Průkaz státního zaměstnance jako komplexní bezpečnostní předmět Jiří Hejl jiri.hejl@sshr.gov.cz, +420606724987 Správa státních hmotných rezerv ČR, ústředí: Šeříková 616/1, 150 85 Praha 5 Smíchov, e-mail: posta@sshr.cz, www.sshr.cz
Omezení prosím čtenáře o pochopení, že uváděné informace nemusí v době přípravy prezentace odpovídat plně stavu, který je či bude schválen v SSHR uvedené informace mají sloužit zejména k otevření diskuze nad problematikou průkazu státního zaměstnance, kvalifikovaného prostředku pro vytváření kvalifikovaných elektronických podpisů a k diskuzi nad realizací uvedených výzev jedním nosičem 2
Současný stav v SSHR stávající zaměstnanecký průkaz bezkontaktní čip MIFARE DESFire v gestci OBKŘ docházkový systém ADS elektronická zabezpečovací signalizace EZS OBKŘ vydává průkaz na pokyn personalisty včetně inicializace a aktivace v ADS a EZS nosič - karta a individuální přelepky s potiskem ID karty jako identifikace aktuálního držitele procesy vydání průkazu, odebrání průkazu, změna držitele průkazu 3
Výzvy povinnost do 31.12.2018 vybavit každého státního zaměstnance Průkazem státního zaměstnance a ostatní osoby Průkazem (nestátního) zaměstnance povinnost do 19.9.2018 vybavit osoby technickým a programovým vybavením v souvislosti s požadavkem na používání kvalifikovaného elektronického podpisu dle eidas vybavit osoby technickým a programovým vybavením v souvislosti s komerčním certifikátem (většinou) pro přístup do státních IS (Rejstřík trestu, internetové bankovnictví ČNB, ISDS, NEN, ) fakultativně vybavit osoby technickým a programovým vybavením v souvislosti s identifikací a autentizací do IS SSHR fakultativně vybavit osoby technickým a programovým vybavením v souvislosti s šifrováním dat v prostředí SSHR vybavit osoby technickým vybavením pro účely docházkového systému ADS vybavit osoby technickým vybavením pro účely Poplachového zabezpečovacího a tísňového systému PZTS (dříve Elektrická zabezpečovací signalizace EZS) řešení musí být ekonomicky optimální a jeho procesy co nejvíce automatizované 4
Řešení univerzální bezpečnostní předmět nosič několika identit identita státního nebo nestátního zaměstnance projevená potiskem lícové strany předmětu, identita držitele projevená v bezkontaktní části jako ID předmětu pro účely ADS a PZTS identita držitele projevená v kontaktní část privátními klíči a certifikáty pro definované účely použití podpora souvisejících procesů prostřednictvím jednotného CMS - Card Management System 5
Identita státního zaměstnance projevená potiskem lícové strany předmětu podle vzoru ve vyhlášce 388/2017 Sb., o vzoru služebního průkazu státního zaměstnance rubová strana služebního průkazu státního zaměstnance je vyhrazena pro zápis jiných údajů, stanoví-li tak jiný právní předpis 6
Problematika Průkazu státního zaměstnance vychází ze zákona 234/2014 Sb. o státní službě a vyhlášky 388/2017 Sb. o vzoru služebního průkazu státního zaměstnance služební průkaz osvědčuje, že jeho držitel je státním zaměstnancem Perličky průkaz vydává každý služební úřad nezávisle příjmení a označení služebního úřadu (v němž státní zaměstnanec vykonává službu) se zapisují velkými písmeny fotografii zpracovává každý služební úřad nezávisle a nejde ji tedy mimo vydávající služební úřad jednoduše zpřístupnit pro vyplnění ostatních položek je nutný přístup do Informačního systému o státní službě, který ve svém Rejstříku státních zaměstnanců obsahuje pro účely vyplnění položek Průkazu jen jméno, příjmení, titul, číslo služebního průkazu, evidenční číslo státního zaměstnance, den vzniku služebního poměru, údaj o tom, zda se jedná o služební poměr na dobu neurčitou též doba jeho trvání, služební úřad, v němž státní zaměstnanec vykonává státní službu Průkaz tedy nelze použít k identifikaci návštěvníka na jiném služebním úřadu nemohu důvěřovat potisku, nelze ověřit údaje potisk je uveden ve vyhlášce, kdokoliv si tedy může nosič potisknout a ukrást identitu potisk je možné doplnit bezpečnostními prvky, ale opět individuálně bez centrálních pravidel k čemu má tedy průkaz sloužit? osobní údaje, zejména fotografie, případně přístup z jiného služebního úřadu 7
Životní situace průkazu státního zaměstnance zákon určuje 18 životních situací státního zaměstnance, viz 44 zákona 234/2014 Sb., o státní službě jsou realizovány těmito procesy Proces vydání průkazu Proces aktualizace Proces dočasného uschování Proces odebrání Proces zničení průkazu Proces vydání a odebrání dočasného průkazu Ztráta průkazu na základě analýzy dopadů životních situací státního zaměstnance na životní cyklus Průkazu změna role personalisty SSHR 8
Identita nestátního zaměstnance potisk lícové i rubové strany je v pravomoci vydávajícího zaměstnavatele osobní údaje, zejména fotografie a přístup k nim odjinud 9
Identita v bezkontaktní části pro oba druhy zaměstnanců je bezkontaktní část identická technicky obsahuje čip MIFARE DESFire EV2 4K a funguje na frekvenci 13,56 MHz, se kterou pracuje řada čteček obsahem čipu je ID karty a nejde měnit ID karty je zavedeno v ADS a v PZTS a je k němu přiřazena identifikace držitele včetně požadované autorizace ID karty je zřejmě osobní údaj zpracovávaný na základě souhlasu subjektu údajů 10
