STPI neboli Soft Target Protection Institute je institut zabývající se rozvojem bezpečnosti měkkých cílů - míst, organizací či akcí s přítomností většího počtu osob a současně absencí či nízkou úrovní zabezpečení proti násilným útokům. Institut tvoří bezpečnostní odborníci s mnohaletou praxí s praktickým výkonem bezpečnosti pro mimořádně rizikové, mezinárodní subjekty. Strategie, taktika, metody i výcviky se zaměřují na lidský faktor při rozvoji bezpečnosti měkkých cílů proti násilným útokům. Institut se zaměřuje na krizový management, bezpečnostní management, bezpečnostní strategie vč. analýz hrozeb a rizik a monitoring a analýzy útoků na měkké cíle v Evropě.
Soft Targets Protection Institute zpracoval analýzu dopadů návrhu novely zákona o registru smluv u vybraných podniků se zaměřením na bezpečnost. V průběhu analýzy se projevily také nedostatky současného znění zákona. Přestože je bezpečnost označována za jednu z priorit naší vlády, tento zákon, i jeho novela, jsou v současném znění v rozporu s touto prioritou. V rámci dokumentu jsme rozebrali princip bezpečnostního rizika a možné dopady, tak jak je vidíme za Soft Targets Protection Institute. Na jedenácti podnicích jsme ukázali, v čem vidíme tato bezpečnostní rizika a ohrožení. U každé firmy jsme na základě zpráv NKÚ a BIS došli k závěru, že kontrola zacházení s veřejnými prostředky by měla existovat. Není možné všechny senzitivní informace utajit, ale z bezpečnostního hlediska vnímáme potřebu, aby vznikla metodika hodnocení smluv z pohledu bezpečnosti, která by dokázala jednoznačně identifikovat tyto sensitivní informace, které v případě zveřejnění zvýší bezpečnostní riziko v podniku.
Analytické shrnutí
Cílem této analýzy je posoudit dopad návrhu novely zákona o registru smluv u vybraných podniků na ochranu strategických státních zájmů, obyvatelstva, kritické infrastruktury a měkkých cílů. Samotný zákon, v rámci zajištění transparentnosti smluvních vztahů ve veřejném sektoru, vnímáme jako žádoucí, a to vzhledem k níže zmíněným kauzám a nutným kontrolám ze strany Nejvyššího kontrolního úřadu (dále jen “NKÚ”) a především jejich výsledků. Nicméně na základě analýz jednotlivých podniků vnímáme potřebu nastavit takovou právní úpravu v zákoně o registru smluv, která ošetří nezveřejnění informací, které by mohly být zneužity ke snížení nebo ohrožení bezpečnosti občanů nebo strategických státních zájmů. S ohledem na možnou zneužitelnost povinnosti zveřejňovat všechny smlouvy i státem vlastněných společností považujeme za nezbytné vytvoření takových mechanismů, které by rizika s tím spojená minimalizovala, anebo zcela vyloučila.
V programovém prohlášení současné vlády Andreje Babiše ze dne 8. ledna 2018 je zdůrazněna potřeba větší bezpečnosti se zaměřením na vnitřní bezpečnost. Prohlášení se mimo jiné dotýká i kybernetických hrozeb. Dle naší analýzy však návrh novely zákona otázky týkající se vnitřní bezpečnosti České republiky zcela opomíjí.
Domníváme se, že je důležité vytvořit metodiku hodnocení smluv z pohledu bezpečnosti, která by dokázala jednoznačně identifikovat sensitivní informace, které v případě jejich zveřejnění zvýší bezpečnostní riziko. Tato metodika by byla zaměřena jak na smlouvy, které jsou na první pohled bezpečnostního charakteru (např. kontrakt s bezpečnostní agenturou), ale také na smlouvy, které by mohly být potenciálně zneužity např. v rámci kybernetického útoku.
V návaznosti na tuto metodiku by byla potřebná nezávislá autorita, která by měla oprávnění posuzovat smlouvy a informace v nich a také měla moc rozhodovat.
Metodologie
V souvislosti s návrhem novely zákona o registru smluv jsme v rámci analýzy vybrali jedenáct státních podniků, u kterých jsme rozebrali problematiku bezpečnosti. Zákon o registru smluv, ani jeho novela, neřeší otázku bezpečnosti, proto je cílem tohoto dokumentu na vybraných společnostech ukázat, že zveřejňování některých informací představuje bezpečnostní riziko.
Informace o těchto jedenácti podnicích jsme shromáždili z otevřených zdrojů, veřejně přístupných zpráv NKÚ a Bezpečnostní informační služby (dále jen “BIS”).
