Hlavní navigace

Zpackaný registr vozidel: Vše podstatné je tajné, aby hackeři nenapadli systém

 Autor: Ministerstvo dopravy
Daniel Dočekal 25. 7. 2012

Ministerstvo dopravy na nejpodstatnější otázky okolo zpackaného Centrálního registru vozidel odpovídá nedostatečně – odvolává se přitom na bezpečnostní důvody. Některá zdůvodnění jsou velmi originální, zejména ve světle toho, jak registr (ne)funguje.

Lupa.cz požádala Ministerstvo dopravy o řadu konkrétních informací potřebných pro lepší pochopení toho, jak je možné uvést do provozu nevyzkoušený informační systém, který se navíc okamžitě zhroutí a ani týdny potom nefunguje. Na nejpodstatnější otázky jsme odpovědi nedostali. Poskytnuté smlouvy došly neúplné a absence příloh znamená, že mnoho podstatných informací není možné zjistit nebo ověřit.

Bezpečnostní důvody jako univerzální odmítnutí

S odvoláním na „bezpečnostní důvody“ ministerstvo dopravy uvádí, že v předmětných dokumentech je „detailně popsána architektura systémů“ a „zveřejnění těchto informací by mohlo vést k pokusům o napadení systému a ministerstvo dopravy je povinné učinit potřebná opatření pro ochranu systému“.

Poznámka: To pravděpodobně hlavně proto, aby se nikdo skrz https://crv.mdcr.cz/Account/LogOn nemohl do Registru vozidel dostat prostým použitím uniklých jmen a hesel.

Z „bezpečnostních“ důvodů ministerstvo odmítlo poskytnout i zadávací dokumentaci (požadavky). Odvolalo se přitom na to, že „některé informace podléhají utajení z důvodu propojení na bezpečnostní složky státu a výkonu jejich agend. Což by v případě zveřejnění mohlo být ohrožení státní bezpečnosti“. Jak ATS-Telcom, tak SIKS mají podle Ministerstva dopravy potřebné bezpečnostní prověrky, a to na stupeň utajení „Vyhrazené“ podle zákona č. 412/2005 Sb.

Co se podařilo o registru získat

Ministerstvo dopravy potvrdilo, že subdodavatelem je společnost SIKS. Ministerstvo také poskytlo přehled referencí – viz. Významné referenční ICT projekty firmy ATS (Word).

Podle ministerstva dopravy prošel systém zátěžovými zkouškami, z „bezpečnostních důvodů“ ovšem „není možné protokol a další podrobnosti zveřejňovat“.

Poměrně zajímavá a podstatná informace je, že ministerstvo dopravy předmětnou aplikaci (informační systém) nepřevzalo a nebyla Ministerstvem dopravy akceptována. Zajímalo nás také, jak je možné, že Ministerstvo dopravy umožnilo spuštění systému, který se okamžitě po spuštění zhroutil. Dostalo se nám vysvětlení, že Ministerstvo bylo „opětovně ubezpečováno, že vše bude plně funkční“.

Co se důvodu počátečního selhání registru vozidel týče, nedozvěděli jsme se nic nového. Pouze následující vyhýbavou a nic neříkající odpověď:

Na základě dostupných logů je zjevné, že došlo k přerušení komunikace mezi databázovými servery a datovým úložištěm (disky), což v konečném důsledku zapříčinilo pád celého systému. Uvedená závada se neprojevila v době přípravy systému ani v průběhu testování dle schválených testovacích plánů (migrační, zátěžové, bezpečnostní test; cca 2 měsíce testování).

A kdyby vás zajímalo, kdo je za selhání odpovědný, ani tady se odpovědi nedočkáte. Podle ministerstva dopravy je to předmětem analýz a na závěry je příliš brzo. A tajné jsou i technické parametry informačního systému: není je možné sdělit z „bezpečnostních důvodů“.

