Pirát Profant: Náš problém je, že úředník nezamkne obrazovku u PC, když od ní odchází

Stát chytřerozhovor 7 a více min čtení

V čem podle poslance Pirátů Ondřeje Profanta spočívá hlavní kybernetické ohrožení Česka? Je větším rizikem útok cizího státu pomocí sofistikovaných kryptografických algoritmů, nebo neopatrní úředníci, kteří do pracovního počítače zapojí jakýkoliv USB disk, jenž jim přijde pod ruku? I na to odpovídal ve třetí a poslední části našeho rozhovoru, ve kterém se také poměrně zásadně vymezil vůči státnímu projektu s názvem Národní elektronický nástroj.

Líbí se vám článek? Sdílejte ho:

V čem podle poslance Pirátů Ondřeje Profanta spočívá hlavní kybernetické ohrožení Česka? Je větším rizikem útok cizího státu pomocí sofistikovaných kryptografických algoritmů, nebo neopatrní úředníci, kteří do pracovního počítače zapojí jakýkoliv USB disk, jenž jim přijde pod ruku? I na to odpovídal ve třetí a poslední části našeho rozhovoru, ve kterém se také poměrně zásadně vymezil vůči státnímu projektu s názvem Národní elektronický nástroj.

Náklady na vývoj zhruba půl druhé miliardy korun, několik let odkládané spuštění, problémy s jeho fungováním i neochota úředníků systém používat. Tak lze ve zkratce představit Národní elektronický nástroj (NEN) – projekt ministerstva pro místní rozvoj, který má ambice být komplexním elektronickým nástrojem pro administraci a zadávání veřejných zakázek a koncesí pro všechny kategorie veřejných zakázek a všechny kategorie zadavatelů. Ondřej Profant si vůči němu ale nebere servítky. „Je to jednoduché – NEN je problém. Je to projekt, který nesplňuje dokonce ani naši vlastní vyhlášku o přístupnosti webových stránek, protože je sám zcela nepřístupný. Kromě toho je postavený na zastaralých technologiích, které už nepodporuje ani jejich výrobce – konkrétně jde o platformu Silverlight,“ říká.

Související článek

Pirát Profant: Kdyby Babiš uměl používat aspoň e-mail, možná by pochopil, co je dobré zavést

Česko potřebuje funkční e-government. Slyšíme to ze všech stran. A to i z úst premiéra Andreje Babiše, jeho hnutí i členů nové vlády. Povede se to někdy? Budeme vůbec někdy moct podávat daňové přiznání pohodlně z domova během pár kliknutí? Dočkáme se systému, kdy kterýkoliv lékař koukne do počítače a zjistí o pacientovi vše, čím si zatím prošel a jaké léky užívá? Přestanou někdy státní úřady utrácet miliardy korun za nespolupracující IT systémy? Jaký je vlastně skutečný stav e-governmentu v Česku? Tomuto tématu se se dlouhodobě věnuje poslanec Pirátů Ondřej Profant.

Co dalšího je na něm problematické?

Je naprosto nedostatečný výkonnostně. Instituce, které ho mají využívat, si na něj neustále stěžují. Další problém je v tom, že se celý systém špatně posuzuje nezávislým pohledem – abyste se do něj vůbec mohli přihlásit, musíte být instituce a vypisovat veřejné zakázky. Tím pádem se systém poměřuje mnohem hůř než aplikace, kterou si může vyzkoušet každý. A s tím je spojena další potíž – kritika ze strany institucí je spíš hysterická než věcná.

Jak se k systému a jeho kritice staví stát?

Ani poslední dvě ministryně problémy nedokázaly věcně řešit. Ministerstvo pro místní rozvoj v NEN slepě věří. Přitom já si myslím, že se jedná o principiálně správnou záležitost – systém administrace a zadávání veřejných zakázek by se centralizovat skutečně měl, aby zakázky byly zadané jednotně, na jednom místě, přehledně. To ano, ale nesmí to být udělané takto.

