Ví, nebo neví MPSV, kdo má přístup do databází s daty milionů klientů? NÚKIB zjišťuje, jak to je

Zleva: politický náměstek MPSV Robin Povšík (ČSSD), zastupující náměstkyně pro ICT Lenka Bočková a ředitel odboru právního a veřejných zakázek MPSV David Novák při jednání Výboru pro sociální politiku PSP ČR. Foto: Jiří Reichl

Zastupující náměstkyně pro oblast ICT na Ministerstvu práce a sociálních věcí Lenka Bočková nebyla dnes před poslanci sociálního výboru schopna vysvětlit, jestli má ministerstvo přehled o tom, kdo vstupuje do produkčních databází v nichž jsou uloženy miliony citlivých dat o lidech, kteří využívají sociální systém. Situaci prověřuje Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB).

Výbor pro sociální politiku Poslanecké sněmovny Parlamentu ČR dnes jako první bod projednával situaci oblasti informačních systémů Ministerstva práce a sociálních věcí (MPSV). Debata to byla místy velice bouřlivá, poslanci nakonec odhlasovali, že požadují, aby je ministryně Jana Maláčová (ČSSD) se svým týmem týden před jednáním výboru informovali o aktuálním stavu projektu „e-Neschopenka“ a dalších IT projektů. Svorně také kritizovali neúčast ministryně Maláčové na jednání výboru přesto, že politický náměstek Robin Povšík ve svém úvodním slově vyzdvihl, jak paní ministryni záleží na tom, aby dala IT systémy MPSV do pořádku.

Zarážející na celém 1,5h trvajícím jednání bylo, že zastupující náměstkyně pro ICT Lenka Bočková nedokázala odpovědět na některé otázky, které poslanci kladli. Nejvíce se „zasekla“ na dotazu poslankyně Jany Pastuchové (ANO), který vycházel ze včerejšího rozhovoru Ekonomického deníku s ředitelem firmy Oksystem Vítězslavem Cimlem. Ciml v jedné odpovědi řekl, že lidé z jeho firmy „opakovaně upozorňovali na děsivou situaci, kdy do produkčních databází, které spravuje naše společnost, mají přístup cizí dodavatelé a to prosím pod jedním, sdíleným a anonymním účtem. Snažili jsme se na tuto kritickou věc upozorňovat exministryni Marksovou, ale marně.“ Poslankyni Pastuchovou proto zajímalo, jestli je to pravda, že MPSV neví, kdo má do databází přístup a co tam dělá.

Kdo má přístup k datům milionů klientů řeší i kyberbezpečnostní úřad

„Přehled máme, třetí subjekt má přístup k produkčním datům, ale vše je auditovatelné a dohledatelné, řešíme to s Národním úřadem pro kybernetickou bezpečnost. Nepovažujeme to za problém,“ řekla před poslanci viditelně zaskočená zastupující náměstkyně Lenka Bočková. Taková odpověď se však nelíbila poslanci Aleši Juchelkovi. „Já chápu, že to jsou nervy, a je to nepříjemné, že se vás tady takto ptáme, ale ta odpověď je nedostatečná. Zajímá mě, jestli máte přehled, kdo má z externistů přístup k datům, když to řeší Národní úřad pro kybernetickou bezpečnost? Zajímá mě, kdo z externistů tam má přístup. Pro mě je důležité vědět, kdo má přístup m k milionům dat,“ ptal se Juchelka. Na to nedokázala Bočková odpovědět. Řekla jen, že je ve funkci dva měsíce a nemůže znát všechno do detailu a že ví, že se to řeší s Národním úřadem pro kybernetickou a informační bezpečnost. „Existuje riziko, že by tam mohl být problém přístupu k datům klientů. Řeší to NÚKIB,“ řekla nakonec. Podle ní konkrétně s lidmi z tohoto úřadu jedná manažer kybernetické bezpečnosti, který má příslušnou bezpečnostní prověrku, na rozdíl od stávajícího vedení resortu.

