Stav IKT a informačná bezpečnosť

Ing. Jozef Koricina

Trnavská univerzita v Trnave | Centrum informačných systémov | jozef.koricina@truni.sk

na vysokých školách v SR

AGENDA

Trošku inak ako v zborníku

• Pokus o nadhľad na IKT v edu sektore SR

• Stav IKT na vysokých školách v SR

• Pokus o nadhľad na IB v edu sektore SR

• Prieskum IB na univerzitách v SR

– Súťažná otázka / odmena

• Ako začať / ako ďalej s IB v edu sektore?

IKT v edu sektore SR

Strategické dokumenty

• 2014 - Koncepcia informatizácie a digitalizácie rezortu do r.2020

• Infraštruktúra / Elektronické služby / DEO

• Možnosť pripomienkovať - ÁNO

• 2015 - Akčné plány informatizácie a digitalizácie rezortu do r.2020

• Infraštr. / Služby /D-Obsah / D-Zručnosti /Spolupráca

• Možnosť pripomienkovať - NIE (čiastočne cez SRK)

• 2016 - Dlhodobý zámer vo vzdelávacej, výskumnej, vývojovej a ďalšej

tvorivej činnosti pre oblasť vysokých škôl na roky 2016 – 2020

• Dostupnosť / Kvalita / Efektívnosť / Atraktivita prostredia

• Možnosť pripomienkovať - NIE

IKT v edu sektore SR

Nekoncepčnosti

MŠVVŠ SR (štát) Vysoké školy v SR

• Portál ISS CVI SR

• Cisco Telepresence

• SIVVP

• e-Government

• SAP-SOFIA (BW, BI)

• Portál VŠ

• vlastný hardvér a licencie

• Vlastné videokonferenčné systémy

• nemožnosť využiť (náklady)

• univerzitné riešenia e- komunikácie

• univerzitné analytické riešenia

• chýbajú pravidlá a záväznosť

IKT v edu sektore

Úspešné integrácie IS

• Portál VŠ (e-prihláška) <-> AIS VŠ (uchádzači)

• SAP -> AIS (zamestnanci, platby)

• AIS VŠ -> CRŠ / SAP-HCM -> CRZ / KIS -> CRZP, CREPČ

• ESS portál <-> IDM (LDAP) VŠ (autentifikácia)

• AIS -> Centrálny register zmlúv (zmluvy o ubytovaní)

IKT v edu sektore SR

Snahy EUNIS-SK

• Postavenie informatikov v centrách IKT

• Financovanie prevádzky IKT na VŠ

• Portál VŠ – webové sídlo edu sektora VŠ

• SIVVP / ISS CVTI SR

• Jednotný identifikátor (eduID) -> eduGAIN

• SAP-SOFIA (BW, BI)

• Integrácia -> rezort / štát / partneri

• Informačná bezpečnosť

Financovanie IKT na VŠ

Zabezpečili nám projekty z EŠF všetky potreby IKT?

Čo cena vs kvalita?

Ako sme zefektívnili hlavné procesy?

Sme schopní udržať prevádzku nových IKT?

Ďalšie investície do IKT alebo zefektívniť využitie existujúcich?

0

500

1 000

1 500

2 000

2 500

3 000

2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015

114 167 214 262 239 108 102

2 750

2 125

732

436 258

1 483

Výdavky TU v Trnave na IKT 2002 - 2015 tis.€

Automatizované knižnice Skoro polovica VŠ nepoužíva na zálohovanie magnetopáskové knižnice

18%

18%

14% 5%

45%

2016

HP

Sun Oracle

IBM

Iné

Žiadna

0

1

2

3

4

5

6

7

8

9

10

HP Sun Oracle IBM Iné Žiadna

2014-2016

2014

2016

Databázové platformy Oracle stráca svoje postavenie , DB2 zmizla

31%

30%

30%

9% 2016

Oracle

MS SQL

MySQL

PostgreS

Oracle MS SQL MySQL PostgreS DB2

2012 - 2016

2012

2014

2016

Operačné systémy K MS Windows a Linux stúpa VMware

39%

37%

4% 20%

2016

Linux

Windows

Solaris

VMware

0 5 10 15 20 25

Linux

Windows

Solaris

VMware

2012 - 2016

2016

2014

2012

e-learningové systémy Open Source je pre VŠ dostupnejší

54%

12%

13%

13% 8%

2016

Moodle

NetDimensions (EKP)

UIS

Iný LMS

Žiadny

0 5 10 15 20

Moodle

NetDimensions (EKP)

