Korektura
(9.30 hodin)
(pokračuje Martin Kolovratník)
Tak až v reakci na ty červencové informace pak vyšla zpráva někdy v polovině srpna zhruba, že tedy jste tu aplikaci upravili a že už těch dat bude menší množství. A tohle prostě, to se na mě nezlobte, to je naprosto stejný postup jak u stavebního řízení, že vy teda něco vyrobíte, prodáte to, uděláte skvělý marketing, pak zjistíte, jaké v tom jsou chyby, a teprve to začnete lepit, upravovat, vylepšovat. A pane ministře, nezlobte se, ta slovíčka o updatech, aktualizacích jsou hezká, ale to je prostě špatně.
Takže ta moje nová otázka nad rámec té písemné interpelace zní, jak je to možné? Jak dlouho jste testovali ten systém? Jaké vlastně bylo zadání, že třeba mohlo takto velké množství dat odcházet do zahraničí? Děkuji za odpovědi.
Místopředsedkyně PSP Věra Kovářová: Děkuji, pane poslanče. Táži se, zda se někdo hlásí do rozpravy? Pan ministr Bartoš, prosím máte slovo.
Místopředseda vlády a ministr pro místní rozvoj ČR Ivan Bartoš: Já děkuji tady za tu otázku. Ta důvěryhodnost té aplikace a anonymita je naprosto zásadní a byl to i zásadní požadavek na koncept a využívání té aplikace, tudíž že aplikace nemá nikam žádná data odesílat o jejich používání. Žádné osoby v žádné fázi nesmí mít přístup k tomu, kdo a kdy se eDoklady prokazoval. Tak znělo zadání celého řešení. Ostatně celý princip eDokladu má být postaven na tom, že při té interakci nemá a je tak postaven, nemá vznikat žádná digitální stopa, kdy a kde uživatel je použil. Výjimkou je samozřejmě situace, kdy ten ověřovatel ztotožňuje ve svém systému toho, kdo tu totožnost prokazuje, například na tom úřadu nebo nově i v bance, myslím, že nově používá eDoklady také Vodafone. To je prostě ekvivalent toho, jako že někde ukážete občanku a tam se tedy vyplní na té poště nebo na tom úřadě tedy nějaký formulář, že jste tam byl, že jste nějakou věc udělal.
Digitální informační agentura 30. července vydávala novou verzi eDokladů a kde se opravilo odesílání takzvaných diagnostických dat, tam provedl mimořádný audit zabezpečení aplikace, která by měla potvrdit, že se již takto nedělo. Ta funkcionalita nebyla objednána, byla to věc, která měla pomoci odchytávat baggy při použití té jednotlivé aplikace. Tu, jak jsem byl já informován a já jsem ostatně k tomu vystupoval i v médiích, byla to chyba na straně dodavatele, kdy ta technická data pro fungování systému, které měly pomáhat odstraňovat chyby v té aplikaci, odesílala další, naštěstí anonymizovaná data nad rámec toho objednaného řešení. Řešitel si tuto část nezkontroloval, za chybu se omluvil a věc uvedl do pořádku. Jinak ta data byla, nebo ta analytická data byla odesílána skrze cloudové servery do služby Centry,(?) na kterou se spoléhají třeba Microsoft, Disney(?) Lack,(?) Sonos, Reddit a další.
Ty servery se nacházely v Německu, zabezpečený šifrování pomocí SSL. Data nikdy neopustila Evropskou unii a služba Centry veškeré osobní či potenciálně citlivé informace anonymizuje. Jak již jsem řekl, nebyla to objednaná funkcionalita, dodavatel si neohlídal vlastně míru těch dat, která by měla v danou chvíli řešit ty jednotlivé případné chyby selhání toho systému. Ta náprava byla zjednána a já jsem požádal Digitální informační agenturu, aby po auditu bezpečnosti celé aplikace zároveň zveřejňovala i ten zdrojový kód aplikace k tomu, aby si každý mohl ověřit, podobně jako jsme, jako to třeba bylo i s jinými systémy historicky, když byla debata o EET, že ta aplikace bude podrobena i kontrole odborné veřejnosti.
Místopředsedkyně PSP Věra Kovářová: Děkuji. Do rozpravy se hlásí pan poslanec králíček. Prosím, máte slovo.
Poslanec Robert Králíček: Vážená paní předsedající, já bych se tedy doptal pana ministra na jednu věc nebo na pár věcí. Chtěl jsem se zeptat, jestli teda DIA v souladu s nařízením vlády 749 z roku 2018 udělala analýzu celkových nákladů, že cloud je stejně nebo lépe ekonomicky výhodnější než službu provozovat systémem on-premise.
