Bezpečnost elektronické komunikace v Magistrátu města Brna Jana Knotková
Abstrakt Obsahem práce je analýza současného stavu Bezpečnosti elektronické komunikace v Magistrátu města Brna. V jednotlivých kapitolách je popsána bezpečnostní politika , řízení přístupu k informačním systémům, školení zaměstnanců, antiviry, personální zajištění a bezpečnost elektronické komunikace.
Klíčová slova Bezpečnostní politika, autentizace, antivir, bezpečnost elektronické pošty
1. Úvod Orgány veřejné správy se přizpůsobují nezadržitelnému rozvoji informačních technologií. Nabízí veliké množství služeb, jež mohou kdykoliv využívat jak občané ze svého domova, tak firmy ze své kanceláře. Neméně důležité je také propojení a komunikace mezi jednotlivými orgány uvnitř veřejné správy. V této práci je tedy řešen problém bezpečnosti elektronické komunikace s orgány veřejné správy, konkrétně s Magistrátem města Brna (dále jen MMB). Popisuje však pouze některé oblasti z bezpečnostní politiky, jako je řízení přístupu k informačním systémům, školení zaměstnanců v oblasti bezpečnosti, antiviry, personální zajištění informačních systémů a bezpečnost elektronické pošty. Zvolené téma je vysoce aktuální.
2. Cíl a metodika práce Cílem práce je provést analýzu současného stavu Bezpečnosti elektronické komunikace v Magistrátu města Brna. Zjistit jaká je bezpečnostní politika MMB, jak je řešeno řízení přístupu k informačnímu systému (dále jen IS), jak je zajištěno školení zaměstnanců v oblasti bezpečnosti el. komunikace, využití antivirů, personální zajištění a bezpečnost elektronické pošty. Pro účely práce byla využita odborná literatura, jež pojednává o informatice ve veřejné správě, bezpečnosti a ochraně dat. Pro získání informací o MMB byly využity webové stránky města Brna. V práci byla použita analýza, tj. využití studia dostupné literatury a metoda terénního výzkumu - rozhovor. Pro aktuální informace a současný stav bezpečnosti elektronické komunikace byla uskutečněna schůzka s vedoucí Oddělení správy sítí a telekomunikací Ing. Andreou Foltýnovou z Odboru městské informatiky.
3. Teoretická východiska 3.1. Bezpečnostní politika IS Za vyhlášení a prosazování bezpečnostní politiky odpovídá organizace. Je třeba zajistit jasný směr a viditelnou podporu vedení organizace pro iniciativy v oblasti bezpečnosti IS. Jeden člen vedení organizace by měl být zodpovědný za veškeré aktivity spojené s bezpečností v této organizaci.
3.2. Řízení přístupu k informačním systémům 3.2.1. Autentizace Před prací se systémem se každý uživatel systému identifikuje, tedy prohlásí, za koho ho má systém považovat. V druhém kroku musí vhodným způsobem prokázat, že je opravdu tím, za koho se vydal. Hlavním smyslem autentizace je vytvoření virtuální identity uživatele a následné rozhodování, ke kterým datům a ke kterým prostředkům systému má uživatel s danou identitou přístup. [1] Zajištění bezpečnosti elektronické komunikace s orgány veřejné správy není možné bez řízení přístupu k informacím. Je nutno zajistit fyzickou bezpečnost, tj. zabránit k fyzickému přístupu, zásahům neoprávněných osob a možnosti poškození citlivých informací. Dále je nutno zajistit přístup prostřednictvím autentizace - ověření identity uživatele.
3.2.2. Auditní záznamy Nejefektivnější způsob odhalování problémů před tím, než nastanou, je takzvaný auditní záznam a jeho následná analýza bezpečnostního incidentu. Do auditního záznamu se zaznamenávají všechny události v systému, které jsou z bezpečnostního hlediska důležité nebo alespoň zajímavé, např. Informace o přihlášení a odhlášení uživatele (je možno zjistit, který uživatel se systémem v době bezpečnostního incidentu pracoval), všechna neúspěšná přihlášení, změny hesel, chyby programů, pokusy uživatele o přístup k datům, ke kterým mít přístup nemá, apod. Analýzu takového záznamu je možno provádět ručně, což je přístup velmi náročný na čas a důslednost provedení. Lze použít automatizované programy, které dokáží provádět analýzu samostatně a uživatele upozorní na výskyt podezřelých záznamů. [1]
3.3. Školení zaměstnanců Jen vzdělaný zaměstnanec ví, jaké hrozby existují při nedodržování bezpečnostních předpisů při elektronické komunikaci a při využívání IS. Je tedy nutné pracovníky školit a také jejich znalosti prověřovat. Účelem školení je seznámit s možnými bezpečnostními incidenty a naučit jim předcházet. Neméně důležité je také včas hlásit případné vzniklé incidenty a řídit se vytvořeným postupem.
