COMPUTERWORLD
Specializovaný týdeník o výpočetní technice
Téma týdne
(CW 29/97)

Připravil ÚSIS opravdu kvalitní koncepci?

Milan Hejduk

Díky Internetu se nám podařilo uskutečnit rozhovor s Václavem Matyášem ml., který patří mezi naše přední odborníky na bezpečnost informačních technologií a ochranu osobních údajů a který se nyní věnuje vědecké práci na univerzitě v Cambridgi. Protože pan Matyáš sleduje situaci okolo SIS od úplného počátku, náš rozhovor se netýkal zdaleka jen bezpečnosti a ochrany osobních údajů.

ÚSIS zveřejnil před časem tzv. Koncepci SIS. Jistě jste se s ní seznámil. Jaký je váš názor na úplnost tohoto materiálu?

Já se ke "koncepci" dostal jako k důvěrnému materiálu při práci pro jednoho z členů Protibyrokratické komise a nevím, jestli a kdy byla dána k dispozici široké veřejnosti. Na webových stránkách ÚSIS k dispozici není. Mám osobně značné výhrady vůči nazývání tohoto materiálu "koncepce" nechme tam raději uvozovky. Podle mne je to nepříliš povedený materiál na jeho základě byste u žádné anglické firmy nedostal ani sto liber na rozpracování skutečné koncepce, natožpak miliardy na realizaci projektu. Těžko k tomu dokumentu říct příliš pozitivního snad jen to, že SIS je skutečně potřebný a že je v něm několik zajímavých návrhů a postřehů. Já bych za dokument možná udělil zápočet za semestrální projekt v prvním ročníku univerzitního studia informatiky, ale ve vyšších ročnících určitě ne. Pokud ÚSIS na základě tohoto dokumentu skutečně hodlá žádat o peníze nebo (nedej Bože) zřizovat SIS, tak asi pro úspěšný SIS připravil spíše antikoncepci. A to je škoda.

Které části koncepce by si podle vašeho názoru zasloužily výraznější přepracování?

Všechny. Prostě vzít nanejvýš názvy kapitol a skutečná fakta a celý dokument vypracovat znovu. Na základě tohoto dokumentu má vláda nebo možná parlament rozhodovat o přidělování miliard korun a musí vidět, jestli se bude jednat o investici nebo jen o utrácení. Podle "koncepce" to je jasně ta druhá možnost. Rád bych vám odcitoval některé pasáže, ale skutečně nevím, zda je dokument už veřejný. Vím, že něco z materiálů ÚSIS bylo prezentováno novinářům v červnu a osobně si myslím, že veřejnost tento dokument měla dostat před rokem spolu s návrhem zákona o kompetencích ÚSIS. Mohu vám říct jen svůj názor a závěry v obecné rovině. Nerad bych porušil slovo. (Pozn. red.: Materiály, které jsme obdrželi z ÚSIS a které jsou publikovány na předchozích stranách, jsou jen mírně upravenou verzí původní "Koncepce SIS").

Myšlenka SIS je dobrá, ale neznám žádnou firmu, která by mi dala peníze na gigantický projekt jen proto, že budu říkat, že je ten projekt potřebný a že to snad všem musí být jasné. Státní aparát je sice běžně méně rozvážný, co se utrácení týče, ale předkladatelé "koncepce" musí dnes vzít do úvahy realitu státního rozpočtu.

V koncepci musí být většina věcí jasně řečena a načrtnuta, jen minimum odhadnuto a takové odhady musí být nějak zdůvodněny. Koncepce musí po přečtení přesvědčit, že autor nebo autoři vědí co chtějí a hlavně vědí jak na to. Proto se snad říká koncepční přístup, ne?

Myslíte, že špatný stav koncepce je zaviněn špatným přenosem zkušeností a vědomostí mezi jednotlivými úředníky ÚSIS a státní správy obecně?

Nevím. Ale pokud si tento dokument mimo získávání a studia formulářů jiných ministerstev vyžádal více než týdenní práci jednoho člena ÚSIS, tak bych doporučoval podepsat propouštěcí příkaz. Nebo snad dokonce příkazy? Pan Němec na mne na rozdíl od Karla Dyby působí občas dojmem, že má skutečně zájem o zjednodušení oběhu informací a že ví o čem mluví, co se práce s informacemi a IT týče. Na výsledcích práce ÚSIS to ale vidět není, takže bych problémy asi skutečně hledal v ÚSIS. Je jasné, že mnozí úředníci státní správy budou klást zavádění nových technologií odpor, ale ti snad na "koncepci" nepracovali. Tady jde navíc i o něco jiného já být CIO (Chief Information Officer, ředitel pro informatiku pozn. red.) nějakého ministerstva, tak proti předložené "koncepci" taky budu bojovat, protože by mi bylo jasné, že s její realizací přestanou fungovat i stávající systémy a moji uživatelé-úředníci nebudou moci využít žádné informace, které dříve ve "svém" systému měli. Státní správa má být službou občanům dnes tomu tak bohužel není a zmiňovaný materiál neukazuje cestu, jak by tomu mohlo být.

