Co nás čeká a nemine? Pokud bude vše probíhat podle plánů ministerstva vnitra a dalších státních orgánů, které se podílí na jejich budování, budeme zde v polovině příštího roku mít, takříkajíc v plné síle, nové základní registry státní správy. Ty by měly znamenat skutečnou revoluci ve způsobech práce s řadou agend, které dnes tvoří pilíře státní správy. Řada procesů by se měla výrazně zjednodušit a zefektivnit. Služby státu by pro nás občany měly být daleko příjemnější, protože všechny potřebné informace budou v těchto registrech pro úředníky jednoduše dostupné.
I kdyby se v uvedeném termínu (1. července 2012) ještě nepodařilo základní registry spustit, což se nakonec s velkou pravděpodobností, která se podle posledních informací rovná takřka jistotě, stane, nic to nemění na faktu, že již dnes je v rámci SSS řada informací uchovávána a zpracovávána v rámci různých informačních systémů a je s nimi nakládáno nejen v jejich fyzické (tištěné, písemné, papírové) formě, ale také zejména v elektronické formě.
Práce s informacemi ve formě elektronických dokumentů (nebo chcete-li záznamů) je sice na jednu stranu výrazně efektivnější a ve spoustě ohledů také pohodlnější, ale z pohledu zajištění jejich bezpečnosti je zde minimálně jeden významný rozdíl. Pokud bude někdo chtít ukrást agendu v papírové formě, pravděpodobně to bude výrazně obtížnější než ukrást stejný objem informací v elektronické podobě. Obrazně řečeno, při odnášení registratury s tisíci papírovými záznamy se zloděj nadře daleko více než někdo, kdo se dostane k databázi informačního systému a data si zkopíruje na svůj USB disk. Navíc si pravděpodobně snáze všimnete toho, že vám zmizela registratura, než toho, že někdo zkopíroval nějaké soubory z počítače.
Proto je více než nutné, aby výše zmiňovaný proces elektronizace SSS byl ruku v ruce doprovázen procesem budování komplexních systémů zabezpečení, které zajistí, že jednotlivé složky SSS budou dostatečně odolné vůči všem relevantním rizikům.

Nejde jen o hackery

Z informací, které tu a tam zaznamenáváme z různých médií, bychom mohli snadno nabýt dojem, že hlavním úkolem informační bezpečnosti je obrana vůči „démonickým“ hackerům, kteří se bleskurychle nabourávají do našich informačních systémů a kradou naše informace. Každodenní realita je ale trošku o něčem jiném. Technické zabezpečení informačních systémů je samozřejmě velmi důležité. Samo o sobě však k nastolení odpovídající úrovně informační bezpečnosti v organizaci nestačí. To je možné jen implementací celé řady bezpečnostních opatření v různých oblastech, a to jak v oblasti technických opatření, tak i organizačních a procesních opatření. Bohužel, právě prosazení některých organizačních a procesních opatření, stejně jako prosazení celého systému řízení informační bezpečnosti, bývá ve většině organizací SSS velmi problematické. Někdy narážíme na zkostnatělé byrokratické schvalovací procesy, jindy na neochotu vedení měnit zavedené postupy a někdy jednoduše není zavedení bezpečnosti, které bývá doprovázeno určitým zprůhledněním organizace, někomu vhod.