Pravidla stanovená zákonem o registru smluv nejsou čistě jen věcí smluvních stran, ale jsou součástí veřejného pořádku a veřejného zájmu na zajištění transparentnosti smluvních vztahů ve veřejném sektoru1. Jedná se tedy o jakousi veřejnou kontrolu hospodaření s veřejnými financemi a majetkem. Proto jsme do analýzy zahrnuli i podniky, které byly v minulosti kontrolovány NKÚ a prokazatelně jednaly nehospodárně, netransparentně, popř. se kolem jejich aktivit shromažďovaly vlivové a nátlakové skupiny (viz podnik číslo 2). Na jejich rozboru bychom chtěli ukázat, že je důležitá nezávislá, avšak institucionálně ukotvená kontrola hospodaření s veřejnými prostředky, s nutností zavedení mechanismu určitých výjimek pro zveřejňování informací dotýkajících se bezpečnostních otázek.
V metodice výběru státních podniků jsme se zaměřili na několik parametrů, a to, zda jsou uvedené podniky součástí kritické infrastruktury, jaké mohou být konkrétní dopady zveřejněných informací na bezpečnost podniku (bezpečnost osob a majetku) a především, zda ovlivní i bezpečnost a strategické zájmy České republiky a jejího obyvatelstva, ohrožení hospodářské činnosti a ohrožení ekonomických zájmů České republiky i jejího obyvatelstva.
Z této analýzy jsme vyřadili zdravotnická zařízení, byť jsou z našeho pohledu velmi kritická, a to z toho důvodu, že by si zasloužila širší rozpracování a samostatnou analýzu (kybernetické útoky, fyzické ohrožení pacientů apod.).
V rámci dokumentu budeme často pracovat s pojmy kritická infrastruktura (dále jen „KI“) a ochrana obyvatelstva. Kritickou infrastrukturou (ve smyslu zákona č. 240/2000 Sb.) rozumíme “prvek kritické infrastruktury nebo systém prvků kritické infrastruktury, jehož narušení by mělo závažný dopad na bezpečnost státu, zabezpečení základních životních potřeb obyvatelstva, zdraví osob nebo ekonomiku státu. Provozovatelem prvků KI jsou státní instituce nebo soukromé subjekty.”
“Ochrana obyvatelstva představuje plnění úkolů v oblasti plánování, organizování a výkonu činností za účelem předcházení vzniku, zajištění připravenosti na mimořádné události a krizové stavy a jejich řešení; ochranou obyvatelstva je dále plnění úkolů civilní obrany. Jedná se tedy o plnění úkolů v souvislosti s ochranou života, zdraví, majetku a životního prostředí při mimořádných událostech a krizových situacích jak nevojenského, tak vojenského charakteru.”
Při rozboru vybraných podniků se zaměřujeme i na to, jak může zveřejnění některých smluv ohrozit právě tyto dvě oblasti – tedy KI a ochranu obyvatelstva. Dalším důsledkem může být mimo jiné i zvýšení běžné kriminality, jako jsou krádeže, sabotáže, vandalismus, vloupání, korupce apod.
Analýza
Pro některé oblasti jsou v současném znění zákona stanoveny výjimky. Touto analýzou upozorňujeme, že bezpečnost je další oblast, ve které by informace neměly podléhat povinnosti neomezeného a neselektovaného plošného zveřejňování.
Upozorňujeme na to, že pokud budou veřejně dostupné informace o podrobnostech, jak je podnik zabezpečen a bude přesně popsáno, v jakém rozsahu je tato ochrana zajišťována, může to vést k přímému ohrožení strategických zájmů České republiky.
Pokud bude přijata navrhovaná novela zákona o registru smluv, dojde ke zveřejnění všech smluv státem vlastněných korporací bez jakéhokoli procesu vyřazování bezpečnostních témat, např. jak je daná firma zabezpečena, což znamená závažnou bezpečnostní hrozbu.
Z elementárního hlediska pak bude možné jednoduše zjistit, které subjekty takové zabezpečení vůbec mají, a případně v jakém rozsahu. Této problematice se věnujeme v následujícím textu.
Povinnost zveřejňovat smlouvy se týká kromě smluv samotných i dílčích objednávek nebo příloh ke smlouvám. Jsou tak zpřístupněny všechny informace o konkrétní zakázce. Mezi informace, které si může kdokoli zjistit z veřejného portálu registru smluv, patří například, jak je v dané právnické osobě s majetkovou účastí státu prováděna fyzická ostraha, v jakém konkrétním časovém rozsahu, v jakém konkrétním počtu osob a s použitím jaké techniky. Současně je viditelný rozsah povinností a nastavení konkrétních režimových opatření (např. příjezdy zásahových skupin, odkud, jejich reakční časy atp.). Mimo jsou zjistitelné informace o tom, jaké jsou nainstalovány zabezpečovací systémy a od jakého dodavatele.