Hlavní problém je tedy v tom, že je systém technologicky špatně udělaný?

Ano. Já být dodavatelem NENu, chodím radši kanály.

Anebo máte vyděláno na dalších deset let.

Vidíte, i tak se na to dá dívat, ale já bych stejně chodil kanály, protože bych se za to opravdu styděl.

Je vidět ještě jedno riziko – NEN je vlastně aplikace typu B2B, která se zároveň týká státní správy. A postoj státní správy k elektronizaci je takový, že úředníci ji využívají neradi. Je nějaká šance, jak situaci vyřešit?

Tohle bude trošku specifičtější, protože se to týká jen veřejných institucí. A ty to budou muset nějak vysvětlit samy sobě. Občany to, doufám, nepostihne. To nemění nic na mém přesvědčení, že stav systému je ostudný a za půl roku ho bylo možné přepsat a předělat. Sám neznám všechny detaily, třeba v uživatelském rozhraní pro zadávání zakázek jsem nikdy nebyl, a chlácholím se nadějí, že některé obavy mohou být trochu přehnané. Ale vím, že cena za projekt s ohledem na jeho kvalitu, tedy zhruba půldruhé miliardy, je zcela nepřiměřená.

Kde vidíte řešení?

Přiznám se, že nevím. Být ministrem, celý  současný existující systém zahodím a nejspíš podám několik žalob, protože tohle prostě nikdo nemohl normálně převzít. Pokud dodavatel říká, jde o dílo splňující základní požadavky na kvalitu, tak jednoduše lže. A pak bych to nechal kompletně celé udělat znovu.

Související článek

Pirát Profant: Kolik posledních ministrů vnitra vědělo, že pečují o e-government?

Jaký je skutečný stav českého e-governmentu, o tom poslanec Pirátů Ondřej Profant mluvil v první části našeho rozhovoru.  V jeho pokračování hovoří například o tom, jak očekává, že se e-government bude vyvíjet během současného volebního období. Říká i to, proč se Andreji Babišovi nepovedl systém EET a proč obce a úřady zbytečně platí za předražená softwarová řešení, která navíc často neodpovídají současným potřebám. 

V tom systému není opravdu nic, co by se dalo využít?

Něco možná ano, třeba procesní analýzy, což nakonec není malá část celkové práce. Taky uživatelské rozhraní by se po nějaké opravě použít dalo. Ale ta technologie postavená na Silverlightu musí pryč, protože takový systém musí běžet na něčem současném. Není v něm nic, co by nezvládl HTML5. V Silverlightu je systém hloupý, pomalý a neškálovatelný.

Přejděme k jinému tématu. Letos na jaře skončil český tým na třetím místě v prestižní soutěži kybernetické bezpečnosti Locked Shields, loni Češi dokonce vyhráli. Jak je na tom státní správa a kybernetická bezpečnost?

Kyberbezpečnost je obrovský problém, jenže veřejná správa, a bohužel i pan premiér, to berou tak, že klíčem k úspěchu jsou jen a jen peníze. Že stačí do vývoje nasypat víc financí a vše bude fungovat jako na drátku. Nicméně já jsem původním vzděláním i profesí ajťák a moc dobře vím, co funguje – potřebujeme koncept, kterému se říká security by design, nikoli variantu označovanou jako security through obscurity.

Bohužel u nás to probíhá přesně opačně, naše IT systémy nesplňují běžné požadavky na bezpečnost. Kdyby mi dnes někdo odevzdal systém, který hesla řeší pomocí hashování v prosté MD5, tak prostě žádný systém nedodal. Platí pokutu a musí to opravit. Jenže u nás úředníci v klidu převezmou systém, který prokazatelně nefunguje podle zadání.

Odborní zaměstnanci potřebují lepší finanční ohodnocení a třeba i lepší pracovní podmínky.

