Expert na kyberbezpečnost Miloslav Lujka FOTO: Miloslav Lujka
FOTO: Miloslav Lujka
Od úterý mohou konečně Češi nakupovat dálniční známky přes internet. Spuštění e-shopu za více než 300 milionů korun ale provázely problémy. Většinu prvního dne byl totiž mimo provoz. Ministr dopravy Karel Havlíček (za ANO) to vysvětloval slovy, že jde o snahu zabránit jeho přetížením a případným útokům hackerů. Podle experta na kyberbezpečnost Miloslava Lujky jde v některých aspektech o amatérskou práci. Fakt, že e-shop edalnice.cz stojí na nejrozšířenějším redakčním systému na světě, považuje za možné bezpečností riziko, prozradil Lujka v rozhovoru deníku FORUM 24.
V úterý se spustil prodej elektronických dálničních známek na příští rok přes e-shop edalnice.cz. Hned ráno ale přestal fungovat. Co jste si v tu chvíli říkal?
Je to smutné a místy až úsměvné, ten start se jim prostě nepovedl. To, že ty stránky v podstatě musely vypnout z obavy před útokem, bych přirovnal k větě z Cimrmana – otevřel si hospodu, ale chodili mu tam lidi. Starty projektů jsou občas náročné, chyby se mohou stát, nicméně za tyto peníze to vykazuje prvky amatérské práce, kterou by dobře zorganizovaní borci na střední škole naprogramovali za zlomek ceny. Tohle je můj soukromý závěr podpořený znalostí projektu z veřejně dostupných zdrojů a diskusí s lidmi, kteří někdy programovali.
Když zapomeneme na úterní nezdary při spuštění, je podle Vás e-shop pro dálniční známky vytvořen dobře?
Je evidentní, že ta práce není dobře odvedena. Každý podobný projekt by měl mít dobré projektové řízení a dobrého architekta. Tady to vypadá, že to nikdo ani pořádně neotestoval, a pokud ano, tak vůbec nevyzkoušeli reálnou zátěž a vzájemnou funkci všech modulů.
Je evidentní, že celý web stojí na systému WordPress, což je nejrozšířenější veřejně dostupný redakční systém na světě. Je to u tak velkých projektů standardní řešení?
Zní to jako senzacehodné a ono to možná trochu senzacehodné je. Nicméně když se pořádně podíváte na WordPress, tak ta doba se posunula dál. Na frontend webů, které si tahají data někde z backendu, je to asi v pořádku. WordPress pro své weby používají takoví hráči jako například Bloomberg, Disney, BBC America, částečně i New York Times, ale určitě bych jej nepoužil pro nějaký hodně kritický systém. Samozřejmě vymýšlet vlastní řešení by stálo peníze. Proč znovu vymýšlet kolo a objevovat Ameriku. Jenomže WordPress má samozřejmě několik problémů. Tím, že je celosvětově hodně rozšířený a je opravdu dobrý, tak má v sobě občas nějaké bezpečnostní díry. Používá ho opravdu hodně organizací a lidí, a tak se na něj samozřejmě soustředí i hackeři.
Abych ale byl férový. WordPress je v podstatě kostra, na kterou si můžete nabalit spoustu modulů. Takže použít jen jádro toho systému je v podstatě v pořádku. Musíte si ale hlídat právě ty další prvky okolo.
Tomu rozumím. Je ale jeho použití normální u projektu za více než 300 milionů korun?
Já jsem si velmi pečlivě četl dostupné materiály. Ta pravda je ale někde na půl cesty. Laik by mohl říci, že se jedná o e-shop s jednou položkou. Na druhou stranu, málokdo si uvědomuje, co je na backendu. To znamená někde na serveru, pokud bych to měl zjednodušit. Neznám všechny detaily a pozadí, nicméně bez transparentnosti a otevřenosti rozpočtu na jednotlivé funkcionality, moduly a podobně, je to složitější. Domnívám se ale, že ta částka je astronomicky neúměrná výsledku.
Šlo to tedy udělat levněji?
Já si opravdu myslím, že to šlo udělat za zlomek ceny a poměrně kvalitně. Dalo se určitě udělat veřejné a transparentní výběrové řízení a to, že ho neudělali, je prostě bullshit, byť třeba s oporou v zákoně. Mohlo to vypadat profesionálně, mohlo to být na moderních technologiích a myslím si, že by to lidem udělalo daleko lepší službu.
Vidíte u toho současného řešení i nějaké bezpečnostní riziko?
Samozřejmě. Rizika číhají všude. Pokud někdo použije WordPress, tak si musí být vědom, že používá veřejně otevřený systém, který se mnoho lidí snaží napadnout. Z pohledu bezpečnosti se nad tím dalo určitě trochu více popřemýšlet.
Pražský primátor Zdeněk Hřib si včera rýpl do ministerstva dopravy, že za e-shop s kupóny na MHD zaplatilo hlavní město asi 300x méně než stát za projekt pro dálniční známky. Dají se tyto dvě věci porovnat?
Tady bych připomněl projekt OpenCard, který stál zhruba 1,2 miliardy korun. V podstatě peníze vyhozené z okna. Když se podíváte na pražskou Lítačku, tak je to prostě pěkně udělaná jednoduchá věc, která funguje za zlomek ceny. Ač nejsem členem žádné politické strany, tak to, co říká pan primátor Hřib, je naprosto správně. To, co předvedli chlapci na edalnice.cz vzbuzuje neskutečné množství emocí i v odborných kruzích. Pokud by chtěli být transparentní a myslím, že si to daňový poplatník zaslouží, tak zveřejní detailní účetnictví projektu, sednou si k jednomu stolu a nechají proběhnout zdravou a konstruktivní oponenturu.
