Ministerstvo zahraničních věcí, řízené Janem Lipavským (dříve Piráti, dnes SPOLU), se snaží o rozvoj IT systémů, které resort provozuje. Jenže se objevují zásadní potíže. Dva systémy jsou v současné době velmi problematické a zdá se, že ministerstvo nejen nezvládá jejich přípravu a realizaci, ale rovněž za ně utrácí poměrně vysoké částky, které rozhodně nejsou standardní.
Jako hlavní dva systémy, které ministerstvo zahraničních věcí (MZV) potřebovalo „nutně“ nahradit, byl systém veřejné komunikace, tedy e-mailový systém MZV pro veřejné informace (bezpečný e-mail – pozn. red.) a systém podpory vízového styku ELVIS.
Bohužel oba systémy jsou v současné době velmi problematické a zdá se, že ministerstvo nejen nezvládá jejich přípravu a realizaci, ale rovněž za ně utrácí poměrně vysoké částky, které rozhodně nejsou standardní.
V obou případech dochází u systémů za mnoho set milionů korun ke zpožděním buď s předávkou – v případě systému bezpečného e-mailu) – nebo s definicí výběrového řízení v případě vízového systému, což může mít za následek nemožnost využití evropských dotací.
Mohlo by vás zajímat
Dodavatelé, kteří jsou za uvedená zpoždění či nefunkčnosti zodpovědní, nebyli podle zjištění Ekonomického deníku jakkoli sankcionováni či pokutováni.
Odůvodněním jsou pak samozřejmě a jak jinak „nové požadavky“, které nemohly být v době podpisu smlouvy známy. Projekty MZV tedy významně připomínají nedávné komplikace systému stavebního řízení na ministerstvu pro místní rozvoj, které vedl Ivan Bartoš (Piráti).
Zajímavé je, že minimálně jeden z nich – systém tzv. bezpečného e-mailu – je v současné době provozován a rozvíjen v režimu vykazování prací, nikoli jako realizace řešení na míru, a to přesto, že se jedná o ukázkovou funkcionalitu „standardního řešení IT systému“ s přesně danou funkcionalitou.
Další zajímavou charakteristikou je, že veškeré informace, které souvisí se systémy jsou uváděny jako utajované a MZV nejen, že uvedené smlouvy nezveřejňuje v evidenci smluv, klasicky netendruje, ale i výběry dodavatele dělá oslovením vybraného dodavatele.
Ekonomický deník požádal o vyjádření k některým sporným otázkám. Bohužel odpovědi, které jsme obdrželi, jsou tak obecné, že vedou k domněnkám o správných postupech jak v obsahu řešení, tak ke způsobu vypsání a tak zejména k výši ceny uvedených systémů.
Podle zdrojů Ekonomického deníku zevnitř resortu měly v souvislosti s bezpečným e-mailem inkasovat firmy cca: Seyfor 130 milionů, Aricoma 30 milionů, Comsource 36 milionů a Azure 70 milionů korun. Ministerstvo tedy zaplatilo cca 270 milionů za jejich služby. K tomu je třeba připočíst licence Microsoft M365 (0365) ve variantě S5 (bezpečnější) pro cca 3 100 lidí.
Penetrace pošty ministra
Ekonomický deník se proto věnuje těmto systémům podrobněji.
V letech 2016 a 2017 došlo k masivnímu napadení e-mailového systému MZV s dopadem na reputaci tehdejšího ministra zahraničí Lubomíra Zaorálka. Situace byla významně medializována a byla přijata opatření, která měla obdobným incidentům zamezit.
Je třeba zmínit, že byl napaden veřejný e-mailový systém, tedy systém, který slouží k veřejné komunikaci, tudíž informace získané z uvedeného systému by neměly obsahovat jiné než veřejné informace, a tudíž nedošlo ke kompromitaci interních informací MZV.
Ministerstvo zahraničí provozuje totiž z důvodů bezpečnosti dva mailové systémy jeden pro interní použití, který slouží ke komunikaci mezi zaměstnanci MZV, a to včetně ambasád a druhý pro komunikaci veřejnou, tedy zejména s externími subjekty.
