Stav IKT a informačná bezpečnosť

Transkript

1 Stav IKT a informačná bezpečnosť na vysokých školách v SR Ing. Jozef Koricina Trnavská univerzita v Trnave Centrum informačných systémov jozef.koricina@truni.sk

2 AGENDA Trošku inak ako v zborníku Pokus o nadhľad na IKT v edu sektore SR Stav IKT na vysokých školách v SR Pokus o nadhľad na IB v edu sektore SR Prieskum IB na univerzitách v SR Súťažná otázka / odmena Ako začať / ako ďalej s IB v edu sektore?

3 IKT v edu sektore SR Strategické dokumenty Koncepcia informatizácie a digitalizácie rezortu do r.2020 Infraštruktúra / Elektronické služby / DEO Možnosť pripomienkovať - ÁNO Akčné plány informatizácie a digitalizácie rezortu do r.2020 Infraštr. / Služby /D-Obsah / D-Zručnosti /Spolupráca Možnosť pripomienkovať - NIE (čiastočne cez SRK) Dlhodobý zámer vo vzdelávacej, výskumnej, vývojovej a ďalšej tvorivej činnosti pre oblasť vysokých škôl na roky Dostupnosť / Kvalita / Efektívnosť / Atraktivita prostredia Možnosť pripomienkovať - NIE

4 IKT v edu sektore SR Nekoncepčnosti MŠVVŠ SR (štát) Vysoké školy v SR Portál ISS CVI SR Cisco Telepresence SIVVP e-government SAP-SOFIA (BW, BI) Portál VŠ vlastný hardvér a licencie Vlastné videokonferenčné systémy nemožnosť využiť (náklady) univerzitné riešenia e- komunikácie univerzitné analytické riešenia chýbajú pravidlá a záväznosť

5 IKT v edu sektore Úspešné integrácie IS Portál VŠ (e-prihláška) <-> AIS VŠ (uchádzači) SAP -> AIS (zamestnanci, platby) AIS VŠ -> CRŠ / SAP-HCM -> CRZ / KIS -> CRZP, CREPČ ESS portál <-> IDM (LDAP) VŠ (autentifikácia) AIS -> Centrálny register zmlúv (zmluvy o ubytovaní)

6 IKT v edu sektore SR Snahy EUNIS-SK Postavenie informatikov v centrách IKT Financovanie prevádzky IKT na VŠ Portál VŠ webové sídlo edu sektora VŠ SIVVP / ISS CVTI SR Jednotný identifikátor (eduid) -> edugain SAP-SOFIA (BW, BI) Integrácia -> rezort / štát / partneri Informačná bezpečnosť

7 Financovanie IKT na VŠ Výdavky TU v Trnave na IKT tis. Zabezpečili nám projekty z EŠF všetky potreby IKT? Čo cena vs kvalita? Ako sme zefektívnili hlavné procesy? Sme schopní udržať prevádzku nových IKT? Ďalšie investície do IKT alebo zefektívniť využitie existujúcich?

8 Skoro polovica VŠ nepoužíva na zálohovanie magnetopáskové knižnice Automatizované knižnice % 45% 18% 5% 14% 2016 HP Sun Oracle IBM Iné Žiadna HP Sun Oracle IBM Iné Žiadna

9 Oracle stráca svoje postavenie, DB2 zmizla Databázové platformy 9% % 31% Oracle MS SQL 30% MySQL PostgreS Oracle MS SQL MySQL PostgreS DB2

10 K MS Windows a Linux stúpa VMware Operačné systémy 2016 VMware % 20% 37% 39% Linux Windows Solaris VMware Solaris Windows 2012 Linux

11 Open Source je pre VŠ dostupnejší Žiadny e-learningové systémy % 13% 54% 2016 Moodle NetDimensions (EKP) UIS Iný LMS UIS 13% 12% Iný LMS Žiadny NetDimensions (EKP) Moodle

12 Dva dominantné KIS Knižničné systémy 2016 Proflib Virtua % 14% 4% 9% 32% 41% DAWINCI Rapid Library-A Aleph OLIB Virtua OLIB 2016 Proflib 2014 Aleph 2012 Rapid Library-A DAWINCI

