• Boj proti nemoci covid-19 skrze soukromou poštovní schránku. Tak vypadá komunikace spolupracovníka ministerstva zdravotnictví Radima Šenka s partnery ze státního i soukromého sektoru, kteří se podílí na zvládání koronavirové krize.
• Nejsou to přitom ani dva týdny, co Národní úřad pro kybernetickou bezpečnost vydal varování, že by se zdravotnické instituce měly mít na pozoru před možnými útoky.
• Podle oslovených expertů jde o bezpečnostní riziko pro celý resort. Postup Šenka označují za neprofesionalitu i nedbalost. Ministerstvo se ale brání tím, že šlo o nedorozumění.

Původní zpráva Praha 6:00 29. dubna 2020 Tento článek je více než rok starý Sdílet na Facebooku Sdílet na Twitteru Sdílet na LinkedIn Tisknout Kopírovat url adresu Zkrácená adresa Kopírovat do schránky Zavřít

„Vážení, na ministerstvu zdravotnictví byl dokončen aktuální průzkum trhu dodavatelů diagnostik v rámci probíhající krize covid-19. V příloze naleznete tabulku s názvy společností a identifikací přesného názvu diagnostika,“ píše Radim Šenk v úvodu e-mailu, který má iROZHLAS.cz k dispozici. Do loňského srpna působil jako náměstek pro ekonomické řízení v Ústřední vojenské nemocnici, teď pomáhá ministerstvu zdravotnictví se strategickým nákupem zdravotnického materiálu.

Ostravská nemocnice odrazila kybernetický útok, vyřazení sítě v době epidemie zůstává velkou hrozbou

Číst článek

Šenk citovanou zprávu rozeslal minulý týden bezmála stovce adresátů z řad zdravotníků, hygieniků, laborantů i dalších odborníků zapojených do boje proti nemoci covid-19. Jménem ministerstva zdravotnictví jim nabízel, že je resort zásobí testy na rozpoznání nákazy na dva měsíce dopředu.

Mělo to ale háček. Netýkal se obsahu, ale formální stránky jeho e-mailu. Šenk ho totiž poslal ze soukromého účtu.

„Na tuto poptávku odpovídejte výhradně doplněním požadovaných týdenních objemů do přiložené tabulky. Žádáme o dodržení termínu odpovědi do pátku 24. 4. do 14 hodin na adresu xxxx@email.cz,“ připojil.

Korespondence z privátního účtu si ale hned všimli někteří příjemci, podle nichž taková komunikace nepůsobí důvěryhodně. „Kdyby takto komunikoval někdo z mého týmu, okamžitě bych se s ním rozloučil,“ popsal například pracovník diagnostické laboratoře, jemuž byla zpráva také adresována. Zveřejnit celé své jméno nechce, neboť s ministerstvem musí dále spolupracovat. 

V polovině dubna navíc Národní úřad pro kybernetickou a informační bezpečnost vydal varování před hrozícími kybernetickými útoky ve zdravotnictví. Terčem viru s názvem coviper, jak informoval už dříve Radiožurnál, byly především tuzemské nemocnice. Do systému se nákaza mohla dostat právě přes uživatelský e-mail.

Riziko nákazy

Celá záležitost tak má i bezpečnostní rozměr. Podle odborníků na kybernetickou ochranu, které redakce oslovila, to může být riziko pro celý resort. Bezpečnostní expert Martin Půlpán takový postup proto označuje za nedbalost i neprofesionalitu.

„Je to velký problém. Používání soukromého e-mailu pro rozesílání pracovních informací je v první řadě neprofesionální a nedůvěryhodné. Jeho prostřednictvím může ale také dojít k nákaze celé organizace tak, jak se to už stalo u nemocnice v Benešově nebo léčebny v Kosmonosech. Tam nešlo o cílené útoky, ale o nedisciplinovanost uživatelů i špatně nastavená bezpečnostní pravidla,“ přiblížil.

Hlavní riziko vidí Půlpán v tom, že soukromá komunikace neprochází přes bezpečnostní systémy státní instituce, v tomto případě tedy ministerstvo zdravotnictví. „Firemní účty jsou většinou chráněny nástroji, které umí odhalit phishing (podvodná technika, jak získat citlivé údaje – pozn. red.) nebo malware (typ škodlivého softwaru, který se snaží infikovat počítač – pozn. red.) a odstranit je. Kdežto u soukromých neplacených e-mailových služeb taková ochrana není nebo je výrazně omezená,“ pokračoval.

