IT služby za milióny eur katastru k bezpečnosti nepomohli. Štát dokázal jeho netransparentnosť

Kybernetický útok, ktorý zasiahol kataster, poukázal na vážne nedostatky v ochrane jedného z kľúčových informačných systémov Slovenska. Úrad geodézie, kartografie a katastra SR (ÚGKK) čelí otázkam o zodpovednosti za únik dát, ako aj o transparentnosti a efektivite IT zmlúv, na ktoré štát vynakladá značné verejné financie.

Zmluva na podporu a údržbu informačného systému ESKN, podpísaná medzi ÚGKK a IT firmami Jump Soft a Synchronix na základe verejného obstarávania v decembri 2022, mala riešiť aj kybernetickú bezpečnosť. Predmetná zmluva v hodnote 5,4 milióna eur zahŕňa technickú podporu, údržbu a reakciu na bezpečnostné incidenty v súlade s požiadavkami štátnej metodiky kybernetickej bezpečnosti.

Reakčná doba od nahlásenia bezpečnostného incidentu po jeho riešenie je zmluvne stanovená na jednu hodinu, pričom maximálny čas na neutralizáciu incidentu je osem hodín. Napriek tomu, že útok sa odohral v nedeľu ráno 5. januára, služby katastra zostali odstavené až do pondelka večera. Ministerstvo vnútra vydalo záhadné vyhlásenie o „nevyhnutných úpravách informačných systémov,“ no až v stredu priznalo, že ide o kybernetický útok.

Sporné IT zmluvy a otázky zodpovednosti

Podľa verejne dostupných zmlúv má ÚGKK so spoločnosťou Synchronix viacero kontraktov. Okrem vyššie uvedenej zmluvy za vyše päť miliónov eur, v decembri 2024 nasledovala ďalšia zmluva za 211-tisíc eur na zabezpečenie podpory pre licencie.

Okrem toho, ÚGKK uzavrel zmluvu so spoločnosťou Slovanet, dňa 27. októbra 2023, v hodnote 3 964 677,60 eur na podporu prevádzky a rozvoj IKT infraštruktúry. Zmluva o poskytovaní vybraných údajov z informačného systému katastra nehnuteľností bola podpísaná so spoločnosťou GSoft-Group, dňa 9. novembra 2022, v hodnote 196 357,70 eur. V decembri 2024 bola zverejnená zmluva s firmou InterWay, a.s., na poskytovanie služieb technickej podpory pre produkty Oracle v hodnote 745 540,44 eur. Ďalší významný kontrakt bol uzavretý so spoločnosťou Zymestic Solutions, 18. decembra 2024, v hodnote 1 915 395,12 eur na zabezpečenie podpory pre licencie. S tou istou spoločnosťou úrad podpísal v novembri 2022 Zmluvu o podpore prevádzky a rozvoji informačného systému za 4 066 666 eur.

Tieto služby však očividne nepostačovali na to, aby sa predišlo narušeniu kybernetickej bezpečnosti. Národný kontrolný úrad (NKÚ) opakovane upozorňoval, že informačné systémy verejnej správy sú realizované netransparentne a za predražené sumy, pričom riziká spojené s ich prevádzkou nie sú adekvátne riešené.

„NKÚ dlhodobo upozorňuje, že informačné systémy sú realizované netransparentne s výrazným časovým oneskorením a rizikami, ktoré súvisia s ohrozením bežnej prevádzky systému či ochrany údajov, ktoré sa v nich nachádzajú,“ zdôraznila Daniela Bolech Dobáková, hovorkyňa NKÚ. Zodpovednosť podľa nej leží na IT oddelení katastra aj na externých dodávateľoch, ktorí monitorujú servery a zálohy dát.

Nefunkčný systém a pomalá reakcia štátu

Štátne inštitúcie zodpovedné za riešenie kybernetických incidentov si vyslúžili ostrú kritiku. Národný bezpečnostný úrad (NBÚ) reagoval na situáciu oneskorene. Podľa advokáta Róberta Gašparoviča by NBÚ mal intenzívnejšie spolupracovať s Národným centrom kybernetickej bezpečnosti SK-CERT.

Podnikateľské združenie AZZZ SR zdôraznilo, že nefunkčnosť katastra vážne oslabuje dôveru občanov v štátne inštitúcie. Viceprezident Rastislav Machunka varoval, že takéto zlyhania môžu negatívne ovplyvniť rozhodovanie investorov.

Minister vnútra Matúš Šutaj Eštok uviedol, že niektoré okresné katastrálne úrady obnovia prevádzku v najbližších dňoch, no návrat celého systému môže trvať až sedem dní. Michal Šimečka z Progresívneho Slovenska upozornil, že chaos spôsobil problémy mnohým občanom, ktorí riešili kúpu bytov, dedenie či hypotéky.

Marketingové tvrdenia vs. realita