Přesto se uvedený veřejný e-mailový systém stal rozhodnutím Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) významným informačním systémem je třeba se k němu z pohledu bezpečnosti chovat. Je třeba zmínit, že e-mailový systém byl součástí celého komplexního řešení zpracování veřejných informací, tedy včetně HW systémů MZV, komunikační infrastruktury oddělené od vnitřních systémů a dalších SW částí řešení.
Po napadení uvedeného e-mailového systému došlo ke kontrole NÚKIB která uložila provedení reaktivního opatření NÚKIB vůči MZV na celý uvedený systém (nikoli pouze na e-mail). MZV začalo řešit uvedené reaktivní opatření, avšak přes významné mediální dopady se reaktivní opatření vyřešit nepodařilo a po cca 2 letech došlo ke zhodnocení provedení a reaktivní opatření bylo prodlouženo až do roku 2022 (vazba na předsednictví ČR při EU). Zjištěním bylo, že uvedený systém byl uvedenými útoky významně zdiskreditován a jeho náprava nebyla tak jednoduchá.
Protože bylo potřeba řešit uvedený problém komplexněji, dohodlo se řešení na vládní úrovni s tím, že s řešením MZV vypomůže NAKIT jako organizace ministerstva vnitra, která měla s bezpečnostními otázkami větší zkušenosti, díky této aktivitě se rozběhl projekt nového informačního systému pro veřejné informace a začalo se pracovat na prototypu řešení. Bohužel opět došlo k značným časovým i technologickým komplikacím a řešení se nepodařilo implementovat. Rozhodlo se z celého řešení vyčlenit systém e-mailu a realizovat ho samostatně. Důvodem bylo zejména předsednictví ČR při EU a možné komplikace při případném přenosu bezpečnostních rizik formou elektronické komunikace během předsednictví z diskreditovaného řešení e-mailu, a to jak na subjekty České republiky, tak zejména na subjekty Evropské unie a s tím i možná diskreditace ČR na diplomatické úrovni.
V roce 2021 se rozhodlo o implementaci systému Bezpečného e-mailu se společností Mainstream Technologies, které během několika měsíců změnila majitele na společnost Solitea a ihned potom na společnost Seyfor. Důvody, které vedly k uvedeným rychlým výměnám majitele společnosti dodávajícího uvedený systém se můžeme pouze domýšlet. Původní smlouva byla podepsána na hodnotu cca 50 milionů korun s tím, že systém měl být k dispozici k 1. 2. 2022 a to zejména proto, aby systém elektronické komunikace mohl být nasazen, otestován a předán do provozu v dostatečném předstihu před zahájením předsednictví České republiky při Evropské unii.
Termín nasazení nebyl dodržen a předsednictví České republiky při EU bylo technologicky odkomunikováno z pohledu elektronických komunikací na starém, napadeném a zkompromitovaném řešení.
Janoušek, J&T a potenciální kyberbezpečnostní riziko
Zdálo by se logické, že v případě, že systém nebyl nasazen a odevzdán dodavatelem Seyfor v řádném termínu a že původní systém fungoval bez problémů po dobu celého předsednictví, dojde k jednání o ukončení projektu a penalizování dodavatele a k podpoře používání stávajícího řešení a pokračování celkovém řešení v koncepčním rozsahu, který byl definován společností NAKIT. Nebylo tomu tak, nejen že smlouva nebyla ukončena, naopak pod záminkou změny rozsahu projektu byl uzavřen další dodatek ke smlouvě, který již není podepsán na konkrétní řešení ale pouze na konzultační služby a podporu řešení systému bezpečného mailu. Společnost NAKIT byla z celého řešení vyeliminována.
Projekt bezpečného mailu pokračoval celou řadu dalších měsíců a byl předán do omezeného produkčního prostředí až cca v dubnu 2024, tedy více než dva roky po původním termínu. Dle informací z MZV není stále plně funkční a dochází k významným omezení v jeho používání zejména na zastupitelských úřadech.