Systémy „v ažuru“ v roce 2020? Náměstek Povšík tvrdí, že ano, poslanci i odborníci říkají, že rozhodně ne

Podle politického náměstka Robina Povšíka (ČSSD), který je v současné pozici od července loňského roku, kdy se po necelých dvou letech vrátil na MPSV, se celé současné vedení resortu snaží, aby dalo počítačové systémy do pořádku. Datem, kdy by mělo všechno sedět a fungovat je podle něj rok 2020. „Napravujeme, co napáchal ministr Drábek a jeho náměstek Šiška. Od té doby jsou IT systémy v mediálním povědomí a za doby Sobotkovy vlády si MPSV nabralo moc velké sousto, když byly ambice vše napravit. Ta zodpovědnost byla příliš velká a nebyla úměrná tomu, jaké jsme měli personální možnosti,“ řekl mimo jiné Povšík. Zdůraznil, že nepodezřívá ministryně Marksovou (ČSSD) a Němcovou (ANO) z toho, že by chtěly řešení IT systémů nějak brzdit, ale že situace je tak složitá, že se ji nepodařilo vyřešit.

Všem, kdo se okolo IT systémů pohybují je však jasné, že termín 2020 je zcela nereálný. Například nedávno vyhlášený vítěz tendru na dávkové systémy (označení IT zakázky jako IS DAV II) – firma DXC Technology má podle zadávací dokumentace 28 měsíců na to, aby zakázku připravila a přetáhla všechna data ze stávajících databází OKsystemu (IS DAV). Lhůta 28 měsíců začíná běžet od podepsání smlouvy, ale opční smlouva je platná zhruba do konce roku 2020. Od 1. 1. 2019 by měl běžet nový systém IS DAV II. Jednou variantou je, že tým DXC Technology vše zvládne převést a pak by bylo vše v pořádku. Pokud by však trval na ve smlouvě uvedených 28 měsících, dostává se MPSV do prekérní situace, kdy na nejméně půl roku bude muset zajistit dodávku stávajících systémů u OKsystem. A pravděpodobně to nebude jinak možné, než přes tolik kritizované jednací řízení bez uveřejnění.

Ekonomický deník se na tuto zakázkovou matematiku ptal po skončení jednání sněmovního výboru náměstka Povšíka i ředitele odboru právního a veřejných zakázek Davida Nováka, oba však odmítli odpovědět. Novák jen řekl, že je ve hře návrat k zakázce IS DAV I. Zde je potřeba připomenout, že smlouvu na realizaci IS DAV I vypověděla ministryně Michaela Marksová (ČSSD) v listopadu 2017. Oksystem tento krok napadl žalobou v prosinci 2017. O té ještě nebylo rozhodnuto. První líčení je naplánováno na duben letošního roku.

Ředitel Novák však odmítl včerejší informaci Ekonomického deníku o tom, že důvodem je složitost převodu dat z databáze OKsystem do té, kterou by mělo budovat DXC Technology jako vítěz soutěže IS DAV II. Poté zasáhl náměstek Povšík a řekl, že se ke složité problematice nebude vyjadřovat a že odpoví na písemné dotazy.

Na stejné téma se Ekonomický deník už dotazoval tiskového oddělení MPSV a dostal neuspokojivé odpovědi. Jsme si vědomi harmonogramu uvedeného v návrhu smlouvy veřejné zakázky IS DAV II. V současné době prověřujeme různé varianty dalšího postupu v oblasti zajištění výplaty nepojistných dávek po roku 2020. Variant je více a do doby, než budou všechny prověřeny a následně dojde k rozhodnutí, nelze podávat v této věci další informace. Prioritou MPSV však je zajistit výplatu nepojistných dávek skrze nové agendové aplikace v termínu nejpozději do konce roku 2020,“ uvedlo tiskové oddělení MPSV. Po přečtení této odpovědi náměstek Povšík řekl, že jde o složitou problematiku, kterou vedení resortu pečlivě analyzuje a nebude na ni dále odpovídat do doby, než bude vše vyřešeno. Další dotaz na odhad doby, po kterou se bude tato otázka řešit, politický náměstek MPSV Robin Povšík (ČSSD) neodpověděl a odešel z prostor Sněmovny.

Nereálný je termín 2020 také podle ředitele OKsystemu Vítězslava Cimla, což uvedl i ve včerejším rozhovoru. Jsem přesvědčen o tom, že projekt IS DAV II 1. 1. 2021 nebude spuštěn tak, aby stávající systémy byly vypnuty. Zároveň jsem však přesvědčen o tom, že MPSV může mít k 1. 1. 2021 funkční a moderní systém, který však nebude výsledkem soutěže IS DAV II,“ řekl Ciml.

 

Jiří Reichl