13 Tretina VŠ nerieši centrálnu správu identít Správa identít 2016 Komerčný (IBM, Novell) % 23% 36% 36% Žiadny Na úrovni LDAP/AD (nie je IdM) Vývoj (vlastný) Vývoj (vlastný) Na úrovni LDAP/AD (nie je IdM) 2012 Žiadny

14 Informačná bezpečnosť Definície / Základné oblasti IB 1) Interdisciplinárna oblasť (veda) skúmanie hrozieb a vývoj metód ochrany aktív 2) Aktívne činnosti na dosiahnutie dostatočnej ochrany informácie 3) Ideálny stav súlad všetkých oblastí IB 1. Legislatíva a štandardy 2. Manažovanie 3. Riadenie rizík 4. Obstarávanie, vývoj, zmeny IKT 5. Fyzická bezpečnosť * 6. Riadenie prístupu 7. Bezpečnosť komunikácie 8. Správa incidentov * 9. Prevádzka IKT a kontinuita činností 10. Audit

15 Snažíme sa, ale stačí len sieťová bezpečnosť? Informačná bezpečnosť Ktorý útvar aspoň čiastočne realizuje IB? Iný útvar: 5,6% 23,8% Žiadny 4,8% 11,1% ČR SR Útvar/orgán bezpečnosti 14,3% Pracovisko IKT 83,3% 85,7%

16 Informačná bezpečnosť Legislatíva / Koncepcie o o o Zákon č.122/2013 Z.z. (o ochrane OÚ) Zákon č.275/2006 Z.z. (o IS verejnej správy) o Výnos o štandardoch ISVS (MF SR č.55/2014) Zákon č.305/2013 Z.z. o e-governmente Koncepcia informatizácie a digitalizácie rezortu do r.2020 Infraštruktúra / Elektr.služby / DEO IB:... užívateľská a obsahová bezpečnosť využívania IKT a koncových zariadení... Akčné plány informatizácie a digitalizácie rezortu do r.2020 A1.5 Bezpečnosť infraštruktúry na všetkých úrovniach

17 IS VEREJNEJ SPRÁVY Kategórie používateľov 1) Laici neprivilegovaní používatelia 2) Manažéri inštitúcie vedúci zamestnanci 3) Informatici (nie pre oblasť IB) IT manažéri Správcovia sietí a IS 4) Špecialisti v IB Manažéri IB Špecialisti bezpečnostných technológií Audítori Bezpečnostní analytici

18 Je sebavedomie odrazom úrovne komplexnej IB? Informačná bezpečnosť Ako hodnotíte vlastnú úroveň IB? nedostatočná úroveň 4,8% nízka úroveň 16,7% 33,3% ČR dobrá úroveň 61,9% 77,8% SR výborná úroveň 0,0% 5,6%

19 Hrozby a sankcie nás desia, no dobré príklady priťahujú Informačná bezpečnosť Vyberte faktory s najväčším vplyvom na presadzovanie IB Príklad iných univerzít 23,8% 50,0% Hrozba finančných sankcií 28,6% 44,4% Výsledky auditu IB / odporúčanie audítorov 19,0% 33,3% ČR Aplikácia zákona o ochrane osobných údajov 61,1% 95,2% SR Tlak (požiadavky) vedenia univerzity 14,3% 27,8% Hrozba reálneho útoku na univerzitnú sieť 77,8% 85,7%

20 Zanedbaná správa PC zariadení predstavuje vážnu hrozbu Informačná bezpečnosť Existuje centrálna správa pracovných staníc používateľov? 19% 38% 10% Áno, existuje pre PC všetkých používateľov Áno, existuje pre PC študentov Áno, existuje pre PC Zamestnancov Neexistuje centrálna správa PC 33%

21 Prémiové otázky: Koľko % VŠ v SR? Koľko % VŠ v ČR? Informačná bezpečnosť Má univerzita formálne definovanú a najvyšším vedením schválenú Politiku IB? NIE 42,9% 77,8% ČR SR ÁNO 22,2% 57,1%

22 IB zatiaľ realizujeme ako Open Source... Informačná bezpečnosť Má univerzita vyčlenený samostatný rozpočet pre financovanie IB? Nie 71,4% 88,9% ČR SR Áno, v rámci rozpočtu iného útvaru 11,1% 28,6%