Ministerstvo dopravy poskytlo tuto smlouvu (PDF) mezi ministerstvem dopravy a ATS-Telcom, a také Smlouvu o poskytování a rozvoji IT služeb (PRITS v PDF, pozor – 750 KB) a dodatek k této smlouvě (PDF). Z těch plyne, že ATS-Telcom může být sankciována (viz podrobněji dále). S ohledem na aktuální vývoj okolo (stále nefunkčního) Centrálního registru vozidel to stále vypadá stejně nereálně jako na samém počátku. Na otázku, jakým způsobem je řešeno finanční plnění za vytvoření, dodávku a provoz předmětného informačního systému, odpovědělo ministerstvo dopravy následujícím vysvětlením:

Řádné výběrové řízení na dodavatele služeb PRITS (Smlouvu o poskytování a rozvoji IT služeb), který zahrnuje rozvoj a provoz, proběhlo už v roce 2010. Vítěznou společností se stala společnost ATS – Telcom, a. s. MD této společnosti platilo měsíčně 13 166 690,50 Kč. S ohledem na plné nevyužívání alokovaných finančních prostředků, které byly touto smlouvou vázány, došlo k rozhodnutí dodání aplikace CRV v rámci této smlouvy. Částka za software aplikace CRV ve výši 37 milionů korun je součástí smlouvy z roku 2010; firmě by byla zaplacena i tehdy, kdyby se aplikace CRV nerealizovala. MD do této chvíle nezaplatilo žádné finanční prostředky vyplývající ze Smlouvy „Zajištění podpory provozu Centrálního registru vozidel“ (včetně DPH).

Plyne z něj to, co jsme už uváděli v původním článku. Tedy to, že registr vozidel byl zadán firmě ATS-Telcom bez výběrového řízení a ministerstvo za software registru vozidel zaplatí 37 milionů korun. Tuto částku dostane ATS-Telcom v každém případě, dokonce i kdyby vůbec software nedodal. Další finanční prostředky navíc dostane za zajištění podpory provozu registru. Zde si všimněte toho, že nejde o „zajištění provozu“ ale o „zajištění podpory provozu“.

Zajímala nás také kompletní zadávací dokumentace. Ministerstvo dopravy odpovědělo, že „Zadávací dokumentace nebyla vytvořena, vznikl změnový požadavek v rámci stávající smlouvy PRITS. V rámci projektu bylo vytvořeno několik dokumentů, např. Analýza právního rámce, Základní dokument projektu (obdoba Zadávací dokumentace), Detailní popis systému atd.“ Uváděné dokumenty Ministerstvo dopravy odmítlo poskytnout s ohledem na již známé „bezpečnostní důvody“.

Co je možné najít v poskytnutých smlouvách

(1) Základní smlouva (PDF) mezi Ministerstvem dopravy a ATS-Telcom řeší dodávku

  • technické a uživatelské podpory (9. 7. 2012 – 31. 3. 2013, 400 000,– Kč za měsíc plnění),
  • non-stop informační linky (9. 7. 2012 – 30. 9. 2013, 990 000,– Kč za měsíc plnění),
  • podpory převodu dat z původní aplikace do nové aplikace (9. 7. 2012 – 30. 9. 2013, jednorázově 13 104 000,– Kč) a
  • doplnění aplikačního programového vybavení (jednorázově 7 350 000,– Kč).

Celková cena za řádně poskytnuté plnění za celou dobu platnosti a účinnosti smlouvy činí 27 024 000,– Kč (vše bez DPH). A zvídavému čtenáři lze doporučit pozornost hlavně slova „podpora převodu dat“. Tedy nikoliv zajištění „převodu dat“. Smlouva také určuje případné smluvní pokuty, což v případě posledního bodu činí pouze 5 000,– Kč za den z prodlení. Dodavatel, tedy ATS-Telcom, je při plnění této smlouvy pojištěn pouze na škodu způsobenou třetím osobám ve výši 10 milionů korun.

Ministerstvo dopravy neposkytlo přílohy ve smlouvě zmiňované, které poskytují odpovědi na řadu dalších důležitých otázek. Z dostupné části této smlouvy neplyne, že by ATS-Telcom zaručovalo, že vůbec systém bude fungovat – je ale možné, že toto nějakým způsobem upravují právě nedodané přílohy.

(2) Dodatek k výše uvedené smlouvě (PDF) rozšiřuje plnění o

  • Předání kompletního soupisu Dodavatele používaného HW
  • Předání kompletní komunikační matice projektu PRITS
  • Poskytnutí konzultací Objednateli a novému poskytovateli spojených zejména s přípravou nového poskytovatele na výkon služeb

Ani v jednom případě tedy nejde o nic, co by mělo nějaký význam s ohledem na nefunkční Registr vozidel. Stejně tak zde uvedené dodatečné smluvní pokuty nemají žádný vztah k provozu a funkčnosti Registru. Navíc jsou podmíněny až prodlením s potřebou větší než „500 člověko-dnů“. Tedy, pokud mírně zaokrouhlíte, nelze k uplatnění sankcí dojít v praxi dříve, než po skončení platnosti  základní smlouvy.

