• Ministerstvu zahraničí v čele s Tomášem Petříčkem (ČSSD) radí s kybernetickou bezpečností živnostník bez webových stránek i veřejné profesní historie.
• Resort si experta na vysoce citlivou zakázku najal za netransparentních okolností: oslovil ho přímo, aniž vypsal soutěž. A objednávku zveřejnil v registru smluv.
• Jiným státním institucím podobné služby přitom zajišťují velké renomované firmy. Ministerstvo zahraničí tvrdí, že spolupracuje i s dalšími odborníky. Konkrétní jména ale tají.
• Na netransparentní zakázku narazil server iROZHLAS.cz poté, co Černínský palác zaznamenal další hackerský útok.

Původní zpráva Praha 10:40 6. září 2019 Tento článek je více než rok starý Sdílet na Facebooku Sdílet na Twitteru Sdílet na LinkedIn Tisknout Kopírovat url adresu Zkrácená adresa Kopírovat do schránky Zavřít

Ani oficiální web, ani profesní kontakty. Jediná stopa, kterou lze ohledně živnostníka Ondřeje Holase radícího na ministerstvu zahraničí s kybernetickou bezpečností dohledat, je jeho členství v pionýrském spolku.

„Ondra je počítačový mág pracující 22 hodin denně,“ píše se o něm mimo jiné na profilu spolku. A ještě se dá najít zmínka o 15 let starém angažmá ve firmě Digi Trade.

Ředitel bezpečnostního úřadu: Informace o útoku na ministerstvo zahraničí jsme senátorům neposkytli

Číst článek

Holas si za své služby naposledy letos v květnu řekl o více než 400 tisíc korun. Z objednávky zveřejněné v registru smluv je možné vyčíst, že resortu poskytoval „služby bezpečnostního analytika informačních systémů“.

Podle dokumentu měl provést bezpečnostní analýzu infrastruktury ministerstva, navrhnout nová opatření na posílení jeho ochrany či poskytovat podporu během analýzy bezpečnostních incidentů.

Zakázku Holas získal bez soutěže, jak vyplývá z vyjádření mluvčí ministerstva zahraničí Zuzany Štíchové. „Nevypisujeme výběrová řízení na některé poradenské služby v oblasti kybernetické bezpečnosti. Jde o případy, kdy je nutné chránit před zneužitím informace týkající se národní bezpečnosti. To je i tento případ,“ uvedla.

Jenže ve srovnání s jinými resorty se ukazuje, že nejde o úplně standardní situaci. Například ministerstvo financí si na poradenství ohledně kybernetické bezpečnosti najímá giganta IBM, ministerstvo dopravy spolupracuje s firmou CENDIS. Podobná situace je i na ministerstvu spravedlnosti, obrany i kultury.

Utajované informace

Holas se na ministerstvo zahraničí dostal už loni podzim, jak vyplývá z dřívější objednávky zveřejněné v registru smluv. Jak na něj resort přišel a podle jakých parametrů odborníka na kyberbezpečnost vybíralo, nechce říct.

Ministerstvo argumentuje tím, že jde o utajované informace. „Kybernetická bezpečnost představuje jednu z klíčových otázek národní bezpečnosti, proto detaily spadají do klasifikovaného režimu a my je tak nemůžeme komentovat,“ pokračovala Štíchová.

Nevysvětlila ovšem, proč je pak objednávka s popisem poskytovaných služeb viditelná ve veřejné databázi. Podle platné legislativy se totiž prostřednictvím registru smluv nezveřejňují informace, které nelze poskytnout podle zákona o svobodném přístupu k informacím. A mezi takové informace patří právě i utajované skutečnosti.

Mluvčí posléze připustila, že ministerstvo svoji ochranu konzultuje i s jinými externími odborníky. O jaké jde, ale neřekla. Ve veřejné evidenci přitom záznamy o dalších expertech nejsou. V registru smluv lze dále dohledat pouze informaci o auditu kybernetické bezpečnosti, kterou si resort nechal v roce 2017 zpracovat od společnosti BDO IT.

