Přeskočit na obsah

Slovensko se inspirovalo českým EET. Hackeři systém prolomili

Slovensko se při postupném zavádění elektronické evidence tržeb v dubnu tohoto roku inspirovalo Českou republikou a Chorvatskem. Od systému eKasa si vláda slibovala snížení daňových podvodů ze strany obchodníků, hoteliérů či restaurací. Zatím to ale vypadá, že nový systém umí obcházení daní spíše zjednodušit. Viníkem je špatné zabezpečení systému, na které nyní upozornila slovenská firma Nethemba, v jejímž čele stojí  Pavol Lupták, IT specialista, etický hacker a spoluzakladatel Paralelní Polis v Praze a Paralelnej Polis v Bratislavě. Ten ve spolupráci s Investigatívním centrem Jána Kuciaka (ICJK) odhalil zásadní chybu v zabezpečení systému eKasa. 

Slovenský projekt eKasa propojuje on-line elektronické registrační pokladny, ve kterých podnikatelé musí zaznamenávat přijatou tržbu, se systémem finanční správy. Společnost Nethemba zjistila, že v systému eKasa, který používají desetitisíce podnikatelů, je hlavní slabinou nezabezpečený přístup do takzvaného chráněné diskové úložiště. Do něj se účtenky v digitální verzi nejprve uloží a až poté se data posílají finanční správě. Toto úložiště je zákonem povinné a všichni obchodníci jej po zakoupení připojují ke svým kasám. Podle Luptáka je hlavním problémem fakt, že přístup pokladnic eKasa do nejpoužívanějšího chráněného úložiště (od spoločnosti CHDU s.r.o.) není šifrované. „Nový systém eKasy má fatální chybu ve svém dyzajnu a je vlastně úplně zbytečný. Staré pokladnice byly v každém ohledu lépe zabezpečené proti zneužití,“ říká Lupták v originální zprávě pro ICJK.

Celá kauza může vést k bujení korupce. Z toho důvodu pověřilo Investigativní centrum Jána Kuciaka Nethemba o prověření bezpečnosti celého systému. Ti vytvořili softwarovou nápodobu úložiště (tzv. emulátor) a nahradili ji státem certifikovanou krabičkou. Zákazník tak dostane falešnou účtenku, kterou portál finanční správy nikdy neobdrží a ani se nikdy neuloží do chráněného datového úložiště (na co bylo původně určeno). Zároveň nahradí identifikační údaje pokladny náhodnými znaky, takže zpětně ji již není možné identifikovat. “Pokud si budete takový doklad ověřovat přes portál finanční správy, nezjistíte, že doklad je neplatný, dostanete jen hlášení, že dosud nebyl zaregistrován,” vysvětluje Lupták. Po 48-hodinách je možné detekovat, že daný doklad je neplatný, v tomto případě musí ale zákazník explicitně kontaktovat finanční správu, která může mít problém dokázat prodejcovi, že falešný doklad vystavil on (na daném dokladě totiž chybí stopa k jednomu obchodníkovi).

Pavol Lupták bude o celé kauze  hovořit na novinářském mikrofóru Hackováním za lepší novinařinu už 28. listopadu, které připravuje Paralelní Polis ve spolupráci s Nadačním fondem nezávislé žurnalistiky. Společně s Pavlou Holcovou, investigativní novinářkou a zakladatelkou serveru investigace.cz se budou věnovat také tématu spolupráce mezi novináři a programátory. Mikrofórum je součástí nového projektu Media Hub Paralelní Polis, platformy pro sdílení zkušeností a šíření vědomostí formou co-workingového prostoru a vzdělávacích aktivit. Cílem je představovat zajímavé projekty, které kombinují novinářskou praxi a nejmodernější technologie. Celou sérií provede Josef Šlerka, ředitel NFNŽ a odborník na analýzu dat ze sociálních sítí.