Digitalizaci stavebního řízení (DSŘ) neprovázely při spuštění jen technické problémy, IT systémy měly také zásadní bezpečnostní chyby. Například kdokoli, kdo do systému něco uložil, se dostal k veškerým dokumentům všech ostatních uživatelů, mohl je dokonce změnit. Vyplývá to z prověrky, kterou si objednalo ministerstvo pro místní rozvoj (MMR), píše dnešní Mladá fronta Dnes (MfD). Podle ministerstva byly chyby již odstraněny, není však jasné, jak dlouho systém fungoval s vadami, píše list. ČTK aktuální vyjádření resortu zjišťuje. Bývalý ministr pro místní rozvoj Ivan Bartoš (Piráti), kterého kvůli problémům s digitalizací premiér odvolal, deníku sdělil, že o závěrech testů nevěděl.
"Test odhalil řadu závažných zranitelností. Některé nálezy byly opraveny v průběhu testu, nicméně vzhledem k dynamice vývoje aplikace během testu a nefunkčnosti některých částí nelze vydat finální výrok o (ne)bezpečnosti aplikace," napsala společnost DCIT, kterou si MMR pod Bartošem najalo, aby ozkoušelo bezpečnost systémů. Testy se uskutečnily od 1. do 12. července 2024, tedy v již "ostrém" provozu DSŘ, podotýká deník.
Digitální systémy stavebního řízení byly spuštěny loni 1. července, úřady a stavebníci s nimi měli od začátku problémy. Potíže koncem září vyústily v odvolání Bartoše z vlády a v následný odchod Pirátů do opozice. Kabinet následně rozhodl dále nepokračovat v dalším vývoji systémů a vypsal novou zakázku, jejíž specifikace se nyní připravují.
Na MMR měl pod Bartošem digitalizaci v gesci jeho stranický kolega a do října také politický náměstek Lukáš Černohorský. Ten deníku potvrdil, že Bartoš o závěrech auditů nevěděl. "Konkrétní podrobnosti neměl," sdělil Černohorský. Chyby se podle něj ale okamžitě opravovaly, nebylo proto podle něj nutné projekt zastavit. Bartoš deníku napsal, že si není vědom, že by s ním řešitelský tým závěry a nějaká závažná zjištění ohledně bezpečnosti projednával. "Předpokládám nicméně, že řešitelé projektu a zodpovědní manažeři ve spolupráci s dodavateli na základě těchto výstupů provedli potřebné úpravy, aby bylo vše zabezpečeno," uvedl.
Na vážné bezpečnostní nedostatky narazila společnost ESET, která systémy prověřovala. "Aplikace DSŘ Portál uživatelům dává oprávnění pro čtení, zápis a listování pro celé úložiště dokumentů nahraných uživateli. Vzhledem k tomu, že se používá jedno úložiště pro všechny dokumenty, mohou si uživatelé jeho obsah vypsat a následně stáhnout či přepsat libovolné dokumenty všech uživatelů," uvedli kontroloři loni v červenci s tím, že jde o kritickou vadu, která může ohrozit bezpečné fungování systému.
Další výtka se vztahovala k ohrožení hackerskými útoky. "Aplikace Národní geoportál územního plánování umožňuje uživatelům přihlásit se za jinou osobu prostým uhodnutím číselného identifikátoru, který je neměnný a má pouze sedm čísel. Útočník může v průběhu několika hodin/dní získat přístup do aplikace za kohokoliv," konstatovali kontroloři.
IT systém je nyní podle ředitele odboru komunikace a publicity MMR Petra Waleczka zkoumán Národním úřadem pro kybernetickou bezpečnost (NÚKIB). "K samotnému obsahu zpráv z penetračního testu se MMR nebude z bezpečnostních důvodů vyjadřovat – jedná se o takzvané významné informační systémy, u kterých navíc NÚKIB rozhoduje o jejich prohlášení za kritickou infrastrukturu," dodal mluvčí.