Velkým problémem a dalším důvodem k otázkám je přechod na úplně jinou technologickou platformu e-mailu, tedy od starého řešení Lotus Notes k novému MS O365 cloud. MZV jako organizace nemá odborníky na provozování řešení a evidentně tento stav vyhovuje, protože ani nové specialisty nehledá a nechává podporu provozu na dodavateli. Vzhledem k tomu, že e-mail je používán na cca 120 zastupitelských úřadech a celém ústředí je tento stav alarmující a významně buse zatěžovat jak provoz řešení, tak rozpočet IT na MZV. Zadavatel je tak vzhledem ke kvalitě svého IT teamu zcela pod kontrolou dodavatele a je zcela závislý na jeho službách. Je rovněž zajímavé, že implementátorem je firma, kterou NÚKIB označil jako možné riziko pro kybernetickou bezpečnost. Úřad konkrétně zmínil varování, že společnost má blízko k lobbistovi Romanu Janouškovi a podnikatelské skupině J&T, že je potenciálním kyberbezpečnostním rizikem.
Nasazení e-mailového systému je jedním ze základních projektů jakékoli organizace a bez něho dnes nikdo nemůže dobře fungovat. Nasazení zabezpečeného e-mailu může znamenat vyšší požadavky na dodavatele, ale v případě nasazení cloudového řešení by se zdálo, že je dostatečné použití cloudové služby s vyšším zabezpečením (například Microsoft O365 ve variantě E5). Představa MZV je asi jiná. Náklady na implementaci celého řešení jsou dnes vysoko nad 100 milionů korun a náklady stále rostou z důvodu existence uvedené smlouvy na podporu a rozvoj řešení bezpečného e-mailu. Jistě by bylo zajímavě porovnat náklady na pořízení a provozování systému u jiných organizací, které obdobný proces realizovalo (například MŽP).
Je s podivem, že k uvedenému řešení mlčí i manažer kybernetické bezpečnosti MZV i bezpečnostní ředitel MZV a co horšího i ministr zahraničí.
Systému podpory vízového procesu Elvis se bude Ekonomický deník podrobněji věnovat v pokračováních tohoto textu.
Ekonomický deník požádal ministerstvo zahraničních věcí o reakci. Moc jsme se toho ale bohužel nedozvěděli.
„V době vysokého nárůstu kybernetických útoků a jiných sabotáží musí diplomacie více než kdy dřív zajistit bezpečnou komunikaci. Proto MZV jako jedna z prvních státních institucí přistoupila k modernímu zabezpečení svého e-mailového systému, k čemuž sloužil právě projekt tzv. Bezpečného e-mailu. Původní poštovní systém MZV provozovaný na platformě Lotus Notes byl nahrazen novým řešením, které je založené na Microsoft Exchange. Zároveň došlo k zásadnímu navýšení úrovně kybernetické bezpečnosti e-mailového systému. Pro ochranu řešení je využit Zero Trust Security Model doplněný o další bezpečnostní komponenty. Konkrétní prvky ochrany nemohou být uvedeny s odkazem na § 10a zákona č. 181/2014 Sb., o kybernetické bezpečnosti, ve znění pozdějších předpisů,“ uvedla Mariana Wernerová z tiskového odboru ministerstva zahraničních věcí.
Bezpečný e-mail byl podle ní spuštěn do ostrého provozu v červenci 2024. Od té doby je provozován bez závažnějších omezení funkčnosti a dostupnosti.
„Bezpečný e-mail byl od začátku koncipován jako projekt směřující k zásadnímu navýšení úrovně kybernetické bezpečnosti e-mailového systému MZV při vědomí případných dočasných dopadů na uživatelskou přívětivost. Zlepšení user experience je řešeno v rámci rozvoje Bezpečného e-mailu a dalšími návaznými projekty,“ podotkla Wernerová.
MZV podle Wenerové není závislé na službách jediného dodavatele, protože Bezpečný e-mail má vícero dodavatelů. „Jejich činnost koordinuje přímo ministerstvo. Návazná podpora a rozvoj Bezpečného e-mailu bude zajištěna prostřednictvím transparentních zadávacích řízení,“ uvedla Wenerová.
Co se týče auditu projektu, ten dělá interní útvar GIA. „Požadované informace o výsledcích auditů nemůžeme uvádět s odkazem na zákon o kybernetické bezpečnosti, ve znění pozdějších předpisů.
