Datové schránky: Dnes startuje ostrý provoz

Vzápětí naváže i doručování vůči fyzickým osobám a po přechodném období od ledna do července příštího roku i B2B komunikace „každý s každým“. Dnes, tedy 1. listopadu 2009 ,dojde k automatické aktivaci všech dosud založených schránek, pro které mohly být doručeny přihlašovací údaje. Zaměřili jsme se proto v této souvislosti na to, jaká jsou rizika s tím spojená a nakolik je systém bezpečnostně připraven.

Zaručené doručování, tj. de facto digitalizace toho, co jsme až dosud znali jako obálky s modrým či červeným pruhem a také zásilky do vlastních rukou, má řadu zásadních právních konsekvencí. Může se jednat o takové okolnosti jako daňové nedoplatky, komunikace se správou sociálního zabezpečení, insolvenční řízení, exekuce a podobně. Práce s písemnostmi tohoto druhu vyžaduje řadu bezpečnostních řešení. Informační systém datových schránek proto musel vyřešit především identifikaci osob, aby jim mohlo být cokoliv elektronicky doručováno. Nicméně tím, že danou právnickou či jinou osobu identifikujete v reálném světě,  celý proces pouze začal. Je zapotřebí přenést obraz této identifikace do světa virtuálního a založit její elektronickou identitu.

Ochrana přístupu
Hlavním problémem je, jak ji při přihlašování se do systému důsledně chránit. Zákon 300/2008 Sb., který vytváření informačního systému datových schránek reguluje, je v této věci podle expertů poněkud zvláštní. Na jedné straně činí svým §9, odst. 2, za ochranu přihlašovacích údajů odpovědným uživatele, na druhé straně však připouští pro přihlášení i variantu pouhého jména a hesla. To je však alternativa, která se jeví jako nedostatečná a nelze ji uživatelům doporučit. Systém byl navržen tak, že akceptuje komerční přístupové certifikáty. Musí se jednat o certifikáty v ČR akreditovaných autorit, jimiž jsou eIdentity, I.CA a Postsignum. Certifikát musí být uložen v bezpečném technickém prostředku, např. v tzv. USB klíči, kde je jeho použití chráněno PINem. Na straně informačního systému datových schránek je celkem elegantně vyřešeno vkládání a registrace certifikátů, které poskytnou vysokou úroveň bezpečnosti.

Dalším podstatným bezpečnostním problémem je odvrácení pokusů o krádež relace. Informační systém datových schránek, tak jak ho již od 1. července lze sledovat, prošel v této oblasti několika bezpečnostními úpravami. Častým způsobem krádeže relace je podle expertů ten, že útočník ukradne z uživatelského prohlížeče speciální cookie, které slouží pro udržování relace. Taková cookies vystavuje i informační systém datových schránek. S ukradeným cookie by se útočník mohl po dobu téměř jedné hodiny přihlásit do relace své oběti se všemi právy, a to jak na klientský portál, tak i na webové služby. Řešitelé zodpovědní za provoz systému nejdříve nastavili ochranné parametry httpOnly a Secure, které primárně brání využití tohoto cookie skriptem. Tím eliminovali nebezpečné riziko, protože zneužití skriptem by mohlo vést až k cílenému publikování obsahu vybraných schránek na webu. Nicméně podle některých komentátorů je tato ochrana stále nedostatečná a lze doufat, že v této oblasti se pracuje na dalších zlepšeních.

Obvyklou metodou ochrany relace bývá rozdělení cookie na část veřejnou a chráněnou část privátní. Pak lze z uživatelského prohlížeče ukrást nanejvýš část veřejnou, která však není dostatečná pro úspěšné ukradení relace. Pro účely bezpečného připojení spisových služeb a dalších aplikací na webové služby informačního systému datových schránek by bylo podle bezpečnostních expertů vhodné např. použití standardu WS-Security, který zde uplatněn není. Nicméně při použití systémového certifikátu, který je v tomto případě ze zákona nepovinný, bude možné s datovou schránkou pracovat bezpečně.