„Zároveň má samozřejmě i vlastní tým zabývající se kybernetickou bezpečností. Tento tým je postupně posilován, protože zajištění kybernetické bezpečnosti věnujeme velkou pozornost,“ dodala Štíchová. Deník N současně na konci srpna napsal, že resort bude mít nově zvláštního zmocněnce pro odolnost a nové hrozby. Stát se jím má bývalý velvyslanec při NATO Jiří Šedivý.

Ministerstvo zahraničí před měsícem čelilo kybernetickému útoku, za kterým stál cizí stát. Deník N, který na celý případ upozornil, s odkazem na tři vysoce postavené nejmenované zdroje uvedl, že šlo o Rusko. Informaci posléze potvrdil Radiožurnálu další vysoce důvěryhodný zdroj. Incidentem se zabývala také Bezpečnostní rada státu.

Ochrana státních úřadů

Podobným útokům ministerstvo zahraničí podle výroční zprávy Bezpečnostní informační služby čelilo i v minulosti. Server iROZHLAS.cz se proto na celou záležitost dotázal odborníků na kybernetickou ochranu i tuzemského úřadu, který má danou problematiku na starosti. Redakce se zajímala hlavně o to, zda resort postupuje za současné situace zodpovědně.

„Otázka je hlavně, co umí. Pro takhle velkou instituci by ale bylo asi lepší si sehnat firmu, aby tam byla minimálně zastupitelnost. Může být na dovolené s rodinou a najednou přijde nějaký problém,“ popsal bezpečnostní analytik Michal Špaček situaci, pokud by šlo v rámci resortu skutečně o jediného poradce.

Lépe zabezpečit IT systémy vnitra se nevyplatí, napsal ministrům Hamáček. Čísla ale naznačují opak

Číst článek

A potíž může podle Špačka pak nastat i kvůli vytíženosti. „Mohou tam být třeba také prioritní požadavky a jako živnostník, pokud má více klientů, na to nemusí mít čas. Navíc jeden člověk nemusí vědět všechno,“ doplnil expert, který je sám živnostník.

Kriticky tak mluví také Radovan Vacek ze společnosti Insighti, která poskytovala služby například České národní bance. „Jsou to stovky dní práce. Takže pro jednoho živnostníka je to práce na plný úvazek. Navíc na kybernetické hrozby je potřeba reagovat rychle, ten člověk by měl být dostupný 24 hodin denně, sedm dní v týdnu. Můžou ale mít třeba svůj vlastní kybertým,“ uvedl expert.

Holas není například ani členem profesního sdružení, tedy Českého institutu manažerů informační bezpečnosti, jak potvrdil jeho prezident Aleš Špidla. „Zřejmě cítili potřebu nechat si zanalyzovat informační systémy, tak si najali analytika. V tom problém nevidím. Toho pána neznám a nenašel jsem ho ani v seznamu členů, to ale neznamená, že není odborník,“ popsal.

Stání úřady se podle Aleše Špidly, který nyní působí v rámci finanční správy, potýkají obecně s nedostatkem pracovních sil. „Ti lidé chybí i v komerční sféře, ale dokáže jim aspoň nabídnout násobky platů než státní sféra. Obecně se tak dá říct, že situace ve státních institucích, co se týká kybernetické bezpečnosti, není příliš dobrá,“ popsal.

Nejlepší řešení by podle Špidly byl takzvaný státní cloud. „Každé ministerstvo má jinou infrastrukturu. Samozřejmě vůbec nejlepší by bylo, kdyby existoval vládní cloud, do kterého by se připojila ministerstva. Spousta věcí by se zjednodušila, dala dělat jednotně a rychle,“ doplnil.

Redakce se na celou věc zeptala také ministra zahraničí Tomáše Petříčka (ČSSD), ten ale na zaslané dotazy i přes opakované urgence neodpověděl.

