Balbín, Nikita a šmírování?
Balbínova poetická strana v pondělí zveřejnila neoficiální verzi smluv mezi MŠMT a Generálním dodavatelem. Největší rozruch vzbudila pasáž o "týmu Nikita", který by měl mj. řešit "politické krize" a zásobovat CIS "netypickými informacemi". V materiálech je ale zmiňováno i monitorování komunikace ve školském intranetu. Jak dalece je to reálné?Smlouvy kolem Internetu do škol, uzavřené mezi MŠMT a generálním dodavatelem, jsou stále ještě utajovány. Obě smluvní strany sice již deklarovaly, že je zveřejní, ale až po volbách, aby tím zabránily jejich zneužití v předvolebním boji. Osobně se obávám, že tím dosáhli spíše opačného efektu - že spíše podpořili spekulace o tom, že v těchto smlouvách je něco nepatřičného, co by mohlo strany před volbami poškodit. Současně tím dali šanci jiným subjektům, aby na sebe upoutaly pozornost tím, že zveřejní alespoň neoficiální verze těchto smluv, získané blíže neidentifikovaným způsobem. Přesně to se stalo - texty smluv rozdala novinářům na své pondělní tiskovce Balbínova poetická strana.
Rád bych hned na úvod předeslal, že zmíněné tiskovky jsem se nezúčastnil. Ne proto, že bych nechtěl nebo že bych nebyl pozván, ale z velmi prozaického důvodu - v době konání tiskovky jsem zkoušel studenty řádného studia na své domovské fakultě (kterou je pražská fakulta matematicko-fyzikální, nikoli pedagogická, jak mi v pondělí přisoudila MF Dnes). Využil jsem alespoň možnosti zastavit se po skončení tiskovky pro materiály, rozdávané novinářům. Proto zde nemohu popisovat své dojmy a postřehy z této tiskovky - místo toho se soustředím právě na ony materiály, které zástupci Balbínovy strany rozdávali novinářům.
K jejich pravosti jsem zaznamenal pouze následující vyjádření ze strany MŠMT (z Hospodářských novin z 11.6., v článku "Stát a strana: boj o tajné smlouvy"):
"Nejsme sice během pár hodin schopni zjistit, zdali je všech 170 stran autentických. Nicméně z toho, co jsme viděli, soudíme, že jde o kompiláty některých z prvotních verzí smluv doplněné naskenovanými podpisy," prohlásila mluvčí a poradkyně ministra školství Vladimíra Al Malikiová. "Konečná podoba smluv se může lišit třeba jen formulacemi či slovíčky, ale ty hrají roli," dodala.
Jaké politické krize má řešit Nikita?
Zřejmě nejúdernější pasáží z materiálů, zveřejněných Balbínovou poetickou stranou, je následující text z přílohy H k první dílčí smlouvě z ledna t.r. (citováno ve verzi zveřejněné Balbínovou stranou):
22 Krizový tým Nikita(NIK)o řešení technický krizí
o tým bude sestaven z odborníků ze všech vrstev technických řešení s dostatečným
rozhledem a s odpovídající reakční dobou a technickým vybavením
o řešení "politických" krizí
řešení problémů v komunikaci např. s oblastními dodavateli, s médii, apod.
o přispívání "netypickými" informacemi do CISu
využití získaných informací ke zpětné vazbě pro řízení projektu.
Ještě v průběhu pondělního večera dorazila do mé emailové schránky tisková zpráva vydaná generálním dodavatelem (nikoli současně ministerstvem). K ní byly přiloženy dva soubory ve formátu MS Wordu, z nichž jeden (nazvaný Pravda1.rtf) obsahoval identický text jaký rozdávali na disketě Balbínovci (včetně chybějících odtrhů a chybějícího "ch" v prvním odtrhu). Ve druhém souboru, pojmenovaném Vynatek_LEZ1.rtf, byl obsahově stejný text, pouze s doplněním chybějících odtrhů a včetně chybějícího "ch" v prvním odtrhu. Přiznám se, že jsem nepochopil co tím chtěl autor říci či dokumentovat.
Pokud jde o samotnou tiskovou zprávu ACOLu z pondělka, ta se k charakteru řešených "politických krizí" vyjadřuje následovně:
"Vytržením části textace přílohy této smlouvy samozřejmě vznikl dojem, že krizový tým Generálního dodavatele má přinejmenším stejné schopnosti jako CIA a čečenská mafie dohromady. Skandalizovaný termín "politická krize" znamená pouze to, že tým "hasičů" řeší případné problémy v komunikaci, například s Oblastními manažery, Lokálními dodavateli, s místními médii a podobně.