Cílem tohoto dokumentu není vytvořit podklad pro udělení výjimky celému podniku, ale jen relevantní části jeho činnosti. Nezkoumáme problematiku z pohledu konkurenceschopnosti, ale z pohledu ohrožení daného podniku a jeho dopady na bezpečnost České republiky, její strategické státní zájmy a obyvatelstvo.
Princip rizika a možné dopady
Z pohledu zákona o registru smluv je povinností zveřejnit smlouvy, pokud jednou ze stran je státní podnik, nebo právnická osoba s většinovou majetkovou účastí státu nebo samosprávného celku. To způsobí stav, že veškeré informace budou dostupné komukoli. V současném právním prostředí je běžné a dokonce vyžadované, aby všechny důležité informace byly napsány do smlouvy. Pokud dvě strany spolu uzavírají právní vztah, do smlouvy se uvádí všechny informace týkající se daného předmětu smlouvy, a to v co největších detailech, aby obě strany věděly, jaká jsou jejich práva a povinnosti, tj. co je předmětem smlouvy, v jakých krocích bude plnění realizováno, v jakém časovém rozsahu, jaká bude cena díla apod. Nutno podotknout, že povinnost zveřejňování se týká všech součástí smlouvy, tedy mimo jiné také příloh či dílčích objednávek, je-li smlouva rámcová.
Pokud vezmeme v úvahu například smlouvy s outsourcovanými bezpečnostními agenturami (kde jednou ze stran je státní podnik, nebo právnická osoba s většinovou majetkovou účastí státu nebo samosprávného celku), může při zveřejnění takové smlouvy kdokoli získat podrobnosti o fyzické ostraze, o režimových opatřeních i o systémech technické ochrany. Kdokoliv pak může dohledat informace o tom, jaký konkrétní zabezpečovací systém je nainstalován, od kterého konkrétního dodavatele a v jakém množství. Návrh novely zákona tak případnému zloději nebo teroristovi dopředu zpřístupňuje informace, jaké zařízení může očekávat a na co se připravit. V případě fyzické ostrahy bude dostupné, jaké jsou povinnosti bezpečnostní agentury, co a v jakém rozsahu je střeženo a za jakou fakturační sazbu. Dále bude viditelný rozsah povinností a nastavení konkrétních režimových opatření (např. příjezdy zásahových skupin, odkud, jejich reakční časy atp.). U režimových opatření by mohl být problém s procesy a nastavenými pravidly v rámci podniku.
Tento problém se ale netýká jen smluv, které již na první pohled obsahují informace ohledně bezpečnosti. Některé informace mají potenciál být zneužity v rámci kybernetických útoků. Díky zveřejnění smluv bude zřejmé, jaké informační systémy státní podniky / právnické osoby s většinovou majetkovou účastí státu nebo samosprávného celku používají a na jakých hardwarových zařízeních. V případě útoku hackera je potom napadení informačního systému mnohonásobně snazší, což vede k významnému bezpečnostnímu riziku.
Smyslem a účelem zákona o registru smluv je ochrana veřejného majetku a kontrola nakládání s ním. Tento účel je velmi prospěšný pro společnost a je důležité, aby občané mohli sledovat, jak se hospodaří s veřejnými prostředky. Smyslem a účelem bezpečnostních opatření je ochránit aktiva, která jsou pro podnik důležitá. V současném návrhu novely zákona o registru smluv jsou tyto dva zájmy v konfliktu. Není možné zajistit bezpečnost a zároveň naplnit požadavky na zveřejňování smluv pouze s odstraněním obchodního tajemství. Existuje velké množství oblastí, u kterých může dojít ke zvýšení bezpečnostního rizika.
Analýza vybraných podniků
Do analýzy jsme zahrnuli jedenáct podniků. Každý podnik je rozebrán z pohledu vlastnictví, kdo je majitelem a z kolika procent. Další část je věnovaná bezpečnostní problematice, kdy jsou vypsány možné bezpečnostní hrozby, které by mohly nastat v případě zveřejňování všech smluv. Vždy jako poslední část je výtah ze zpráv NKÚ a BIS ohledně kontrol těchto podniků. Účelem těchto informací je ukázat, že je důležitá, přímo nutná, kontrola podniků od nezávislého kontrolního orgánu. Tímto chceme upozornit na to, že není možné udělit výjimku celému podniku a ani to není naším záměrem, jak bylo zmiňováno na začátku tohoto dokumentu. Chceme ukázat, že ochrana bezpečí není záminka pro udělení výjimky celému podniku, naopak by to mohlo být v přímém rozporu s cílem zákona o registru smluv.
