Poněkud bulvárnějším titulkem dnešního článku (byť logicky navazujícím na redakční titulek předchozího článku: „Česká pošta neví, kde má datové schránky“) chci naznačit atmosféru, která panovala na včerejší tiskové konferenci ministerstva vnitra k datovým schránkám.
Jak se totiž dalo dopředu očekávat, přišli na ni i někteří profesionální kritici, mj. pan Jan Šinágl, a do přítomných zástupců resortu vnitra i České pošty se notně obuli právě v souvislosti s datovými schránkami. Jenže jejich výkon už tak profesionální nebyl. Jeden zapomněl hned dvě otázky ze tří, na které se chtěl ptát, zatímco jiný burcoval proti neprofesionální implementaci celého systému (prý za miliardu) – ale jen na základě toho, že při pokusu o přihlášení s certifikátem se mu vrací hláška o neexistující stránce. Ve skutečnosti to ale byla pouze standardní reakce browseru na to, že jeho uživatel nemá potřebný certifikát.
Problém je, že tím se spotřebovalo hodně času a odvedla pozornost od takových problémů, které jiní (nebo alespoň já) považují za relevantní a podstatné. A abych to neříkal jen tak obecně, uvedu konkrétní příklad: „kauzu“ domény datoveschranky.info.
Jak je to s doménou datoveschranky.info?
Jak prosáklo i do diskusí zde na Lupě, do způsobu nakládání s touto doménou se opřel hlavně server nedatoveschranky.cz. Tomu vadí především to, že doména datoveschranky. info je v držení soukromého subjektu, a stát mu ji (za veřejné peníze) vlastně jen dále zhodnocuje. První dotaz kritiků na tiskovce skutečně směřoval tímto směrem. Odpověď ale byla celkem jednoduchá, a jen potvrdila již známé skutečnosti: že držení této domény je součástí zakázky na vytvoření celého informačního webu, který „vysoutěžila“právě společnost e-invent, s.r.o.
Ostatně, v patičce každé stránky tohoto webu lze nalézt hlášku (i s překlepem) o tom, že „pro Ministersvo vnitra ČR zpracoval a provoz zajišťuje ICT koncern e-invent s.r.o.“. A Ministerstvo vnitra prý má smluvně zajištěno, že na konci tohoto roku na něj e-invent převede výsledek zakázky, tedy jak samotný web, tak i to co s ním souvisí, včetně domény. Tak si to pamatujme a počkejme, zda se tak skutečně stane.
Již teď bychom asi mohli místo toho kritizovat jiné věci. Třeba kvalitu, počínaje neopraveným překlepem v patičce, viz citát, který z ministerstva dělá ministersvo. Ještě že ne nějaké „minizvěrstvo“ či něco podobného. Nebo to, že – opět podle patičky na každé stránce – je tento web věnován „datovým stránkám“ místo schránkám. A co skutečnost, že celý informační web je provozován na sdíleném hostingu, spolu s mnoha dalšími weby (a nemá tedy ani vyhrazený server)?
Stejně tak bychom se asi mohli ptát na to, proč ministerstvo zvolilo výše popsaný způsob (tj. realizaci informačního webu „na klíč“, i včetně domény, a teprve následný převod na zadavatele). Proč si raději vnitro samo nezaregistrovalo doménu na sebe, a teprve pak si na ní nechalo postavit a provozovat informační web?
Zde je zcela neoficiální (tj. spíše kuloárová) odpověď: vnitro by prý takovou registraci neumělo zaúčtovat. Pravdou asi je, že by zřejmě muselo nejprve vypsat řádné výběrové řízení na registraci vhodné domény – a než by z něj někdo vzešel vítězně, už by si doménu mohl dávno zaregistrovat někdo úplně jiný.
Registrace podobných domén
Mimochodem, když už jsme u registrace domén: na včerejší tiskové konferenci zaznělo, že vnitro si nechalo zaregistrovat na 120 „příbuzných“ domén, jejichž obsazením chce bojovat proti nebezpečí phishingu. K tomu kuloáry dodávají, že se tak opět nestalo přímo, ale „oklikou“: domény si musela zaregistrovat Telefónica, jako systémový integrátor, a teprve nějak následně je převede na vnitro.
K tomu si dovolím jednu otázku a jedno připomenutí. Proč se takovéto „obsazení podobných domén“, kvůli boji proti phishingu, dělá až teď? Tedy po době dostatečně dlouhé na to, aby si kdokoli jiný stihl včas zaregistrovat jakoukoli doménu, kterou sám považuje za „podobnou“? Skupovat nyní ty domény, které nikdo nechce ani po mnoha měsících, už tak velký efekt mít nebude. Ale určitě je stále správné tak učinit.
