Bezbranné Česko
Tajná zpráva: Ochrana proti hackerům je zoufalá.
Česká ministerstva mají zásadní problém. Často nemají pod kontrolou své vlastní informační systémy, protože si je nechávají spravovat externími společnostmi.
A to z nich dělá ideální cíl nepřátelských hackerů.
Je to jeden ze závěrů nové tajné analýzy Národního úřadu pro kybernetickou a informační bezpečnost. Podle nového ředitele tohoto úřadu Dušana Navrátila jsou ministerstva rukojmími správců svých informačních systémů.
Analýzu si zadala vláda poté, co se provalil hackerský útok na české ministerstvo zahraničí. Tehdy měli dosud neznámí útočníci měsíce přístup i ke komunikaci špiček diplomacie a k informacím o spojencích.
Tento lednový útok měl jeden pozitivní efekt. Ministři a vrcholní úředníci si prý uvědomili, že je třeba s hackery počítat. A že je tedy nutné o kybernetickou bezpečnost řádně dbát. Proto počítačoví experti, kteří mají za úkol stát před kybernetickým napadením chránit, několik měsíců kontrolovali informační systémy také na všech ostatních ministerstvech.
Zjistili, že to je velmi špatné.
Nevýhodné smlouvy na IT
„Narážíme na ministerstva, kde to je outsourcováno takovým způsobem, že mají na své informační systémy jen minimální vliv. Ministerstva jsou na těch IT firmách závislá a bojí se nevýhodné smlouvy vypovídat. Někde by se dalo říci, že jsou těmi firmami až vydírána,“popsal v rozhovoru s MF DNES výsledky jejich práce Dušan Navrátil. Ten dříve šéfoval Národnímu bezpečnostnímu úřadu.
Správu klíčových systémů, které obsahují data o milionech Čechů, totiž mnohdy stát v nevýhodných tendrech svěřil soukromým firmám. Důsledek je jasný. Ač úřad, kterému Navrátil šéfuje, vznikal několik let a investovaly se do něj stovky milionů korun, nedokáže dostatečnou obranu proti hackerům ministerským systémům zaručit.
A právě v ministerských databázích jsou mnohdy informace kriticky důležité pro miliony lidí i pro bezpečnost státu. „Dovedete si asi představit, co by se stalo, kdyby se někdo, kdo chce nějaký stát poškodit, dostal třeba do systému dávek důchodového zabezpečení a tam začal pozměňovat data? Když by to dost dlouho dělal bez odhalení, přemazaly by se i zálohy a najednou by celý systém byl nefunkční,“uvedl obecný příklad Navrátil.
Disky zmizely za oceánem
Podle něj už experti z nového úřadu narazili například na incident, kdy na jednom z ministerstev najatá firma „outsourcovala“dokonce i disky, na něž ministerstvo ukládalo svá data. O dvou z nich, které obsahovaly e-mailovou komunikaci, pak dokázali zjistit pouze to, že zmizely do Spojených států ještě předtím, než státní experti stihli zasáhnout. Aby se tomuto nebezpečí v budoucnosti zabránilo a klíčová data se vrátila pod kontrolu státu, bude třeba si připravit miliardy.
Že kromě kybernetického nebezpečí může outsourcing IT služeb a následně neobezřetně uzavřené smlouvy přinést taky závratné náklady, ukazuje dění na ministerstvu práce a sociálních věcí. To v současnosti platí 500 milionů ročně.
Podle mluvčího Petra Habáně se zde IT firma uchytila už v roce 1993 a za celou dobu práce pro ministerstvo neprošla řádným výběrovým řízením. Ministerstvo teď zakázku na vytvoření a správu informačního systému rozdělilo, nově by ho teď všechno stálo přibližně desetkrát méně.
Lukáš Valášek Vojtěch Srnka