Jak je to možné?

Kombinací několika faktorů. Tím prvním je lenost – co si budeme povídat, úředníci na nižších úrovních nejsou moc dobře placenif a často nevidí důvod se namáhat. Kromě toho dobře vědí, že po nich jejich práci nikdo nebude do hloubky kontrolovat – zadali práci, převzali hotové dílo, data a podpisy sedí, vše je v pořádku. Řeší se jen, zda bylo vše odevzdáno včas, na chyby se nehledí. Třeba právě u NENu je rok jasné, kde je problém, jenže stejně není vyřešený. A samozřejmě někdy může jít i o úmysl, třeba o zadání shůry nebo o vlastní zájem.

Dobře, ale vraťme se k té bezpečnosti.

Když jde o bezpečnost, nastává zásadní problém ve chvíli, kdy nejsou splněny požadavky na security by design. Jinými slovy, když je systém po bezpečnostní stránce zcela nevyhovující už z podstaty věci. Náš problém není v tom, že by nám tu někdo nabourával systémy pomocí nějakých sofistikovaných kryptografických algoritmů – to řeší možná světové velmoci, ale ne my. Náš problém je, že úředník neumí zamknout obrazovku u počítače, když od ní odchází. Že do počítače nacpe jakýkoli USB disk, který mu přijde pod ruku. Že servery běžně vystavují všechny porty. Že hesla mají slabou ochranu a v programovacím jazyku pro jejich ochranu nejsou využity správné funkce. Také je potíž v tom, že se veřejné zakázky běžně opisují z předchozích verzí, které jsou i čtyři roky staré. A někdy i mnohem déle. Jenže tehdejší technické parametry zabezpečení dnes rozhodně nejsou aktuální.

Přesně tak pak vznikají průšvihy – prostým zkopírováním se v zadání zakázky objeví poznámka „zabezpečení hesel – hash, MD5“. Dodavatel to splní. Jistě, kdyby byl seriózní, řekne, že se zadavatel asi spletl a nechá si podpisem potvrdit, že má skutečně dodat zaostalou technologii. Jenže on to neudělá, protože je pro něj jednodušší to ignorovat.

To samé platí pro pracovní postupy, například v souvislosti s ochranou osobních údajů. Když máte dlouhý dokument, v němž je osobních údajů málo, stačí je posunout někam na stranu, kde se dají snadno začernit nebo se dokument vytiskne úplně bez nich. A je to mnohem jednodušší, než když máte osobní údaje poházené všude. Tak fungují i bezpečnostní počítačové systémy. Máme špičkové odborníky, naši lidé pracují všude po světě na skvělých místech, koneckonců je to vidět i na Locked Shields. Ale tyto elity nám nejsou k ničemu, když jsou základní systémy děravé jak řešeto, což je vidět i na některých ministerstvech, o obcích ani nemluvě.

Související článek

Vít Rakušan: V digitalizaci a zavádění chytrých řešení jsme neuvěřitelně zaspali

Vítu Rakušanovi na podzim skončí druhé volební období, které tráví v čele kolínské radnice. Město, které proslavila snad jen okolní rovinatá krajina a festival dechovek, se mu za osm let podařilo přeměnit na jedno z nejprogresivnějších chytrých měst v Česku. Chytré technologie tady začali zavádět mezi prvními, takže za ně nikdy neutráceli přemrštěné částky. Především je ale přizpůsobují konkrétním potřebám obyvatel města, kteří se je naučili používat.

Jak systém nastavit jinak, aby k těmto problémům nedocházelo?

