Zpackaný registr vozidel: Vše podstatné je tajné, aby hackeři nenapadli systém

Ministerstvo dopravy na nejpodstatnější otázky okolo zpackaného Centrálního registru vozidel odpovídá nedostatečně – odvolává se přitom na bezpečnostní důvody. Některá zdůvodnění jsou velmi originální, zejména ve světle toho, jak registr (ne)funguje.

Lupa.cz požádala Ministerstvo dopravy o řadu konkrétních informací potřebných pro lepší pochopení toho, jak je možné uvést do provozu nevyzkoušený informační systém, který se navíc okamžitě zhroutí a ani týdny potom nefunguje. Na nejpodstatnější otázky jsme odpovědi nedostali. Poskytnuté smlouvy došly neúplné a absence příloh znamená, že mnoho podstatných informací není možné zjistit nebo ověřit.

Bezpečnostní důvody jako univerzální odmítnutí

S odvoláním na „bezpečnostní důvody“ ministerstvo dopravy uvádí, že v předmětných dokumentech je „detailně popsána architektura systémů“ a „zveřejnění těchto informací by mohlo vést k pokusům o napadení systému a ministerstvo dopravy je povinné učinit potřebná opatření pro ochranu systému“.

Poznámka: To pravděpodobně hlavně proto, aby se nikdo skrz https://crv.mdcr.cz/Account/LogOn nemohl do Registru vozidel dostat prostým použitím uniklých jmen a hesel.

Z „bezpečnostních“ důvodů ministerstvo odmítlo poskytnout i zadávací dokumentaci (požadavky). Odvolalo se přitom na to, že „některé informace podléhají utajení z důvodu propojení na bezpečnostní složky státu a výkonu jejich agend. Což by v případě zveřejnění mohlo být ohrožení státní bezpečnosti“. Jak ATS-Telcom, tak SIKS mají podle Ministerstva dopravy potřebné bezpečnostní prověrky, a to na stupeň utajení „Vyhrazené“ podle zákona č. 412/2005 Sb.

Co se podařilo o registru získat

Ministerstvo dopravy potvrdilo, že subdodavatelem je společnost SIKS. Ministerstvo také poskytlo přehled referencí – viz. Významné referenční ICT projekty firmy ATS (Word).

Podle ministerstva dopravy prošel systém zátěžovými zkouškami, z „bezpečnostních důvodů“ ovšem „není možné protokol a další podrobnosti zveřejňovat“.

Poměrně zajímavá a podstatná informace je, že ministerstvo dopravy předmětnou aplikaci (informační systém) nepřevzalo a nebyla Ministerstvem dopravy akceptována. Zajímalo nás také, jak je možné, že Ministerstvo dopravy umožnilo spuštění systému, který se okamžitě po spuštění zhroutil. Dostalo se nám vysvětlení, že Ministerstvo bylo „opětovně ubezpečováno, že vše bude plně funkční“.

Co se důvodu počátečního selhání registru vozidel týče, nedozvěděli jsme se nic nového. Pouze následující vyhýbavou a nic neříkající odpověď:

Na základě dostupných logů je zjevné, že došlo k přerušení komunikace mezi databázovými servery a datovým úložištěm (disky), což v konečném důsledku zapříčinilo pád celého systému. Uvedená závada se neprojevila v době přípravy systému ani v průběhu testování dle schválených testovacích plánů (migrační, zátěžové, bezpečnostní test; cca 2 měsíce testování).

A kdyby vás zajímalo, kdo je za selhání odpovědný, ani tady se odpovědi nedočkáte. Podle ministerstva dopravy je to předmětem analýz a na závěry je příliš brzo. A tajné jsou i technické parametry informačního systému: není je možné sdělit z „bezpečnostních důvodů“.

Ministerstvo dopravy poskytlo tuto smlouvu (PDF) mezi ministerstvem dopravy a ATS-Telcom, a také Smlouvu o poskytování a rozvoji IT služeb (PRITS v PDF, pozor – 750 KB) a dodatek k této smlouvě (PDF). Z těch plyne, že ATS-Telcom může být sankciována (viz podrobněji dále). S ohledem na aktuální vývoj okolo (stále nefunkčního) Centrálního registru vozidel to stále vypadá stejně nereálně jako na samém počátku. Na otázku, jakým způsobem je řešeno finanční plnění za vytvoření, dodávku a provoz předmětného informačního systému, odpovědělo ministerstvo dopravy následujícím vysvětlením:

Řádné výběrové řízení na dodavatele služeb PRITS (Smlouvu o poskytování a rozvoji IT služeb), který zahrnuje rozvoj a provoz, proběhlo už v roce 2010. Vítěznou společností se stala společnost ATS – Telcom, a. s. MD této společnosti platilo měsíčně 13 166 690,50 Kč. S ohledem na plné nevyužívání alokovaných finančních prostředků, které byly touto smlouvou vázány, došlo k rozhodnutí dodání aplikace CRV v rámci této smlouvy. Částka za software aplikace CRV ve výši 37 milionů korun je součástí smlouvy z roku 2010; firmě by byla zaplacena i tehdy, kdyby se aplikace CRV nerealizovala. MD do této chvíle nezaplatilo žádné finanční prostředky vyplývající ze Smlouvy „Zajištění podpory provozu Centrálního registru vozidel“ (včetně DPH).