1. České dráhy, a.s. (+ Správa železniční dopravní cesty, o.s. - akciová společnost oddělená od ČD v roce 2003)
České dráhy, a.s., jsou národní železniční společností a zároveň dominantním dopravcem v osobní a nákladní železniční dopravě (ČD Cargo, a.s.). Majitelem společnosti je výhradně stát skrze Ministerstvo dopravy ČR. Skupina České dráhy zaměstnává přes 23,5 tis. zaměstnanců (České dráhy, a.s., přes 15,5 tis. zaměstnanců), a tak se stává jedním z největších zaměstnavatelů i podniků v České republice.
Právě proto, že je dominantním dopravcem zajišťujícím mezinárodní spoje jak v nákladní, tak osobní přepravě, čelí několika bezpečnostním rizikům, a to jak od skupin zaměřující se na teroristické útoky se záměrem ohrožení života osob (taktéž ekonomiku skrze dopravní síť ČR), tak na skupiny, které se zaměřují primárně na narušení ekonomických strategických zájmů ČR.
Již v minulosti proběhly teroristické útoky či přípravy na ně s cílem ohrozit železniční dopravu. Jako příklad lze uvést útoky na vlaky v Madridu v roce 2004, překažený útok na vlak na trati Brusel – Paříž v roce 2015, hrozby německé železnici v loňském roce. Teroristické útoky na osobní železniční dopravu mimo jiné hrozí od separatistické islamistické skupiny Riyad-us Saliheen (organizace odpřisáhla věrnost Kavkazskému emirátu, následně Islámskému státu), od separatistické islamistické skupiny Lashkar-e-Taiba a v neposlední řadě pak od Al-Kájdy. Ta skrze magazín Inspire k útokům na vlakovou dopravu dokonce vyzývá.
První případ teroristického útoku již zažila i Česká republika. Úspěšným byl pokus zaměstnance české železniční osobní přepravy o vykolejení vlaku (červen a červenec 2017) ve snaze vyvolat ve společnosti nenávist vůči Islámu a migrační krizi. Pachatel je obviněn z terorismu.
Tuto oblast je nutné tedy řešit z pohledu ochrany obyvatelstva.
Zaměříme-li se na nákladní vlakovou dopravu, nejedná se pouze o ohrožení ekonomických nebo dopravních zájmů, ale též o ohrožení vojenských zájmů dané země. Příkladem může být plánovaný útok na nákladní vlak přepravující vojenský materiál, který se měl uskutečnit v České republice v roce 2015, a to u chuchelského železničního mostu.
Z výše zmíněných bezpečnostních hrozeb vyplývá nutnost zajištění nejen preventivních bezpečnostních služeb, ale i bezpečnostních technologií. Právě znalost a dostupnost detailů tohoto zabezpečení, počet a parametry zveřejněné skrze zákon o registru smluv může ohrozit samotné zabezpečení.
České dráhy v současné době spolupracují s bezpečnostní agenturou na zajištění bezpečnosti na vybraných nádražích a vlakových spojích. Zveřejnění podrobností o nastavení jejich činnosti by mohly vést nejenom k možnosti terorismu, ale i k prudkému nárůstu běžné kriminality, zejména majetkové.
Co se týče transparentnosti fungování společnosti České dráhy, a.s., pak konstatujeme, že tato společnost je i přes dotace státu v současné době ve ztrátách. Provedená kontrola NKÚ upozornila na netransparentnost a nehospodárnost Českých drah, dotace poskytované na vlaky bez následné kontroly využití poskytnutých dotací. V listopadu 2017 pak NKÚ měla kontrolovat Ministerstvo dopravy a České dráhy kvůli účelnosti, hospodárnosti a efektivnosti podpory poskytované železničním dopravcům. Z hlediska veřejné kontroly se České dráhy vyhnuly povinnosti zveřejňovat své smlouvy na webu díky zákonem ukotvené výjimce. Tento krok snížil možnost veřejné kontroly hospodaření uvedené společnosti. Proto se domníváme, že by tato společnost měla zákonu o registru smluv podléhat, ovšem s výjimkou otázek týkajících se bezpečnosti z výše zmíněných důvodů.
2. Ředitelství silnic a dálnic ČR s.p.o.
