Bezpečnost prověří ostrý provoz
Funkčnost i zabezpečení EET budou záviset na tom, jaký systém si obchodník pořídí
PRAHA Elektronická evidence tržeb (EET) vyvolává kromě jiných i otázky technické. Především týkající se funkčnosti, stability a bezpečnosti.
Ministerstvo financí po nátlaku odborné veřejnosti sice zveřejnilo technologické specifikace, vzápětí ale dodalo, že část studie je neaktuální. Definitivní podobu technického fungování systému má dokončit v květnu. Systémem by přitom mělo během jedné vteřiny proletět průměrně 347 účtenek. Podle plánu ministerstva by měl ale zvládnout i 4000 účtenek naráz.
Rozhodne lidský faktor
Odborníci na IT se shodují, že funkčnost i bezpečnost EET bude záležet na provedení. Za většinu věcí jsou ale paradoxně zodpovědní samotní uživatelé. Zákon definuje standardy, ovšem zda koncové zařízení, aplikace a systémy komunikují s EET, už je problémem konkrétního poplatníka.
„Na kolik bude systém stabilní, v tuto chvíli říci nelze, protože je to otázka implementace. I excelentně navržený systém bude kvůli podceněné či záměrně špatně provedené implementaci velký průšvih. Ze znalostí českého prostředí bych se toho trochu obával,“říká David Řeháček ze společnosti Check Point Software.
„Bezpochyby bude ale velmi záležet na výběrovém řízení a dodavatelích,“potvrzuje Michal Stachník, generální ředitel společnosti Cisco Systems.
Verzí technických specifikací už bylo vypracováno několik a odborná veřejnost se do nich ráda trefovala. Ať už kvůli slabému šifrování, nebo pro používání zastaralých IT standardů. Bezpečnost systému by teoreticky, při dodržení všech pravidel, neměla být problém. Technické prostředky pro to v současnosti existují. Největším rizikem tak podle Řeháčka bude lidský faktor, ať už se bude jednat o záměrné, či nechtěné počínání.
„Zatím to vypadá, že téma bezpečnosti je v předpisech řešeno jen velice ‚standardně‘,“uvádí Stachník z firmy Cisco Systems.
V režii ministerstva financí
Do jaké míry mohou být data v systému EET atraktivní pro kyberzločince, je podle expertů těžko kvantifikovatelné. Jde o žoldáky pracující na objednávku. Útoky a jejich intenzita tedy budou záviset na objednavatelích.
„Česká republika bývá oblíbeným testovacím polygonem jak pro ty ‚dobré‘, tak i pro ty ‚zlé‘ hochy. Jsme totiž dostatečně velcí, aby to mělo vypovídající hodnotu, ale zároveň ne dost velcí, aby to byl příliš velký malér,“dodává Stachník.
Přesto systém EET nevzniká jako budoucí součást zákona o kybernetické bezpečnosti, který sta- novuje nejen nutné parametry, ale i pravidelné bezpečnostní audity a bezpečnostní testy.
„Systém EET s námi nikdo nekonzultoval. Úřadů a jejich interních systémů je v České republice mnoho a my nemáme kapacity na to, abychom všechny obcházeli a kontrolovali,“uvedl Vladimír Rohel, ředitel Národního centra kybernetické bezpečnosti, které na plnění zákona dohlíží.
Zákon vyděluje takzvané významné informační systémy, kam by právě EET mohla patřit. Jejich první soupis sice stanovila vyhláška, další rozšiřování o nově vzniklé systémy už však závisí na ohlášení samotných úřadů.
Bezpečnostní úřad nyní pracuje na rozšiřování seznamu prvků takzvané kritické informační infrastruktury, kam mohou spadat státní i soukromé subjekty. „Kritičnost“systému EET, jak ji definuje zákon, je však podle Rohela diskutabilní.