Bitva tajných služeb s ministerstvem vnitra o citlivá data

Internet_cloudpomputing. Zdroj: www.pixabay.com

Ministerstvo vnitra chce vytvořit státní „supercloud“. Bezpečnostní složky se bojí o bezpečnost citlivých dat. Vnitro přitom obchází tajné služby a šermuje hausnumery.

Bezpečnostní informační služba (BIS) požaduje výslovné vynětí všech informačních systémů zpravodajských služeb z působnosti Národní strategie cloud computingu. Tou se ministerstvo vnitra snaží získat pod svá křídla drtivou většinu informačních systémů veřejné správy. Klíčovým opatřením má být postupná migrace stávajících aplikací/ICT do eGovernment cloudu. Pro ministerstva a státní instituce by měla být povinná. Vyňaty z této povinnosti by měly být pouze některé specializované ICT služby armády, bezpečnostních složek a ČNB. Část informačních systémů zpravodajských služeb, armády a policie by však měly migrovat do cloudu o jehož tvorbě a zabezpečení panují v bezpečnostní komunitě všeobecně sdílené pochybnosti. Nejasný zůstává podíl komerčních firem v tomto projektu. V rámci meziresortního připomínkového řízení tak zaznívají ostře formulovaná nesouhlasná stanoviska bezpečnostních složek. Bojí se o citlivá data, kterými disponují a nedůvěřují schopnosti ministerstva vnitra je řádně zabezpečit. Centralizace datových úložišť navíc činí systém zranitelnější při kybernetických útocích. Obavy bezpečnostních složek podporuje i neprofesionální zpracování samotné strategie, která je zralá na zásadní přepracování.

„Informační systémy zpravodajských služeb včetně tzv. komoditních informačních systémů obsahují množství citlivých nebo utajovaných informací důležitých pro bezpečnost České republiky. Z tohoto důvodu jsou tyto informační systémy vyňaty z působnosti zákona o informačních systémech veřejné správy. Začlenění informačních systémů zpravodajských služeb do státního cloudu by vyžadovalo certifikaci státního cloudu Národním bezpečnostním úřadem pro zpracovávání utajovaných informací. Toto řešení by ovšem přineslo vysoké ekonomické i organizační náklady, které by projekt státního cloudu učinily nerealizovatelným“ uvádí ve zdůvodnění BIS.

Tajemství před tajnými službami

Ministerstvo vnitra se při prosazování svého záměru snažilo tajné služby obejít. Ty si to ale nenechaly líbit a důrazně se ozvaly. „Úřad pro zahraniční styky a informace nebyl zahrnut mezi připomínková místa k předmětnému materiálu (obdobně jako ostatní zpravodajské služby), přestože dle dikce bodu 4. „Subjekty VS, kterých se strategie týká“ (konkrétně na str. 11), se materiál informačních systémů bezpečnostní složek zcela jednoznačně týká“ napsala ministerstvu vnitra česká civilní rozvědka. Úřad pro zahraniční styky a informace dále pokračuje v ostrém tónu: „Informační systémy zpravodajských služeb jsou z působnosti výše uvedeného zákona vyňaty (komplexně), neboť obsahují citlivé nebo utajované informace, jež jsou nezbytné pro bezpečnost České republiky. Národní strategii cloud computingu tedy na tyto systémy nelze uplatňovat, a to ani u specifických nebo komoditních ICT systémů.“

Národní bezpečnostní úřad dává od strategie ruce pryč

Výhrady ke strategii ministerstva vnitra uplatnil i Národní bezpečnostní úřad (NBÚ). Odstup od zvláštního postupu vnitra při přípravě a prosazování strategie vyjádřil následovně: „Závěrem obecných zásadních připomínek uvádíme, že NBÚ se na tvorbě materiálu přímo nepodílel, pouze se vyjadřoval k některým bodům v oblasti kybernetické bezpečnosti. Z tohoto důvodu NBÚ požaduje, aby v materiálu nefiguroval jako spoluautor a aby nebyl použit jeho logotyp, ani logotyp jeho odborného organizačního celku  – Národního centra kybernetické bezpečnosti (NCKB).“ NBÚ dále vytýká strategii ministerstva vnitra řadu nedostatků v oblasti kybernetické bezpečnosti. NBÚ rovněž zpochybňuje data, na jejichž základě byla strategie zpracována „Kalkulace výnosnosti (odhadu úspor) realizace dané strategie je podložena nesprávnými údaji, dostupnými na webu ISVS. Strategie není rozpočtově neutrální, a proto je nezbytné doplnit materiál fundovanou analýzou nákladovosti nejen průběžného financování poskytování služeb, ale především vyčíslit samotnou výstavbu a provést analýzu návratnosti investic.“ uvádí NBÚ.

Hausnumera ministerstva vnitra, miliardy místo statisíců

Na nesprávné údaje ve strategii upozorňuje rovněž Policie ČR. „Požadujeme opravit zcela chybně určenou částku 134,8 miliard na reálnou hodnotu. Reálná hodnota bude po opravě chyb v použitém zdroji v řádu maximálně nízkých desítek mld. Kč. (např. soudní exekutor Mgr. Jiří Král neprovozuje IS s pořizovací hodnotou 4 mld. Kč ale cca 100 tis. Kč, město Třeboň neprovozuje spisovou službu s pořizovací hodnotou 2,56 miliardy, ale cca 2,5 milionu Kč, město Třeboň neprovozuje spisovou službu s náklady 640 mil. Kč ročně, ale pouze 640 tis. Kč ročně)“ vypočítává Policie. Rovněž Policie požaduje, aby se „Armády, bezpečnostních složek a ČNB strategie netýkala“. Generální inspekce bezpečnostních sborů (GIBS) dodává, že předkládaný návrh Národní strategie cloud computingu je v přímém rozporu se stávajícím zněním zákona, kdy se na informační systémy určených subjektů  vztahují výjimky z povinností upravujících zřizování a provoz informačních systémů veřejné správy.

I Armáda se obává o bezpečnost dat

S povinným využitím eGovernment cloudu pro systémy Ministerstva obrany a ozbrojených sil nesouhlasí ani resort ministra Stropnického a požaduje upravit Národní strategii cloud computingu tak, aby využití služeb bylo pro všechny systémy ozbrojených sil ČR, Ministerstva obrany a dalších součástí rezortu MO nepovinné (tj. dobrovolné). „Informační systémy resortu obrany zpracovávají z velké části odlišnou agendu od ostatních komoditních ERP systémů státu. Jedná se především o zajištění logistické podpory ozbrojených sil ČR, personální systémy založené na specifické legislativě (Zákon o vojácích z povolání, branný zákon apod.) a zajišťují i vysoce specifickou katalogizaci majetku v souladu se standardy NATO včetně specifických oblastí údržby pozemní a letecké vojenské techniky. Současně jsou tyto systémy využívány i při plánování misí, cvičení a vojenských operací. Uvedené ERP systémy resortu obrany dále (odděleně) zpracovávají i agendy Vojenského zpravodajství. Spisová služba v rámci Vojenského zpravodajství musí být provozována kvůli dostupnosti v rámci interního systému a musí umožnit zpracování utajovaných informací minimálně do stupně TAJNÉ a NATO SECRET. Vzhledem k povaze dokumentů Vojenského zpravodajství není možno tento systém hostovat na cloudu, kde nebude jednoznačně zajištěna odpovídající bezpečnost a přístup k datům,“ zdůvodňuje ministerstvo obrany.

Ivo Hartmann