Podle Půlpána to tak může indikovat systémový nedostatek. „Každá organizace by měla mít nastavena bezpečnostní pravidla, co je dovoleno, a co ne. Třeba v bankách mají zaměstnanci zakázáno používat na oficiální komunikaci soukromý e-mail, protože to může být zdroj problémů. Často k němu z bezpečnostních důvodů nemají z firemní sítě přístup vůbec. Vřele bych to doporučil i ministerstvu zdravotnictví,“ doplnil.

Podobně mluví také bezpečnostní analytik Michal Špaček. Podle něj záleží ale také na tom, jak se daný úředník ke své poštovní schránce chová. „Pokud by měl třeba příliš jednoduché heslo nebo nepoužíval dvoufaktorové ověření, tak má problém i u pracovního účtu. A naopak, kdyby měl dostatečné zabezpečení u soukromého e-mailu, tak by to nemuselo být tak velké riziko,“ řekl.

Klíčoví nákupčí

Redakce se na celou záležitost zeptala také ministerstva zdravotnictví. Zajímala se hlavně o to, zda je to běžná praxe a zda z privátních schránek komunikují i další zaměstnanci či spolupracovníci resortu z týmu covid-19, jehož je Šenk členem. Podle mluvčí Gabriely Štěpanyové se však jednalo o nedorozumění, které bylo vzápětí napraveno. „E-mail byl obratem odeslán znovu ze schránky mzcr.cz. Rozhodně se tak nejedná o běžnou praxi,“ reagovala na zaslané otázky.

Světová zdravotnická organizace čelí kybernetickým útokům. Na internet unikla hesla i e-maily

Číst článek

„Pan Radim Šenk pomáhá ministerstvu zdravotnictví se strategickými nákupy ochranných pomůcek v době pandemie koronaviru. Nejedná se o zaměstnance resortu,“ pokračovala Štěpanyová. V nákupním týmu ministerstva podle ní tak působí nejen jeho zaměstnanci, ale i jiných resortů.

„A zejména nákupčí z nemocnic, kteří v rámci své profese mají skvělé kontakty na výrobce a distributory zdravotnického materiálu a mohli tak navázat na dosavadní zkušeností prací pro operativní centrální nákupy v rámci ministerstva zdravotnictví,“ vysvětlila.

Nákupčí zdravotnického materiálu, které si resort „zapůjčil“ u jiných zdravotnických zařízení, označuje Štěpanyová za klíčové. „Jejich role je nenahraditelná a zásadní pro schopnost zajistit ochranné prostředky a další nezbytný zdravotnický materiál, který na trhu není běžně k dostání. Členové týmu tak pracují z e-mailové adresy ministerstva zdravotnictví nebo z adresy svých domovských pracovišť, což jsou nemocnice či jiné resorty,“ doplnila.

Sám Šenk nechtěl celou záležitost komentovat. „Děkuji za zájem o mou osobu. Obraťte se prosím na tiskovou mluvčí ministerstva nebo na pana náměstka Vrubela,“ odpověděl bez dalšího.

Babišovy e-maily

Oslovení experti také připomínají nedávný případ premiéra Andreje Babiše (ANO), který rovněž vyřizoval vládní korespondenci ze soukromého e-mailu ab@e-babis.cz a tiskl si materiály ve společnosti Imoba z jeho svěřenského fondu. „To je velmi podobné. Člověk v jeho pozici by měl být proškolen, měl by vědět, jak se chovat s ohledem na kybernetickou bezpečnost, a měl by ctít pravidla nastavená Úřadem vlády,“ vysvětlil Půlpán.

Používání privátního e-mailu se přitom nelíbí ani kybernetickému úřadu. Podle jeho mluvčího Radka Holého platí obecné pravidlo, že na pracovní záležitosti mají státní úředníci i veřejní funkcionáři používat oficiální e-mailové adresy. „Je to věc interních pravidel každého úřadu, obecně se dá ale říct, že by se soukromé e-maily neměly používat k práci, a naopak, tedy pracovní e-maily k vyřizování soukromých záležitostí,“ popsal.

Holý zároveň uvedl, že díky nedávnému varování úřadu se podařilo ve zdravotnictví podchytit několik bezpečnostních incidentů. Vydal totiž seznam opatření, která mají státní instituce udělat, aby útoky odrazily. „Vzaly to vážně a zodpovědně a informační systémy bedlivě sledovaly. Řadu útoků se podařilo zachytit v rané fázi, bezpečnostních incidentů tak bylo velmi málo,“ uvedl. Obezřetní by ale podle něj měli být politici, úředníci i další pracovníci státní správy nehledě na aktuální rizika.

Kristýna Guryčová Sdílet na Facebooku Sdílet na Twitteru Sdílet na LinkedIn Tisknout Kopírovat url adresu Zkrácená adresa Kopírovat do schránky Zavřít