Krátké vlny: Vládní restart podpory IPv6

Kdysi dávno, už tomu bude 15, resp. 11 let, vláda uložila ministerstvům a vedoucím ostatních ústředních orgánů státní správy úkol vyžadovat při nákupu relevantních služeb podporu technologie DNSSEC a poskytovat své webové stránky, elektronické podatelny a další služby e-governmentu i přes internetový protokol IPv6. Poslední zpráva o zavádění technologie DNSSEC a IPv6 ve státní správě byla předložena v roce 2015. Bylo zjištěno, že jednotlivá ministerstva i ostatní orgány státní správy plní usnesení vlády uspokojivě. Od té doby při příležitosti spuštění nové služby státu proběhne většinou na sociálních sítích komentář, že daný rezort nesplňuje vládní usnesení, protože kašle na IPv6 a to je tak všechno. Naposled se tomu stalo při uvedení e-sbirky.

Usnesením č. 578 ze dne 16. srpna 2023 vláda sice schválila harmonogram migrace ústředních orgánů státní správy na jednotnou státní doménu gov.cz. a jedním z technických pravidel, které má být splněno do 31. prosince 2023, je dostupnost veřejné DNS infrastruktury i přes protokol IPv6. Nicméně tato podmínka se týká dostupnosti veřejné DNS infrastruktury domény gov.cz, což ale automaticky neznamená, že i jednotlivé subdomény dotčených resortů budou dostupné pro uživatele prostřednictvím protokolu IPv6.

To by se mělo změnit. Ministerstvo průmyslu a obchodu (MPO), které je zodpovědné za agendu správy internetu („internet governance“), předložilo včera vládě materiál „Restart zavádění technologie DNSSEC a IPv6 ve státní správě“. V tomto materiálu, který máme k dispozici, ministerstvo navrhlo vládě zařadit v podpoře rozvoje IPv6 protokolu vyšší rychlost a ve střednědobém horizontu ukončit poskytování služeb prostřednictvím protokolu IPv4 ve státní správě.

MPO jako předkladatel materiálu vychází ze základní premisy, že stát má podporovat robustní a bezpečnou internetovou infrastrukturu. Nedostatek volných IPv4 adres, růst jejich ceny a tlak spekulantů na trh má podle ministerstva negativní dopad na potenciál české digitální ekonomiky a i proto by vláda měla podporovat rozvoj IPv6 protokolu. Vyčerpání adresního prostoru IPv4 vede ke zvýšení bariéry vstupu na trh nejen v oblasti budování internetové infrastruktury. Vlastní adresní prostory jsou potřebné dnes nejen k poskytování služeb elektronických komunikací, ale také zejména (a nikoliv pouze) při poskytování služeb obsahu.

Do materiálu ministerstvo zahrnulo i mezinárodní srovnání. V červnu 2023 vydal RIPE NCC studii zaměřenou na adopci protokolu IPv6 ve středoevropském regionu (Česko, Maďarsko, Polsko a Slovensko). Studie konstatuje a dokládá na aktuálních datech, že navzdory pouze malému množství adres IPv4 a rostoucí potřebě dalších adres zůstává v tomto regionu s výjimkou Maďarska míra využití IPv6 nízká. Přesto, že Česko bylo v roce 2013 na prvním místě mezi evropskými státy v dostupnosti webových stránek ministerstev a jiných ústředních orgánů státní správy na protokolu IPv6, dnes výrazně zaostává.

Zdroj: RIPE NCC

V závěru studie konstatuje, že je důležité, aby „zejména Česko, Polsko a Slovensko zlepšily dostupnost IPv6, aby vytvořily podmínky pro dlouhodobý růst a nové a rozvíjející technologie, jako jsou 5G, internet věcí a další.“ Vlády a další aktéři ekosystému se musí podle RIPE NCC podílet na podpoře širšího zavádění IPv6.