Takže myslíte, že ÚSIS koncepci předloží a neuspěje s ní?

Pro budoucnost našeho státu a klid a pohodu našich občanů doufám, že s ní opravdu neuspěje. Bojím se ale jednoho aby ÚSIS nešel na věc tak, že řekne "věřte nám, my jsme přece ÚSIS a my ten SIS zvládneme" a vláda to takto neschválila. To bychom z našich daní platili pěkný nesmysl. Myslím, že "koncepci" SIS by měl vidět každý, kdo byť jen trochu rozumí IT a tuší, co je to projekt rozsahu SIS a kolik to bude řádově stát. A co se týče tématu pro vás eminentně zajímavého zabezpečení SIS a ochrany osobních údajů?

V tomto bodu může být SIS dobrý sluha, ale špatný pán. Pasáže ohledně bezpečnosti jsou velmi slabé snad až na princip cesty k získání důvěry občana. Ale co se jinak týče ochrany osobních údajů? Sám víte, že návrh zákona o kompetencích ÚSIS ztroskotal právě kvůli tomu, že ti, co jej sestavili, se snažili zabít dvě mouchy jednou ranou. Mysleli, že se jim podaří zase všechno uvařit pod pokličkou a spolu s rozběhnutím SIS vyřeší i nespokojenost EU se situací ohledně informačního soukromí u nás že bude ÚSIS nejen budovat SIS, ale také působit jako kontrolní orgán ohledně ochrany osobních údajů ve všech IS v zemi podle zákona 256/1992 Sb. Tak by měl ÚSIS prsty nejen v největším informačním systému s osobními údaji v zemi a kontroloval by ministerstva a sám sebe, ale také by dohlížel nad aspekty ochrany osobních údajů v privátním sektoru a samosprávě. Trošku moc divoké, nemyslíte?

Asi ano, ale co byste tedy navrhl vy jako hlavní princip budování SIS z těchto hledisek?

V hlavním bodu má "koncepce" náznak cesty správný. Já tento náznak znám v podobě velmi šikovného doporučení švédského "think tanku" švédské vládě, která měla zájem o zvýšení důvěryhodnosti státního aparátu s ohledem na využití IT. (Tady bych jen doplnil Švédsko je v této oblasti díky mnohým negativním i pozitivním zkušenostem na velmi dobré úrovni). Při jakémkoliv použití informace by měl být stát (její držitel i uživatel) zodpovědný za její pravdivost, úplnost a aktuálnost. V případě, že použitím nesprávné informace nebo nesprávným použitím informace způsobí újmu, tak je povinen ji plně kompenzovat. A stejně tak, pokud ji použije bez svolení občana pro jiný účel, než za jakým byla získána, pokud ji neochrání atd. Ty později uvedené případy jsou dnes třeba zde v Británii samozřejmostí, ale ten první by byl užitečný i tady o ČR ani nemluvě. To byste viděl, jak by data najednou byla v pořádku!

Ten první princip snad ale s bezpečností příliš nesouvisí?

Ale ano! Je to problém, který bude trápit spíše vás jako občana než stát. Uvědomte si, že to bude systém, ve kterém bude drtivá většina vašich osobních údajů. Představte si ten zmatek a kolotoč, když vám "berňák" omylem zaznamená, že jste odvedl milion na daních. Jak to asi dopadne s žádostí o přídavky na dítě, o státní podporu na byt apod.? Samotný IS se z teoretického hlediska bude chovat možná správně, bezpečnostní politika nebude porušena nedojde ke ztrátám. Ale co vy jako občan? Taky pro vás zjištění a náprava problému nebudou ztrátou přinejmenším času? Podle mne jste v takové situaci součástí širšího systému a v něm došlo ke ztrátám, tedy k narušení bezpečnosti. Vaše důvěra ve správnost systému bude narušena a důvěra je to, o co v bezpečnosti většinou jde.