Chce to úplnou změnu přístupu. Běžní úředníci, kteří IT nerozumí, musejí pochopit, že kybernetická bezpečnost pro ně má stejný význam jako ta fyzická. Že musejí zamknout počítač přesně tak, jako zamykají dveře. To je v dnešní době zcela rovnocenné. Odborní zaměstnanci pak potřebují lepší finanční ohodnocení a třeba i lepší pracovní podmínky, například flexibilní pracovní dobu a podobně. Ale zároveň je nutné po nich chtít kvalitní práci. Až tu bude mít první člověk problém proto, že lhal v předávacím protokolu nebo v něm nezkontroloval něco, co zkontrolovat měl, začnou si lidé dávat pozor. Někdo by mohl namítnout, že už se to děje – viz třeba kauza Opencard. Jenže tam potkalo stíhání jen pár obětních beránků nastrčených místo těch, co za to opravdu mohli.

Řešením je tedy lepší kontrola práce dodavatelů a jejich produktů?

Spíš obecně lepší řízení procesů a lepší práce s lidmi. Nejde jen o to, napsat sáhodlouhý protokol, co všechno má úředník zkontrolovat. Spíš by si lidé měli uvědomit, že s pravomocí přichází i odpovědnost. Když vypisuji veřejnou zakázku za miliony, musím zkontrolovat, že jsem dostal výsledný produkt za miliony. Když si to objednám od malého živnostníka a on mi to dodá za pár desítek tisíc, pochopím, že tam budou chyby. Ale mnohdy to může být lepší než totéž objednávat od renomované firmy za deset milionů, a navíc si nezkontrolovat, jestli kvalita opravdu odpovídá ceně. Přesně tady vzniká nedůvěra veřejnosti. Tady jsou známé průšvihy typu Opencard, registru vozidel a další. Kdyby existoval jeden autor, který to udělal špatně a systém spadl, všichni by to pochopili. Jenže když je to velká zakázka a výsledkem je zmetek, je to zlé.

Toto jsou kompetence vnitřního personálu. Pak je ještě nutné správně nastavit kompetence personálu kontrolního. Řeší to třeba GDPR – zavádí takzvaného zmocněnce, což je přesně tento typ pracovníků, jen kontrolují něco jiného. V tomto případě ochranu osobních údajů.

Takže by stát měl zřídit nějakou kontrolní skupinu, která bude namátkovou metodou kontrolovat, zda byly zakázky převzaty oprávněně?

Ono už to vlastně částečně funguje – třeba NÚKIB, tedy Národní ústav pro kybernetickou a internetovou bezpečnost, už to přesně takto řeší u bezpečnostních otázek. Na druhou stranu nejde jen o kontrolu, ale i o metodické vedení. NÚKIB musí být schopen poradit: Vypisujete řízení na webové stránky obce nebo úřadu, takže byste měli mít tu a tu úroveň zabezpečení, mělo by to běžet na protokolu HTTPS a mělo by to používat jednotnou identitu.

Úředníci ví, že nesmí naštvat ministerstvo financí, protože to rozhoduje o jejich penězích.

Nechybí v tomto systému a v této roli ministerstvo informatiky?

Jistěže chybí. Kdyby ministerstvo mělo jasně definované pole působnosti a zabývalo se výhradně těmito otázkami, bylo by mnohem kompetentnější než ministerstvo vnitra, a navíc by jeho práci nebrzdil legislativní odbor, což se na vnitru děje běžně. Jenže ministerstvo informatiky mělo problém, který dosud nebyl odstraněn – bylo nové a nemělo tradiční agendu, takže nemělo úřednické páky na jiná ministerstva.

Každý úředník ví, že nesmí naštvat ministerstvo financí, protože to rozhoduje o jeho penězích. A to samé platí i o ministerstvu vnitra, které rozhoduje většinu správních věcí. A nové ministerstvo, které má v určité oblasti mluvit do práce ostatním úřadům a zároveň na ně nemá páky, je samozřejmě ve složité situaci. Ale jinak si myslím, že kdyby byl ministrem informatiky schopný člověk, navíc s podporou premiéra, pak bychom se někam dostali.

