Stav IKT a informačná bezpečnosť - UNINFOS 2016uninfos.umb.sk/zbornik/PPT/Koricina.pdf ·...
Transcript of Stav IKT a informačná bezpečnosť - UNINFOS 2016uninfos.umb.sk/zbornik/PPT/Koricina.pdf ·...
Stav IKT a informačná bezpečnosť
Ing. Jozef Koricina
Trnavská univerzita v Trnave | Centrum informačných systémov | [email protected]
na vysokých školách v SR
AGENDA
Trošku inak ako v zborníku
• Pokus o nadhľad na IKT v edu sektore SR
• Stav IKT na vysokých školách v SR
• Pokus o nadhľad na IB v edu sektore SR
• Prieskum IB na univerzitách v SR
– Súťažná otázka / odmena
• Ako začať / ako ďalej s IB v edu sektore?
IKT v edu sektore SR
Strategické dokumenty
• 2014 - Koncepcia informatizácie a digitalizácie rezortu do r.2020
• Infraštruktúra / Elektronické služby / DEO
• Možnosť pripomienkovať - ÁNO
• 2015 - Akčné plány informatizácie a digitalizácie rezortu do r.2020
• Infraštr. / Služby /D-Obsah / D-Zručnosti /Spolupráca
• Možnosť pripomienkovať - NIE (čiastočne cez SRK)
• 2016 - Dlhodobý zámer vo vzdelávacej, výskumnej, vývojovej a ďalšej
tvorivej činnosti pre oblasť vysokých škôl na roky 2016 – 2020
• Dostupnosť / Kvalita / Efektívnosť / Atraktivita prostredia
• Možnosť pripomienkovať - NIE
IKT v edu sektore SR
Nekoncepčnosti
MŠVVŠ SR (štát) Vysoké školy v SR
• Portál ISS CVI SR
• Cisco Telepresence
• SIVVP
• e-Government
• SAP-SOFIA (BW, BI)
• Portál VŠ
• vlastný hardvér a licencie
• Vlastné videokonferenčné systémy
• nemožnosť využiť (náklady)
• univerzitné riešenia e- komunikácie
• univerzitné analytické riešenia
• chýbajú pravidlá a záväznosť
IKT v edu sektore
Úspešné integrácie IS
• Portál VŠ (e-prihláška) <-> AIS VŠ (uchádzači)
• SAP -> AIS (zamestnanci, platby)
• AIS VŠ -> CRŠ / SAP-HCM -> CRZ / KIS -> CRZP, CREPČ
• ESS portál <-> IDM (LDAP) VŠ (autentifikácia)
• AIS -> Centrálny register zmlúv (zmluvy o ubytovaní)
IKT v edu sektore SR
Snahy EUNIS-SK
• Postavenie informatikov v centrách IKT
• Financovanie prevádzky IKT na VŠ
• Portál VŠ – webové sídlo edu sektora VŠ
• SIVVP / ISS CVTI SR
• Jednotný identifikátor (eduID) -> eduGAIN
• SAP-SOFIA (BW, BI)
• Integrácia -> rezort / štát / partneri
• Informačná bezpečnosť
Financovanie IKT na VŠ
Zabezpečili nám projekty z EŠF všetky potreby IKT?
Čo cena vs kvalita?
Ako sme zefektívnili hlavné procesy?
Sme schopní udržať prevádzku nových IKT?
Ďalšie investície do IKT alebo zefektívniť využitie existujúcich?
