Stav IKT a informačná bezpečnosť

Stav IKT a informačná bezpečnosť na vysokých školách v SR Ing. Jozef Koricina Trnavská univerzita v Trnave Centrum informačných systémov jozef.koricina@truni.sk

AGENDA Trošku inak ako v zborníku Pokus o nadhľad na IKT v edu sektore SR Stav IKT na vysokých školách v SR Pokus o nadhľad na IB v edu sektore SR Prieskum IB na univerzitách v SR Súťažná otázka / odmena Ako začať / ako ďalej s IB v edu sektore?

IKT v edu sektore SR Strategické dokumenty 2014 - Koncepcia informatizácie a digitalizácie rezortu do r.2020 Infraštruktúra / Elektronické služby / DEO Možnosť pripomienkovať - ÁNO 2015 - Akčné plány informatizácie a digitalizácie rezortu do r.2020 Infraštr. / Služby /D-Obsah / D-Zručnosti /Spolupráca Možnosť pripomienkovať - NIE (čiastočne cez SRK) 2016 - Dlhodobý zámer vo vzdelávacej, výskumnej, vývojovej a ďalšej tvorivej činnosti pre oblasť vysokých škôl na roky 2016 2020 Dostupnosť / Kvalita / Efektívnosť / Atraktivita prostredia Možnosť pripomienkovať - NIE

IKT v edu sektore SR Nekoncepčnosti MŠVVŠ SR (štát) Vysoké školy v SR Portál ISS CVI SR Cisco Telepresence SIVVP e-government SAP-SOFIA (BW, BI) Portál VŠ vlastný hardvér a licencie Vlastné videokonferenčné systémy nemožnosť využiť (náklady) univerzitné riešenia e- komunikácie univerzitné analytické riešenia chýbajú pravidlá a záväznosť

IKT v edu sektore Úspešné integrácie IS Portál VŠ (e-prihláška) <-> AIS VŠ (uchádzači) SAP -> AIS (zamestnanci, platby) AIS VŠ -> CRŠ / SAP-HCM -> CRZ / KIS -> CRZP, CREPČ ESS portál <-> IDM (LDAP) VŠ (autentifikácia) AIS -> Centrálny register zmlúv (zmluvy o ubytovaní)

IKT v edu sektore SR Snahy EUNIS-SK Postavenie informatikov v centrách IKT Financovanie prevádzky IKT na VŠ Portál VŠ webové sídlo edu sektora VŠ SIVVP / ISS CVTI SR Jednotný identifikátor (eduid) -> edugain SAP-SOFIA (BW, BI) Integrácia -> rezort / štát / partneri Informačná bezpečnosť

Financovanie IKT na VŠ Výdavky TU v Trnave na IKT 2002-2015 3 000 2 750 tis. Zabezpečili nám projekty z EŠF všetky potreby IKT? 2 500 2 000 1 500 1 000 2 125 732 1 483 Čo cena vs kvalita? Ako sme zefektívnili hlavné procesy? Sme schopní udržať prevádzku nových IKT? Ďalšie investície do IKT alebo zefektívniť využitie existujúcich? 500 114 167 214 262 239 108 102 436 258 0 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015

Skoro polovica VŠ nepoužíva na zálohovanie magnetopáskové knižnice 10 9 8 7 6 5 4 2014-2016 Automatizované knižnice 2014 2016 18% 45% 18% 5% 14% 2016 HP Sun Oracle IBM Iné Žiadna 3 2 1 0 HP Sun Oracle IBM Iné Žiadna

Oracle stráca svoje postavenie, DB2 zmizla Databázové platformy 9% 2016 2012-2016 30% 31% Oracle MS SQL 30% MySQL PostgreS 2012 2014 2016 Oracle MS SQL MySQL PostgreS DB2

K MS Windows a Linux stúpa VMware Operačné systémy 2016 VMware 2012-2016 4% 20% 37% 39% Linux Windows Solaris VMware Solaris 2016 2014 Windows 2012 Linux 0 5 10 15 20 25

Open Source je pre VŠ dostupnejší Žiadny e-learningové systémy 2012-2014 8% 13% 54% 2016 Moodle NetDimensions (EKP) UIS Iný LMS UIS 13% 12% 2016 2014 2012 Iný LMS Žiadny NetDimensions (EKP) Moodle 0 5 10 15 20