Pak bych se chtěl zeptat, zda měli i analýzy rizik, že to tak není, že to není nebezpečné, kterou mohli udělat i podle vyhlášky nebo podle zákona 365/2000.
Pak bych se chtěl zeptat, zdali posuzovali dopad té bezpečnosti, podle zákona 315/2021 Sb., kde je doloženo, a proběhlo to i v médiích ve stejné reportáži, o které mluvil pan ministr, mluvil o tom, tuším, bezpečnostní expert Michal Zedníček, kdy byly určitě prolomeny ta bezpečnostní kritéria a je třeba udělat nějaká další opatření.
Potom bych vlastně se chtěl zeptat, zda byl zhodnocen ten projekt po bezpečnostní stránce a naplánované zabezpečení podle vyhlášky 190 z roku 2023. A Potom jsem se chtěl zeptat, jestli ty služby, které tady popisuje pan vicepremiér, byly nakoupeny v souladu s Vyhláškou 316/2021 Sb., která mluví o bezpečnostně schválené vyhlášce v eGovernment cloudu.
To znamená, já bych se chtěl zeptat, zdali podle těchto dokumentů, které vydává vláda, které byly vydány vládou, ve které sedí pan Bartoš, bude přesunuta tatoslužba ze soukromého cloudu do cloudu, který provozuje státní pokladna, centrum sdílených služeb, či nikoliv. A zdali byly všechny tyto vyhlášky bezpečnostní splněny. Protože s touto aplikací, která je, tak tam byly prolomeny bezpečnostní kritéria, některé bezpečnostní složky upozorňují na bezpečnostní hrozby této aplikace. Tak já bych se chtěl zeptat, jestli by nám mohl na tyto věci odpovědět. Děkuji.
Místopředsedkyně PSP Věra Kovářová: Děkuji, pane poslanče. Táži se, zda se ještě někdo hlásí do rozpravy? Pan ministr. Děkuji. Prosím, máte slovo.
Místopředseda vlády a ministr pro místní rozvoj ČR Ivan Bartoš: Portál, nebo respektive eDoklady jako takové, tedy aplikace, která umožňuje zobrazit informace, které v tuto chvíli jsou uloženy v centrálních registrech, jsou rozvojem portálu občana, který využívá v tuto chvíli cloudové služby Microsoft Edge, to znamená, jsou využita stejná úložiště, která jsou používána na portálu občana. Tedy proto, aby se z registru vlastně vygenerovalo to digitální dvojče eDokladů. eDoklady neukládají žádná data takové povahy, aby bylo nutné je ukládat ve státním cloudu, tedy v cloudu čtvrté úrovně. Samozřejmě ten můj sen do budoucna je takový. A nastartovali jsme teda konečně i ten projekt toho cloudu státního, byť si myslím, že to mělo běžet dávno a že to mělo běžet rychleji. Já asi v tuto chvíli nedokážu dekomponovat jednotlivé paragrafy nebo jednotlivé vyhlášky, které jste zde zmínil.
Já předpokládám, že ta bezpečnostní kritéria byly naplněny. A vzhledem k tomu, že samotné eDoklady jako takové jsou skutečně derivátem informací, které vy si můžete zapnout nebo vypnout, i jejich sdělení na portálu občana, tak splňují vlastně ty podmínky, podobně jako třeba apka portálu občana. Samozřejmě bezpečnostní testy probíhaly.
Místopředsedkyně PSP Věra Kovářová: Děkuji. Hlásil se ještě do rozpravy nejprve pan poslanec Kolovratník, poté pan poslanec Robert Králíček. Prosím, máte slovo.
Poslanec Martin Kolovratník: Tak potvrzuji, že jsem se hlásil. Mě v té reakci pana ministra zaujala vlastně jedna jediná věc. Dozvěděli jsme se, že už je to hotovo, vyřešeno, že to byla funkcionalita navíc, kterou vy jste si neobjednali, že DIA provedla audit celé té architektury, celého toho systému, ale přece tohle je špatně. Nemělo by to, nebo je to před jenom k ničemu jinému, když si budu stavět dům, nezlobte se na mě, to je asi hodně velké zjednodušení, ale podle mě docela sedí a budu tam teda mít něco špatně křivou zeď, špatné okno, tak to zreklamuji. Pokud všechno bude fungovat normálně, dodavatel opraví a jedu dál. ***
