Podpora HTTPS na webu Policie ČR a Ministerstva vnitra
Vážení,
v souvislosti s nedostupností webů Policie ČR a MVČR přes bezpečný protokol HTTPS a odpovědí PČR zaslanou serveru Root.cz tak, jak byla publikována na adrese https://www.root.cz/zpravicky/proc-nema-... vás žádám o poskytnutí následujících informací ve smyslu zákona 106/99 Sb. o svobodném přístupu k informacím:
1. Jaký hardware je v současnosti pro reverzní proxy obou uvedených webů používán? Tj. výrobce, označení modelu nebo typu a parametry klíčových prvků, zejména procesoru, operační paměti, disků/úložiště a síťového rozhraní.
2. Jaký software je v současnosti pro reverzní proxy používán? Tj. výrobce, název, verze, případně edice operačního systému a software pro zpracování síťových požadavků.
3. Jaká je celková zátěž této reverzní proxy, alespoň přibližně? Tj. počet HTTP requestů vyřízených za den či měsíc.
4. Zda existují nějaké dokumenty z nichž vyplývá, že toto prostředí není schopno zavedení HTTPS výkonově zvládnout bez změny hardware. Např. studii, vyjádření dodavatele či správce. V případě že existují, žádám o jejich poskytnutí.
5. K čemu sloužily stránky na URL http://www.policie.cz/admin a http://www.mvcr.cz/admin, kde byly ještě 3. 10. 2017 formuláře, očekávající zadání uživatelského jména a hesla?
6. Jaký je obsah pojmu "formulářové rozhraní s jednoznačnou identifikací", tj. zejména jak se takové rozhraní liší od standardních webových formulářů.
Michal A. Valášek
Potvrzení příjmu Vašeho podání ze dne - 17.10.2017 00:56:02 v obsahu zprávy: Žádost o informace podle dotaz - Podpora HTTPS na webu Policie ČR a Ministerstva vnitra elektronickou poštou
/Reply to your proposal dated - 17.10.2017 00:56:02 delivered by email./
---------------------------------------------------------------------------------
Ke zprávě je připojena příloha POTVRZEN.PDF (obsahující text s potvrzením příjmu Vašeho podání)
/An attachment POTVRZEN.PDF (including text with replys to your proposal) has been attached to the message/
----------------------------------------------------------------------------
Další text této zprávy je shodný s obsahem souboru
POTVRZEN.PDF
/The following text of this message is identical to the content of the file POTVRZEN.PDF/
---------------------------------------------------------------------------------
Informace o doručení datové zprávy.
Tato zpráva je automaticky generovaná, neodpovídejte na ni, prosím.
Ministerstvo vnitra potvrzuje, že Vaše datová zpráva:
označená (charakteristika) obsahu zprávy: Žádost o informace podle dotaz - Podpora ...
byla doručena na elektronickou adresu podatelny Ministerstva vnitra
na adresu el. podatelny - Instituce [Ministerstvo vnitra vyžaduje e-mail],
dne 17.10.2017 00:56:02
a byla označena identifikátorem dokumentu MVCRX03OBF19.
Tato zpráva potvrzující doručení datové zprávy není potvrzením splnění
náležitosti podání podle jiných právních předpisů. Pokud bude zjištěno,
že datová zpráva v tomto smyslu nemá předepsané náležitosti nebo trpí-li
jinými vadami, pomůže Vám Ministerstvo vnitra zjištěné nedostatky identifi-
kovat; v tomto případě budete vyzván k jejich odstranění, k čemuž Vám bude
poskytnuta přiměřená lhůta.
Ministerstvo vnitra
Vyrozumění o prodloužení lhůty pro poskytnutí informací podle § 14 odst. 7
zákona č. 106/1999 Sb., o svobodném přístupu k informacím (ve znění
pozdějších předpisů)
Ministerstvo vnitra, odbor provozu informačních a komunikačních
technologií (dále jen „Ministerstvo vnitra“), jako povinný subjekt ve
smyslu ustanovení § 2 odst. 1 zákona č. 106/1999 Sb., o svobodném přístupu
k informacím, ve znění pozdějších předpisů (dále jen „InfZ“), obdrželo
žádost o poskytnutí informace pana Michala A. Valáška, žádost datována dne
17. října 2017.