Související článek

Srini Gopalan: Digitalizace pomáhá úplně každému

Srini Gopalan vede evropskou divizi v Deutsche Telekom, tedy v nadnárodním koncernu, který mimo jiné provozuje síť T-Mobile. Na barcelonském veletrhu Mobile World Congress byl v jednom kole – stánek jeho společnosti byl vyhledávaným cílem návštěvníků, kteří si tu prohlíželi nejnovější domácí hračky, systémy pro chytrá města i záznam prvního videochatu z evropského letadla.

Pomáhá v tomto ohledu vládní zmocněnec pro IT Vladimír Dzurilla?

Funkce vládního zmocněnce je z mého pohledu trochu kočkopes. On vládne dvěma velkým akciovkám v oblasti IT ve veřejné správě, které ovšem nejsou z definice v popisu jeho funkce, což je dost nesystematické. Navíc nemá k ruce žádný aparát, nic. Když to porovnáme s odborem hlavního architekta na ministerstvu vnitra, tak ten má zákonem nařízeno, že každý projekt nad nějakou částku, tuším nad pět milionů, podléhá jeho schválení. Takže tenhle orgán ty páky má a špatné projekty prostě neschválí.

Sekce vládního zmocněnce pro IT je v tomto dost problematická. Jistě, kdyby mu premiér zajistil součinnost všech ministrů, něco by se nepochybně dělat dalo. Ale to asi nebude náš případ, soudě podle toho, že se ruší třeba e-neschopenka. Tam mi pan Dzurilla zcela jasně řekl, že se ho to vůbec netýká, že s tím nemá nic společného. Ano, má líbivé prezentace a koncepci, ale to je všechno. Kdyby existovalo ministerstvo informatiky a udržovalo úzkou spolupráci s vnitrem a NÚKIB tlačilo by na kvalitní práci, a přitom prezentovalo příklady dobré praxe, bylo by to lepší.

Za příklad dobré praxe na úrovni států se tradičně dává již několikrát zmíněné Estonsko nebo třeba Velká Británie. Vy ale říkáte, že nemají tak robustní základní infrastrukturu jako u nás. V čem jsou další rozdíly a proč to tam jde a tady ne?

Jejich infrastruktura není tak pevně ukotvená, jinak se v lecčem podobají. Třeba základní registry v Estonsku a u nás mají hodně společného. Ale třeba v Británii to pojali jinak – vzali proces po procesu a podle hesla „digital first“ upravili každý z nich, aby odpovídal novým požadavkům. A úplně ho od základů předělali. U nás se to dělá tak, že se elektronická podoba roubuje na existující procesy, abychom pak zjistili, že to nepřináší žádnou výhodu.

Ve Sněmovně je Úřad pro ochranu hospodářské soutěže běžně označován za spolek potížistů.

V Británii tuto změnu zastřešil premiér?

Premiér a úřad, který dostal patřičné kompetence. Navíc jeho lidem nechyběla i zdravá dávka sebevědomí. To je taky náš problém – nemáme sebevědomé nižší úřady, které by věděly, co je možné a dobré, a šly si za tím. U nás ve Sněmovně je Úřad pro ochranu hospodářské soutěže běžně označován za spolek potížistů, totéž Nejvyšší kontrolní úřad. Jenže toto jsou úřady, které zodpovědně plní svou roli. Problém je v tom, že jiné úřady to nedělají. A každý si chrání svůj píseček.

To nezní moc optimisticky.

Ale optimistická zpráva je, že to jde, což je znát z té Británie. Dokonce jejich změny motivovaly touhu po úsporách a vyšlo jim to – nové uspořádání je kvalitnější a úspornější. Ale to se prostě musí chtít. U nás, když nějaká instituce ušetří, tak je na ní spíš nahlíženo skrz prsty, než aby platila za vzor ostatním. Tedy s výjimkou několika populistických akcí pana premiéra.

Jistě, vždyť platí jasné pravidlo, že čím vyšší rozpočet, tím větší moc. A kdo dělá levně, kazí obchody ostatním.