UIS

Iný LMS

Žiadny

2012 - 2014

2016

2014

2012

Knižničné systémy Dva dominantné KIS

0 2 4 6 8 10

DAWINCI

Rapid Library-A

Aleph

OLIB

Virtua

Proflib

2012 - 2016

2016

2014

2012

41%

32%

9%

0% 14% 4%

2016

DAWINCI

Rapid Library-A

Aleph

OLIB

Virtua

Proflib

Správa identít Tretina VŠ nerieši centrálnu správu identít

36%

36%

5%

23%

2016

Žiadny

Na úrovni LDAP/AD(nie je IdM)Vývoj (vlastný)

0 2 4 6 8 10 12 14

Žiadny

Na úrovni LDAP/AD (nie je IdM)

Vývoj (vlastný)

Komerčný (IBM, Novell)

2012 - 2016

2016

2014

2012

Informačná bezpečnosť

Definície / Základné oblasti IB

1) Interdisciplinárna oblasť (veda) • skúmanie hrozieb a vývoj metód ochrany aktív

2) Aktívne činnosti • na dosiahnutie dostatočnej ochrany informácie

3) Ideálny stav • súlad všetkých oblastí IB

1. Legislatíva a štandardy 2. Manažovanie 3. Riadenie rizík 4. Obstarávanie, vývoj, zmeny IKT 5. Fyzická bezpečnosť * 6. Riadenie prístupu 7. Bezpečnosť komunikácie 8. Správa incidentov * 9. Prevádzka IKT a kontinuita činností 10. Audit

Informačná bezpečnosť

Ktorý útvar aspoň čiastočne realizuje IB?

Snažíme sa, ale stačí len sieťová bezpečnosť?

85,7%

14,3%

4,8%

23,8%

83,3%

11,1%

5,6%

Pracovisko IKT

Útvar/orgán bezpečnosti

Žiadny

Iný útvar:

ČR

SR

Informačná bezpečnosť

Legislatíva / Koncepcie

o Zákon č.122/2013 Z.z. (o ochrane OÚ)

o Zákon č.275/2006 Z.z. (o IS verejnej správy)

o Výnos o štandardoch ISVS (MF SR č.55/2014)

o Zákon č.305/2013 Z.z. o e-Governmente

• Koncepcia informatizácie a digitalizácie rezortu do r.2020

• Infraštruktúra / Elektr.služby / DEO

• IB: „... užívateľská a obsahová bezpečnosť využívania IKT a

koncových zariadení ...“

• Akčné plány informatizácie a digitalizácie rezortu do r.2020

• A1.5 Bezpečnosť infraštruktúry na všetkých úrovniach

IS VEREJNEJ SPRÁVY

Kategórie používateľov

1) Laici – neprivilegovaní používatelia

2) Manažéri inštitúcie – vedúci zamestnanci

3) Informatici (nie pre oblasť IB)

• IT manažéri

• Správcovia sietí a IS

4) Špecialisti v IB

• Manažéri IB

• Špecialisti bezpečnostných technológií

• Audítori

• Bezpečnostní analytici

Informačná bezpečnosť

Ako hodnotíte vlastnú úroveň IB?

Je sebavedomie odrazom úrovne komplexnej IB ?

0,0%

61,9%

33,3%

4,8%

5,6%

77,8%

16,7%

výborná úroveň

dobrá úroveň

nízka úroveň

nedostatočná úroveň

ČR

SR

Informačná bezpečnosť

Vyberte faktory s najväčším vplyvom na presadzovanie IB

Hrozby a sankcie nás desia, no dobré príklady priťahujú

85,7%

14,3%

95,2%

19,0%

28,6%

23,8%

77,8%

27,8%

61,1%

33,3%

44,4%

50,0%

Hrozba reálneho útoku na univerzitnú sieť

Tlak (požiadavky) vedenia univerzity

Aplikácia zákona o ochrane osobných údajov

Výsledky auditu IB / odporúčanie audítorov

Hrozba finančných sankcií

Príklad iných univerzít

ČR

SR

Informačná bezpečnosť Existuje centrálna správa pracovných staníc používateľov?

Zanedbaná správa PC zariadení predstavuje vážnu hrozbu

19%

10%

33%

38% Áno, existuje pre PC všetkýchpoužívateľov

Áno, existuje pre PC študentov

Áno, existuje pre PC Zamestnancov

Neexistuje centrálna správa PC

Informačná bezpečnosť

Má univerzita formálne definovanú a najvyšším vedením

schválenú Politiku IB?

Prémiové otázky: Koľko % VŠ v SR ? Koľko % VŠ v ČR ?

57,1%

42,9%

22,2%

77,8%

ÁNO

NIE

ČR

SR

Informačná bezpečnosť

Má univerzita vyčlenený samostatný rozpočet pre

financovanie IB?

IB zatiaľ realizujeme ako Open Source ...

