Bezpečnostní testy systémů digitalizace stavebního řízení se uskutečnily před jejich spuštěním
Bezpečnostní testy systémů digitalizace stavebního řízení se uskutečnily před jejich spuštěním
29. 1. 2025
Ministerstvo pro místní rozvoj reaguje na článek MF DNES z 27. ledna 2025 „Stavební řízení se skandální dírou. Cizí dokumenty mohl číst, kdo chtěl“. V textu se v rozporu se skutečností uvádí, že testování informačních systémů stavebního řízení neproběhlo před jejich spuštěním. Článek může také vzbudit mylný dojem, že fungovaly s kritickými bezpečnostními chybami delší dobu – v jednom případě ale došlo k nápravě ještě před nasazením systému, ve druhém se jednalo o technicky náročnou možnost zneužití, kterou dodavatelé odstranili během několika hodin od spuštění.
V článku se uvádí: „…je těžko uvěřitelné, že testování neproběhlo ještě před spuštěním systémů.“ Ministerstvo pro místní rozvoj uznává, že vývoj a testování informačních systémů stavebního řízení se v první polovině roku 2024 realizovalo v napjatém časovém rámci a v případě penetračních testů skutečně došlo k posouvání termínů, první z nich se nicméně uskutečnil v červnu 2024.
Nálezy penetračních testů obecně nejsou na překážku spuštění informačních systémů, pokud jsou včas odstraněny. V případě chyby přístupu k celému úložišti dokumentů došlo k nápravě po několika hodinách od spuštění už 1. července 2024. Zneužití by také bylo po technické stránce náročné, v systému se v té době navíc nevyskytovala téměř žádná data a byl intenzivně monitorován.
V článku se také uvádí možnost přihlášení se do Národního geoportálu územního plánování za jiného uživatele. Tuto bezpečnostní slabinu dodavatel odstranil před spuštěním systému. Penetrační testy se provádějí právě za účelem odhalení chyb a navazující nápravy, což se v tomto případě stalo před nasazením do produkčního prostředí.