Jaromír Kuba: Elektronické komunikace? Vláda opět nekoná

22. Květen 2019

Každý řetěz je právě tak silný, jak silný je jeho nejslabší článek. V případě státu se ukázal být jedním ze slabých článků způsob komunikace, který používají úřady pro komunikaci mezi sebou a s občany.

Elektronicky zasílané dokumenty jsou v drtivé většině případů ve formátu PDF, který je pro zvýšení důvěryhodnosti elektronicky podepsán. Bez kvalifikovaného podpisu podatelny úřadů PDF soubor zaslaný e-mailem odmítnou, elektronický podpis dokumentů hraje klíčovou roli při ověřování autora dokumentu a případné podvržení může mít dalekosáhlé následky. My přišli na to, že takový podvrh lze v některých případech realizovat, přesto na tuto skutečnost nemáme žádnou reakci od výkonné moci. Nyní již konkrétně:

Při vývoji vlastního software pro elektronický podpis dokumentů jsme přišli na to, že v některých případech lze PDF podepsat tak, že vypadá, jako by jej podepsal např. Andrej Babiš, Alena Schillerová, nebo kdokoliv další. Pro demonstraci jsme vytvořili soubor, který vypadá, jako by byl podepsán Albertem Einsteinem, a to i přes to, že jmenovaný vědec si sotva mohl pořídit certifikát např. na poště. Jak vypadá takový podpis, se můžete přesvědčit i zde v článku. Za nás je velmi nebezpečná informace o tom, že podpis je platný a byl ověřen. Dále jsme přišli na to, jak elektronicky podepsaný dokument po podepsání upravit, aniž by např. celosvětově rozšířený Adobe Acrobat Reader informoval o úpravě po podepsání. Zde budiž příkladem přidaná nová věta do elektronicky podepsaného dopisu z Českého telekomunikačního úřadu.

S chybami jsme seznámili autory testovaných programů, z nichž se nám ozval jeden. Tak jsme pro „rozhýbání ledů“ zveřejnili článek v časopise Root.cz. Ten čte cca 140 000 IT profesionálů měsíčně a článek v něm rozhodně neotisknou každému. Článek vyšel 6. 5. pod názvem „Podvržené jméno a změna PDF po podepsání? Pro většinu PDF čteček žádný problém“. Reakce na sebe nenechala dlouho čekat, což je z našeho pohledu moc dobře. V článku jsme také vyzvali provozovatele podatelen, ať se nám ozvou, že jim rádi poskytneme vzorové soubory a další součinnost při testování odolnosti jejich podatelen a dalších krocích. I programy podatelen (pokud ověřují elektronické podpisy) jsou totiž popsanými chybami ohrožené. Ozval se někdo z ministerstev? Nikdo!

Pro spoustu ajťáků je Root.cz variací na téma lékařského odborného časopisu, pro IT specialisty jde de facto o povinnou četbu. Nemyslím, že se naše výzva na ministerstva nedostala. I reakce ve smyslu „Nás nějaká počítačová bezpečnost nezajímá, my přidali důchodcům“ by byla lepší než nulová reakce.

Dobrá zpráva je, že okamžitě na naši výzvu reagovali z katastru, kde by případná falešná žádost o vklad mohla mít dalekosáhlé následky. Sice by mi nevadilo, kdyby si na sebe někdo převedl část Agrofertu, výrobkům firem ze skupiny se vyhýbám, nicméně skutečně musím poděkovat za profesionální a rychlou reakci kvůli všem těm slušným lidem, kteří mají v katastru zapsané své nemovitosti. Zástupci úřadu v rámci komunikace jednoznačně prokázali, že problematice rozumí a plně docenili závažnost situace.

Odborníci z Rúrské univerzity zveřejnili podrobnosti o podobných chybách, není tak otázkou, zda se kriminální živly danou problematikou zabývají, ale jak jsou daleko. Tiká nám tu potencionální časovaná bomba – pokud někdo rozešle padělaný platební rozkaz od soudu masově do firem, významná část odpovědných osob uvěří podvrženému elektronickému podpisu a zaplatí.

Jako Soukromník jsem z reakce vlády zklamán, jako kandidát do Evropského parlamentu jsem zděšen. Věc jsem chtěl řešit apoliticky, nicméně vzhledem k reakci odpovědných osob budu další kroky podnikat již v součinnosti se stranou. Určitě je ostuda, že takto závažný problém v tuto chvíli již aktivně vláda neřeší. Pevně věřím, že díky další medializaci v soukromnických barvách se ledy pohnou. Tuto věc nesmíme nechat usnout, padělaný či pozměněný dokument je reálným rizikem v papírové i elektronické podobě. A jestli odpovědné osoby nečiní potřebné kroky, je to ostuda a trestuhodná nedbalost.

Jaromír Kuba, specialista na informační bezpečnost
člen Strany soukromníků České republiky
kandidát do Evropského parlamentu