23 Väčšina VŠ je odsúdená na spoluprácu Informačná bezpečnosť Aké časti IKT Vám outsourcuje (aspoň čiastočne) externý partner (dodávateľ)? Žiadne Bezpečnostný monitoring Help Desk pre používateľov IS a služieb Správa databáz Prevádzka a údržba IS (softvér) Prevádzka a údržba IT (hardvér) Vývoj IS a aplikácií Pripojenie do internetu Správa LAN sietí Správa FireWall 0,0% 0,0% 4,8% 5,6% 9,5% 9,5% 11,1% 9,5% 9,5% 19,0% 27,8% 27,8% 27,8% 28,6% 38,1% 50,0% 57,1% 76,2% ČR SR

24 Ešte sa dá spoľahnúť na gentlemanské dohody? Informačná bezpečnosť Je externý partner využívajúci IS univerzity viazaný bezpečnostnými pravidlamí? Ne, nie sú stanovené žiadne pravidlá 15,4% 19,0% Ano, pravidlá sú v písomnej dohode 47,6% 61,5% ČR SR Áno, pravidlá sú v ústnej podobe 23,1% 33,3%

25 Trend k centrálnej správe identít Informačná bezpečnosť Vytvárate a spravujete jednotné používateľské účty? Jednotný používateľský účet na prihlásenie nie je zavedený 7,1% 14,3% Vytvorenie jednotných používateľských účtov pre časť IS 35,7% 52,4% ČR SR Generovanie jednotných používateľských účtov pre všetky IS 33,3% 57,1%

26 Zneužitie oprávnení patrí medzi časté hrozby Informačná bezpečnosť Akým spôsobom vykonávate rušenie (znefunkčnenie) účtov používateľov IS? Ad-hoc (bez väzby na procesy) 52,4% Prostredníctvom hromadných update s oneskorením 28,6% SR Pri zodpovedajúcej udalosti okamžite (riadi IDM alebo systém skriptov) 42,9%

27 Zvládne 1 manažér riadenie 10 oblastí IB? Informačná bezpečnosť Kto je na univerzite zodpovedný za riadenie IB? Nikto nemá definovanú priamu zodpovednosť 5,6% 26,1% Zodpovednosť rozdelená medzi viac ľudí (členov orgánu IB) 13,0% 50,0% Špecialista (nemanažérska pozícia) 11,1% 21,7% ČR SR Manažér/vedúci pracoviska 13,0% 22,2% Člen vedenia (rektor/prorektor/dekan/kvestor) 11,1% 26,1%

28 RIADENIE IB Ako začať? 1) Presadiť do zámerov VŠ cieľ IB 2) Vytvoriť útvar IB (komisia, rada rektora,...) Fyzická a objektová bezpečnosť Personálna bezpečnosť Sieťová a dátová bezpečnosť 3) Spracovať a vedením VŠ prijať POLITIKU IB 4) Zabezpečiť financovanie IB

29 RIADENIE IB Na čom stavať? o Vnútorný systém kvality (CAF) IB ako dôležitý proces o Zmapované aktíva o Popísané procesy o Pracujeme v cykloch PDCA o Vyriešená ochrana OÚ bezpečnostný projekt, smernice o Prevádzka sietí a správa dát o Správa identít a prístupov k IS o Spolupráca s odborníkmi na IB

30

31 Čo nám prispeje k pokojnejšiemu spánku? Virtualizácia serverov Voice-over-IP (VoIP) Informačná bezpečnosť Ktoré z oblastí považujete za najväčšie výzvy z hľadiska IB (max.3)? Teleworking Mobilná komunikácia (PDA, smart phones) Správa identít (IDM) Webové aplikácie a služby Služby bezdrátovej siete (wifi) Zmena SW platformy Šifrovaná ová komunikácia Kryptovanie diskov Integrácia logickej a fyzickej bezpečnosti Virtualizácia desktopov 0,0% 0,0% 9,5% 6,0% 0,0% 0,0% 6,0% 11,0% 9,5% 17,0% 14,3% 11,0% 14,3% 17,0% 23,8% 28,6% 28,0% 33,3% 28,6% 28,0% 33,0% 44,0% 52,4% 57,1% ČR SR

32 Ak dnes váhame, či máme niečo urobiť, urobme aspoň to, čo môžeme a vieme, aby sme si zajtra nevyčítali, že sme neurobili vôbec nič. ĎAKUJEM ZA POZORNOSŤ! Ing. Jozef Koricina