K dotazu ohledně implementátora uvádíme, že společnost Seyfor je zapsaným poskytovatelem cloud computingu podle zákona o informačních systémech veřejné správy, ve znění pozdějších předpisů. Seyfor splnil veškeré zákonné požadavky pro poskytování služeb orgánům veřejné správy. Co se týče dalších dotazů, na ty bohužel odpovědět nemůžeme, protože podléhají zákonu o ochraně utajovaných informací a o bezpečnostní způsobilosti, ve znění pozdějších předpisů,“ uvedlo ministerstvo.
Neodpovíme. Prostě neodpovíme
Protože Ekonomický deník odpovědi neuspokojily, dotazy ještě rozšířil. Odpověděla na ně opět pracovnice tiskového odboru Mariana Wernerová. Pro autentičnost otiskujeme komunikaci v její reálné podobě.
Opravdu si myslíte, že MZV je jednou z prvních instituci, která má moderní zabezpečení svého e-mailového systému?
Ano, ministerstvo zahraničí je jedním z prvních orgánů veřejné moci, který své e-mailové prostředí zabezpečil na takto vysoké úrovni.
Je pravda, že nasazení uvedeného řešení trvalo významně delší dobu a stálo významně vyšší prostředky, něž bylo v původním zadání? O kolik déle, o kolik dražší?
Projekt Bezpečného e-mailu se v průběhu svého vývoje měnil v reakci na vnější i vnitřní vlivy. Od původního zadání na e-mailového klienta se projekt přetransformoval na úplnou náhradu prostředí MZV na spolupráci zaměstnanců. Nejde tedy o prodlužování termínu a navyšování ceny, ale o řízenou změnu původního zadání.
Paragraf 10a zákona č. 181/2014 Sb., o kybernetické bezpečnosti, ve znění pozdějších předpisů, hovoří o mlčenlivosti nad bezpečnostními incidenty, nikoli nad nasazenými bezpečnostními mechanismy. Proč se zdráháte odpovědět na některé otázky?
Informace nebudou s odkazem na § 10a zákona č. 181/2014 Sb., o kybernetické bezpečnosti, ve znění pozdějších předpisů, poskytnuty.
Neodpověděli jste na otázku, proč implementace tak jednoduchého řešení – zabezpečeného systému e-mailu trvala tak dlouhou dobu a proč nebyla spuštěna k termínu, definovaném původní smlouvou…
Řešení pro bezpečný e-mailový systém není tak jednoduché, jak by se mohlo na první pohled zdát. Jedná se o složité prostředí, které musí fungovat online po celém světě a ve všech časových pásmech, přičemž se klade důraz na vysokou úroveň kybernetické bezpečnosti. Projekt Bezpečného e-mailu se vyvíjel podle měnících se potřeb a vnějších podmínek, a to od původního plánu na výměnu e-mailového klienta až po kompletní změnu celého pracovního prostředí ministerstva. Není tedy pravda, že by došlo k prodlužování termínu nebo zvyšování nákladů; jde spíše o řízené změnové požadavky. Některé požadavky podléhají zákonu o ochraně utajovaných informací (zákon č. 412/2005 Sb.), a další jsou v souladu se zákonem o kybernetické bezpečnosti (zákon č. 181/2014 Sb.). Z důvodu výše uvedeného nemůžeme poskytnout podrobnosti, které byste si přál.
Proč tedy nejsou jednotlivé smlouvy uvedeny v registru smluv? Hledal jsem je, ale nenašel, pokud se mýlím, rád se nechám opravit…
Smlouvy nebyly zveřejněny v souladu s § 219 odst. 1) písm. b) zákona č. 134/2016 Sb., o zadávání veřejných zakázek, ve znění pozdějších předpisů.
Paragraf 10a zákona č. 181/2014 Sb., o kybernetické bezpečnosti, ve znění pozdějších předpisů, hovoří o mlčenlivosti nad bezpečnostními incidenty, nikoli u výstupu z auditu. Poprosím tedy o odpovědi na mé předchozí otázky.
Platí, že informace nebudou s odkazem na § 10a zákona č. 181/2014 Sb., o kybernetické bezpečnosti, ve znění pozdějších předpisů, poskytnuty.
