Když koncem loňského roku Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) vydal varování kvůli čínské firmě Huawei, byl z toho poprask. Vláda následně nařídila 160 státním úřadům i soukromým firmám provést bezpečnostní audity. Server iROZHLAS.cz se po třech měsících dotázal, jak to s analýzami vypadá na ministerstvech. Ta by měla informace o ošetření možných rizik dodat bezpečnostnímu úřadu do 31. května.

Původní zpráva Praha 6:00 26. března 2019 Tento článek je více než rok starý Sdílet na Facebooku Sdílet na Twitteru Sdílet na LinkedIn Tisknout Kopírovat url adresu Zkrácená adresa Kopírovat do schránky Zavřít

Ministerstva vnitra, pro místní rozvoj, financí i resorty spravedlnosti, práce a zdravotnictví.

Všechny tyto úřady provozují pro obyvatelstvo významné sítě nebo systémy nazývané kritická informační infrastruktura. Právě ony v posledních měsících musely projít, případně stále procházejí bezpečnostním auditem, a to kvůli prosincovému varování kybernetického úřadu před technologiemi a produkty čínských firem Huawei a ZTE.

Potenciálně nejohroženější je v tomto směru ministerstvo vnitra, které vlastní nejvíce kritické infrastruktury, konkrétně 19 systémů.

Další tři systémy provozuje ministerstvo pro místní rozvoj – Monitorovací systém strukturálních fondů, Národní elektronický nástroj a Věstník veřejných zakázek, u něhož je ale resort pouze gestorem a rizika řeší provozovatel systému.

Pod ministerstvo zdravotnictví pak spadají dva systémy, a to Jednotná technologická platforma (slučuje registry z oblasti zdravotnictví, hygieny a administrativy) a Centrální úložiště elektronických receptů.

Kritickou informační infrastrukturu mají i resorty financí, spravedlnosti a práce. Ty ale nechtěly uvést, ani o jaké konkrétní systémy se jedná, ani jejich počet. A některé úřady odmítly informaci, zda takové systémy provozují, vůbec sdělit – jako například resorty průmyslu nebo dopravy.

Čas do konce května

Úřady i firmy, jichž se analýza týká, by měly kybernetickému úřadu do 31. května dodat informace o tom, jak možná rizika průběžně ošetřují.

Huawei ve službách státu. Čínské technologie využívají servery České pošty, vnitro i ČEZ

Číst článek

„Cílem je získat přehled, jak jsou řízena rizika a jak se jednotlivé subjekty s varováním vypořádaly. Byla zvolena cesta, která je efektivnější a administrativně méně náročná pro obě strany – tedy pro povinné osoby i NÚKIB – než průběžné kontroly,“ reagoval na dotaz iROZHLAS.cz mluvčí kybernetického úřadu Radek Holý.

Už nyní je přitom jisté, že do tohoto termínu všechny resorty kompletní analýzu rizik nedokončí, a budou tak referovat jen o průběhu řízení rizik. Například již zmíněné ministerstvo vnitra s ohledem na množství systémů předpokládá, že bezpečnostní audit bude hotový až koncem září.

„Vzhledem k tomu, že jedna analýza trvá 20 až 30 dnů, ostatně časovou náročnost deklaroval i ředitel NÚKIB, budou analýzy na všech systémech probíhat do konce třetího čtvrtletí 2019 a následně budou pravidelně opakovány,“ informovala iROZHLAS.cz mluvčí resortu Hana Malá.

Vnitro vyhodnocuje rizika postupně a začalo u těch nejkritičtějších. „Jako první jsou realizovány analýzy rizik na systémech, které obsahují prvky výrobců Huawei a ZTE nebo jsou právě v procesu veřejné soutěže na dodávku programových nebo technických prostředků,“ upřesnila mluvčí.

Audity dál běží

Analýzu zatím nedokončili ani úředníci ministerstev pro místní rozvoj, zemědělství a financí. Není proto jasné, zda budou muset v následujících měsících přistoupit k nějakým opatřením.