Dva dominantné KIS Knižničné systémy 2016 Proflib Virtua 2012-2016 0% 14% 4% 9% 32% 41% DAWINCI Rapid Library-A Aleph OLIB Virtua OLIB 2016 Proflib 2014 Aleph 2012 Rapid Library-A DAWINCI 0 2 4 6 8 10

Tretina VŠ nerieši centrálnu správu identít Správa identít 2016 Komerčný (IBM, Novell) 2012-2016 5% 23% 36% 36% Žiadny Na úrovni LDAP/AD (nie je IdM) Vývoj (vlastný) Vývoj (vlastný) 2016 2014 Na úrovni LDAP/AD (nie je IdM) 2012 Žiadny 0 2 4 6 8 10 12 14

Informačná bezpečnosť Definície / Základné oblasti IB 1) Interdisciplinárna oblasť (veda) skúmanie hrozieb a vývoj metód ochrany aktív 2) Aktívne činnosti na dosiahnutie dostatočnej ochrany informácie 3) Ideálny stav súlad všetkých oblastí IB 1. Legislatíva a štandardy 2. Manažovanie 3. Riadenie rizík 4. Obstarávanie, vývoj, zmeny IKT 5. Fyzická bezpečnosť * 6. Riadenie prístupu 7. Bezpečnosť komunikácie 8. Správa incidentov * 9. Prevádzka IKT a kontinuita činností 10. Audit

Snažíme sa, ale stačí len sieťová bezpečnosť? Informačná bezpečnosť Ktorý útvar aspoň čiastočne realizuje IB? Iný útvar: 5,6% 23,8% Žiadny 4,8% 11,1% ČR SR Útvar/orgán bezpečnosti 14,3% Pracovisko IKT 83,3% 85,7%

Informačná bezpečnosť Legislatíva / Koncepcie o o o Zákon č.122/2013 Z.z. (o ochrane OÚ) Zákon č.275/2006 Z.z. (o IS verejnej správy) o Výnos o štandardoch ISVS (MF SR č.55/2014) Zákon č.305/2013 Z.z. o e-governmente Koncepcia informatizácie a digitalizácie rezortu do r.2020 Infraštruktúra / Elektr.služby / DEO IB:... užívateľská a obsahová bezpečnosť využívania IKT a koncových zariadení... Akčné plány informatizácie a digitalizácie rezortu do r.2020 A1.5 Bezpečnosť infraštruktúry na všetkých úrovniach

IS VEREJNEJ SPRÁVY Kategórie používateľov 1) Laici neprivilegovaní používatelia 2) Manažéri inštitúcie vedúci zamestnanci 3) Informatici (nie pre oblasť IB) IT manažéri Správcovia sietí a IS 4) Špecialisti v IB Manažéri IB Špecialisti bezpečnostných technológií Audítori Bezpečnostní analytici

Je sebavedomie odrazom úrovne komplexnej IB? Informačná bezpečnosť Ako hodnotíte vlastnú úroveň IB? nedostatočná úroveň 4,8% nízka úroveň 16,7% 33,3% ČR dobrá úroveň 61,9% 77,8% SR výborná úroveň 0,0% 5,6%

Hrozby a sankcie nás desia, no dobré príklady priťahujú Informačná bezpečnosť Vyberte faktory s najväčším vplyvom na presadzovanie IB Príklad iných univerzít 23,8% 50,0% Hrozba finančných sankcií 28,6% 44,4% Výsledky auditu IB / odporúčanie audítorov 19,0% 33,3% ČR Aplikácia zákona o ochrane osobných údajov 61,1% 95,2% SR Tlak (požiadavky) vedenia univerzity 14,3% 27,8% Hrozba reálneho útoku na univerzitnú sieť 77,8% 85,7%

Zanedbaná správa PC zariadení predstavuje vážnu hrozbu Informačná bezpečnosť Existuje centrálna správa pracovných staníc používateľov? 19% 38% 10% Áno, existuje pre PC všetkých používateľov Áno, existuje pre PC študentov Áno, existuje pre PC Zamestnancov Neexistuje centrálna správa PC 33%

Prémiové otázky: Koľko % VŠ v SR? Koľko % VŠ v ČR? Informačná bezpečnosť Má univerzita formálne definovanú a najvyšším vedením schválenú Politiku IB? NIE 42,9% 77,8% ČR SR ÁNO 22,2% 57,1%

IB zatiaľ realizujeme ako Open Source... Informačná bezpečnosť Má univerzita vyčlenený samostatný rozpočet pre financovanie IB? Nie 71,4% 88,9% ČR SR Áno, v rámci rozpočtu iného útvaru 11,1% 28,6%