Ředitelství silnic a dálnic ČR s.p.o., je státní příspěvkovou organizací, zřizovanou Ministerstvem dopravy ČR. Náplní činnosti podniku je výkon vlastnických práv státu k nemovitým věcem tvořícím dálnice a silnice I. třídy, zabezpečení správy, údržby a oprav dálnic a silnic I. třídy a zabezpečení výstavby a modernizace dálnic a silnic I. třídy.
V případě výše vyjmenovaných druhů komunikací je třeba vnímat hned několik aspektů bezpečnostních rizik včetně kybernetických útoků, které mohou narušit funkci digitálních informačních panelů, a tak přímo ohrozit či způsobit ztráty na zdraví nebo životech účastníků silničního provozu a rozsáhlé hmotné škody. Veřejně přístupná informace specifikující funkci systému zjednoduší hackerům systémy prolomit a napadnout.
V případě, že si ředitelství najme bezpečnostní agenturu, např. na ochranu stavby, materiálu a strojů na této stavbě, zákon ukládá povinnost uveřejnit konkrétní bezpečnostní agenturu, rozsah vykonávané práce, fakturační sazbu atd. U fakturační sazby vidíme ohrožení v možnosti uplácení, korupce apod.
V minulosti bylo Ředitelství silnic a dálnic ČR s.p.o., kontrolováno ze strany NKÚ (2007) kvůli vysokým cenám dopravních staveb. Ve zprávě BIS za rok 2008 je pak zmiňována angažovanost vlivových a nátlakových skupin. V letech 2013 až 2016 NKÚ zmiňuje vysoké náklady na právní služby. Z těchto důvodů by měla i tato organizace podléhat zákonu o registru smluv, nicméně upozorňujeme na problematiku již výše zmíněné bezpečnosti, na kterou samotnou by výjimka byla vhodná.
3. Česká exportní banka, a.s.
Česká exportní banka, a.s. (dále jen „ČEB“) se zaměřuje na podporu exportu ČR, a to především poskytováním úvěrů a služeb, které jiné banky nemohou nabídnout, a tak jim umožňuje prosadit se na zahraničních trzích. Naprostá většina klientů ČEB jsou právnické osoby. Většinu akcií (84 %) vlastní stát přes ministerstva, zbývajících 16 % vlastní Exportní garanční a pojišťovací společnost. Podíly jednotlivých ministerstev: MF ČR (52 %), MPO ČR (30 %), MZV ČR (12 %), MZe ČR (6 %).
ČEB z našeho pohledu čelí několika bezpečnostním rizikům, a to nejen ze strany kybernetických útoků vzhledem k tomu, s jakými sensitivními informacemi o právnických osobách pracuje, ale také v oblasti přepravy finančních hotovostí a cenin v případě zajištění externí bezpečnostní agenturou. Při zveřejnění smlouvy dostane potenciální pachatel k dispozici soubor potřebných informací např. počet pracovníků bezpečnostní služby, kdy bude převážen chráněný náklad a další podrobnosti ulehčující provedení útoku.
I v případě ČEB se ale pak setkáváme s několika incidenty klientelismu (2010 - 2012), na které upozornilo NKÚ, kdy část z úvěrů skončilo v daňovém ráji. ČEB neoprávněně poskytla úvěry za 8,2 miliardy korun, čímž ohrožuje ekonomické zájmy ČR. Z těchto důvodů se domníváme, že i ČEB by měla zákonu o registru smluv podléhat, až na výjimky týkající se bezpečnosti.
4. ČEZ, a.s.
Společnost ČEZ, a.s., je součástí koncernu Skupina ČEZ. Jako výrobce/dodavatel energií v sedmi zemích má silnou pozici na jednotném evropském trhu s energiemi.. Majiteli akcií kótovaných na burze cenných papírů jsou Ministerstvo financí ČR (69,78%), Black Rock (1,19%), ČEZ, a.s. (0,7%), právnické osoby (19,35%) a fyzické osoby (10,17%). Vzhledem k tomu, že zaměstnává přes 26,5 tis. zaměstnanců, je jedním z nejvýznamnějších zaměstnavatelů v ČR. Na bezpečnost provozu jaderných elektráren dohlíží Státní úřad pro jadernou bezpečnost.
Zde se opět setkáváme (především z důvodu, že se nacházíme v oblasti kritické infrastruktury) s několika kritickými body novely zákona o registru smluv. Zaprvé možnost kybernetického útoku v případě znalosti operačních systémů a zařízení, která spravují chod samotné elektrárny a dodávky elektřiny, následně fyzická ostraha, která objekty střeží, a další režimová opatření. Ať se jedná o teroristický, kybernetický nebo kriminální útok, dopad na společnost, strategické zájmy státu a bezpečnost dodávek občanům může být zcela fatální.