Plyne z něj to, co jsme už uváděli v původním článku. Tedy to, že registr vozidel byl zadán firmě ATS-Telcom bez výběrového řízení a ministerstvo za software registru vozidel zaplatí 37 milionů korun. Tuto částku dostane ATS-Telcom v každém případě, dokonce i kdyby vůbec software nedodal. Další finanční prostředky navíc dostane za zajištění podpory provozu registru. Zde si všimněte toho, že nejde o „zajištění provozu“ ale o „zajištění podpory provozu“.

Zajímala nás také kompletní zadávací dokumentace. Ministerstvo dopravy odpovědělo, že „Zadávací dokumentace nebyla vytvořena, vznikl změnový požadavek v rámci stávající smlouvy PRITS. V rámci projektu bylo vytvořeno několik dokumentů, např. Analýza právního rámce, Základní dokument projektu (obdoba Zadávací dokumentace), Detailní popis systému atd.“ Uváděné dokumenty Ministerstvo dopravy odmítlo poskytnout s ohledem na již známé „bezpečnostní důvody“.

Co je možné najít v poskytnutých smlouvách

(1) Základní smlouva (PDF) mezi Ministerstvem dopravy a ATS-Telcom řeší dodávku

  • technické a uživatelské podpory (9. 7. 2012 – 31. 3. 2013, 400 000,– Kč za měsíc plnění),
  • non-stop informační linky (9. 7. 2012 – 30. 9. 2013, 990 000,– Kč za měsíc plnění),
  • podpory převodu dat z původní aplikace do nové aplikace (9. 7. 2012 – 30. 9. 2013, jednorázově 13 104 000,– Kč) a
  • doplnění aplikačního programového vybavení (jednorázově 7 350 000,– Kč).

Celková cena za řádně poskytnuté plnění za celou dobu platnosti a účinnosti smlouvy činí 27 024 000,– Kč (vše bez DPH). A zvídavému čtenáři lze doporučit pozornost hlavně slova „podpora převodu dat“. Tedy nikoliv zajištění „převodu dat“. Smlouva také určuje případné smluvní pokuty, což v případě posledního bodu činí pouze 5 000,– Kč za den z prodlení. Dodavatel, tedy ATS-Telcom, je při plnění této smlouvy pojištěn pouze na škodu způsobenou třetím osobám ve výši 10 milionů korun.

Ministerstvo dopravy neposkytlo přílohy ve smlouvě zmiňované, které poskytují odpovědi na řadu dalších důležitých otázek. Z dostupné části této smlouvy neplyne, že by ATS-Telcom zaručovalo, že vůbec systém bude fungovat – je ale možné, že toto nějakým způsobem upravují právě nedodané přílohy.

(2) Dodatek k výše uvedené smlouvě (PDF) rozšiřuje plnění o

  • Předání kompletního soupisu Dodavatele používaného HW
  • Předání kompletní komunikační matice projektu PRITS
  • Poskytnutí konzultací Objednateli a novému poskytovateli spojených zejména s přípravou nového poskytovatele na výkon služeb

Ani v jednom případě tedy nejde o nic, co by mělo nějaký význam s ohledem na nefunkční Registr vozidel. Stejně tak zde uvedené dodatečné smluvní pokuty nemají žádný vztah k provozu a funkčnosti Registru. Navíc jsou podmíněny až prodlením s potřebou větší než „500 člověko-dnů“. Tedy, pokud mírně zaokrouhlíte, nelze k uplatnění sankcí dojít v praxi dříve, než po skončení platnosti  základní smlouvy.

(3) Podstatně rozsáhlejší je Smlouva o poskytování a rozvoji IT služeb (PRITS v PDF, pozor – 750 KB), která ale byla uzavřena již v roce 2010 a samotného registru vozidel se vlastně netýká. Zde se nicméně objevuje smluvní pokuta ve výši 2 000 000,– Kč, která byla v souvislosti s nefunkčním registrem zmiňována. Po důkladném prostudování tří poskytnutých smluv si nicméně nejsem zcela jist tím, že tuto smluvní pokutu bude vůbec možné uplatnit. Tato konkrétní smlouva se totiž provozu registru vozidel (tedy CRV) netýká.

Ministerstvo dopravy ani k této smlouvě nedodalo přílohy, ve kterých jsou uvedeny všechny podstatné informace. Včetně konkrétního plnění, finančních podmínek atd.

CIF16

Platit se bude, i kdyby nic nebylo

Ministerstvo dopravy nejpodstatnější informace neposkytuje: buď s odvoláním na „bezpečnostní důvody“, nebo se nacházejí v „přílohách“, které ministerstvo neposlalo. Samotné smlouvy jsou nepřehledné, v řadě míst jsou formulované ve prospěch dodavatele. V některých případech je ze smluv či vyjádření zřejmé, že finanční plnění bude vyplaceno, i kdyby se nestalo vůbec nic.

CRV neboli Centrální registr vozidel nefunguje ani k 24. červenci 2012. Svědčí o tom nekončící pokrytí zprávami v řadě českých novin. Namátkou:

159 názorů Vstoupit do diskuse
poslední názor přidán 29. 8. 2012 21:59

Školení Správa Stránek na Facebooku

  •  
    Jak pokročile spravovat Stránku, Události, Skupiny.
  • Jak tvořit i netvořit příspěvky.
  • Jak nepřijít o účet, nenaletět a neztratit všechno.

Detailní informace o školení Správa stránek na Facebooku »