Väčšina VŠ je odsúdená na spoluprácu Informačná bezpečnosť Aké časti IKT Vám outsourcuje (aspoň čiastočne) externý partner (dodávateľ)? Žiadne Bezpečnostný monitoring Help Desk pre používateľov IS a služieb Správa databáz Prevádzka a údržba IS (softvér) Prevádzka a údržba IT (hardvér) Vývoj IS a aplikácií Pripojenie do internetu Správa LAN sietí Správa FireWall 0,0% 0,0% 4,8% 5,6% 9,5% 9,5% 11,1% 9,5% 9,5% 19,0% 27,8% 27,8% 27,8% 28,6% 38,1% 50,0% 57,1% 76,2% ČR SR

Ešte sa dá spoľahnúť na gentlemanské dohody? Informačná bezpečnosť Je externý partner využívajúci IS univerzity viazaný bezpečnostnými pravidlamí? Ne, nie sú stanovené žiadne pravidlá 15,4% 19,0% Ano, pravidlá sú v písomnej dohode 47,6% 61,5% ČR SR Áno, pravidlá sú v ústnej podobe 23,1% 33,3%

Trend k centrálnej správe identít Informačná bezpečnosť Vytvárate a spravujete jednotné používateľské účty? Jednotný používateľský účet na prihlásenie nie je zavedený 7,1% 14,3% Vytvorenie jednotných používateľských účtov pre časť IS 35,7% 52,4% ČR SR Generovanie jednotných používateľských účtov pre všetky IS 33,3% 57,1%

Zneužitie oprávnení patrí medzi časté hrozby Informačná bezpečnosť Akým spôsobom vykonávate rušenie (znefunkčnenie) účtov používateľov IS? Ad-hoc (bez väzby na procesy) 52,4% Prostredníctvom hromadných update s oneskorením 28,6% SR Pri zodpovedajúcej udalosti okamžite (riadi IDM alebo systém skriptov) 42,9%

Zvládne 1 manažér riadenie 10 oblastí IB? Informačná bezpečnosť Kto je na univerzite zodpovedný za riadenie IB? Nikto nemá definovanú priamu zodpovednosť 5,6% 26,1% Zodpovednosť rozdelená medzi viac ľudí (členov orgánu IB) 13,0% 50,0% Špecialista (nemanažérska pozícia) 11,1% 21,7% ČR SR Manažér/vedúci pracoviska 13,0% 22,2% Člen vedenia (rektor/prorektor/dekan/kvestor) 11,1% 26,1%

RIADENIE IB Ako začať? 1) Presadiť do zámerov VŠ cieľ IB 2) Vytvoriť útvar IB (komisia, rada rektora,...) Fyzická a objektová bezpečnosť Personálna bezpečnosť Sieťová a dátová bezpečnosť 3) Spracovať a vedením VŠ prijať POLITIKU IB 4) Zabezpečiť financovanie IB

RIADENIE IB Na čom stavať? o Vnútorný systém kvality (CAF) IB ako dôležitý proces o Zmapované aktíva o Popísané procesy o Pracujeme v cykloch PDCA o Vyriešená ochrana OÚ bezpečnostný projekt, smernice o Prevádzka sietí a správa dát o Správa identít a prístupov k IS o Spolupráca s odborníkmi na IB

Čo nám prispeje k pokojnejšiemu spánku? Virtualizácia serverov Voice-over-IP (VoIP) Informačná bezpečnosť Ktoré z oblastí považujete za najväčšie výzvy z hľadiska IB (max.3)? Teleworking Mobilná komunikácia (PDA, smart phones) Správa identít (IDM) Webové aplikácie a služby Služby bezdrátovej siete (wifi) Zmena SW platformy Šifrovaná e-mailová komunikácia Kryptovanie diskov Integrácia logickej a fyzickej bezpečnosti Virtualizácia desktopov 0,0% 0,0% 9,5% 6,0% 0,0% 0,0% 6,0% 11,0% 9,5% 17,0% 14,3% 11,0% 14,3% 17,0% 23,8% 28,6% 28,0% 33,3% 28,6% 28,0% 33,0% 44,0% 52,4% 57,1% ČR SR

Ak dnes váhame, či máme niečo urobiť, urobme aspoň to, čo môžeme a vieme, aby sme si zajtra nevyčítali, že sme neurobili vôbec nič. ĎAKUJEM ZA POZORNOSŤ! Ing. Jozef Koricina