Bezpečnostní chybu v systému digitalizovaného stavebního řízení, která byla odhalena při prověrce, ministerstvo pro místní rozvoj (MMR) odstranilo hned po jeho spuštění loni 1. července. Další menší chyby byly opraveny do dvou týdnů. ČTK to dnes sdělil mluvčí MMR Petr Waleczko. Na výsledky prověrky upozornila dnes Mladá fronta Dnes (MfD). Podle deníku digitalizaci stavebního řízení neprovázely při spuštění jen technické problémy, ale IT systémy měly také zásadní bezpečnostní chyby.
Digitální systémy stavebního řízení byly spuštěny loni 1. července, úřady a stavebníci s nimi měli od začátku problémy. Potíže koncem září vyústily v odvolání tehdejšího ministra pro místní rozvoj a vicepremiéra pro digitalizaci Ivana Bartoše (Piráti) z vlády a v následný odchod jeho strany do opozice. Kabinet pak rozhodl dále nepokračovat v dalším vývoji systémů a vypsal novou zakázku, jejíž specifikace se nyní připravují.
Prověrku fungování systému zařizovala podle MfD společnost DCIT, kterou si MMR pod Bartošem najalo, aby vyzkoušelo bezpečnost systémů. Testy se uskutečnily od 1. do 12. července 2024, tedy už v době, kdy systémy fungovaly v ostrém provozu.
Na vážné bezpečnostní nedostatky narazila ale také podle deníku společnost ESET, která systémy prověřovala. Společnost zjistila, že například kdokoli, kdo do systému něco uložil, se dostal k veškerým dokumentům všech ostatních uživatelů, mohl je dokonce změnit. To byla také jedna z chyb, na kterou upozorňovaly stavební úřady, které ČTK v červenci oslovila.
Další výtka se vztahovala k ohrožení hackerskými útoky. Národní geoportál územního plánování umožňoval uživatelům přihlásit se za jinou osobu prostým uhodnutím číselného identifikátoru, který je neměnný a má pouze sedm čísel. Útočník mohl v průběhu několika hodin či dní získat přístup do aplikace za kohokoliv.
MMR minulý týden v pondělí spustilo na vybraných úřadech, jejichž seznam ale nezveřejnilo, tzv. technologický bypass stavebního řízení. V něm budou moci úředníci využívat vzájemně propojené původní systémy stavebního řízení s novými digitálními. Před týdnem na většině stavebních úřadů oslovených ČTK nové rozhraní nastaveno zatím nebylo, výjimkou byly třeba Rokycany.
Nová verze je v současnosti na některých úřadech v pilotním režimu, přesto už v ostrém provozu. V rámci nového technologického bypassu dodavatel podle Waleczka dodržuje standardní bezpečnostní opatření včetně testování. „MMR přijalo podněty k uživatelskému rozhraní technologického bypassu a postupně je zapracovává. Připomínky ohledně bezpečnosti resort dosud neobdržel,“ dodal.