3.4. Antiviry Jak již napovídá samotný název skupiny softwaru, jedná se o programy, jejichž hlavní činností je proti virům bojovat. Jejich úkolem je soubory napadené virem identifikovat, popř. je i vyléčit. Úspěšnost takovéto akce záleží na použití antivirového programu a jeho nastavení, jeho použité verzi a aktualizované databázi virů. [3]
3.5. Personální zajištění Každý zaměstnanec se podpisem pracovní smlouvy zavazuje k dodržování bezpečnostní politiky. Pracovníci, jež jsou zařazeni pod odbor informatiky přímo ovlivňují bezpečnost elektronické komunikace. Je velmi obtížné udržet si dobré informatiky ve veřejné správě, jelikož dostávají nabídky ze soukromého sektoru na lepší platové ohodnocení Outsourcing je dobrý způsob, jak zajistit správu podsystémů informační technologie (dále jen IT).
3.6. Bezpečnost elektronické pošty Elektronická pošta nahrazuje poštu listovní a umožňuje rychlejší komunikaci. Má řadu výhod i nevýhod. Bezpečnostní rizika elektronické pošty zahrnují zejména zranitelnost zpráv ze strany neoprávněného odposlechu (změny nebo odmítnutí služby), zranitelnost ze strany chyb (např. chybného adresování nebo odeslání na nesprávnou adresu). Organizace by měly mít jasně definovanou politiku týkající se používání elektronické pošty včetně útoků na elektronickou poštu, ochrany příloh elektronické pošty, doporučení, kdy elektronickou poštu nepoužívat, odpovědnost zaměstnanců za to, že nezkompromitují organizaci např. odesláním hanlivých zpráv nebo použitím elektronické pošty k obtěžování. [2] Velkým problémem je v současné době spam a hoaxy. Jejich výskyt se stále zvyšuje. Bojem proti nim je zajistit, aby byli zaměstnanci natolik zodpovědní a disciplinovaní, aby je vůbec nečetli a mazali a jejich odesílatele přidávali do seznamu blokovaných odesílatelů. Velmi důležité je také využívání elektronické podpisu. Elektronickým podpisem rozumíme údaje v elektronické podobě, které jsou připojené k datové zprávě nebo jsou s ní logicky spojené a které slouží jako metoda k jednoznačnému ověření identity podepsané osoby ve vztahu k datové zprávě. Zaručený elektronický podpis je jednoznačně spojen s podepisující osobou a umožňuje její identifikaci ve vztahu k datové zprávě. El. podpis byl vytvořen a připojen k datové zprávě pomocí prostředků, které podepisující osoba může udržet pod svou výhradní kontrolou. Je k datové zprávě, ke které se vztahuje, připojen takovým způsobem, že je možno zjistit jakoukoliv následnou změnu dat. [6]
4. Výsledky 4.1. Bezpečnostní politika Magistrátu města Brna Magistrát města Brna Je orgánem města plnícím úkoly v oblasti samosprávy i státní správy. Magistrát města Brna tvoří primátor, náměstci primátora, tajemník a zaměstnanci statutárního města Brna zařazení do magistrátu. V čele Magistrátu města Brna stojí primátor. Ke dni 31. 12. 2006 zaměstnával Magistrát města Brna 1 073 osob. [4] V prosinci 2003 byl vypracován dokument Informační strategie statutárního města Brna. Popisuje dosavadní vývoj IS ve městě, stávající stav, vize a cíle plánované do budoucna a postupy k jejich naplnění. Od té doby nebyl vydán žádný aktuálnější dokument, jenž by uceleně pojednával o stavu informatiky v MMB. Vytváření a modernizace IS je proces, jež závisí především na množství dostupných finančních prostředků. S nezadržitelným vývojem IT je třeba také průběžně zavádět nové technologie pro zajištění bezpečnosti elektronické komunikace s orgány veřejné správy. V informační strategii MMB je uveden harmonogram řešení cílů informační bezpečnosti, který znázorňuje Tabulka 1: Tab. 1. Harmonogram řešení cílů informační bezpečnosti
Datum Datum zahájení ukončení
Cíl Výběr a nasazení agendového IS
2004
2005
Zajištění vzájemného přístupu ÚMČ, organizací města k centrální infrastruktuře Dobudování infrastruktur v jednotlivých budovách MMB, ÚMČ, organizacích města
2006
2008
Provozování centralizovaného IS, optimalizace správy Uplatňování technologií e-government
2005
2010
Město Brno - součást informační společnosti ve státním i mezinárodním měřítku.