Zabezpečení dat
Po zajištění ochrany relace je potřeba začít se zajímat i o data samotná. Informační systém datových schránek je založen na důsledném oddělení rolí, včetně jednotlivých správců. Zprávy jsou v systému ukládány tak, že jsou šifrována jak metadata (informace o tom, kdo, komu, kdy a co poslal, kdy to bylo doručeno apod.), tak i soubory nesoucí obsah zpráv. Obsluha systému k nim nemá žádný přístup a uživatelé se nemusí proto obávat „Velkého bratra“, který by jejich zprávy četl, měnil je nebo s nimi jakkoliv manipuloval. Systém podporuje pouze taxativně vymezený rozsah formátů a vylučuje ty z nich, které by mohly být nebezpečné. Jejich výčet není konečný a lze je přidávat postupnou novelizací příslušné vyhlášky ministerstva vnitra. Nicméně, jak jsme otestovali, ani pár týdnů před náběhem nebyly tyto kontroly plně funkční. Stačí kupříkladu soubor přejmenovat, aby byl doručen i spustitelný formát souboru. Možná však v přechodném období tato funkcionalita nebyla ještě zapnuta, protože kvalitní kontrola formátů je v systémech tohoto typu zcela nezbytnou funkcí.

V souvislosti s daty je nutné se současně zastavit u nepopiratelnosti datových zpráv. Co se stane, když úředník uživateli pošle důležitou zprávu a kvalifikovaný certifikát, kterým ji podepsal, za pár dnů poté expiruje? Pokud někdo napadne, například při soudním řízení, pravost předloženého dokumentu, jaké bude mít uživatel možnosti ji prokázat? Jednou variantou je autorizovaná konverze dokumentu do papírové podoby ještě v době platnosti kvalifikovaného certifikátu. Nicméně tento úkon podléhá poplatku 30 Kč za každou stránku. Podle vyjádření některých expertů je však tato částka již enormně vysoká a mělo by spíše platit, že pokud stát obdobný systém zavádí, měl by pravost zprávy dlouhodobě garantovat i v digitální podobě. K tomu účelu slouží formát zprávy. Je koncipován tak, že do uživatelského počítače ukládá jak přílohy, tj. soubory nesoucí obsah zprávy, tak i metadata nesoucí údaje o doručení. To vše je zabaleno do binární obálky elektronického podpisu, je přidělena elektronická značka ministerstva obrany a systémové časové razítko. Když uživatel takto zprávu uloží – formát se jeví jako ZFO – pak se lze i po mnoha letech dovolat ověření pravosti. V informačním systému datových schránek je totiž nad touto zprávou vypočten hash (data zprávy jsou převedena do malého čísla, otisku pravosti) a spolu s dalšími údaji o elektronické značce, časovém razítku a podobně je dlouhodobě uložen. Provozovatel, kterým je Česká pošta, by tedy byl schopen na žádost soudu prokázat, zda je tato zpráva pravá či nikoliv.

Nicméně bez uložení zprávy ve formátu ZFO je situace obtížnější. Certifikační autority totiž své záznamy po deseti letech smažou a uživatel již neprokáže, kdo tehdy disponoval oním expirovaným kvalifikovaným certifikátem, kterým zpráva byla podepsána tím, kdo ji vytvořil. Způsob, kterým informační systém datových schránek dnes tento problém řeší, se proto podle expertů jeví pro současnost jako dostatečný. Nicméně pokud by v budoucnu došlo k prolomení hashovacího algoritmu, jako se to v minulosti již stalo s hashovacím algoritmem SHA-1, pak by se také mohla objevit falešná zpráva s totožnými ověřovacími parametry a je potřeba, aby Česká pošta byla i na takovou eventualitu připravena.