Přestože nemocnice a ostatní prvky kritické infrastruktury musí být napojeny na náhradní zdroj energie, tento zdroj energie není nekonečný a zároveň omezí funkci zařízení, jako jsou nemocnice, rozvody vody a dalších prvků infrastruktury na nejnižší nebo dokonce nulový provoz. Výpadek delší než 72 hodin (např. obávaný Black Sky Hazard) znamená totální kolaps společnosti se všemi negativními dopady na chod společnosti jako takové. V případě kybernetického útoku, jehož následkem je omezení činnosti elektrárny, můžeme též čelit nekontrolovanému kolapsu vedoucímu v krajním případě až k její explozi. Vedle tohoto aspektu pak dochází k vyvolání pocitu nebezpečí ve společnosti a taktéž narušení ekonomických zájmů obyvatelstva ČR.
Konkrétním příkladem kybernetických útoků pak může být útok na elektrárnu na Ukrajině v prosinci 2015. V Belgii v roce 2016 byly plánovány teroristické útoky na jadernou elektrárnu Tihange.
V současném znění zákona o registru smluv má ČEZ výjimku. Také není subjektem povinným ke kontrolám ze strany NKÚ. Myslíme si, že by podnik jako celek měl podléhat zákonu o registru smluv, ovšem s výjimkou bezpečnosti, a to z výše zmíněných důvodů.
5. Státní tiskárna cenin
Státní tiskárna cenin vznikla s potřebou měny v době vzniku Česko-Slovenského státu (1918), jejím zakladatel bylo Ministerstvo financí ČR, majitelem je Česká republika. V současné době působí Státní tiskárna cenin i nadále jako specializovaná firma vyrábějící z 95% speciální ceninovou výrobu pro potřeby České národní banky.
Zde vnímáme jako problematickou především fyzickou a technologickou bezpečnost zprostředkovanou externími dodavateli, a to v případě zveřejnění informací o jejím provozu a dalších podrobnostech. Dále pak považujeme za důležité zmínit kybernetické hrozby v případě propojení s datovým centrem a možné ohrožení ekonomických zájmů ČR v případě zveřejnění detailů o dodavatelské službě a systému, v kterém by datové centru pracovalo.
V minulosti Státní tiskárna cenin čelila několika kontrolám NKÚ, tyto kontroly odhalily v roce 2006 několik nedostatků a pochybení. V roce 2015 NKÚ odhalilo pochybení u soutěže na výstavbu datového centra Státní tiskárny cenin, kterou vyhrála firma, která projektovala jeho technologii. Centrum, které stálo 386 milionů korun, bylo využíváno jen z poloviny. Ministerstvo financí také za zaměstnance, kteří pro něj v tiskárně cenin pracovali, platilo nehospodárně. Proto se domníváme, že i tento podnik by měl zákonu o registru smluv podléhat, ovšem s výjimkou otázek týkajících se bezpečnosti, a to z výše zmíněných důvodů.
6. ČEPS, a.s.
Výhradním majitelem České energetické přenosové soustavy, a.s., je stát, přes Ministerstvo průmyslu a obchodu ČR. Tato společnost zajišťuje na území České republiky provoz elektrické přenosové soustavy (elektrická vedení a zařízení na hladinách vysokého napětí 400 kV a 220 kV) na základě licence dle energetického zákona. Činnosti ČEPS jsou monopolem.
Vzhledem k tomu, že se opět dostáváme ke kritické infrastruktuře, vnímáme několik bezpečnostních hrozeb od několika možných skupin, a to ať už se jedná o útoky teroristické, či kriminální, a to mířené jak na fyzickou ochranu, nebo na kybernetickou infrastrukturu. Dopady vnímáme podobně jako u bodu č. 4 (viz ČEZ, a.s.).
V roce 2015 mělo na Krymu dojít k explozi, která narušila sloupy elektrického vedení a způsobila masivní výpadek v dodávkách elektrického proudu pro 1,9 milionu obyvatel Krymu.
Tak jako předchozí společnosti, objevuje se ČEPS ve zprávách NKÚ, např. 2014 snižování dividend/pozastavení vyplácení dividend nebo 2009 převod 51% podílu. Právě proto by tato společnost měla zákonu o registru smluv podléhat, ovšem s výjimkou v oblasti bezpečnosti z výše zmíněných důvodů.
7. Explosia
Podnik Explosia je v gesci Ministerstva vnitra ČR, Ministerstva průmyslu a obchodu a Ministerstva zemědělství. Tento podnik jsme zařadili do tohoto výběru, přestože se na výrobu výbušnin vztahuje výjimka dle zákona o registru smluv v platném znění.
