Porušovania zákonov sa na radnici snažia bagatelizovať

V prípade súčasného vedenia je už tradíciou, že ak dôjde k pochybeniu, neprichádza na rad sebareflexia a chlapské priznanie si chyby, ale práve naopak. Nedostatky sa snažia zametať pod koberec a často aj závažné porušenia zákona bagatelizovať. Nebolo to inak ani v prípade príspevku radničného úradníka P. Mihalika, keď za prerokovanie zistení NKÚ pred mestským zastupiteľstvom považoval len to, že poslancom prečíta krátku správu, ktorá v zásade hovorila len o tom, že NKÚ na radnici bol.

Poslanci sa však s takýmto formálnym oboznámením odmietli zmieriť a „prerokovanie“ kontroly NKÚ neprijali (prerokovanie výsledku kontroly s poslancami požaduje samotný NKÚ a radnica mu musí zaslať kópiu uznesenia, ktoré v súvislosti s tým poslanci prijali – pozn. red.), a tak správu P. Mihalika svojim hlasovaním z rokovania stiahli a na základe iniciatívy poslanca Martina Cifru vedenie radnice zaviazali, že na najbližšom zastupiteľstve správu predloží opäť. Jej neoddeliteľnými prílohami má však byť protokol s výsledkami kontroly i písomná správa, ktorú radnica musí NKÚ zaslať s informáciou, ako odstránili zistené nedostatky.

To sa však Tamajkovi ani trochu nepáčilo a snažil sa poslancov presvedčiť, že na prerokovanie protokolu pred poslancami v jeho plnom znení musí získať súhlas NKÚ. Zároveň však aj dodal, že ak aj NKÚ súhlas dá, celkom určite sa táto správa bude musieť prerokovať bez prítomnosti novinárov a verejnosti.

Skúsili sme teda zistiť, či ide naozaj o dôverný dokument, ktorý musí radnica držať v utajení, alebo naopak, výsledok kontroly samosprávy má byť prístupný každému, kto má oň záujem. Informácia od hovorkyne NKÚ nám jasne poukázala na skutočnosť, že si Tamajka o utajovaní kontrol verejnej správy znovu len vymýšľa. Rovnako ako to bolo v úvode roka 2015, keď spolu so svojím zástupcom Michalom Hynekom počas jedného víkendu šmátral v počítačoch zamestnancov radnice, a keď sa kauza prevalila, túto „kontrolu“ označil za bezpečnostný audit a na zastupiteľstve tvrdil, že ich „kontrola“ je tajná rovnako ako i jej výsledky.

„Protokoly o kontrolách samospráv poskytujeme komukoľvek na vyžiadanie. Nejde o žiaden utajovaný dokument,“ vysvetlila nám hovorkyňa NKÚ Daniela Bolech Dobáková. Protokol sme si teda vyžiadali a už len letmý pohľad do jeho obsahu objasnil, prečo sa ho piešťanská radnica zdráha zverejniť.

Obsah dokumentu pojednáva o kontrole zameranej na ochranu osobných údajov v informačných systémoch radnice: „V rámci kontroly bolo zistené, že nebola dostatočne zabezpečená implementácia Bezpečnostnej smernice Mesta Piešťany, ktorá upresňuje a aplikuje bezpečnostné opatrenia v zmysle zákona o ochrane osobných údajov. Ďalej bolo zistené aj porušenie zákona o informačných systémoch verejnej správy, nakoľko Mesto Piešťany nezabezpečilo, aby ním prevádzkovaný informačný systém bol v súlade so štandardami. NKÚ navrhol kontrolovanému subjektu pätnásť odporúčaní na odstránenie zistených nedostatkov.“

Správa ďalej uvádza aj konkrétne zistenia: „Kontrolovaný subjekt Mesto Piešťany mal formálne zavedený proces identifikácie, autentifikácie a politiku hesiel napríklad zložitosť hesla je vypnutá. Kontrolná skupina vykonala kontrolu v systéme používateľských účtov, kde sa vyskytujú okrem iného používateľské účty, blokované a privilegované skupiny účtov. Pri náhodne vybranej vzorke používateľských bolo zistené, že je nastavená platnosť hesla, nikdy nevyprší.

Ďalej bolo zistené, že kontrolovaný subjekt mal len formálne zavedený proces prideľovania a zrušenia prístupových oprávnení. Kontrolou bolo zistené, že v praxi bola využívaná iba požiadavka na pridelenie prístupových práv do informačného systému a zrušenie prístupových práv do informačného systému nebolo realizované požiadavkou o ich zrušenie.

Kontrolná skupina ďalej vykonala kontrolu skupiny privilegovaných účtov, kde sa okrem iného nachádzal zaradený aj používateľský účet primátora ‚tamajkam‘, správcov systému, dodávateľskej firmy ‚geoinfos‘, používateľský účet ‚klein‘ a používateľský účet zástupcu primátora mesta Piešťany ‚hynek‘. Používateľský účet ‚klein‘ je účet bývalého zamestnanca, ktorý už nie je zamestnancom Mesta Piešťany. Predmetný účet ‚klein“ nebol zablokovaný, bol
zaradený do privilegovanej skupiny a bolo na účte nastavené, aby platnosť hesla nikdy nevypršala. Účet ‚klein‘ mal tak administrátorský prístup do ‚HER – Hlasovací systém, Webová stránka mesta Piešťany, Systém zálohovania‘, ale aj e-mailovej domény Mesta Piešťany.“

A tak v preložení z jazyka počítačových expertov pre vstup do počítačovej siete mestského úradu plnej osobných informácií o obyvateľoch mesta si stačilo zvoliť heslo napríklad aj PN123.

Ale aj to, že Hynek s Tamajkom vďaka administrátorským oprávneniam už viac nemusia absolvovať svoj vymyslený „Bezpečnostný audit“ z roku 2015 a s námahou obchádzať každý jeden počítač, aby si mohli poprehliadať, na čom úradníci pracujú. S administrátorským oprávnením to už mohli robiť spoza počítačov v ich kanceláriách. Najzarážajúcejšie zistenie celkom určite je, že rovnaké oprávnenie mala aj osoba, ktorá na radnici nepracuje.

Kontrola NKÚ sa zamerala i na umiestnenie súčastí počítačovej siete, no ani tu to nedopadlo dobre a protokol úradu uvádza: „Kontrolná skupina vykonala fyzickú obhliadku priestorov s aktívnymi prvkami sieťovej infraštruktúry. Zistila, že aktívne prvky siete a servery boli umiestnené na dvoch miestach. Jedna časť bola umiestnená v technologickej miestnosti (serverovni) a druhá v kancelárskych priestoroch, kde pracujú správcovia systémov.

V kancelárskych priestoroch sa nachádzal radiátor napojený na ústredné kúrenie, servery boli umiestnené na podlahe, kde boli bežne dostupné počas pohybu po miestnosti a mohlo dôjsť k zakopnutiu o server. V miestnosti boli horľavé materiály, ako napríklad papiere, hasiaci prístroj bol umiestnený na chodbe, dvere do priestoru neboli bezpečnostné ani žiaruvzdorné, v miestnosti sa nahádzalo čidlo pohybu. Miestnosť mala presklené okná. Na základe vyššie uvedeného je možné konštatovať, že kancelárske priestory a umiestnenie aktívnych prvkov počítačovej siete neboli dostatočné na zabezpečenie fyzickej bezpečnosti v súlade zo zákonom.“

Kontrolný protokol v plnom znení nájdete TU.