Ministerstvo vnitra a Česká pošta podle bezpečnostní firmy 4 Safety dostatečně nezajistily bezpečnost datových schránek. Technický ředitel společnosti Miroslav Ludvík v úterý novinářům řekl, že existují tisíce lidí, kteří mohou získat přístupové údaje majitelů schránek a jejich jménem pak posílat úřadům dokumenty. Radek Smolík, který se pro ministerstvo vnitra stará o bezpečnost systému datových stánek, to důrazně odmítá.

Společnost 4 Safety tvrdí, že například správci sítě poskytovatelů internetu nebo administrátoři firemních sítí dokážou podvrhnout uživateli datových schránek falešný certifikát, který si musí nainstalovat pro aktivaci schránky. "Ministerstvo vnitra potažmo Česká pošta používá takzvané nedůvěryhodné certifikáty a není schopno uživateli zajistit bezpečnou cestu z počítače až do datové schránky," řekl Ludvík.

U již zaregistrovaných uživatelů pak prý dokážou administrátoři přesměrovat majitele schránky z webu ministerstva na svoje internetové stránky a získat přístupová data. Majitel schránky tak následně není jediným člověkem, který může číst došlé zprávy nebo odesílat dokumenty. Vetřelec může podle Ludvíka například také zastavit odeslání zprávy a vyměnit ji za jinou. "Například stopne daňové přiznání dříve, než dojde na daňový úřad," uvedl.

"Buď nebyla provedena bezpečnostní analýza a řádný test aplikace, nebo byl proveden špatně, nebo na jeho výsledek nebyl brán zřetel," odůvodnil údajné nedostatečné zabezpečení datových schránek Ludvík. Dodal, že pokud by potenciální narušitel schránky postupoval chytře, není skoro možné ho vypátrat. Zcizení jména a hesla uživatele schránky v úterý technický ředitel bezpečnostní firmy demonstroval na tiskové konferenci.

Podle Smolíka je takovýto postup nemožný. Podvrhnout falešný certifikát lze podle něj pouze někomu, kdo nedodržel postup, jakým se má certifikát instalovat. " Uživatel by musel dvakrát ignorovat výzvu ke kontrole certifikátu," řekl ČTK. Naopak ti, kteří se nespokojí ani s kontrolou přes počítač, mohou podle něj zajít na pobočky České pošty a nechat si nahrát certifikát ještě bezpečněji.

Po instalaci certifikátu pak údajně žádný útočník nemůže certifikát vyměnit. Přesměrování uživatele na jinou webovou stránku pak zbrzdí výrazné varování, které se díky certifikátu majiteli schránky na počítači objeví. Sám uživatel si pak musí všimnout, že se mu internetová stránka změnila. Česká pošta se podle své mluvčí Marty Selicharové se slovy bezpečnostního experta ministerstva vnitra ztotožňuje.

Podle Smolíka neexistuje dokonale bezpečný systém. Kromě povinných certifikátů, které zabezpečují systém datových schránek, by proto prý bylo lepší, kdyby si ještě majitelé schránek pořídili certifikát soukromý. "Bylo možná chybné, že toto opatření poslanci neuzákonili," uvedl bezpečnostní expert.

Jediným řešením problému podvrhů certifikátů je podle bezpečnostní firmy vyměnit certifikáty provozované Českou poštou za certifikáty, které jsou z mezinárodního hlediska bezpečné. Stát by to podle Ludvíka stálo zhruba 10.000 korun ročně. Bylo by však nutné změnit legislativu.

Ministerstvo vnitra v polovině listopadu zrušilo přístup do datových schránek přes informační web kvůli takzvanému phishingu, tedy snahám podvodně od uživatelů vylákat přihlašovací údaje. Chce také zakročit proti vlastníkům internetových stránek podobajících se přístupovému portálu k datovým schránkám.

Podle 4 Safety také ministerstvo v pondělí či úterý pozměnilo přihlašování do datových schránek. "Přidali jeden bezpečnostní prvek, který má zabraňovat automatizovaným útokům zkoušení jména a hesla, ale nezabraňuje předvedeným útokům," uvedl Ludvík.