EET má staré šifrování, může ohrozit podnikatele, varuje odborník
bezpečnostní díry online pokladen
Pokud se vládě podaří prosadit elektronickou evidenci tržeb (EET), firmy budou moct krást data o své konkurenci a zneužívat je ve svůj prospěch. Obává se toho sdružení KohoVolit.eu s odkazem na studii ministerstva financí o EET, kterou získalo a poskytlo ji k nahlédnutí Českému rozhlasu. Ze studie podle sdružení vyplývá, že evidence tržeb by mohla mít hned několik bezpečnostních děr. Ministerstvo však jakékoli hrozby popírá.
Hlavní problém elektronické evidence tržeb, kterou chce zavést ministr financí Andrej Babiš, podle hnutí KohoVolit.eu spočívá ve špatném zabezpečení. Komunikace mezi prodejci a finanční správou by totiž měla být šifrovaná. Podle studie, kterou si nechalo vypracovat ministerstvo financí, však bude používat šifrovací protokol SSL3, který je podle některých kritiků zastaralý.
„Třeba Chrome, tedy hojně používaný prohlížeč, tuším, se už dnes vůbec na server, který oznámí, že umí jen SSL3, nepřipojí. Bude to brát jako nebezpečné spojení,“ řekl k tomu pro Český rozhlas vývojář společnosti GoodData David Doležal. Upozornil zejména na to, že tento systém můžou snadno prolomit hackeři a získaná data zneužít v konkurenčním boji.
Ještě větší problém však může představovat následný pohyb dat mezi počítači finanční správy, protože tam už se šifrování podle informací Českého rozhlasu nebude používat vůbec.
„Ve chvíli, kdy EET servery budou rozmístěny po republice, což pravděpodobně z důvodu zálohování budou, tak mezi nimi už mají data putovat v nezašifrované poloze. Pro potenciálního útočníka to tak znamená, že pouze musí najít příslušný kabel, po kterém data jdou, a může je odposlouchávat,“ uvedl v rozhlasu odborník na zabezpečení komunikace Marcel Šulek.
Samotné ministerstvo financí, které chce pod vedením Andreje Babiše EET prosadit, se však hájí tím, že skutečnosti uvedené ve studii nelze brát závazně – resort se prý problémy začne závazně zabývat až ve chvíli, kdy k zavedení evidence dojde. A kabinet pro protlačení zákona ve sněmovně má již svou strategii.
Čtěte také: Koalice má fígl: EET prosadíme silou. Ať to pak řeší Ústavní soud
„Ambicí studie bylo pouze prokázat proveditelnost a odhadnout rozpočet, nikoli detailně navrhnout systém,“ uvedl k tomu mluvčí ministerstva Michal Žůrovec. „Práce na informačním systému budou zahájeny teprve poté, co zákon nabyde platnosti. V rámci vývoje bude pro celý informační systém i jeho zabezpečení provedena detailní analýza rizik a nový bezpečností návrh,“ dodal mluvčí pro Český rozhlas.
Není to přitom poprvé, kdy se objevil rozruch kolem studie, kterou pro ministerstvo financí zpracovala společnost BDO. Například v říjnu letošního roku měl resort Andreje Babiše co vysvětlovat, když aktivistovi Michalu Škopovi, který je zakládající člen hnutí KohoVolit.eu, dodal studii z větší části začerněnou. Z celkových 192 stran studie jich tehdy Škop dostal 136 kompletně začerněných, 19 z velké části začerněných a 10 z menší části začerněných.
Musím se omluvit MFČR: stihli mi poslat vyžádaný dokument dle infozákona ohledně EET. Poslali to v poslední den prodlouž…
Zveřejnil(a) Michal Škop dne 11. říjen 2015