28,6%

71,4%

11,1%

88,9%

Áno, v rámci rozpočtu iného útvaru

Nie

ČR

SR

Informačná bezpečnosť

Aké časti IKT Vám outsourcuje (aspoň čiastočne) externý

partner (dodávateľ)?

Väčšina VŠ je „odsúdená“ na spoluprácu

9,5%

9,5%

28,6%

76,2%

19,0%

57,1%

38,1%

4,8%

9,5%

9,5%

0,0%

11,1%

5,6%

50,0%

0,0%

27,8%

27,8%

27,8%

Správa FireWall

Správa LAN sietí

Pripojenie do internetu

Vývoj IS a aplikácií

Prevádzka a údržba IT (hardvér)

Prevádzka a údržba IS (softvér)

Správa databáz

Help Desk pre používateľov IS a služieb

Bezpečnostný monitoring

Žiadne

ČR

SR

Informačná bezpečnosť

Je externý partner využívajúci IS univerzity viazaný

bezpečnostnými pravidlamí?

Ešte sa dá spoľahnúť na gentlemanské dohody?

33,3%

47,6%

19,0%

23,1%

61,5%

15,4%

Áno, pravidlá sú v ústnej podobe

Ano, pravidlá sú v písomnej dohode

Ne, nie sú stanovené žiadne pravidlá

ČR

SR

Informačná bezpečnosť

Vytvárate a spravujete jednotné používateľské účty?

Trend k centrálnej správe identít

33,3%

52,4%

14,3%

57,1%

35,7%

7,1%

Generovanie jednotných používateľskýchúčtov pre všetky IS

Vytvorenie jednotných používateľskýchúčtov pre časť IS

Jednotný používateľský účet na prihlásenienie je zavedený

ČR

SR

Informačná bezpečnosť

Akým spôsobom vykonávate rušenie (znefunkčnenie) účtov

používateľov IS?

Zneužitie oprávnení patrí medzi časté hrozby

42,9%

28,6%

52,4%

Pri zodpovedajúcej udalosti okamžite (riadiIDM alebo systém skriptov)

Prostredníctvom hromadných update soneskorením

Ad-hoc (bez väzby na procesy)

SR

Informačná bezpečnosť

Kto je na univerzite zodpovedný za riadenie IB?

Zvládne 1 manažér riadenie 10 oblastí IB?

26,1%

13,0%

21,7%

13,0%

26,1%

11,1%

22,2%

11,1%

50,0%

5,6%

Člen vedenia (rektor/prorektor/dekan/kvestor)

Manažér/vedúci pracoviska

Špecialista (nemanažérska pozícia)

Zodpovednosť rozdelená medzi viac ľudí (členov orgánuIB)

Nikto nemá definovanú priamu zodpovednosť

ČR

SR

RIADENIE IB Ako začať ?

1) Presadiť do zámerov VŠ cieľ – IB

2) Vytvoriť útvar IB (komisia, rada rektora,...)

• Fyzická a objektová bezpečnosť

• Personálna bezpečnosť

• Sieťová a dátová bezpečnosť

3) Spracovať a vedením VŠ prijať POLITIKU IB

4) Zabezpečiť financovanie IB

RIADENIE IB Na čom stavať ?

o Vnútorný systém kvality (CAF) – IB ako dôležitý proces

o Zmapované aktíva

o Popísané procesy

o Pracujeme v cykloch PDCA

o Vyriešená ochrana OÚ – bezpečnostný projekt, smernice

o Prevádzka sietí a správa dát

o Správa identít a prístupov k IS

o Spolupráca s odborníkmi na IB

Informačná bezpečnosť

Ktoré z oblastí považujete za najväčšie výzvy z hľadiska IB

(max.3)?

Čo nám prispeje k pokojnejšiemu spánku?

9,5%

57,1%

14,3%

0,0%

28,6%

33,3%

52,4%

28,6%

14,3%

0,0%

9,5%

23,8%

17,0%

28,0%

6,0%

0,0%

11,0%

28,0%

0,0%

44,0%

17,0%

6,0%

33,0%

11,0%

Virtualizácia desktopov

Integrácia logickej a fyzickej bezpečnosti

Kryptovanie diskov

Šifrovaná e-mailová komunikácia

Zmena SW platformy

Služby bezdrátovej siete (wifi)

Webové aplikácie a služby

Správa identít (IDM)

Mobilná komunikácia (PDA, smart phones)

Teleworking

Voice-over-IP (VoIP)

Virtualizácia serverov

ČR

SR

ĎAKUJEM ZA POZORNOSŤ ! Ing. Jozef Koricina

Ak dnes váhame, či máme niečo urobiť,

urobme aspoň to, čo môžeme a vieme,

aby sme si zajtra nevyčítali, že sme

neurobili vôbec nič.