(3) Podstatně rozsáhlejší je Smlouva o poskytování a rozvoji IT služeb (PRITS v PDF, pozor – 750 KB), která ale byla uzavřena již v roce 2010 a samotného registru vozidel se vlastně netýká. Zde se nicméně objevuje smluvní pokuta ve výši 2 000 000,– Kč, která byla v souvislosti s nefunkčním registrem zmiňována. Po důkladném prostudování tří poskytnutých smluv si nicméně nejsem zcela jist tím, že tuto smluvní pokutu bude vůbec možné uplatnit. Tato konkrétní smlouva se totiž provozu registru vozidel (tedy CRV) netýká.

Ministerstvo dopravy ani k této smlouvě nedodalo přílohy, ve kterých jsou uvedeny všechny podstatné informace. Včetně konkrétního plnění, finančních podmínek atd.

Platit se bude, i kdyby nic nebylo

Ministerstvo dopravy nejpodstatnější informace neposkytuje: buď s odvoláním na „bezpečnostní důvody“, nebo se nacházejí v „přílohách“, které ministerstvo neposlalo. Samotné smlouvy jsou nepřehledné, v řadě míst jsou formulované ve prospěch dodavatele. V některých případech je ze smluv či vyjádření zřejmé, že finanční plnění bude vyplaceno, i kdyby se nestalo vůbec nic.

CRV neboli Centrální registr vozidel nefunguje ani k 24. červenci 2012. Svědčí o tom nekončící pokrytí zprávami v řadě českých novin. Namátkou:

Našli jste v článku chybu?

25. 7. 2012 12:00

papaja (neregistrovaný)

Tak to se značně lišíme v představě o pojmu pravice. Pravicová vláda by byla taková, která by konečně přestala obtěžovat občany a firmy výběrem daní, které jsou z valné části rozkradeny a z valné části utraceny za věci, které by si každý levněji a efektivněji vyřešil sám, případně vůbec nejsou potřeba (např. dotace soukromým hotelům).

25. 7. 2012 9:34

papaja (neregistrovaný)

Jsem si nějak nevšiml, že by tu kdy vládla nějaká pravice :-( A to bez ohledu na to, jak se sami označují...

Root.cz: Vypadl Google a rozbilo se toho hodně

Vypadl Google a rozbilo se toho hodně

Vitalia.cz: Nestlé vyvinula nový typ „netloustnoucího“ cukru

Nestlé vyvinula nový typ „netloustnoucího“ cukru

Vitalia.cz: Naučí vás péct kváskový chléb bez lepku i s lepkem

Naučí vás péct kváskový chléb bez lepku i s lepkem

Podnikatel.cz: Babiše přesvědčila 89letá podnikatelka?!

Babiše přesvědčila 89letá podnikatelka?!

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Podnikatel.cz: Víme první výsledky doby odezvy #EET

Víme první výsledky doby odezvy #EET

Měšec.cz: Jak levně odeslat balík přímo z domu?

Jak levně odeslat balík přímo z domu?

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

Vitalia.cz: Dáte si jahody s plísní?

Dáte si jahody s plísní?

Podnikatel.cz: Zavře krám u #EET Malá pokladna a Teeta?

Zavře krám u #EET Malá pokladna a Teeta?

DigiZone.cz: HD programy ČT i v UPC Horizon

HD programy ČT i v UPC Horizon

DigiZone.cz: Milan Kruml: procházka TV historií

Milan Kruml: procházka TV historií

Měšec.cz: Finančním poradcům hrozí vracení provizí

Finančním poradcům hrozí vracení provizí

Podnikatel.cz: Dárky v podnikání. Jak je uplatnit v daních?

Dárky v podnikání. Jak je uplatnit v daních?

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla

Podnikatel.cz: Na 3. prosince se chystá protest proti EET

Na 3. prosince se chystá protest proti EET

120na80.cz: Stoná vaše dítě často? Upravte mu jídelníček

Stoná vaše dítě často? Upravte mu jídelníček

Lupa.cz: Seznam mění vedení. Pavel Zima v čele končí

Seznam mění vedení. Pavel Zima v čele končí

Podnikatel.cz: Berňák kvůli EET prodlužuje otevírací dobu

Berňák kvůli EET prodlužuje otevírací dobu

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá