BRATISLAVA – Ministerstvo financií nedokáže ukončiť súťaž na viac ako 100-tisíc cloudových licencií Microsoftu približne za 48 miliónov eur bez DPH už takmer rok. Do hry navyše opäť vstúpil aj Úrad pre verejné obstarávanie. Kým v Európskej únii (EÚ) totiž intenzívne riešia bezpečnostné riziká Office 365, u nás má na nich prejsť kompletná štátna správa a ďalšie verejné inštitúcie pravdepodobne už od septembra.
Problém, ktorý Európa rieši sa týka preberania tzv. telemetrických údajov a ochrany osobných údajov. Podľa holandského auditu Microsoft systematicky zhromažďuje údaje vo veľkom rozsahu o individuálnom používaní programov Word, Excel, PowerPoint a Outlook. Tieto dáta sú ukladané v rozličných databázach a v USA môžu byť prístupné miestnym úradom. Ide o zákon známy ako CLOUD Act, ktorý prikazuje americkým spoločnostiam prevádzkujúcim cloudové služby sprístupniť dáta v ich datacentrách a to aj v prípade, ak sa nachádzajú mimo územia USA.
Pred mesiacom Úrad na ochranu súkromia spolkovej krajiny Hesensko dokonca vyhlásil používanie cloudového balíka Office 365 na nemeckých školách za protizákonné.
Tender napriek rizikám
Licencie, ktoré plánuje ministerstvo financií obstarať, sú určené pre desaťtisíce úradníkov. Ministerstvo tvrdí, že súčasnému softvérovému vybaveniu od Microsoftu, na ktoré má štát licencie zakúpené, skončí podpora v roku 2020. Podľa odbornej verejnosti ale ide o klamstvo. Samotný Úrad podpredsedu vlády pre investície a informatizáciu v liste ministerstvu financií uviedol, že podpora bude trvať až do roku 2025-26.
Ministerstvo financií však aj napriek tomu už teraz obstaráva nové licencie pre viac ako 40 štátnych a verejných inštitúcií. A to formou cloudového balíka Office 365. Medzi dotknutými nechýbajú ani tie bezpečnostne najcitlivejšie akými sú ministerstvo obrany, Slovenská informačná služba ale aj napríklad Národný bezpečnostný úrad, Úrad na ochranu osobných údajov či ministerstvo zahraničia a prezidentská kancelária. Napriek tomu bezpečnosť cloudového riešenia pre naplnenie potrieb štátnej správy ministerstvo financií podľa našich zistení neriešilo vôbec.
Úrad na ochranu osobných údajov SR pre Glob.sk priznal, že ministerstvo financií ich v súvislosti s GDPR vôbec nekontaktovalo. Problém však napriek tomu považujú za veľmi vážny a dokonca ho riešia. Podľa Tamary Valkovej z kancelárie úradu Európsky dozorný úradník pre ochranu údajov (European Data Protection Supervisor) aktuálne vykonáva z podobného dôvodu kontrolu všetkých zmlúv uzavretých medzi spoločnosťou Microsoft, orgánmi a inštitúciami EÚ.
V podkladoch obstarávania nových licencií Microsoft v gescii ministerstva financií sa o GDPR nepíše ani slovo. Nenachádza sa tam žiadna analýza bezpečnosti z pohľadu možného zneužívania osobných údajov užívateľov Office 365. „Sme toho názoru, že Ministerstvo financií je povinné vykonať analýzu s ohľadom na bezpečnosť pri spracúvaní osobných údajov,“ tlmočila Valková oficiálny názor úradu pre Glob.sk.
Ministerstvo financií kvôli bezpečnosti neoslovilo ani Národný bezpečnostný úrad (NBÚ). Aj tam sú si bezpečnostných rizík spojených s Office 365 vedomí. „O tomto riziku vieme. Podmienkou pre prevádzku licencií v modeli Microsoft Office 365 je, že každý počítač sa najmenej raz za 30 dni MUSÍ prihlásiť priamo na servery Microsoftu a overiť licencie (a asi aj iné veci). A toto z prostredia úradu (z väčšiny počítačov) nie je možné. Preto úrad nebude môcť takéto licencie využívať,“ prezradil nám NBÚ.
Prečo potom ministerstvo financií zaradilo aj NBÚ medzi inštitúcie, pre ktoré uvedené obstarávanie vraj realizuje, žiaľ jasné nie je. Podľa našich informácií to zároveň nie je jediná štátna inštitúcia, ktorá nové licencie používať nebude.
Problémy aj s obstarávaním
Do miliónovej zákazky navyše opäť vstúpil aj Úrad pre verejné obstarávanie (ÚVO). Ten len pred tromi dňami súťaž prerušil – konkrétne vydal predbežné opatrenie, ktorým zakázal ministerstvu financií vykonať v rámci obstarávania čokoľvek, okrem zrušenia súťaže. Dôvodom sú podnety niektorých záujemcov o zákazku, pričom viaceré sa podľa našich informácií týkajú práve bezpečnosti a GDPR. Ministerstvo financií zareagovalo tak, že posunulo termín podávania ponúk z 12.augusta 2019 na 26.august 2019. ÚVO pritom už raz súťaž zrušilo, vďaka čomu Slovensko ušetrilo viac ako 20-miliónov eur.
Glob.sk oslovil množstvo inštitúcií, ktorých sa otázky bezpečnosti a možné riziko zneužívania údajov o ich zamestnancoch týkajú. Ich reakcie budeme postupne prinášať. S otázkami sme pred niekoľkými dňami kontaktovali aj MF SR, ktoré dodnes nereagovalo.