Ostuda státních webů: nebezpečné a podvodné
DIGITALIZACE V ČESKU
Digitalizace české státní správy se dočkala další ostudy. V neděli vypršel bezpečnostní certifikát Portálu veřejné správy na adrese portal.gov.cz, který obsahuje několik důležitých rozcestníků. Certifikáty, zajišťující bezpečný přesun dat, tím pádem vypršely i dalším příbuzným webovým stránkám – prohlížeče je kvůli tomu označily za nebezpečné a podvodné. Kvůli tomu nebylo možné prohlédnout jejich obsah ani využít jejich služeb, např. přihlašování přes eObčanku a správu datových schránek. Nakonec byl certifikát obnoven až večer, veřejnost ale žasne, jak mohla státní sféra něco takového zanedbat.
„Na Portálu veřejné správy naleznete informace o službách veřejné správy a životních událostech, formuláře, věstníky, seznam datových schránek, nepotřebný nemovitý majetek a další. Najdete zde také odkazy na státní instituce. Svým zaměřením je Portál veřejné správy určen pro širokou veřejnost, státní správu a samosprávu, státní i soukromé organizace, včetně podnikatelů, živnostníků a cizinců,“ uvádí ministerstvo vnitra na svých stránkách. Portál dovoluje také přihlášení přes elektronickou identitu eObčanku, třeba ke správě datové schránky nebo komunikaci s úřady, což je v pandemické době zásadní funkce.
Certifikáty pak prokazují identitu stránek, které při komunikaci mezi serverem a návštěvníkem webu využívají šifrovacího mechanismu pro bezpečný přesun dat (např. přihlašovacích údajů). Jde o standardní záležitost, na kterou lze narazit u všech osvědčených stránek, od e-shopů po internetové bankovnictví, ale také u zpravodajských portálů či webů úřadů. Kdo se ale chtěl přihlásit na Portál veřejné správy v neděli po obědě, měl smůlu. Tou dobou už stránce vypršel certifikát, stejně jako některým souvisejícím webům trvalypobyt.gov.cz nebo narozeni.gov.cz.
Nebylo tedy možné využít některé služby eGovernmentu. „Vaše připojení není privátní. Útočníci se možná pokoušejí ukrást vaše informace z portal.gov.cz (například hesla, zprávy nebo platební karty),“ varovaly před Portálem veřejné správy prohlížeče jako Microsoft Edge, Chrome či Firefox, když se jejich uživatelé snažili dostat na zmíněný web. Všechny redakcí vyzkoušené prohlížeče dopadly stejně – nepodařila se jim ověřit platnost zabezpečovacích pověření. „K tomu může dojít, když nějaký útočník zkouší předstírat, že je web portal.gov.cz,“ říkala dále varovná hláška v prohlížeči.
— Pavel Beneš (@PavelBenes) February 14, 2021
Portál byl podle informací serveru Lupa.cz, který na případ upozornil, obnoven až v 19 hodin společně s novým bezpečnostním certifikátem. Událost zaskočila některé uživatele i IT experty – vystavitel certifikátu totiž zpravidla dává s předstihem vědět, že brzy dojde k expiraci, někdy 20 až 30 dní dopředu. Mnozí se tak pozastavují nad tím, jak mohlo státní správě něco takového uniknout, když je na takový portál navázán řetězec dalších příbuzných služeb.
Tradice zavazuje.
— Michal Špaček (@spazef0rze) February 15, 2021
1. Použijete Let's Encrypt certifikát
2. Vyexpiruje vám to
3. Do pondělí nejede web
4. Použijete zas LE cert
5. Zas vám to o víkendu kua vyexpiruje
6. Dáte tam dvouletej EV cert
7. Přijde víkend a zas vám to vyexpiruje, fck
👍 @gov_czhttps://t.co/ucM6Uqcs1K https://t.co/XAqVkAugmv
„Portál jsem spouštěl před 17 lety ještě jako ministr, měl to být vstup do eGovernmentu. Postupně umíral, už ho nerozvíjeli, tohle už je jen hořká tečka. Když se mne občas někdo zeptá, proč jsem skončil v byznysu, tak přesně kvůli tomuhle. Marnost, marnost,“ okomentoval případ na Twitteru Vladimír Mlynář, exministr informatiky ve vládě Vladimíra Špidly a vládě Stanislava Grosse, nyní ředitel komunikace investiční skupiny PPF.
Nejde zdaleka o první přešlap na straně vlády, která se v rámci svého programu chlubí mimo jiné právě digitalizací státní sféry. V prosinci se dostal resort dopravy pod palbou kritiky za problémový start e-shopu na elektronické dálniční známky. Mnohem větší poprask pak v půlce ledna způsobil nefungující rezervační systém na očkování lidí nad 80 let. Nedlouho poté si lidé začali stěžovat i na nefunkční portál AIS MPO, na němž podnikatelé posílají žádosti v kompenzačních programech. Ten nefungoval hned několik dní, „protože vyhořel server“.