Ano. Nám třeba chybí diskuze o tom, že máme drahý outsourcing IT a špatné výsledky. Stálo by za to například přesunout peníze z outsourcingu spíš do platů. To my ale neumíme – je to jiná rozpočtová položka a instituce, typicky příspěvková organizace, si nemůže říct: Ušetřili jsme pět milionů za outsourcing IT, pojďme z toho tři miliony dát na platy. O tom musí rozhodnout nadřízená instituce. A ta se podiví, co je to za novoty.

Teď se také začíná hodně mluvit o dvou nových projektech – jedním z nich je státní cloud, druhým poštovní cloud, pravděpodobně cílený na obce a státní správu. Co si o nich myslíte?

O poštovním cloudu toho moc nevím – podle mě je to spíš obchod se strachem z GDPR. E-government cloud ale velmi vítám, hlavně část založenou na konceptu infrastructure as a service. Je to dobré pro malé obce, kde žije třicet lidí a potřebují dva VPS servery. Tak si podají žádost na centrální státní cloud, dostanou servery a fungují. Krása.

Problém je, že pan Dzurilla tam chce i druhou část – software as a service, což podle mě opět povede k vendor lock-in. Zkrátka tam bude monopolní dodavatel na věčné časy a bude složité dostat se tam z pozice konkurence, protože pro uživatele bude mnohem jednodušší využívat zavedené, byť chybující systémy. Máme už i konkrétní příklad, kdy se toto stalo: rámcové smlouvy ministerstva vnitra. Vnitro je uzavřelo s firmami, s nimiž obchoduje nejčastěji, což je zdánlivě rozumná metrika, ale opět je to typický vendor lock-in. Máme tam Oracle, IBM a další a s nimi se jen tak někdo do souboje nepustí. Je to pohodlné, ale není to dobré z pohledu ochrany hospodářské soutěže.

A kdyby tam bylo open source řešení?

To by bylo něco jiného – každý z dodavatelů by do něj mohl přispívat. Do open source se může zapojit každý a nemusí jen programovat, může třeba zajišťovat podporu na místě. Na úrovni e-government cloudu by z toho mohl být férový byzn

Související článek

Petr Baudiš: Možná si budeme muset projít něčím špatným, abychom začali regulovat umělou inteligenci

Využití umělé inteligence může být prospěšné, ale i hodně nebezpečné. Jak to chtějí odborníci na umělou inteligenci řešit? Jak umělá inteligence pracuje s předsudky a jak nás ovlivní v budoucnu? 

E-government cloud lze ale ještě upravovat a měnit, ne?

Ano, říká se, že na to budou až dva roky od chvíle, kdy zákon projde Sněmovnou. Ovšem pan Dzurilla je v tomto směru výrazně optimističtější, prý bude vše připraveno dříve. Šlo by to samozřejmě udělat na mnoho různých způsobů. Třeba tak, že by existoval centrální modul a do něj by se dodávala infrastruktura na základě zmíněného konceptu infrastructure as a service. Ale já se bojím, že zase budou přes míru zohledněny zájmy dodavatelů.

A zase to nezní optimisticky.

Nezní, to máte pravdu. Ale my e-governmentu opravdu věříme, taky budeme stále předkládat návrhy dobrých zákonů. Problém je v tom, že je ANO nenechá projít. Pak nám je ukradnou, všelijak pozmění a navrhnou je sami. Ani mi tolik nevadí, že nám je ukradnou, ale že je těmi změnami úplně zničí. Pak to sice nebude fungovat správně, ale to je už nebude zajímat. Prostě prohlásí, že je implementováno a že už se nedá nic dělat. Až se spustí e-government cloud a zjistí se, že je to vendor lock-in, schválně si udělám statistiku dodavatelů a ukáže se, jak se to celé sbíhá k několika známým výrobcům.

Líbí se vám článek? Sdílejte ho:
link odkaz
Reklama