
Ministerstvo financí má problém. Jeho informačně-ekonomický systém Státní pokladna, ve kterém se eviduje hospodaření celého státu, má bezpečnostní trhliny. A to přestože je systém součástí kritické kybernetické infrastruktury země a z hlediska IT na úrovni eráru v této zemi nic významnějšího neexistuje.
Ze zjištění týdeníku Euro vyplývá, že do počítačového systému mají přístup civilisté, kteří se mohou dostat k citlivým státním informacím a důležitým ekonomickým datům, ať už v rámci resortu financí nebo dalších složek veřejné a státní správy. Data můžou „vytáhnout“ a pracovat s nimi, třeba i prodat bonitním zájemcům. V extrémním případě by hackeři mohli v systému provést změny, a dokonce vyřadit celý software z provozu. Následky zablokování státních plateb, třeba výplaty důchodů, sociálních dávek nebo různých dotací, by mohly být pro spoustu jedinců i firem zcela fatální.
Andrejův pohrobek
„Státní pokladna je děravá od dob, kdy si ministerstvo financí pod vedením Andreje Babiše nechalo programovat různé nadstavby nad tento systém, ale dodělávaly se i další softwary v resortu. Když tyto projekty skončily, tak řadě externích programátorů nikdo neodebral přístup do systému, takže mají – více či méně – otevřenou cestu k zajímavým údajům, možná i zásahům do kódu (změně funkčnosti softwaru – pozn. red.),“ popisuje situaci zdroj týdeníku Euro s tím, že se může jednat až o desítky rizikových, tedy nehlídaných účtů.
Babiš rozmlouval Němcům srovnání s Orbánem. Přečtěte si více
U systému, který se řadí mezi kritické prvky státní správy, je takové pochybení naprosto bezprecedentní a především nepochopitelné. „Šikovný ajťák, který disponuje přístupovými údaji, se přes různé skuliny v systému může dostat ke klíčovým informacím státní správy, ať už to jsou platební příkazy eráru směrované do České národní banky nebo třeba detailní údaje o státním rozpočtu. Systém, respektive ministerstvo financí, v daný čas určitě nevyhovuje zákonu o kybernetické bezpečnosti,“ říká manažer z IT branže obeznámený se situací, který si nepřál být jmenován.
Nekecáme, mlžíme
Ministerstvo financí připouští, že si je určitých hrozeb vědomo, a přijímá opatření proti vniknutí zvnějšku, které však nemůže konkretizovat, neboť by zveřejnění mohlo posloužit „k návodnému zneužití“. Na přímou otázku, zda systém v současné době splňuje veškeré legislativní náležitosti (dle zákona o kybernetické bezpečnosti), odpověděl mluvčí Filip Běhal vyhýbavě: „Požadavky zákona 181/2014 Sb. jsou průběžně plněny a vyhodnocovány. Případné zjištěné nedostatky jsou postupně eliminovány v souladu s harmonogramem.“
Stejně neurčitě reagoval mluvčí na dotaz, zda ministerstvo řeší současnou situaci s Národním centrem kybernetické bezpečnosti a Národním úřadem pro kybernetickou a informační bezpečnost (NÚKIB), tedy novými státními úřady, jež mají hlídat ICT bezpečnost Česka. „Spolupráce s NÚKIB probíhá na úrovni metodické pomoci včetně pokynů pro odstranění nedostatků. Konkrétní informace jsou považovány za neveřejné údaje,“ uvedl Běhal pro týdeník Euro.
Nezaplacené faktury
Podle dostupných informací již ministerstvo financí vyřešilo základní problém, tedy odebrání přístupů civilistům do Státní pokladny, situace však není tak banální, jak se na první pohled může zdát. Prvotní opatření je totiž jen dílčím řešením komplexního problému. Resort kupříkladu neví, kdo a odkud do Integrovaného informačního systému Státní pokladny (IISSP) nahlíží či provádí změny, neboť systém nedisponuje programem pro hlídání zákaznického kódu či řízení přístupových práv. „Finance vůbec nemají ponětí, kdo do státní kasy leze, a pokud se to někde neprovalí, nemají ani jak to zjistit“ popisuje zdroj týdeníku Euro.
Situace v resortu financí je podle všeho kritická. V létě po několikaletém působení odešel Tomáš Bauer, vedoucí oddělení Kybernetická bezpečnost a strategické řízení ICT resortu. Je otázkou, zda odešel dobrovolně - například proto, že nechtěl být svědkem nějakého bezpečnostního incidentu -, nebo z jiných důvodů. Faktem je, že kvůli vyhrocené situaci ministerstvo nezaplatilo některým IT dodavatelům faktury za odvedenou práci. „Ano, to je pravda,“ potvrdil mluvčí Běhal.
Situaci s mírným znepokojením sleduje společnost SAP, na jejímž softwaru je základ Státní pokladny postaven. „Ministerstvo financí si v listopadu loňského roku objednalo posouzení míry zranitelnosti vybraných prvků IISSP, tedy kontrolu částí systému Státní pokladny. Závěry posouzení a naše doporučení byly ministerstvu předány v lednu 2017, cena analýzy byla 19 900 korun bez DPH. Bližší informace nemůžeme komentovat,“reagoval Jiří Malík, ředitel pro sektor veřejné správy v SAP ČR. Bez komentáře nechala současnou situaci společnost Atos, která se poslední dva roky stará o provoz IISSP. „Nejsme kompetentní vyjadřovat se k bezpečnostním otázkám,“ uvedl mediální zástupce Atosu Jaroslav Tík.
Čtěte také