Z pohledu posílení kybernetické bezpečnosti materiál zmiňuje skutečnost, že paralelní souběh služeb na IPv4 a IPv6 zvyšuje plochu útoku a dostupné vektory na straně útočníků. Výhodou adresního prostoru IPv6 je také fakt, že jej možní útočníci pro jeho velikost nemohou efektivně proskenovat.

Součástí materiálu jsou i výsledky testu ke dni 7. prosince 2023 (tedy před migrací dalších úřadů pod doménu gov.cz), který zahrnoval kontrolu nasazení DNS serveru na IPv6, dostupnosti DNS serveru na IPv6, dostupnosti e-mailové služby na IPv6, existenci DNSSEC, existenci SMTP DANE/MTA-STS a platnost webového certifikátu. Z výsledků testu mimo domény pod gov.cz vyplynulo, že povinnosti plní Český telekomunikační úřad, Český úřad zeměměřičský a katastrální, Ministerstvo spravedlnosti, Ministerstvo financí, Ministerstvo průmyslu a obchodu, Ministerstvo zahraničních věcí, Národní úřad pro kybernetickou a informační bezpečnost, Rada pro rozhlasové a televizní vysílání, Státní úřad pro jadernou bezpečnost, Úřad průmyslového vlastnictví a Úřad vlády. Ostatní ministerstva a ústřední orgány státní správy mají v základní digitální infrastruktuře nedostatky, které mohou vést i k bezpečnostnímu riziku. Samozřejmě je nutné dělat tyto testy i pro domény zařazené pod gov.cz. A pokud se budou dělat testy pravidelně, může to být pro správce na rezortech drobné šťouchnutí pro zlepšování jejich infrastruktury. A třeba, a teď jsem si snad moc nezapřeháněl, budou mít všechny ministerstva a ústřední orgány státní správy výsledky jako Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB). Gratulujeme do Brna.

Konec příběhu? Ne. Materiál má usnesení, které rozdává úkoly. Ministr průmyslu a obchodu navrhl úkol sám sobě, a to předložit vládě do konce června 2025 monitorovací zprávu a každoročně vyhodnocovat stav plnění podmínek na úplný přechod na protokol IPv6. A ministerstvům a ostatním orgánům státní správy vláda uložila dát do pořádku nedostatky (do konce tohoto roku) a do 6. června 2032 přestat poskytovat služby státní správy na protokolu IPv4. Revoluční nápad, který je vlastně logický. Pokud se stát zbavuje závislosti na ruském plynu nebo omezuje přístup rizikových dodavatelů do komunikační infrastruktury, proč by nemohl ve jménu rozvoje a podpory zavést „IPv6 only“ státní správu. Ostatně nebudeme na světě první. Není to ostatně jediná vládní snaha o podporu rozvoje IPv6. V polovině tohoto roku nabyde účinnosti vyhláška o dlouhodobém řízení informačních systémů veřejné správy, kterou připravila Digitální a informační agentura (DIA). Ta nově stanovuje povinnost, aby dálkový přístup ke službám informačních systémů byl umožněn rovnocenným použitím protokolu IPv4 a IPv6.

Konec příběhu? Ještě ne. Stát nejsou jen ministerstva a ústřední orgány státní správy. Ministerstva mají pod sebou resortní organizace a i ty mají své domény. Ústav mezinárodních vztahů, Univerzita obrany, Centrum sociálních služeb Tloskov, Správa jeskyní České republiky, Ústav územního rozvoje, Agentura pro podnikání a inovace, Centrum služeb pro silniční dopravu, Budweiser Budvar, Národní pedagogické muzeum a knihovna J. A. Komenského, Národní ústav lidové kultury, Léčebné lázně Lázně Kynžvart, Zotavovna Pracov, to jsou jen letmé příklady ze stovek subjektů, které patří „pod stát“ a které mají na různé úrovni zabezpečení svých webových stránek. Čím dříve si stát udělá inventuru i na těchto doménách, tím lépe.

Autor:

Zanechte komentář

Všechny údaje jsou povinné. E-mail nebude zobrazen.

Tato stránka používá Akismet k omezení spamu. Podívejte se, jak vaše data z komentářů zpracováváme..