Ostatně, sám jsem si také jednu takovou doménu zaregistroval. Když jsem v červnu psal o tom, že datové schránky poběží na doméně mojedatovaschranka.cz, zjistil jsem, že MV ČR nemá zaregistrovánu ani tu doménu, která mi tehdy přišla nejpodobnější: tedy mojedatoveschranky.cz (tj. v množném čísle). A jelikož jsem nechtěl někomu dávat návod, raději jsem si tuto doménu zaregistroval na sebe – a v článku veřejně deklaroval, že ji ihned a zdarma převedu na zřizovatele (či provozovatele) datových schránek, jakmile o to projeví zájem.
Dnes, po pěti měsících a již v době, kdy si i resort vnitra začíná uvědomovat potřebu boje proti phishingu, si dovolím připomenout, že moje nabídka stále platí (neboť doména je stále v mém držení, jelikož o ni dosud nikdo zájem neprojevil).
Přestěhovaly se datové schránky?
To, co bych já na doméně datoveschranky.info kritizoval nejvíce, není její dočasné držení soukromým subjektem. Za mnohem závažnější považuji to, že právě tato doména byla až dosud prezentována jako jediná správná pro přihlašování do informačního systému datových schránek – čímž se současně varovalo před všemi ostatními doménami.
Problém je v tom, že na takto propagované doméně (datoveschranky.info) byl pouze proklik na úplně jinou doménu (mojedatovaschranka.cz), a teprve na ní datové schránky skutečně běží. A „oficiální propaganda“ před touto skutečnou adresou vlastně nepřímo varovala, když jako jedinou správnou propagovala adresu s koncovkou info.
Jak už jsem napsal v jednom z předchozích článků, místo řešení existujících bezpečnostních problémů (obecného nebezpečí phishingu) podle mého názoru zde vnitro naopak samo vytvářelo další bezpečnostní problém.
Naštěstí minulý čas v předchozích odstavcích je skutečně na místě: na včerejší tiskovce zaznělo, že nově už bude propagována skutečná adresa datových schránek, tedy mojedatovaschranka.cz. Jen doufám, že to je spíše důsledek pochopení bezpečnostních aspektů, než důsledek kritiky držení info domény soukromým subjektem.
A jak že vnitro a pošta realizují toto své rozhodnutí? Jakým způsobem dávají uživatelům najevo, kde datové schránky doopravdy sídlí?
Způsobem dosti důrazným, bez zbytečných okolků a vysvětlování, způsobem hodným „silového resortu“: cesta, dosud inzerovaná jako jediná správná, byla jednoduše zablokována. Proklik ze stránky www.datoveschranky.info, dosud schovaný pod žlutým tlačítkem, byl odstraněn – a nad nyní již neaktivním tlačítkem se objevil maximálně stručný příkaz:
Z bezpečnostních důvodů zadejte adresu do webového prohlížeče přes adresní řádek.
Co naopak vzalo za své, je dosavadní doporučení ohledně instalace certifikátů.
Nebyl to náhodou hack?
No, snad to správně (tedy jako akci skutečných provozovatelů datových schránek) pochopí i všichni uživatelé, kteří byli až dosud přesvědčováni, že jediná správná adresa datových schránek je „www.datoveschranky.info“.
Pokud by totiž vzali původní varování doslova (viz další obrázek), pak by nejspíše měli dojít k závěru, že informační portál někdo hacknul a snaží se je přimět k přístupu na nějaké podvodné stránky.
Problém je v tom, že ještě v době psaní tohoto článku (ve středu 18.11. večer) stále viselo toto původní důrazné varování jak na informačním webu datových schránek, tak i na webu České pošty, i na webu Ministerstva vnitra ČR.
Nicméně, pokud by tápající uživatel důkladně zapátral, určité indicie přece jen mohl najít. Například v tomto novém FAQu na webu MV ČR je nově uvedeno:
Jediná možná adresa pro přihlášení je http://mojedatovaschranka.cz/.
Či v následujícím článku na webu MV ČR, který popisuje včerejší tiskovku:
Stiegler také znovu upozornil, že jediná internetová stránka, na které se lze do systému datových schránek přihlašovat, je www.mojedatovaschranka.cz. Pokud budou uživatelé do systému přistupovat pouze přes tuto doménu, minimalizují tím možné riziko phishingu.
Pročpak si ale na ministerstvu vnitra pletou „znovu“ a „poprvé“? Proč oficiální propaganda dosud tvrdila přesný opak - že jediná správná adresa je www.datoveschranky.info – a teprve teď poprvé přiznala, že věci se mají jinak? A na nejdůležitějším místech na Internetu (zejména na samotném datoveschranky.info) své stanovisko dosud ani neopravila?