Nejčastější bezpečnostní prohřešky

Jak jsme již zmínili, organizace SSS ve svých informačních systémech uchovávají a zpracovávají spoustu citlivých informací. Typicky se jedná o různé osobní údaje občanů, ale mohou to být i jiné další typy informací, jejichž únik nebo kompromitace může mít dalekosáhlé důsledky. Stejně jako v ostatních členských státech EU i naše legislativa klade velký důraz na ochranu osobních údajů. Definuje mimo jiné i povinnosti odpovídajícím způsobem zabezpečit osobní údaje, které uchováváme a zpracováváme. V našich podmínkách na správné nakládání s osobními údaji dohlíží Úřad na ochranu osobních údajů, který může v případě porušení těchto povinností hříšníkovi uložit nemalou pokutu.
Ze své praxe bezpečnostního konzultanta mohu zmínit některé relativně časté bezpečnostní prohřešky, se kterými se v organizacích SSS v rámci svého působení setkávám. Jejich podstatná část je více či méně spojena se zaměstnanci – uživateli informačního systému, kteří tvoří jeho nejslabší článek a jsou asi nejčastějším zdrojem bezpečnostních incidentů. Je ale třeba říci, že drtivá většina těchto incidentů nebývá způsobena úmyslně, nebo z důvodu naprostého lajdáctví apod. I zde, stejně jako v jiných sférách našeho života bohužel platí, že cesta do pekla je dlážděna dobrými úmysly. Data tak organizaci opouští na různých přenosných paměťových médiích, jako jsou třeba USB disky, nebo jsou odesílané soukromými e-maily. Zaměstnanci tak většinou činí v dobré víře, když si třeba nosí práci domů nebo se snaží někomu pomoct či překonat jiné obtíže oficiálního procesu. Z pohledu bezpečnosti je však podobné nakládání s daty nepřípustné – USB disk může být ztracen nebo odcizen a jeho nešifrovaný obsah může být kompromitován, data posílána nešifrovaným e-mailem mohou být odposlechnuta nebo se někdo může nabourat do slabě zabezpečené e-mailové schránky apod.

Jak na ně?

Nejen v oblasti zabezpečení dat, ale i v dalších oblastech informační bezpečnosti, máme možnost sáhnout buď po organizačních, nebo po technických opatřeních. Organizační opatření jsou většinou z hlediska přímých nákladů levná, ale obtížná na implementaci (ve smyslu prosazení do každodenní praxe) a v konečném důsledku nemusí být stoprocentně účinná (uživatelé nemusí navržená pravidla respektovat). Technická opatření jsou zpravidla drahá (náklady na pořízení a implementaci technologie), ale když už nějaký nástroj koupíme a implementujeme ho do počítačové sítě organizace, uživatelé nemají běžně možnost nastavená pravidla obejít.
Na základě našich zkušeností můžeme zodpovědně prohlásit, že vydat se pouze jednou cestou není v současné době dostačující. Fungující a systematické zabezpečení musí být postaveno na organizačních opatřeních (pravidlech) navržených v souladu s potřebami a prostředím dané organizace, která jsou současně podporována odpovídajícími technickými prostředky.
Pokud bychom tedy měli na uvedených principech navrhnout řešení nastíněných problémů s ochranou informací v rámci organizace SSS, mohli bychom v oblasti organizačních opatření vycházet ze stanovení klasifikačních tříd informací (např. veřejné, interní, chráněné) a stanovení pravidel pro manipulaci informací jednotlivých tříd (jak mají být označené, kam je lze ukládat, jakým způsobem je šifrovat apod.). V oblasti technických opatření bychom pak mohli tato pravidla doplnit implementací vybraného DLP (data loss prevention) řešení, které na úrovni jednotlivých počítačů a počítačové sítě uživatelům znemožní provádět s klasifikovanými informacemi v jakékoliv formě nepovolené operace (odeslat dokument nebo jeho část soukromým e-mailem, zkopírovat jej na soukromý USB disk apod.).

Komplexní řešení ochrany organizace

Pokud bychom chtěli nastíněné řešení rozšířit na celý rozsah uvažovaného systému zajištění informační bezpečnosti organizace, mohli bychom technickou část rozšířit ještě o řešení SIEM napojené na GRC aplikaci. Typický příklad takového integrovaného řešení můžeme najít například v portfoliu společnosti RSA, konkrétně se jedná o RSA DLP, RSA enVision a RSA Archer. Tato sestava dokáže účinně podpořit systém řízení informační bezpečnosti organizace a zajistit bezpečnost informací. Sama o sobě bez definice organizačních pravidel a bezpečnostních procesů (tzn. definice celkové bezpečnostní politiky organizace) by však byla účinná jen minimálně, protože bychom nebyli schopni jednotlivé nástroje „naplnit“ těmi správnými pravidly.

Řešení existuje

Jedna z věcí, kterou jsme se snažili tímto článkem naznačit, je, že i v tak složité oblasti, jako je zabezpečení informací v rámci SSS, je možné navrhnout a implementovat účinné komplexní řešení. Jen je třeba postupovat systematicky a kombinovat vhodné technické a procesně organizační nástroje.

Petr Nádeníček
Autor působí jako senior IT consultant ve společnosti AEC, člena Cleverlance Group.