Výjimka se ovšem nevztahuje na dodávky pro Integrovaný záchranný systém, na smlouvy o bezpečnosti výroby nebo bezpečnost skladování. Tyto smlouvy mohou odhalit nejen informace o tom, kdo dodávky převáží, ale též, kde jsou skladovány.
V případě zneužití těchto informací může dojít ke krádeži a zneužití výbušnin až třetí stranou, zvláště v době, kdy černý obchod se zbraněmi je aktuálním mezinárodním problémem. Na území Evropské unie existuje funkční síť několika teroristických organizací a absence hraničních kontrol může napomáhat převozu nákladu rozděleného do několika menších nákladů po území Evropské unie bez povšimnutí. Mluvíme tedy v první fázi o terorismu, následovaném ohrožením ekonomických zájmů ČR, dále pak především o ohrožení na životech, a to nejen v České republice.
V červenci 2013 musel stát kvůli ztrátovému hospodaření navýšit kapitál společnosti úpisem nových akcií za 250 milionů korun. Dceřiné společnosti Istrochem Explosives a Explosia SK vykázaly za rok 2013 ztrátu a jejich vlastní kapitál byl k 31. 12. 2013 záporný. V roce 2011 došlo k výbuchu trhavin ve výrobně (smrt 4 lidí). I zde se domníváme, že by tato společnost měla podléhat zákonu o registru smluv. V současném znění zákona má sice výjimku, ale ta nepokrývá všechny oblasti, které jsou z našeho pohledu problematické a na které jsme upozorňovali výše.
8. Česká pošta, s.p.
Výhradním majitelem České pošty je stát, založena byla Ministerstvem vnitra ČR. V poštovních službách je zaměstnáno cca. 31 tis. zaměstnanců, jedná se tedy o jeden z největších podniků v ČR, co do počtu zaměstnanců.
Jelikož je Česká pošta hlavním výdejcem důchodů, sociální podpory a jiných finančních transakcí ze stran státu směrem k obyvatelstvu, které jsou vydávány hotovostně, vnímáme ohrožení v rámci běžné kriminality, ke které může přispět i veřejná informace o podrobnostech outsourcované bezpečnostní služby (včetně systému varování v případě přepadení). Týká se to také převozů peněz, ale i výdeje peněz na poště. Dále pak vnímáme hrozby plynoucí z přístupů do CZECHPointu, a tedy k sensitivním datům o obyvatelstvu. Další rizikem je i možnost narušení poštovní infrastruktury jako celku, s dopady do komunikace v rámci ČR.
NKÚ se v případě České pošty ve svých zprávách věnuje způsobu, jakým mezi lety 2008 až 2014 zadávalo Ministerstvo vnitra odštěpnému závodu (respektive České poště) zakázky bez výběrového řízení. Na základě výsledků kontrol by i tento podnik měl podléhat zákonu o registru smluv pouze s výjimkou oblasti bezpečnosti.
9. Povodí (Vltavy, Ohře, Labe, Moravy, Odry) s.p.
Se svou složitou geologickou stavbou představují všechna povodí v rámci České republiky prakticky střechu Evropy a České republika je tak významnou pramennou oblastí kontinentu. ČR se nachází na hlavním evropském rozvodí, které rozděluje republiku na tato hlavní evropská povodí: Labe (úmoří Severního moře), Dunaj (úmoří Černého moře), Odra (úmoří Baltského moře). Společnosti spravující jednotlivý povodí jsou v gesci Ministerstva zemědělství ČR.
Zde se opět dostáváme ke kritické infrastruktuře, problematickou může být z důvodů ochrany vodních toků a jejich regulace a ochrany zásobáren pitné vody. Zde opět narážíme na možnosti kybernetických útoků a jejich usnadnění v případě zveřejnění podrobností systémů, které jsou outsourcovány. Dále může dojít ke zvýšení možnosti fyzických útoků a následné manipulaci s pitnou vodou na základě upřesnění detailů fyzické ochrany nebo údržby infrastruktury. V případě manipulace toků a pitné vody (ať už se jedná o čin teroristický nebo kriminální se záměrem vylití toku či otrávení pitné vody) může dojít k fatálnímu ohrožení zdraví nebo životů občanů ČR, tak i jejich ekonomických zájmů. Vzhledem k výše zmíněné pozici hlavního evropského rozvodí, týká se tato bezpečnost i celé Evropy. Nelze pominout i význam jednotlivých povodí (zejména Labe) jako dopravní cesty.