No, raději už to nebudu dále rozpitvávat. Ono přiznat chybu a „vymotat se z ní“ není lehké. O to více v takto citlivém kontextu, jakým je bezpečnost přihlašování do datových schránek. Snad se alespoň do budoucna zřizovatel a provozovatel datových schránek naučí jednat a komunikovat tak, aby bezpečnost a jistotu uživatelů posiloval, a ne podlamoval.
Zakročí vnitro proti webům o datových schránkách?
Na včerejší tiskové konferenci zazněla i aktuální čísla o využití datových schránek. Ty si dovolím nechat na příště, i proto že bych k nim rád sehnal i nějaké další a související údaje. Případné nedočkavce mohu odkázat na originální prezentaci, kde si čísla mohou najít sami.
Místo toho bych se rád zastavil u jiné záležitosti, která byla na tiskové konferenci zmíněna. Schválně, jak byste rozuměli následujícímu příspěvku?
Dobrý den dámy a pánové, já bych navázal na ten poslední slide, který tam ještě svítí, a to je ta existence zaměnitelných domén a postup Ministerstva vnitra vůči vlastníkům těchto domén. My tu situaci monitorujeme delší dobu, už vlastně v době kdy byl spuštěn portál www.datoveschranky.info, tak už se objevily některé domény, které byly zaregistrovány soukromými subjekty a objevovaly se už na nich informace k datovým schránkám, leckdy v dobré víře, rozšířit tu informovanost, ale mnohdy tam byly i informace dost zavádějící, o tom celém projektu.
A tak jako skončilo přechodné období spuštěním datových schránek k 1.11., tak skončila i jakási shovívavost správce tohoto informačního systému k těmto vlastníkům, a my jsme zadali právní analýzu na některé domény a webové stránky které se zabývají tímto projektem, které chtějí spolupracovat s tímto projektem, a budeme po té analýze podnikat určité právní kroky ať už jde na ochrannou známku, ať už jde na vlastnictví loga, čili v nejbližší domě mohou očekávat někteří co mají zaregistrovány tyto domény nějaký dopis, ve kterém se budeme snažit s nimi ještě naposledy dohodnout.
Mně tedy opravdu zatrnulo. A tak jsem se v následné diskusi zeptal na to, jak to bylo míněno. Proti čemu přesně chce vnitro podnikat právní kroky? Odpověď byla následující:
Ano, to prohlášení bylo trošku tvrdší. To, co předcházelo tomuto, bylo jednání, ať již s vlastníky některých domén o jejich převedení, ať už šlo obsah který byl uveden na těch stránkách. Na těch stránkách se objevuje také logo datových schránek, které si zaregistrovalo ministerstvo vnitra a má na ně autorská práva, má na ně ochrannou známku, a to tak že bez našeho svolení. Čili první věc je zaměřena na to, jestli někdo chce mít web, který informuje o datových schránkách, a informuje objektivně, to znamená nejsou tam zavádějící informace – dobře, můžeme se dohodnout, existuje na to jakási podlicenční smlouva. Pokud to logo bude používáno bez našeho souhlasu, tak je to myslím v rozporu s právním řádem tohoto státu.
To je jedna věc, a druhá věc je obsah toho webu. Bylo tady zmíněno panem Smolíkem, že je dobré, pokud ty weby ten projekt propagují s jistou nadsázkou, ale všechno má své meze, to znamená, že i chceme zakročit, nebo diskutovat s tím vlastníkem webu o tom, co tam je napsáno vzhledem k fungování tohoto projektu, vzhledem k legislativě tohoto státu, která říká jak má ten projekt fungovat. Tak aby tam byly informace které nezavádějí obyčejného občana – uživatele datových schránek někam jinam.
Další řečník to naštěstí upřesnil v tom smyslu, že jde hlavně o obranu proti případnému phishingu. A v tiskové zprávě (či spíše článku na webu MV ČR) se pak také objevila formulace, která akcentuje boj proti phishingu:
Bezpečnostní architekt Informačního systému datových schránek Radek Smolík nicméně potvrdil, že Ministerstvo vnitra zatím žádný phishingový útok proti datovým schránkám nezaznamenalo.
Přesto Ministerstvo vnitra zareagovalo na množství internetových stránek, které se objevily, snaží se publicity projektu datových schránek využít ve svůj prospěch a které by mohly být v budoucnosti k phishingu zneužity.
Zadali jsme vypracování právní analýzy na některé takové stránky. Na základě výsledků této analýzy pak přistoupíme k určitým právním krokům,vysvětlil Jindřich Kolář, ředitel sekce rozvoje a projektového řízení ICT Ministerstva vnitra, a doplnil, že Ministerstvo vnitra také v minulých dnech nechalo zaregistrovat přibližně 120 příbuzných domén, které by v budoucnu mohly ke vzniku dalších neoficiálních stránek navádět.