I.
Ministerstvo vnitra na základě § 14 odst. 7 InfZ lhůtu pro poskytnutí
informace, která podle § 14 odst. 5 písm. d) InfZ činí 15 dnů ode dne
přijetí žádosti, prodlužuje, a to o 10 dnů.
II.
Žadatel žádá ve své žádosti informace týkající se fungování internetových
stránek Policie České republiky, resp. Ministerstva vnitra, a to informace
týkající se technických stránek fungování těchto webů. Dotaz žadatele se
tedy týká dvou různých subjektů.
Pokud jde o ty části žádosti, které se týkají přímo Ministerstva vnitra,
je tato žádost vyřizována primárně odborem provozu informačních
technologií a komunikací (OPITK) tohoto ministerstva. S ohledem na
skutečnost, že poskytnutí informací požadovaných v žádosti může mít dopad,
popř. může přímo ohrozit kybernetickou bezpečnost, je v této věci nutná
rovněž konzultace s odborem kybernetické bezpečnosti téhož ministerstva,
neboť tento odbor má na předmětu žádosti nepochybně závažný zájem. V rámci
Ministerstva vnitra se tedy žádosti zabývají dva útvary.
Ač je Policie České republiky podřízena Ministerstvu vnitra podle § 5
odst. 1 zákona č. 273/2008 Sb., o Policii České republiky, jedná se o
funkčně i právně samostatný subjekt. Ohledně informace požadované
žadatelem ve vztahu k Policii České republiky, jakož ohledně možnosti tyto
informace poskytnout, je tedy nutná konzultace mezi Ministerstvem vnitra a
Policií České republiky, jakož i mezi útvary Policie České republiky,
neboť Policie České republiky má s ohledem na předmět žádosti závažný
zájem na předmětu žádosti. Žádostí se tedy zabývají útvary Ministerstva
vnitra i Policie České republiky.
Informace požadované žadatelem mají charakter podrobných technických
informací týkajících se fungování obou výše zmíněných webových stránek,
popř. charakter informací souvisejících s fungováním obou výše zmíněných
webových stránek. S ohledem na skutečnost, že tyto informace nejsou
okamžitě zjistitelné a nejsou centrálně shromažďovány (jedná se oddělené a
navzájem odlišné informace), jakož i s ohledem na objem požadovaných
informací, není Ministerstvo vnitra s to uvedené informace pro účely
žádosti shromáždit v základní lhůtě podle § 14 odst. 5 písm. d) InfZ.
Podle § 14 odst. 7 písm. a) až c) InfZ je Ministerstvo vnitra jakožto
povinný subjekt oprávněno k prodloužení lhůty pro poskytnutí informace,
jestliže je k jejímu poskytnutí nutné (i) vyhledání a sběr požadovaných
informací v jiných úřadovnách, které jsou oddělené od úřadovny vyřizující
žádost, resp. (ii) vyhledání a sběr objemného množství oddělených a
odlišných informací požadovaných v jedné žádosti, resp. (iii) konzultace s
jiným povinným subjektem, který má závažný zájem na rozhodnutí o žádosti,
nebo mezi dvěma nebo více složkami povinného subjektu, které mají závažný
zájem na předmětu žádosti.
Z výše uvedeného vyplývá, že důvody pro prodloužení lhůty pro poskytnutí
informací ve smyslu § 14 odst. 7 písm. a) až c) InfZ jsou dány, s tím, že
objem informací, jejich charakter a umístění, jakož i počet a rozsah
dotčených útvarů, jak je popsáno výše, odůvodňují prodloužení o 10 dní,
tj. o maximální možnou lhůtu přípustnou podle § 14 odst. 7 InfZ.
Na základě výše uvedeného proto Ministerstvo vnitra prodloužilo lhůtu pro
poskytnutí informací tak, jak je uvedeno v čl. I. tohoto vyrozumění.
