Digitalizaci stavebního řízení (DSŘ) neprovázely při spuštění jen technické problémy, IT systémy měly také zásadní bezpečnostní chyby. Například kdokoli, kdo do systému něco uložil, se dostal k veškerým dokumentům všech ostatních uživatelů, mohl je dokonce změnit. Vyplývá to z prověrky, které si objednalo Ministerstvo pro místní rozvoj (MMR). Podle ministerstva byly chyby již odstraněny, není však jasné, jak dlouho systém fungoval s vadami. Bývalý ministr pro místní rozvoj Ivan Bartoš sdělil deníku Mladá fronta Dnes (MfD), který o problému informoval, že o závěrech testů nevěděl.
„Test odhalil řadu závažných zranitelností. Některé nálezy byly opraveny v průběhu testu, nicméně vzhledem k dynamice vývoje aplikace během testu a nefunkčnosti některých částí nelze vydat finální výrok o (ne)bezpečnosti aplikace,“ napsala společnost DCIT, kterou si MMR vedené Ivanem Bartošem najalo, aby odzkoušelo bezpečnost systémů. Testy se uskutečnily od 1. do 12. července 2024, tedy v již „ostrém“ provozu DSŘ, podotkl deník.
Digitální systémy stavebního řízení byly spuštěny loni 1. července, úřady a stavebníci s nimi měli od začátku problémy. Vláda následně rozhodla dále nepokračovat v dalším vývoji systémů a vypsala novou zakázku, jejíž specifikace se nyní připravují.
Na MMR měl pod Bartošem digitalizaci v gesci jeho kolega a do října také politický náměstek Lukáš Černohorský. Ten deníku MfD potvrdil, že Ivan Bartoš o závěrech auditů nevěděl. Chyby se podle něj ale okamžitě opravovaly, nebylo proto podle něj nutné projekt zastavit.
Na vážné bezpečnostní nedostatky narazila společnost ESET, která systémy prověřovala. „Aplikace DSŘ Portál uživatelům dává oprávnění pro čtení, zápis a listování pro celé úložiště dokumentů nahraných uživateli. Vzhledem k tomu, že se používá jedno úložiště pro všechny dokumenty, mohou si uživatelé jeho obsah vypsat a následně stáhnout či přepsat libovolné dokumenty všech uživatelů,“ uvedli kontroloři loni v červenci s tím, že jde o kritickou vadu, která může ohrozit bezpečné fungování systému.
Další výtka se vztahovala k ohrožení hackerskými útoky. „Aplikace Národní geoportál územního plánování umožňuje uživatelům přihlásit se za jinou osobu prostým uhodnutím číselného identifikátoru, který je neměnný a má pouze sedm čísel. Útočník může v průběhu několika hodin/dní získat přístup do aplikace za kohokoliv,“ konstatovali kontroloři.
IT systém je nyní podle ředitele odboru komunikace a publicity MMR Petra Waleczka zkoumán Národním úřadem pro kybernetickou bezpečnost (NÚKIB). „K samotnému obsahu zpráv z penetračního testu se MMR nebude z bezpečnostních důvodů vyjadřovat – jedná se o takzvané významné informační systémy, u kterých navíc NÚKIB rozhoduje o jejich prohlášení za kritickou infrastrukturu,“ dodal mluvčí.
Zdroj: ČTK
Ilustrační foto: FREEPIK.com