Identita v kontaktní části bezpečnostní předmět je kvalifikovaným prostředkem pro vytváření kvalifikovaných elektronických podpisů (QSCD) podle požadavků eidas čip je QSCD a spolupracuje s APCS podporuje uložení certifikátů třetích stran nebo z vlastní doménové CA: dvoufaktorové přihlášení autentizačním certifikátem do PC (doporučení GDPR, Zákona o kybernetické bezpečnosti "ZKB") ochrana uživatelských dat šifrovacím certifikátem čip je certifikován také na vytváření kvalifikované elektronické pečetě podpora automatizované obnovy certifikátů uložených na kartě 11
Problémy související s QSCD certifikace je dnes na: kartu a její aplikaci, čtečka podléhá standardnímu SSCD a CE middleware certifikaci nemá! aplikace - v rámci aplikační vrstvy, která kartu využívá, certifikace nejsou podpora uložení jiných certifikátu pro implementaci dalších funkcí karty (maximalizace využití karty v organizaci) 12
Prostředí vytváření podpisu 13
Důvěra v podepisování k eidas je vydáno mj. prováděcí nařízení 2016/650, kterým se stanoví normy pro posuzování bezpečnosti kvalifikovaných prostředků pro vytváření elektronických podpisů a pečetí podle čl. 30 odst. 3 a čl. 39 odst. 2 nařízení Evropského parlamentu a Rady (EU) č. 910/2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu Příloha uvádí normu EN 419 211, která sestává z různých částí (1 až 6), jež se týkají různých situací. Norma EN 419 211 část 5 a norma EN 419 211 část 6 uvádějí rozšíření související s prostředím kvalifikovaných prostředků pro vytváření podpisů, jako je komunikace s důvěryhodnými aplikacemi pro vytváření podpisů. Výrobci mohou tato rozšíření použít. Podle 56. bodu odůvodnění nařízení (EU) č. 910/2014 je rozsah certifikace podle článků 30 a 39 uvedeného nařízení omezen na ochranu dat pro vytváření podpisů a z rozsahu certifikace jsou vyloučeny aplikace pro vytváření podpisů. podle MVČR do toho patří i middleware, je tedy také vyloučeno z rozsahu certifikace to je samozřejmě docela problém, protože protection profiles (z prováděcího nařízení 2016/650) definují bezpečnostní požadavky, které jsou jak na prostředek, tak i aplikace. Toto navíc umocňuje kontroverznost požadavku některých uživatelů na cachování PIN, kdy se na jedno zadání PIN má umožnit více elektronických podpisů/pečetí. V řetězci prostředek čtečka middleware aplikace pak vzniká bílé místo. Pokud se nevynutí znovuzadání PIN na úrovni prostředku nebo middleware, tak není garantováno, že uživatel vždy ví, že se něco podepisuje. 14
Možné řešení jako základ vždy použít prostředek, který má certifikaci dle norem uvedených v nařízení 2016/650 vytvořit bezpečnostní požadavky na základě stejných norem a jejich mapování na další komponenty čtečka spíše ovlivňuje vyšší vrstvy, dle toho, jestli je čtečka PINPad nebo obyčejná middleware aplikace provedení auditu na vyhodnocení shody řešení s definovanými bezpečnostními požadavky 15
Doplňovat na vyšší úrovně podpisu co nejdříve povýšit podpis na vyšší úroveň zajištění dlouhodobé ověřitelnosti před povýšením dochází k ověření podpisu (využít jako kontrolu, co je podepsáno) 16
Identifikace a šifrování v prostředí SSHR doména Windows Server 2016 aktivace doménové certifikační služby - certifikáty pro autentizaci a šifrování (zdarma) procesy spojené se správou doménové CA implementovány jako součást managementu životního cyklu karet a certifikátů přihlašování do počítače vyhovění doporučením ZKB a GDPR zvýšení komfortu uživatelů a povýšení bezpečnosti při vyjmutí karty ze čtečky automatické uzamknutí stanice uživatele přihlašování do aplikací šifrování a key escrow čtečky karet 17
Architektura řešení 18
Procesy inicializace import dat o kartách do managementu karet a certifikátů přiřazení a vydání karty uživateli distribuce bezkontaktní identifikační části do okolních systémů potisk karty v designu státního zaměstnance nebo v designu SSHR dotisk uživatelských údajů vygenerování klíčů a vydání doménových certifikátů pro autentizaci a šifrování záznam událostí a jejich import do centrální správy 19
Procesy vydání QC do QSCD automatizované obnova certifikátů bez účasti na registračním místě změna QPIN a PUK karty při prvním použití kvalifikovaného el. klíče vytvoření a předání vazby uživatel + číslo QSCD prostředku APCS za účelem vydávání kvalifikovaného certifikátu na správný kvalifikovaný prostředek pro vytváření kvalifikovaných elektronických podpisů 20
Provázání s Windows Server 2016 integrace do AD šablony certifikátů pro technologické prvky, autentizaci a šifrování bezpečnostní koncept CA havarijní plány pro ošetření problémových stavů bezpečnostní certifikační směrnice a politiky vydávání definovaných certifikátů podle vytvořené politiky zálohování chodu CA 21
Shrnutí multifunkční nosič identit okolí potisk průkaz státního zaměstnance k čemu je to vůbec dobré? kontaktní část certifikáty zajistit požadovanou úroveň důvěry v kvalifikované podpisy bezkontaktní část ADS, PZTS Windows Server 2016 key escrew procesy 22
Děkuji za pozornost Prostor pro otázky a možná i pro odpovědi Jiří Hejl +420 606724987 jiri.hejl@sshr.gov.cz 23