Hlavní obsah

Systém plný chyb, nezaplatil bych za to. Experti cupují registraci

Foto: Shutterstock.com

Přes 100 tisíc lidí se registrovalo do systému na očkování, podle vládního zmocněnce Dzurilly je to jasný důkaz, že rezervace funguje. Podle oslovených IT odborníků šlo o jednoduchou službu, která má řadu nedodělků. (Ilustrační snímek)

Rezervace na očkování se spustily, aniž by se systém dostatečně odzkoušel. Podle oslovených IT expertů je systém děravý - prošel například mladík i fiktivní 121letý stařík. Vládní zmocněnec se dušuje, že opravy již probíhají.

Článek

Páteční spuštění online rezervačního systému na očkování proti covidu-19 doprovázely problémy, které podle oslovených IT odborníků mají společný důvod – systém nebyl dostatečně otestovaný.

Na jedné straně se proto objednávání seniorů na vakcínu přes internet zahltilo a nezvládalo včas rozesílat SMS zprávy s ověřovacími kódy, na druhé straně to znamenalo, že sytém nebyl dostatečně zabezpečený a 24letému studentu se podařilo obejít kontrolu a jak sám říká, „dostal se prakticky až před doktora s vakcínou“.

„Věřím, že na to byl tlak, ale takové základní věci měly být vyřešené. Já, kdybych měl být klientem, tak bych za tohle nezaplatil,“ shrnuje svůj pocit z rezervačního formuláře František Pernička, softwarový architekt ve společnosti Sator IT Consulting, který objevil hned několik aspektů systému, které označuje za bezpečnostní nedostatek. Se státními zakázkami má zkušenost, firma Sator IT vytvořila systém pro nalezení volných kapacit pro testování na covid-19.

„Jednoznačně to podcenili,“ shrnuje svůj dojem z prvního dne Jiří Bartoš, penetrační tester, který zkoumá to, jestli jdou internetové systémy napadnout.

Vládní zmocněnec pro IT a ředitel Národní agentury pro komunikační a informační technologie Vladimír Dzurilla reaguje, že hlavní cíl bylo registrovat a za první den systém hlásí přes sto tisíc zapsaných lidí.

„Jelo se do posledního dne. Rozhodně to ale nebylo, že bychom dva týdny seděli a testovali aplikaci, protože jsme dva týdny neměli,“ říká vládní zmocněnec s tím, že dostali za úkol spustit rezervace 15. ledna a tomu se muselo vše podřídit.

Problémy a nedostatky proto musely jít stranou a projevily se hned v prvních okamžicích po pátečním spuštění systému.

Nedoručené SMS

K úspěšné registraci na očkování je třeba zadat hned v úvodu kontrolní kód, který má přijít na mobilní telefon v podobě SMS zprávy. Už tady ale řada uživatelů hlásila problémy. Posílání SMS se zadrhávalo.

Podle softwarového architekta Perničky je v základním nastavení u podobných služeb limit 20 SMS zpráv za vteřinu. Podle něj i testera Bartoše by právě zkoušení systému před spouštěním rychle ukázalo, že pro službu, která má obsloužit velké množství seniorů, to není dostatečná kapacita.

Dzurilla ovšem reaguje, že se kapacita podařila rychle navýšit a SMS už chodí na čas. „Rozhodně jsme nechtěli, aby tam byla slabá propustnost SMS, všichni jsme zareagovali rychle a operátorům děkuji, že to promptně zvýšili a teď to jede na vteřiny,“ tvrdí vládní zmocněnec pro IT.

Zaregistrovaný mladík

Ukázkou toho, že při vývoji rezervačního systému se autoři soustředili na to, aby se mohl zaregistrovat senior, ale už se nevěnovala dostatečná pozornost různým bezpečnostním nedostatkům, je i příběh 24letého studenta Filipa Šedivého. Ten v pátek zveřejnil, že se mu přes bezpečnostní skulinu podařilo zaregistrovat.

„Kdybych tu chybu nezveřejnil, tak se můžu dostat až přímo před doktora, který by mi to měl píchnout a pak už by to bylo na jeho posouzení, jestli by mi to píchl nebo by mě odmítl,“ řekl Seznam Zprávám Filip Šedivý.

Zjednodušeně zjistil, že kontaktní formulář do systému se ověřuje na straně uživatele a server na straně systému ho už znovu nekontroluje. Student tak upravil odpověď, která odcházela z jeho počítače do systému a ten ji přijal a zaregistroval ho.

„Ve škole se učíme aplikace zabezpečovat. A tohle je hodně laická chyba, tohle by se vůbec nemělo dít,“ hodnotí Šedivý a souhlasí s ním i další oslovení odborníci.

„Už mi psali kolegové, že je to odstraněno,“ řekl k tomuto problému vládní zmocněnec Dzurilla.

Přehled volných kapacit

Ve finální fázi rezervace, ve chvíli, kdy už má uživatel druhý PIN, si může vybrat z volných termínů v očkovacím centru. Ve skutečnosti jde ale o odkaz na internetové stránky, který je volně dostupný i bez registrace.

Reálně se tak lze podívat na volné kapacity v očkovacích centrech, aniž by bylo potřeba procházet rezervací. Všiml si toho i Pernička. „Během chvilinky můžu udělat jednoduchou aplikaci, která vám pošle e-mail, že se uvolnilo místo v nějakém očkovacím centru. Myslím si, že by to měl poskytovat stát. Že vám přijde SMS, že se uvolnilo místo,“ tvrdí softwarový architekt.

Nakonec ještě během pátku zveřejnila společnost Sator IT na svých stránkách covtest.cz přehled volných kapacit v jednotlivých očkovacích centrech.

I Vladimír Dzurilla ovšem slibuje, že stát bude na rezervační systém nabalovat další služby. „Teď budeme dál zlepšovat, přijdeme s dalšími věcmi. Dostali jsme deadline, ten deadline jsme museli splnit a museli jsme vybrat funkce, které spustíme,“ řekl.

Zahraniční telefony a fiktivní rodná čísla

Rezervační systém, jak zjistil František Pernička, nemá ani problém se zahraničními telefonními čísly. To ale podle Dzurilly byl záměr. „Pak bychom zase dostali, že si nedokážeme uvědomit, kolik lidí dělá v Rakousku nebo Německu. Takže tam bylo padesát na padesát, že budeme za idioty - a vyšlo to,“ okomentoval výtku vládní zmocněnec pro IT.

Stejně tak Dzurilla nevidí problém ani v tom, že systému během registrace není podezřelé fiktivní rodné číslo 121letého člověka. Což vyzkoušel právě Pernička. Podle zmocněnce je třeba pustit člověka nad 80 let a další kontrola probíhá později během agendy s očkováním. „Ověřit, že to rodné číslo je platný pojištěnec v Česku, to není složité. Jsou na to běžně služby,“ říká naopak Pernička.

Doporučované