0
500
1 000
1 500
2 000
2 500
3 000
2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015
114 167 214 262 239 108 102
2 750
2 125
732
436 258
1 483
Výdavky TU v Trnave na IKT 2002 - 2015 tis.€
Automatizované knižnice Skoro polovica VŠ nepoužíva na zálohovanie magnetopáskové knižnice
18%
18%
14% 5%
45%
2016
HP
Sun Oracle
IBM
Iné
Žiadna
0
1
2
3
4
5
6
7
8
9
10
HP Sun Oracle IBM Iné Žiadna
2014-2016
2014
2016
Databázové platformy Oracle stráca svoje postavenie , DB2 zmizla
31%
30%
30%
9% 2016
Oracle
MS SQL
MySQL
PostgreS
Oracle MS SQL MySQL PostgreS DB2
2012 - 2016
2012
2014
2016
Operačné systémy K MS Windows a Linux stúpa VMware
39%
37%
4% 20%
2016
Linux
Windows
Solaris
VMware
0 5 10 15 20 25
Linux
Windows
Solaris
VMware
2012 - 2016
2016
2014
2012
e-learningové systémy Open Source je pre VŠ dostupnejší
54%
12%
13%
13% 8%
2016
Moodle
NetDimensions (EKP)
UIS
Iný LMS
Žiadny
0 5 10 15 20
Moodle
NetDimensions (EKP)
UIS
Iný LMS
Žiadny
2012 - 2014
2016
2014
2012
Knižničné systémy Dva dominantné KIS
0 2 4 6 8 10
DAWINCI
Rapid Library-A
Aleph
OLIB
Virtua
Proflib
2012 - 2016
2016
2014
2012
41%
32%
9%
0% 14% 4%
2016
DAWINCI
Rapid Library-A
Aleph
OLIB
Virtua
Proflib
Správa identít Tretina VŠ nerieši centrálnu správu identít
36%
36%
5%
23%
2016
Žiadny
Na úrovni LDAP/AD(nie je IdM)Vývoj (vlastný)
0 2 4 6 8 10 12 14
Žiadny
Na úrovni LDAP/AD (nie je IdM)
Vývoj (vlastný)
Komerčný (IBM, Novell)
2012 - 2016
2016
2014
2012
Informačná bezpečnosť
Definície / Základné oblasti IB
1) Interdisciplinárna oblasť (veda) • skúmanie hrozieb a vývoj metód ochrany aktív
2) Aktívne činnosti • na dosiahnutie dostatočnej ochrany informácie
3) Ideálny stav • súlad všetkých oblastí IB
1. Legislatíva a štandardy 2. Manažovanie 3. Riadenie rizík 4. Obstarávanie, vývoj, zmeny IKT 5. Fyzická bezpečnosť * 6. Riadenie prístupu 7. Bezpečnosť komunikácie 8. Správa incidentov * 9. Prevádzka IKT a kontinuita činností 10. Audit
Informačná bezpečnosť
Ktorý útvar aspoň čiastočne realizuje IB?
Snažíme sa, ale stačí len sieťová bezpečnosť?
85,7%
14,3%
4,8%
23,8%
83,3%
11,1%
5,6%
Pracovisko IKT
Útvar/orgán bezpečnosti
Žiadny
Iný útvar:
ČR
SR
Informačná bezpečnosť
Legislatíva / Koncepcie
o Zákon č.122/2013 Z.z. (o ochrane OÚ)
o Zákon č.275/2006 Z.z. (o IS verejnej správy)
o Výnos o štandardoch ISVS (MF SR č.55/2014)
o Zákon č.305/2013 Z.z. o e-Governmente
• Koncepcia informatizácie a digitalizácie rezortu do r.2020
• Infraštruktúra / Elektr.služby / DEO
• IB: „... užívateľská a obsahová bezpečnosť využívania IKT a
koncových zariadení ...“
• Akčné plány informatizácie a digitalizácie rezortu do r.2020
• A1.5 Bezpečnosť infraštruktúry na všetkých úrovniach
IS VEREJNEJ SPRÁVY
Kategórie používateľov
1) Laici – neprivilegovaní používatelia
2) Manažéri inštitúcie – vedúci zamestnanci
3) Informatici (nie pre oblasť IB)
• IT manažéri
• Správcovia sietí a IS
4) Špecialisti v IB
• Manažéri IB
• Špecialisti bezpečnostných technológií
• Audítori
• Bezpečnostní analytici
Informačná bezpečnosť
Ako hodnotíte vlastnú úroveň IB?
Je sebavedomie odrazom úrovne komplexnej IB ?
0,0%
61,9%
33,3%
4,8%
5,6%
77,8%
16,7%
výborná úroveň
dobrá úroveň
nízka úroveň
nedostatočná úroveň
ČR
SR
Informačná bezpečnosť
Vyberte faktory s najväčším vplyvom na presadzovanie IB
Hrozby a sankcie nás desia, no dobré príklady priťahujú
85,7%
14,3%
95,2%
19,0%
28,6%
23,8%
77,8%
27,8%
61,1%
33,3%
44,4%
50,0%
Hrozba reálneho útoku na univerzitnú sieť
Tlak (požiadavky) vedenia univerzity
Aplikácia zákona o ochrane osobných údajov
Výsledky auditu IB / odporúčanie audítorov
Hrozba finančných sankcií
Príklad iných univerzít
ČR
SR
Informačná bezpečnosť Existuje centrálna správa pracovných staníc používateľov?
Zanedbaná správa PC zariadení predstavuje vážnu hrozbu
19%
10%
33%
38% Áno, existuje pre PC všetkýchpoužívateľov
Áno, existuje pre PC študentov
Áno, existuje pre PC Zamestnancov
Neexistuje centrálna správa PC
Informačná bezpečnosť
Má univerzita formálne definovanú a najvyšším vedením
schválenú Politiku IB?
Prémiové otázky: Koľko % VŠ v SR ? Koľko % VŠ v ČR ?
57,1%
42,9%
22,2%
77,8%
ÁNO
NIE
ČR
SR
Informačná bezpečnosť
Má univerzita vyčlenený samostatný rozpočet pre
financovanie IB?