S pozdravem
Mgr. Tomáš Kroupa
Pověřen řízením
odbor provozu informačních technologií a komunikací
Ministerstvo vnitra ČR
E: [1][emailová adresa]
T: +420 734 267 031
References
Visible links
1. mailto:[emailová adresa]
Vážený pane Valášku,
Ministerstvo vnitra, odbor provozu informačních technologií a komunikací
(dále jen „Ministerstvo vnitra“), jako povinný subjekt ve smyslu
ustanovení § 2 odst. 1 zákona č. 106/1999 Sb., o svobodném přístupu k
informacím, ve znění pozdějších předpisů (dále jen „InfZ“), obdrželo dne
17. října 2017 žádost pana Michala A. Valáška, datovanou téhož dne, jíž
žadatel žádá o poskytnutí informací týkajících se fungování internetových
stránek Policie České republiky, resp. Ministerstva vnitra, uvedených
v žádosti.
Dne 1. 11. 2017 rozhodlo Ministerstvo vnitra o prodloužení lhůty pro
poskytnutí informací o 10 dnů, neboť byly naplněny důvody pro toto
prodloužení ve smyslu § 14 odst. 7 písm. a) až c) InfZ.
V reakci na uvedenou žádost
vydává
Ministerstvo vnitra jako povinný subjekt dle ustanovení § 2 odst. 1 InfZ a
v souladu s ustanovením § 15 a § 20 odst. 4 písm. a) InfZ, ve spojení s
ustanovením § 67 a násl. zákona č. 500/2004 Sb., správní řád, ve znění
pozdějších předpisů (dále jen „správní řád“) toto
ROZHODNUTÍ,
kterým se žádost o informace odmítá v souladu s § 15 odst. 1 InfZ, a to
v plném rozsahu.
Odůvodnění:
V úvodu své žádosti žadatel uvedl, že žádost souvisí s nedostupností
internetových stránek Policie České republiky a internetových stránek
Ministerstva vnitra přes bezpečný protokol HTTPS, žadatel dále uvedl, že
jeho žádost souvisí s odpovědí zástupce Policie České republiky zaslanou
serveru [1]Root.cz, která byla publikována v rámci článku dostupného na
internetové adrese
[2]https://www.root.cz/zpravicky/procnema-p....
V souvislosti s výše uvedeným položil žadatel Ministerstvu vnitra
následující dotazy (citováno):
1. Jaký hardware je v současnosti pro reverzní proxy obou uvedených webů
používán? Tj. výrobce, označení modelu nebo typu a parametry klíčových
prvků, zejména procesoru, operační paměti, disků/úložiště a síťového
rozhraní.
2. Jaký software je v současnosti pro reverzní proxy používán? Tj.
výrobce, název, verze, případně edice operačního systému a software pro
zpracování síťových požadavků.
3. Jaká je celková zátěž této reverzní proxy, alespoň přibližně? Tj. počet
HTTP requestů vyřízených za den či měsíc.
4. Zda existují nějaké dokumenty, z nichž vyplývá, že toto prostředí není
schopno zavedení HTTPS výkonově zvládnout bez změny hardware. Např.
studii, vyjádření dodavatele či správce. V případě že existují, žádám o
jejich poskytnutí.
5. K čemu sloužily stránky na URL [3]http://www.policie.cz/admin a
[4]http://www.mvcr.cz/admin, kde byly ještě 3. 10. 2017 formuláře,
očekávající zadání uživatelského jména a hesla?
6. Jaký je obsah pojmu "formulářové rozhraní s jednoznačnou identifikací",
tj. zejména jak se takové rozhraní liší od standardních webových
formulářů.