Dle zpráv NKÚ se dozvídáme o nesystémovém financování ze stran ministerstva. Několikrát došlo ke změnám, podle jakého zákona se mají Povodí řídit, často se jednalo o protichůdné zákony. Proto i zde se domníváme, že by tento státní podnik měl podléhat zákonu o registru smluv, nicméně z důvodů výše zmíněných by měla být výjimka poskytnuta v otázkách bezpečnosti.
10. Řízení letového provozu ČR, s.p.
Řízení letového provozu ČR, s.p., je podnik pověřený státem k poskytování ATS (Air Traffic Services) – letových provozních služeb ve vzdušném prostoru („airspace“) nad územím České republiky. Jejími hlavními nástroji řízení jsou letecká pevná telekomunikační služba (AFTN – Aeronautical Fixed Telecomunication Network), letecká pohyblivá telekomunikační služba a letové provozní služby. Tento podnik je zřízen Ministerstva dopravy ČR.
Jako u předchozích podniků se dotýkáme jak kybernetických, tak fyzických útoků. Tyto útoky, ať je jejich motivací terorismus, nebo kriminální čin, mohou mít fatální následky. Zpřístupnění informací o softwaru outsourcovaného od jiné společnosti může hackerům zjednodušit přípravu útoku, která může mít za výsledek kolizi letadel, celostní výpadek s následkem kolize letadel, zvláště v případech, kdy naváděcí systém je jedinou variantou bezpečného přistání v případě špatné viditelnosti apod. Mluvíme tedy o ztrátách na životech i ekonomických újmách třetích stran (letecké společnosti).
I tento podnik byl v minulosti kontrolován ze strany NKÚ, v roce 2009 bylo výběrové řízení postavené tak, aby ho vyhrála konkrétní firma. Přestože poslední dva roky kontrol dopadly velmi dobře, stále přetrvává výtka chybějícího konceptu letecké dopravy. Proto i u tohoto státního podniku upozorňujeme, že s ohledem pak na výše zmíněná bezpečnostní rizika, by měla být udělena výjimka v oblasti otázek bezpečnosti.
11. Správa státních hmotných rezerv
Státní správy hmotných rezerv je ústředním orgánem státní správy v České republice v oblastech hospodářských opatření pro krizové stavy, státních hmotných rezerv a ropné bezpečnosti. Jedná se o úřad.
Zde vnímáme především ohrožení ekonomických zájmů ČR, a to jak v případě fyzického útoku, tak útoku kybernetického. Vzhledem k oblastem, které tento úřad zahrnuje, může být cílem několika zájmových skupin, ať se jedná o činnost kriminální, či spojenou s terorismem. Proto zveřejnění sensitivních dat může napomoci plánovaným útokům.
V roce 2006 podle NKÚ vykazovala Správa státních hmotných rezerv pouze zlomek příjmů a výdajů, Správa dále porušila zákon o majetku České republiky a jejím vystupování v právních vztazích, když nepožadovala od dlužníků sjednané smluvní sankce v celkové výši přes 35 milionů korun. Nevyužívala důsledně všech právních prostředků při uplatňování a hájení práv státu jako vlastníka, když uzavřela s dodavateli kupní smlouvy, aniž byla zakotvena sankce za porušení povinnosti ze strany dodavatele. Naopak při prodlení kupujícího byly sjednány úroky z prodlení. Smluvní vztah nesl znaky nevyváženosti. Proto se domníváme, že by tento úřad měl též podléhat zákonu o registru smluv, s výjimkou otázek bezpečnosti, a to z výše zmíněných důvodů.
Závěr
Cílem tohoto dokumentu bylo analyzovat návrh novely zákona o registru smluv z pohledu bezpečnosti. Na jedenácti vybraných podnicích jsme poukázali na potřebu kontroly hospodaření s majetkem. Z této analýzy, především pak z analýz konkrétních podniků a jejich specifických bezpečnostních rizik, ovšem též vyplývá, že zveřejňování veškerých informací by mohlo vést k ohrožení strategických státních zájmů, obyvatelstva, kritické infrastruktury a měkkých cílů.
Pro komplexní pohled na tuto problematiku by bylo potřeba vytvořit podrobnější analýzu. Ta by měla obsahovat konkrétní smlouvu, kterou je možné vyhledat v registru smluv a na ní ukázat reálné případy, které by mohly být zneužity ke snížení nebo ohrožení bezpečnosti podniku nebo osob. V návaznosti na to by byly také ukázány postupy, jak by tyto informace mohly být zneužity případnými pachateli.
Nepřehlédněte na Security magazínu: Survival - jak se chovat, abyste přežili v pustině nebo džungli? A kam se schovat před teroristickým útokem? S námi víte více
Autor: Ing. Dora Lapková, Ph.D., ředitelka Soft Targets Protection Institute, z.ú.
Tagy