IB zatiaľ realizujeme ako Open Source ...
28,6%
71,4%
11,1%
88,9%
Áno, v rámci rozpočtu iného útvaru
Nie
ČR
SR
Informačná bezpečnosť
Aké časti IKT Vám outsourcuje (aspoň čiastočne) externý
partner (dodávateľ)?
Väčšina VŠ je „odsúdená“ na spoluprácu
9,5%
9,5%
28,6%
76,2%
19,0%
57,1%
38,1%
4,8%
9,5%
9,5%
0,0%
11,1%
5,6%
50,0%
0,0%
27,8%
27,8%
27,8%
Správa FireWall
Správa LAN sietí
Pripojenie do internetu
Vývoj IS a aplikácií
Prevádzka a údržba IT (hardvér)
Prevádzka a údržba IS (softvér)
Správa databáz
Help Desk pre používateľov IS a služieb
Bezpečnostný monitoring
Žiadne
ČR
SR
Informačná bezpečnosť
Je externý partner využívajúci IS univerzity viazaný
bezpečnostnými pravidlamí?
Ešte sa dá spoľahnúť na gentlemanské dohody?
33,3%
47,6%
19,0%
23,1%
61,5%
15,4%
Áno, pravidlá sú v ústnej podobe
Ano, pravidlá sú v písomnej dohode
Ne, nie sú stanovené žiadne pravidlá
ČR
SR
Informačná bezpečnosť
Vytvárate a spravujete jednotné používateľské účty?
Trend k centrálnej správe identít
33,3%
52,4%
14,3%
57,1%
35,7%
7,1%
Generovanie jednotných používateľskýchúčtov pre všetky IS
Vytvorenie jednotných používateľskýchúčtov pre časť IS
Jednotný používateľský účet na prihlásenienie je zavedený
ČR
SR
Informačná bezpečnosť
Akým spôsobom vykonávate rušenie (znefunkčnenie) účtov
používateľov IS?
Zneužitie oprávnení patrí medzi časté hrozby
42,9%
28,6%
52,4%
Pri zodpovedajúcej udalosti okamžite (riadiIDM alebo systém skriptov)
Prostredníctvom hromadných update soneskorením
Ad-hoc (bez väzby na procesy)
SR
Informačná bezpečnosť
Kto je na univerzite zodpovedný za riadenie IB?
Zvládne 1 manažér riadenie 10 oblastí IB?
26,1%
13,0%
21,7%
13,0%
26,1%
11,1%
22,2%
11,1%
50,0%
5,6%
Člen vedenia (rektor/prorektor/dekan/kvestor)
Manažér/vedúci pracoviska
Špecialista (nemanažérska pozícia)
Zodpovednosť rozdelená medzi viac ľudí (členov orgánuIB)
Nikto nemá definovanú priamu zodpovednosť
ČR
SR
RIADENIE IB Ako začať ?
1) Presadiť do zámerov VŠ cieľ – IB
2) Vytvoriť útvar IB (komisia, rada rektora,...)
• Fyzická a objektová bezpečnosť
• Personálna bezpečnosť
• Sieťová a dátová bezpečnosť
3) Spracovať a vedením VŠ prijať POLITIKU IB
4) Zabezpečiť financovanie IB
RIADENIE IB Na čom stavať ?
o Vnútorný systém kvality (CAF) – IB ako dôležitý proces
o Zmapované aktíva
o Popísané procesy
o Pracujeme v cykloch PDCA
o Vyriešená ochrana OÚ – bezpečnostný projekt, smernice
o Prevádzka sietí a správa dát
o Správa identít a prístupov k IS
o Spolupráca s odborníkmi na IB
Informačná bezpečnosť
Ktoré z oblastí považujete za najväčšie výzvy z hľadiska IB
(max.3)?
Čo nám prispeje k pokojnejšiemu spánku?
9,5%
57,1%
14,3%
0,0%
28,6%
33,3%
52,4%
28,6%
14,3%
0,0%
9,5%
23,8%
17,0%
28,0%
6,0%
0,0%
11,0%
28,0%
0,0%
44,0%
17,0%
6,0%
33,0%
11,0%
Virtualizácia desktopov
Integrácia logickej a fyzickej bezpečnosti
Kryptovanie diskov
Šifrovaná e-mailová komunikácia
Zmena SW platformy
Služby bezdrátovej siete (wifi)
Webové aplikácie a služby
Správa identít (IDM)
Mobilná komunikácia (PDA, smart phones)
Teleworking
Voice-over-IP (VoIP)
Virtualizácia serverov
ČR
SR
ĎAKUJEM ZA POZORNOSŤ ! Ing. Jozef Koricina
Ak dnes váhame, či máme niečo urobiť,
urobme aspoň to, čo môžeme a vieme,
aby sme si zajtra nevyčítali, že sme
neurobili vôbec nič.