Z žádosti vyplynulo, že žadatel žádá ve své žádosti informace týkající se
fungování webů dvou různých subjektů, s tím, že pokud jde o části žádosti
týkající se přímo Ministerstva vnitra, bylo nutné, aby se kromě odboru
provozu informačních technologií a komunikací (OPITK) tohoto ministerstva
vyjádřil k žádosti rovněž odbor kybernetické bezpečnosti téhož
ministerstva, neboť žádost má obsahově vztah k oblasti kybernetické
bezpečnosti; bylo tedy nutné, aby se žádostí zabývaly dva útvary
Ministerstva vnitra. Informace požadované žadatelem nadto mají charakter
podrobných technických informací týkajících se fungování obou výše
zmíněných webových stránek, popř. charakter informací souvisejících s
fungováním obou výše zmíněných webových stránek, nejsou okamžitě
zjistitelné, nejsou centrálně shromažďovány (jedná se oddělené a navzájem
odlišné informace), v neposlední řadě se jednalo o značný objem
požadovaných informací. Na základě uvedených okolností rozhodlo
Ministerstvo vnitra 1. 11. 2017 o prodloužení lhůty pro poskytnutí
informací o 10 dnů, jak je zmíněno v záhlaví tohoto rozhodnutí.
Na základě posouzení obsahu a povahy informací, které byly žádostí
požadovány, dospělo Ministerstvo vnitra k závěru, že poskytnutí
požadovaných informací by mohlo ohrozit zajišťování kybernetické
bezpečnosti, resp. účinnost opatření vydaných podle zákona č. 181/2014
Sb., o kybernetické bezpečnosti (KybeZ). Je tomu tak především proto, že
informace, jejichž sdělení bylo požadováno, jsou informací o zabezpečení
významných, resp. kritických informačních systémů (ve smyslu definic
těchto pojmů podle KybeZ), které by toto systémy vystavily riziku
potenciálních útoků, neboť sdělením těchto informací by bylo možné dovodit
cíl a úroveň zabezpečení významných, resp. kritických informačních systémů
Ministerstva vnitra, které by se tak vystavilo riziku dalších
kybernetických útoků, kdy je vhodné dodat, že tyto útoky byly zaznamenány
v roce 2016 a jedním z implementovaných opatření mj. v reakci na tyto
útoky je zvýšení bezpečnosti přístupu (omezení přístupu) k technickým
informacím o opatřeních pro informační systém kritické informační
infrastruktury, komunikační systém kritické informační infrastruktury nebo
významný informační systém (ve smyslu definic těchto pojmů podle KybeZ).
Ministerstvo vnitra plní úkoly v souladu se zákonem o kybernetické
bezpečnosti, považuje zajištění kybernetické bezpečnosti za svou významnou
prioritu, přičemž sdělení požadovaných informací by bylo možné se vystavit
riziku potenciálních útoků, resp. toto riziko významně zvýšit.
Ministerstvo vnitra je v souladu s KybeZ a na základě § 3 písm. c) až e) a
§ 4 vyhlášky č. 316/2014 Sb. o kybernetické bezpečnosti jakožto správce
informačního systému povinno řídit rizika. Jedno ze základních aktiv,
která jsou při řízení rizik chráněna, jsou tzv. technická aktiva, která se
mohou stát cílem zájmu průniku do sítě organizace (zde Ministerstva
vnitra, popř. jiných subjektů v rámci resortu vnitra). S ohledem na
uvedené platí, že informace o přijatých opatřeních ohledně kybernetické
bezpečnosti, kde ochrana aktiv je jedním z opatření, jsou informace
týkající se bezpečnostních opatření směřující k ochraně vnitřního pořádku
a bezpečnosti České republiky, jakož i informace týkající se bezpečnosti
systémů, zařízení a techniky. Tyto informace tak není možné poskytovat.
Jak již bylo uvedeno výše, sdělením této informace by, ať již na základě
samotných sdělených informací nebo v případném spojení s jinými
informacemi, bylo možné dovodit úroveň zabezpečení významných a kritických
informačních systémů povinného subjektu, pročež by se Ministerstvo vnitra
vystavilo riziku potenciálních útoků.
Uvedená rizika by v případě poskytnutí požadovaných informací výrazně
zvýšila taktéž skutečnost, že podle § 5 odst. 3 InfZ by Ministerstvo
vnitra bylo povinno do 15 dnů od poskytnutí informací zveřejnit tyto
informace způsobem umožňujícím dálkový přístup, tj. na internetových
stránkách Ministerstva vnitra, čímž by se uvedené informace staly
univerzálně a snadno dostupnými.
