Analýza stavu a požadavků na IT ve školských organizacích zřizovaných HMP (2025)

Dne 9. 6. 2025 škola obdržela výzvu k součinnosti vzhledem k analýza stavu a požadavků na IT techniku. Po otevření jsem byl překvapen. E-mail obsahoval krátký text o tom, že nás MHMP, konkrétně pan Mgr. Pavel Dvořák, specialista koncepce školství a dalšího vzdělávání, žádá, abychom vyplnili několik tabulek týkajících se stavu IT techniky na škole. Zpočátku mi to přišlo jako klasický výkaz, který posíláme jednou za několik let pro přehled kolik máme stolních počítačů, notebooků, serverů apod. Na tento sumarizační dokument jsem si za ty roky již zvykl a chápu, že je potřebný.

To, co dorazilo tentokrát mi trochu vyrazilo dech. Zpráva obsahovala pět tabulek, průvodní dopis a návod na vyplnění. První skutečnost, která mě znepokojila byly dvě tabulky pro NAS a pro úložné systémy. Úložný systém a NAS jsem dosud považoval za ekvivalenty. Proč jsou zvlášť zatím nevím. Až se to dozvím, provedu upgrade :-). Nicméně hlavním červeným majákem tu bylo uvedení všech detailů každého stroje, který má co dělat s IT (desktopové PC, notebooky, servery, síťové prvky, NASky a tedy ony úložné systémy) o kterých budu psát dále. Nikoho třeba nezajímají tiskárny, kopírky, scannery, projektory, sluchátka či reproduktory (když už jsme u toho plánu obnovy, proč tedy není kompletní?).

Mnohem zajímavější ale bylo, že ve vzorových tabulkách jsou kolonky (a vzorový zápis) pro sériová čísla, data pořízení, data konce záruky, výrobce, stav zda je v provozu či na skladě nebo určen k vyřazení, model, IP adresa, CPU, RAM, rodina OS, verze OS a mnoho dalších jako pozice a výška.

Nevím, kterému správci sítě by se líbilo předávat svou kompletní dokumentaci o topologii sítě a de facto o jejích silných a slabých stránkách komukoliv, byť úřadu.

Co na to zákony?

Zákon č. 181/2014 Sb., o kybernetické bezpečnosti

Nebudu jej citovat úplně přesně, ale dovolím si několik poznatků:

Škola (zřizovaná hlavním městem) „spravuje významný informační systém“ (§ 2 písm. d) a musí vést bezpečnostní dokumentaci a chránit ji před zpřístupněním (§ 4 odst. 2). Poskytnutí části této dokumentace (např. úplného IP plánu) třetím osobám, které nejsou přímo zapojeny do zajištění bezpečnosti systému

NÚKIB k tomu vydal metodiku „Doporučení k (ne)poskytování informací v oblasti kybernetické bezpečnosti“ (verze 2.1) – doporučuje omezit sdílení detailních technických údajů; pokud je potřeba informace předat, pak jen v nejnutnějším rozsahu nebo v agregované podobě.

Zákon č. 106/1999 Sb., o svobodném přístupu k informacím

I když magistrát není „cizí veřejnost“, stále jde o povinný subjekt ve smyslu § 2. Škola může omezit poskytnutí informace, pokud by její zveřejnění „významně nebo přímo ohrozilo účinnost bezpečnostního opatření“ (§ 11 odst. 1 písm. d) nebo „ochranu kritické infrastruktury“ (písm. f). To se typicky vztahuje na mapu vnitřní sítě a adresaci.

Prakticky to znamená, že lze odmítnout předat data v detailu, který by umožnil útočníkovi rekonstruovat topologii sítě, a současně nabídnout úřadu méně podrobnou „odštěpenou“ verzi (např. počty zařízení podle VLAN, bez konkrétních IP).

Když jsem se chtěl se zástupcem, který vypadá být odpovědný za tuto akci domluvit na nějaké agregované verzi dokumentu, která by měla stejnou vypovídající hodnotu, ale bez uvedených ohrožujících detailů, nepodařilo se mi se s ním spojit. Uvidíme, třeba se mi to ještě povede.

Poslední třešnička na dortu

Jak jsem psal, e-mail dorazil 9. 6. 2025 a termín, do kdy máme tato zařízení (kterých je přes 400) podrobit takovéto konkrétní analýze a výslechu je 31. 8. 2025.

Toto není práce na dva dny, možná ani na dva týdny a to si zvolili čas prázdnin a dovolených. Nevím, kdo ani jak svou práci dělá, ale rád bych s ním aspoň mluvil.