Nejlepším způsobem, jak čelit spekulacím o podstatě "politických krizí", které má tým Nikita řešit, bude plné zveřejnění příslušných materiálů o úkolech této skupiny. Mne osobně, možná na rozdíl od Balbínovců, vadí také předposlední bod: přispívání "netypickými" informacemi do CIS. Copak to asi bude? Něco ve stylu obsahu souborů Pravda1.rtf a Vynatek1_LEZ.rtf?
Bude šmírování?
Materiály, zveřejněné Balbínovci, obsahují také část popisující bezpečnostní řešení. Ta v úvodu popisuje tříúrovňovou strukturu firewallů, a dovolím si konstatovat, že technické řešení odpovídá tomu, co generální dodavatel prezentoval novinářům již v březnu (popisoval jsem jej v tomto článku). Ve zveřejněných materiálech jsou však také následující pasáže, naznačující způsob využití těchto firewallů:
Toto softwarové řešení zajistí monitorování veškerého provozu v rámci prezentační vrstvy, zajistí analýzu tohoto provozu a následné vyhodnocení tohoto provozu na případné nebezpečí, které by mohlo tímto provozem hrozit.
Dále pomocí technologie "Packet Sniffing" umožní analýzu na úrovni jednotlivých paketů a umožní identifikaci možných hackerských útoků.
Implementována technologie "Word Scanning" umožňuje monitorování výskytu klíčových slov v paketech a provádění následných akcí na paketech s výskytem klíčových slov.
Opět na rozdíl od Balbínovců celému textu nerozumím tak, že by někdo explicitně říkal že chce, resp. hodlá monitorovat něčí komunikaci za účelem jejího "šmírování" (tj. provádět kontrolu obsahu). Rozumím tomu tak, že jde především o popis toho, co dokáže platforma Computer Associates eTrust Intrusion Detection (dokumentace), která by měla být nasazena pro potřeby zajištění před neoprávněným přístupem zvenčí.
Samozřejmě, toto řešení skýtá technickou možnost monitorování obsahu i za jiným účelem, než je ochrana proti neoprávněnému přístupu zvenčí. Osobně se ale příliš neobávám, že by někdo chtěl tímto mechanismem masově monitorovat obsah komunikace uživatelů školského intranetu. Kdyby něco takového chtěl dělat, měl by jako na dlani obsah jejich poštovních schránek (předpokládám že správa poštovních serverů bude řešena centrálně). A z druhé strany, překonat tento mechanismus a zajistit si vyšší úroveň soukromí je poměrně snadné (od přenosu zaheslovaných souborů, přes zabezpečené přenosové protokoly až např. po šifrování s využitím digitálních certifikátů).
Co mne osobně znepokojuje více, je následující pasáž z oddílu týkajícího se bezpečnostního řešení:
Firewall první úrovně, který bude realizován na bázi firewall-u Cisco PIX, bude zajišťovat rozhraní mezi sítí Internet a privátní IP sítí Školského Intranetu. V tomto místě bude proveden překlad veřejných IP adres na adresy privátní a bude zajištěno první omezení provozu mezi jednotlivými částmi Školského intranetu, Internetu a CIS.
Při již zmiňované prezentaci v březnu (viz tento článek) jsem byl spolu s ostatními novináři ujišťován, že centrální firewall nebude zavádět žádná omezení provozu (neboli toho, kam se smí kdo dostat z intranetu do veřejného Internetu), s tím že veškerá případná omezení budou realizována na úrovni škol, v rámci školního firewallu. Později jsem ale z různých úst (včetně úst ministra Zemana) slýchal že na centrálním firewallu nějaká omezení provozu budou. Zde je to ostatně černé na bílém.
Jaká tato omezení budou? Kam bude povolen přístup a kam nebude? Komu? A kdo o tom bude rozhodovat? Ministerský úředník? Nebo osvícený zaměstnanec jakési Obecně prospěšné společnosti?
Obavu mám také z jiné věci - z možnosti, že provozovatelé školského intranetu budou využívat existující mechanismy (v rámci firewallů) ke shromažďování a vyhodnocování informací o chování uživatelů (anonymně), a budou je prodávat ve formě marketingových studií. Ostatně, o této možnosti hovořil na květnovém semináři na půdě poslanecké sněmovny i poradce MŠMT pan Rainiš - v rámci popisu toho, co by mohla zajišťovat obecně prospěšná společnost, zajišťující "řízenou komercionalizaci Internetu".
Materiály, zveřejněné Albínovou poetickou stranou, obsahují také konkrétní ujednání o cenách - např. o cenách za SKP, o výši jednorázového poplatku za zprovoznění každého SKP, za instalaci pasivního portu v síti LAN, i mnohé další podrobnosti. K rozboru těchto čísel se vrátím v pokračování tohoto článku.