Dobrá. Zastavme se ještě u techničtějších pasáží bezpečnosti jaké jsou vaše komentáře k návrhům budování SIS?

Je opravdu asi nejdůležitější rozvést ony dříve zmíněné principy. V podobných systémech nejsou největším problémem ochrana před hackery, šifrování komunikací, hesla atd. to jsou problémy, ke kterým existují řešení. Ve velkých systémech je největším problémem chování uživatelů "uvnitř". Jsou k dispozici údaje, že např. v britských vládních systémech se na bezpečnostních incidentech podílejí útoky zvenčí jen asi dvěma procenty a ve zdravotních systémech, kde jsou zvlášť citlivé informace, to je asi šest procent. Právě z těchto důvodů musí být pro každou operaci s daty prosazován princip individuální a prokazatelné zodpovědnosti (accountability). Hlavně kvůli prevenci aby úředníci jako uživatelé informací věděli, že mohou beztrestně prohlížet jen data, ke kterým skutečně potřebují přístup pro výkon své práce, ale také kvůli možnosti detekce podobných "selhání". Úředníkům se vždy bude hodit nějaký peníz bokem od pojišťovny nebo soukromého očka a těm se budou hodit naše data v SIS. To je zkušenost z civilizovaných zemí, kde se nekrade a nepodvádí v takové míře jak u nás. Jsem opravdu velice rád, že tento bod je svým způsobem v "koncepci".

Takže bezpečnost je v koncepci v principu správně?

Ano a ne. K tomu "ano" jsme si něco řekli. Jinak mám ale obavy, že autoři dokumentu příliš nepřemýšleli o propojení SIS s jinými systémy a o průběhu realizace projektu podle navržených fází postupu. Tady v koncepci chybí důležité návrhy a spousta věcí je popsána natolik vágně, že nelze ani říct, jak asi rámcově budou fungovat, natožpak jaký vliv budou mít na bezpečnost systému.

Jak byste postupoval vy, pokud byste navrhoval SIS?

Nejprve bych propustil většinu stávajícího aparátu ÚSIS a sháněl skutečně schopné lidi. Ten projekt je zajímavý. Pak bych pracoval souběžně asi na třech věcech. Jednak bych zadal granty na vypracování základní koncepce SIS dvěma až třem povolaným univerzitním ústavům v ČR a zajistil jim spolupráci se zahraničními odborníky na IT ve státní správě, pak bych požádal několik špičkových odborníků z firem, státní správy a univerzit o spolupráci v rámci poradního kolegia a konečně bych rozjel práci na návrhu koncepce státní politiky v oblasti informatiky obecně (jak použití ve státním aparátu, tak legislativa, školství atd.) něco jako už je konečně hotová národní obranná strategie. Tyto oblasti činnosti bych rozvíjel tak, abych mohl před vládu přijít s dvěma navzájem provázanými dokumenty návrhem státní politiky pro informatiku (plus návrh návazných opatření) a s návrhem koncepce SIS (jak s částí na obecné politicko-manažerské úrovni, tak s hlavní částí věnovanou skutečně koncepčním systémovým záležitostem). To vše za plné informovanosti veřejnosti SIS se bude týkat všech, o vývoji směrem k informační společnosti nemluvě. A za čí peníze se SIS navrhuje a bude možná budovat? Za daně firem a občanů!

Václav Matyáš ml. doporučuje koncepci Státního informačního systému kompletně přepracovat

Václav Matyáš ml., Mgr. M.Sc. Dr., nyní působí jako Royal Society Postdoctoral Fellow v Cambridge University Computer Laboratory a je asistentem katedry informačních technologií Fakulty informatiky Masarykovy univerzity v Brně. Zároveň je přispívajícím editorem Computer and Communications Security Reviews a členem redakční rady časopisu Connect!.

V minulosti se podílel např. na studiu otázek informačního soukromí v kanadských podmínkách, na tvorbě Společných kritérií pro hodnocení bezpečnosti IT ve spolupráci s kanadským CSE a na projektu pro studium managementu návrhu systému s Land Software Engineering Centre kanadské armády. Spolupracuje také s podvýborem pro bezpečnostní techniky ISO/IEC JTC1/SC27.

V současné době se zabývá bezpečností IT ve zdravotnictví v Británii a otázkami managementu důvěry a systémů certifikace veřejných kryptografických klíčů. Je také spoluautorem rozsáhlého seriálu o bezpečnosti a informačním soukromí, který vychází na stranách Computerworldu.


| <<< | CW o Internetu | COMPUTERWORLD | IDG CZ homepage |