Na základě výše uvedeného dospělo Ministerstvo vnitra k závěru, že
požadované informace jsou informacemi, jejichž zpřístupnění by mohlo
ohrozit zajišťování kybernetické bezpečnosti nebo účinnost opatření
vydaného podle KybeZ, jak je uvedeno výše. Podle § 10a KybeZ platí, že
tyto informace se podle předpisů upravujících svobodný přístup k
informacím neposkytují, pročež bylo rozhodnuto tak, jak je uvedeno výše ve
výroku rozhodnutí. Pro úplnost je nutné dodat, že při naplnění podmínek
podle zmíněného § 10a KybeZ nemá povinný subjekt (Ministerstvo vnitra)
žádný prostor k uvážení, zda informace poskytne či nikoliv – jejich
poskytnutí je povinen vždy odmítnout.
Poskytnutí předmětných informací by bylo rovněž v rozporu s prevenčními
povinnostmi podle zákona o kybernetické bezpečnosti a prováděcích právních
předpisů, jak je uvedeno výše. Vzhledem k tomu, že poskytnutí informací a
zejména jejich následně zveřejnění by mohlo vést mj. ke vzniku značných
škod, je nutné zmínit rovněž obecné ustanovení § 2900 zákona č. 89/2012
Sb., občanského zákoníku, podle něhož platí, že vyžadují-li to okolnosti
případu, je každý povinen počínat si při svém konání tak, aby nedošlo k
nedůvodné újmě mj. na vlastnictví jiného. V neposlední řadě lze odkázat na
celou řadu prevenčních povinností týkajících se zacházení se státním
majetkem, jak jsou upraveny v příslušných právních předpisech. I kdyby zde
nebyla explicitní povinnost odmítnutí stanovená výše zmíněným § 10a KybeZ,
je nutné dát prevenci výše popsaných rizik přednost před právem na
poskytnutí informace.
Na základě uvedeného proto bylo rozhodnuto tak, jak je uvedeno ve výroku
tohoto rozhodnutí.
Poučení:
Proti rozhodnutí máte právo podat v souladu s ustanovením § 16 InfZ a §
152 správního řádu rozklad, a to ve lhůtě 15 dnů ode dne doručení této
odpovědi. Rozklad se podává k Ministerstvu vnitra, nejlépe cestou OPITK, o
rozkladu rozhoduje ve smyslu § 152 odst. 2 správního řádu ministr vnitra.
References
Visible links
1. http://root.cz/
2. https://www.root.cz/zpravicky/procnema-p...
3. http://www.policie.cz/admin
4. http://www.mvcr.cz/admin
Vážený pane Valášku,
v souvislosti se žádostí podanou podle zákona o svobodném přístupu
k informacím, kterou jste podal dne 17. října 2017, jakož i v návaznosti
na osobní jednání, které proběhlo dne 22. listopadu 2017 na odboru
kybernetické bezpečnosti Ministerstva vnitra, sdělujeme k otázce používání
protokolu http, resp. https, v rámci webových stránek resortu vnitra
následující:
Vaše upozornění na výše uvedenou technickou záležitost ohledně provozování
webových stránek Ministerstva vnitra, resp. Policie České republiky,
vítáme. Ministerstvo vnitra si je vědomo nedostatků v nynějším používání
protokolu http oproti používání protokolu https. Nejen s ohledem na
plánování finančních prostředků na implementaci technických opatření podle
zákona č. 181/2014 Sb., o kybernetické bezpečnosti (ve znění pozdějších
novel a doplňků) je však Ministerstvo vnitra jakožto správce povinno
v rozsahu nezbytném pro zajištění kybernetické bezpečnosti zavést a
provádět opatření prioritně pro informační systémy kritické informační
infrastruktury, komunikační systémy kritické informační infrastruktury a
významný informační systémy (ve smyslu definic podle zákona o kybernetické
bezpečnosti).
Webové stránky Ministerstva vnitra nejsou v současné době do výše
uvedených kategorií zařazeny, nicméně i přesto je Ministerstvo vnitra
připraveno v horizontu roku 2018 provést technické změny v zabezpečení
výše zmíněných webových stránek včetně přechodu na používání protokolu
https.