Zdroj: Informační strategie města Brna [5] V současné době je zajištěn vzájemný přístup k centrální infrastruktuře 5 úřadům městských částí (dále jen ÚMČ), pro dalších 8 ÚMČ se bude konat výběrové řízení na vybudování IS. Pro to, aby se Město Brno stalo kvalitním partnerem okolním informačním systémům veřejné správy a byla zajištěna dostatečná míra bezpečnosti elektronické komunikace, je pravidelně sledováno množství výpadků a kolizních situací IS. Prozatím ještě ale není hodnoceno.
4.2. Řízení přístupu k informačním systémům Magistrátu města Brna 4.2.1. Autentizace Každý úředník při nástupu do Magistrátu města Brna obdrží přihlašovací jméno a heslo. Tímto mu je přidělena virtuální identita, s níž jsou mu přiděleny i pravomoci - ke kterým datům má uživatel přístup.
4.2.2. Auditní záznamy Auditní záznamy jsou využívány a uchovávány v agendovém informačním systému. Je tedy možné zjistit kdo, kdy a jaké kroky učinil. Také jsou zaznamenávány přístupy na webové stránky.
4.3. Školení zaměstnanců První školení zaměstnance probíhá vždy při nástupu do pracovního poměru nebo při přechodu na nové pracovní místo na MMB. Dále jsou poučeni při obdržení přihlašovacího jména a hesla, jsou seznámeni s předpisem. Další školení probíhají na základě aktuální potřeby v průběhu roku. Zaměstnance má povinnost seznámit se se všemi bezpečnostními předpisy. Vybraní zaměstnanci se jako posluchači pravidelně účastní Konference ISSS - Internet ve státní správě a samosprávě v Hradci Králové.
4.4. Antiviry Na Magistrátu města Brna jsou využívány dva rozdílné antivirové programy. Jeden antivir pro kontrolu PC a druhý produkt pro scanování e-mailů. Firewall, antispam a antispyware je na PC všech zaměstnanců využíván. K zabezpečení připojení vnější sítě je používán firewall a přístupový router. Aktualizace antivirových programů je nastavena automaticky. Testování probíhá na lokálních discích jednou týdně.
Softwarový doplněk SmartFilter slouží k filtrování navštěvovaných webových stránek a zabraňuje průniku infiltrací do sítě MMB. Také zamezí přístup na stránky s nežádoucím obsahem a filtruje spyware a adware.
4.5. Personální zajištění V současné době je provoz informačního systému města Brna zajištěn informatiky Odboru městské informatiky. Magistrát města Brna zaměstnává v oboru IT celkem 31 pracovníků. Úřady městských částí a např. Městská policie mají svoje vlastní informatiky. Každý informatik má na starosti svěřenou oblast, jejíž provoz má zajistit tak, aby uživatelům byla poskytnuta co možná nejlepší funkčnost výpočetní techniky a aby byl provoz agend informačního systému bezproblémový. V Informační strategii MMB Brna z roku 2003 stanovila za cíl určení organizační složky, kde by se shromažďovaly všechny požadavky v oblasti informatiky jak z MMB, tak z ÚMČ. Požadavky měly být na základě priorit vyhodnocovány a postupně řešeny. V současné době jsou však požadavky z této oblasti stále řešeny odděleně. ÚMČ mají svoji soběstačnost. To je však nedostatek, jež by se měl v budoucnu vyřešit.
