Denník N

Hack, vírus, roboty: kto naozaj môže za nefungujúci miliónový školský web

V utorok sme za Nadáciu Zastavme korupciu a spolu so Slovenskou komorou učiteľov podali trestné oznámenie pre nefungujúci portál “kvalifikacie.sk”. Chceme vedieť kto môže za to, že tento web nefunguje, či z neho neunikli osobné údaje a či sa tomuto celému nedalo predísť. Všetko totiž nasvedčuje tomu, že ak by si štátne inštitúcie spravili svoju prácu poriadne, miliónový portál by mohol stále fungovať.

V tomto blogu preskočíme otázku, či je cenovka približne 25 miliónov eur za národný projekt “Tvorba Národnej sústavy kvalifikácií” z roku 2013 v poriadku alebo nie. Zameriame sa na web kvalifikacie.sk, ktorý je súčasťou tohto projektu. Zodpovedá zaň Štátny inštitút odborného vzdelávania (ŠIOV), priamo riadená organizácia ministerstva školstva.

Ako web vyzeral a čo na ňom približne bolo si môžete pozrieť vo web archíve – posledná snímka je z 13. apríla 2018. Niekedy v tomto čase prestával web fungovať.

Miliónový web

Koľko vlastne tento web stál sa z verejne dostupných informácií nedá presne povedať. Web dodávala podľa zmluvy z roku 2014 spoločnosť Asseco Central Europe. Prílohy zmluvy, kde sa nachádza aj špecifikácia diela, nie sú zverejnené.

V zmluve sa ale nachádza nákladová položka “vytvorenie aplikačného softvéru” za 2,3 milióna eur. Predpokladajme teda, že toto môže byť cena za aplikáciu a web, na ktorom beží:

Niečo málo technických detailov o tomto webe je možné nájsť v dokumente “Existujúce repozitáre MŠVVŠ SR“ (stiahnite excel súbor pre ďalšie detaily).

ŠIOV na tento nefunkčný web mesiace spokojne odkazuje na svojom (fungujúcom) oficiálnom webe, aj v dokumente, kde zdôvodňujú prečo dáva zmysel minúť viac ako 11 miliónov eur na nový projekt, ktorý nadväzuje na spomínaný projekt z roku 2013.

Hack a čo s ním

diskusii o zámere tohto nového národného projektu, ktorá prebehla začiatkom októbra, padla aj otázka na nefungujúci web kvalifikacie.sk – bez ktorého sú výsledky pôvodného projektu za 25 miliónov eur v podstate nepoužiteľné. V diskusii riaditeľ ŠIOV spomína “hackerský útok” alebo zlú údržbu webu:

Keďže v zmluve s Asseco z roku 2014 sa servis webu nerieši, jeho údržba bola zodpovednosťou ŠIOV, resp. ministerstva školstva. Po mesiacoch nefunkčnosti a s vidinou schválenia nových miliónových projektov bolo potrebné s webom niečo spraviť.

V polovici novembra uzatvoril ŠIOV zmluvu s Asseco za 39-tisíc eur bez DPH, podľa ktorej by sa web mal dať celý dokopy. Podrobné vymedzenie predmetu zákazky znie: “Zabezpečenie obnovenia funkčnosti Informačného systému Národnej sústavy kvalifikácii po hackerskom útoku”. V prílohe zmluvy sa píše aj takéto:

 

Z tohto opisu, ktoré bolo súčasťou obstarávania a je v platnej zmluve, vyzerá situácia pomerne dramaticky.

Vírus a roboty

Za naše trestné oznámenie sme od ŠIOV nečakali pochvalu, ale že poprú svoje vlastné obstarávanie a zmluvu, prekvapilo aj nás.

Podľa utorkových Správ RTVS sa riaditeľ ŠIOV vyjadril, že síce sa v zmluve spomína útok, ale stránka bola len “zavírená”. A tiež, že ministerstvo ešte ušetrilo, lebo kontinuálny servis webu by bol o desiatky tisíc drahší než táto krízová obnova systému. Navrhujeme preto preventívne vypnúť všetky štátne weby, ktoré nemajú servisné zmluvy a prepustiť zo štátnych služieb každého, kto vie svojpomocne aktualizovať redakčný systém.

Podľa ďalšieho vyjadrenia ŠIOV bol za výpadkom robot, ktorý vyhľadáva stránky s bezpečnostnými rizikami a napáda ich. Server, z ktorého prišiel takýto útok na web kvalifikacie.sk nebol na Slovensku, a teda ani nebol dôvod dávať trestné oznámenie. V slovenskom CSIRTe ich za to isto nepochvália. Dúfame, že štátne inštitúcie takto nepostupujú aj pri iných útokoch (alebo “útokoch”).

V popise toho, čo sa stalo, sa ŠIOV asi nemýli, len zbytočne zahmlieva. Web kvalifikacie.sk bežal podľa dostupných informácií po odovzdaní dodávateľom na redakčnom systéme Drupal 7 bez ďalších aktualizácií. Ako upozornili v diskusii na zive.sk tie neprišli ani po tom, ako boli zverejnené informácie o kritickej chybe starších verzií Drupalu koncom marca 2018. Potom už bolo pomerne jednoduché web napadnúť a znefunkčniť – iným slovom “hacknúť”.

Práve v tom je pointa celého príbehu. Štát si kúpil za veľa peňazí web, o ktorý sa nevedel, nechcel alebo nemohol sám starať. Výsledkom je, že web väčšinu roka nefunguje a mesiace to nikomu zodpovednému nevadí. Zasiahne sa až keď úrad pýta nové eurofondy a hrozí hanba. Držíme ŠIOV palce, aby si nové eurofondové weby zabezpečili lepšie.

 

Matej Hruška

Text je súčasťou blogov Denníka N, nie je redakčným obsahom.
Administrátorov blogov môžete kontaktovať na adrese blog@dennikn.sk.

Teraz najčítanejšie

Zastavme korupciu

Veríme, že Slovensko môže byť krajina, v ktorej čestné konanie nie je rarita, ale spoločenská norma a podvody nie sú prehliadané, ale trestané.