Finanční správa vyhověla Huawei. Zrušila zakázku za půl miliardy, ze které firmu minulý měsíc vyloučila

Číst článek

Ministerstvo financí přitom kvůli prosincovému varování už muselo přistoupit ke konkrétním krokům. Na konci ledna nejdříve vyloučilo čínskou společnost Huawei z půlmiliardového tendru na portál Moje daně. Poté, co se čínský gigant ohradil, resort zakázku zrušil úplně.

K podobnému kroku je vedení úřadu připraveno přistoupit i v budoucnu. „Při přípravě každé zadávací dokumentace zohledníme v zadávacích podmínkách výsledky analýzy rizik u kritické informační infrastruktury a významných informačních systémů,“ sdělil iROZHLAS.cz mluvčí Zdeněk Vojtěch.

Bezpečnostní audit dál běží i na ministerstvu spravedlnosti. „Nicméně systémy, které ministerstvo spravedlnosti provozuje a které patří do kritické informační infrastruktury, nevyužívají technických nebo programových prostředků společnosti Huawei,“ řekl k tomu mluvčí Vladimír Řepka.

Jasno v tom, jaká opatření bude nutno přijmout, ještě nemají ani na ministerstvu práce a sociálních věcí (MPSV), a to přesto, že bezpečnostní audit už mají hotový. „Nedílnou součástí každé analýzy rizik je Plán zvládání rizik informační bezpečnosti, jehož součástí je Přehled rizik a opatření a Popis opatření. O realizaci opatření rozhodne vedení MPSV na základě doporučení NÚKIB, popřípadě vlády,“ vysvětlila mluvčí Barbara Hanousek Eckhardová.

Mobily a modemy

Audit už dokončili na ministerstvu zdravotnictví i v podřízené organizaci – Ústavu zdravotnických informací a statistiky – kde dohromady provozují dva systémy patřící do kritické informační infrastruktury.

„Ministerstvo zdravotnictví nevyužívá při zabezpečení provozu svých komunikačních a informačních systémů technologie ZTE a Huawei. V rámci analýzy rizik byly identifikovány pouze mobilní telefony značky Huawei v počtu patnáct kusů a dále zařízení ZTE 3G USB modem v počtu devět kusů, která jsou však navržena k vyřazení z důvodu zastaralosti a neperspektivního využití,“ uvedla mluvčí resortu Gabriela Štepanyová.

Posoudit možná rizika přitom musely i některé další podřízené organizace resortu zdravotnictví nebo nemocnice, které ministerstvo určilo. „Obecně z analýzy rizik u poskytovatelů zdravotních služeb vyplývá, že z identifikovaných zařízení (mobilní telefony, tablety, modemy) se ke kritické informační infrastruktuře a významným informačním systémům ministerstva nebo Ústavu zdravotnických informací a statistiky nepřistupuje,“ dodala.

Podezřelá aplikace

Zbylá ministerstva významné systémy kritické informační infrastruktury neprovozují, a tak buď analýzu vůbec dělat nemusela (jako například resort kultury), nebo ji už stihla dokončit, ale žádná opatření neřeší.

První zásah kvůli Huawei: na obraně mažou z telefonů software pro zabezpečení systému armády

Číst článek

„Dle zjištění analýzy nejsou informační systémy ministerstva obrany v bezprostředním nebezpečí. Není tedy třeba podnikat žádná výjimečná opatření nad rámec těch neustále probíhajících,“ řekl redakci mluvčí Marek Vala.

Začátkem února nicméně ministerstvo nařídilo – právě kvůli varování NÚKIB – odstranit zaměstnancům ze služebních telefonů značky Huawei bezpečnostní aplikaci AirWatch, jak upozornil server iROZHLAS.cz.

Software americké firmy ministerstvo podle registru smluv používalo pro zabezpečení přístupu do interního informačního systému armády.

Tereza Čemusová Sdílet na Facebooku Sdílet na Twitteru Sdílet na LinkedIn Tisknout Kopírovat url adresu Zkrácená adresa Kopírovat do schránky Zavřít