Holas: Musím mlčet

Sám Holas se nechce ke svému angažmá na ministerstvu zahraničí vyjadřovat. „Jsem vázán mlčenlivostí a nemohu se vyjadřovat ani k činnosti samotné, ani ke kontraktu, na jehož základě je tato činnost vykonávána, ani k průběhu plnění zakázky,“ uvedl. Dotaz, zda tedy nese zodpovědnost za zabezpečení systémů resortu při nedávném kybernetickém útoku, nechal Holas bez odpovědi.

Ke své práci pouze řekl, že zákazníků má více, a to nejen ve státní správě, ale především v oblasti finančnictví. „Konkrétní reference, opět vzhledem k charakteru činnosti, bez výslovného souhlasu daného subjektu neuvádím,“ doplnil Holas.

Daný odborník podle evidence smluv pracuje také pro ministerstvo zemědělství, v tomto případě však resort podle mluvčího Vojtěcha Bílého pořádal soutěž. „Ondřej Holas se v roce 2016 přihlásil do veřejné soutěže vyhlášené ministerstvem zemědělství, kterou vyhrál,“ uvedl. Resort podle Bílého spolupracuje i s dalšími subjekty, redakci odkázal právě na registr smluv.

Práce jednotlivců

Nicméně ministerstvo zahraničí není v outsourcingu jednotlivců samo: ministerstvo práce si v roce 2017 nechalo vytvořit „vrcholový koncept kybernetické bezpečnosti“ od Tomáše Krause, přičemž zakázku v ceně téměř 600 tisíc korun přidělilo napřímo.

Resort se pak nedávno rovněž potýkal s průnikem do evidence sociálních dávek a podpory v nezaměstnanosti. Detaily ale nejsou veřejně známy, ministerstvo se odvolávalo na údajně utajované skutečnosti.

Na aktuální dotazy serveru iROZHLAS.cz ohledně kybernetické bezpečnosti mluvčí resortu Barbara Hanousek Eckhardová uvedla, že k celé problematice přistupuje zodpovědně. „V každé chvíli využívá zdrojů, které jsou právě k dispozici v souladu s požadavky,“ popsala.

„Služeb pana Krause bylo využito ve chvíli, kdy v rámci platných smluv na ministerstvu práce končila smlouva poskytovatele služeb systémové integrace, a nebylo ji tedy možné využít pro tuto oblast a ještě nebyla vysoutěžena stávající smlouva na poskytování služeb specialistů uzavřená se společností Ernst & Young,“ doplnila Eckhardová.

I ministerstvo dopravy částečně spoléhá na živnostníky, manažera kybernetické bezpečnosti zde na základě příkazní smlouvy vykonává Jan Dienstbier, který působí jako viceprezident Českého institutu manažerů informační bezpečnosti. Architekta téhož pak Petr Štěpánek.

Nejde přitom o ideální řešení, jak na dotaz serveru iROZHLAS.cz uvedl mluvčí Národního úřadu pro kybernetickou a informační bezpečnost Radek Holý. Kybernetickou bezpečnost státních institucí by podle něj měli zajišťovat předně interní zaměstnanci.

„Ideální řešení je mít na tuto problematiku samostatné oddělení nezávislé na oddělení informačních technologií. Vyhláška však striktně takové oddělení na rozdíl od bezpečnostních rolí, jako je manažer, architekt a auditor, nevyžaduje,“ popsal.

Obsazení bezpečnostních rolí by mělo být podle Holého v ideálním případě řešeno opět interně. „Pokud to ale z objektivních důvodů nelze, pak je možné zajistit jejich obsazení externě, je ale potřeba počítat s tím, že toto řešení s sebou přináší další rizika, která je potřeba ošetřit například povinností důkladného seznámení s organizačním prostředím či smluvním zajištěním mlčenlivosti,“ doplnil mluvčí kybernetického úřadu.

Kristýna Guryčová, Jan Cibulka Sdílet na Facebooku Sdílet na Twitteru Sdílet na LinkedIn Tisknout Kopírovat url adresu Zkrácená adresa Kopírovat do schránky Zavřít