4.6. Bezpečnost elektronické pošty Vybraní zaměstnanci mají zaručený elektronický podpis. Zaměstnanci jsou proškoleni v oblasti bezpečnostních rizik, jež by mohly nastat při využívání elektronické pošty. Je zakázáno využívat elektronickou poštu pro soukromé účely. PC uživatelů jsou zabezpečena proti spamu, přesto dochází k proniknutí spamu, zaměstnanci mají zakázáno jej otevírat.
5. Diskuse IT se nezadržitelně vyvíjí. V rámci bezpečnostní politiky by měl být tedy aktualizován dokument Informační strategie MMB z roku 2003. Pro zajištění bezpečnosti elektronické komunikace je nutné průběžně zavádět nové technologie a to vyžaduje dostatek finančních prostředků, jež jsou v MMB nedostatečné. Dle cílů v Tabulce 1 je patrné, že zajištění vzájemného přístupu ÚMČ k centrální infrastruktuře měl být uskutečněn v roce 2005. Nyní má přístup pouze 5 ÚMČ. Výpadky a kolizní situace IS jsou sledovány, nejsou však prozatím hodnoceny. Řízení přístupu k informačním systémům MMB je dostatečné, navrhla bych ale využití čipových karet. (Pozn. Čipové karty jsou využívány např. v Městské správě sociálního zabezpečení Brno). Velký význam má také využití auditních záznamů, jež MMB využívá a vyhodnocuje. Školení zaměstnanců probíhá vždy při nástupu do pracovního poměru a při přechodu na nové pracovní místo. Další školení probíhají dle potřeby. Skutečnost, že je využíván jeden antivir pro kontrolu PC a druhý pro scanování e-mailů je uspokojivá. Velmi důležité je i filtrování navštěvovaných webových stránek a zamezení přístupu na stránky s nežádoucím obsahem a filtrováním spyware a adware. Je nutno dodat pouze to, že testování lokálních disků jednou týdně nestačí.
Personální zajištění IT je realizováno 31 vlastními zaměstnanci. Je třeba ještě zřídit organizační složku, kde by se shromažďovaly všechny požadavky v oblasti informatiky jak z MMB, tak z ÚMČ. Vybraní zaměstnanci mají elektronický podpis. Zaměstnanci jsou proškoleni v oblasti bezpečnostních rizik, jež jsou spojena s využitím elektronické pošty. PC uživatelů jsou zabezpečena proti spamu.
6. Závěr Cílem práce bylo provést analýzu současného stavu Bezpečnosti elektronické komunikace v Magistrátu města Brna. Analýza byla provedena na základě dostupné literatury. Přes počáteční neúspěchy, kdy zaměstnanci informací MMB nedávali téměř žádné šance na získání podkladů o bezpečnosti elektronické komunikace v MMB, se záměr zdařil. Došlo k osobnímu jednání s panem Mgr. Vítězslavem Siverou, vedoucím ekonomicko-právního oddělení. Po předložení studijního průkazu a zadání bakalářské práce (jež má shodné téma), mi byla umožněna schůzka s vedoucí Oddělení správy sítí a telekomunikací Ing. Andreou Foltýnovou z Odboru městské informatiky. Z této zkušenosti alespoň vyplývá, že informace o zabezpečení elektronické komunikace v MMB neleží na stole každého zaměstnance a ne každý se k těmto informacím může bez řádného schválení vedoucího ekonomicko-právního oddělení dostat.
7. Literatura [1] DOSEDĚL, Tomáš. Počítačová bezpečnost a ochrana dat. 1. vyd. Computer press, a.s., 2004. 190 s. ISBN 80-251-0106-1. [2] JAŠEK, Roman, LUKÁŠ, Martin. Informatika ve veřejné správě. 1. vyd. 1. vyd. Zlín: Univerzita Tomáše Bati ve Zlíně, 2003. 215 s. ISBN 80-7318-149-9. [3] ROSMAN, Pavel. Informatika pro ekonomy. 1. vyd. Zlín: Univerzita Tomáše Bati ve Zlíně, 2004. 232 s. ISBN 80-7318-209-2. [4] Brno [online]. [cit. 2008-04-12]. Dostupný z WWW:
