Specializovan² t²denφk o v²poΦetnφ technice
TΘma t²dne
(CW 29/97)

---

Informace biΦ nebo nßstroj?

Milan Hejduk

Nßsledujφcφ rozhovor byl na p°ßnφ Igora N∞mce veden pφsemnou formou a na vypracovßnφ odpov∞dφ se podφlel t²m odbornφk∙ z ┌°adu pro stßtnφ informaΦnφ systΘm.

Jak²m zp∙sobem hodlßte odhadnout ·spory vzniklΘ zavedenφm SIS, resp. jak hodlßte p°esv∞dΦit vlßdu a parlament, aby i p°i souΦasnΘ ekonomickΘ situaci ╚R investovala do vßmi navrhovan²ch projekt∙?

M∙₧eme se samoz°ejm∞ pouÜt∞t do vyΦφslovßnφ jednotliv²ch ·spor a sna₧it se ohromovat velk²mi Φφsly, ale nepova₧ujeme to za seri≤znφ. V porovnßnφ se souΦasn²m stavem se dajφ pou₧φvat i velkß procenta ·spor ve vztahu k souΦasn∞ vynaklßdan²m prost°edk∙m; ono 50 % z 10 mld. pravideln²ch roΦnφch nßklad∙ na souΦasn² stav znφ velice hezky a jist∞ bychom za tato Φφsla sklidili potlesk.

Ji₧ porovnßnφm zßkladnφch princip∙ souΦasnΘho stavu s navrhovan²m zßm∞rem nenφ logicky mo₧nΘ, aby navrhovan² systΘm byl dra₧Üφ ne₧ souΦasn². Kdy₧ pozorn∞ prostudujete principy, na kter²ch chceme stav∞t budoucφ informaΦnφ v²m∞nu ve stßtnφ sprßv∞, tak musφte dojφt k jednoznaΦnΘmu zßv∞ru, ₧e navrhujeme opat°enφ, kterΘ ve svΘm d∙sledku musφ vΘst k restrikci v oblasti objemu informacφ a k zjednoduÜenφ jejich zpracovßnφ a naklßdßnφ s nimi. V₧dy, kdy₧ zavßdφte po°ßdek do chaosu, musφ b²t po°ßdek levn∞jÜφ.

Navrhujeme systΘm, kter² mß samoz°ejm∞ v²znamnΘ finanΦnφ ·spory, zavßdφ ale i novou filozofii do vy₧adovßnφ, zpracovßnφ a ob∞hu informacφ. Navrhujeme ukonΦit hon na informace od jejich poskytovatele (obΦan nebo prßvnickß osoba) a zahßjit v²m∞nu t∞chto informacφ v rßmci stßtnφ sprßvy.

Mßte p°ibli₧n² p°ehled o tom, kolik pracovnφk∙ vaÜeho ·°adu:

a) pracovalo ve stßtnφ sprßv∞ i p°ed rokem 1990,
b) pracovalo na podobn²ch projektech v zahraniΦφ,
c) p°eÜlo z b²val²ch sekcφ MH Karla Dyby,
d) mß alespo≥ rßmcov² p°ehled o relevantnφch dokumentech a orgßnech EU, resp. i n∞kter²ch Φlensk²ch zemφch EU?

Nemßte dojem, ₧e by vßÜ dobr² zßm∞r zbavit obΦana neplodn²ch tahanic s byrokraty mohl ztroskotat nejen na odporu byrokrat∙, ale takΘ na nedostatku kvalifikovan²ch lidφ, kte°φ by dokßzali p°ipravit podkladovΘ materißly v takovΘ kvalit∞, aby bylo mo₧no prosadit tak zßva₧nΘ rozhodnutφ?

NßÜ zßm∞r m∙₧e ve skuteΦnosti ztroskotat jenom na nepochopenφ nebo nezßjmu vlßdy, ten m∙₧e b²t vyvolßn tφm, ₧e nebudeme um∞t vlßd∞ p°edlo₧it dostateΦn∞ pro ni pochopiteln² materißl v tΘto tak odborn∞ specifickΘ a slo₧itΘ oblasti. Proto jsme zvolili cestu schvßlenφ spφÜe filozofickΘho sm∞ru ne₧ konkrΘtnφho technickΘho °eÜenφ. Od odborn²ch °eÜenφ je tady nßÜ ┌°ad a mß odpov∞dnost za to, ₧e budou provedena v souladu s tφmto zadßnφm vlßdy.

Je tu velkΘ nebezpeΦφ, a to je opravdu v byrokratech na jednotliv²ch ministerstvech, kte°φ jsou p°φmo zainteresovßni na souΦasn²ch zp∙sobech prßce a t∞₧ko p°ijφmajφ, ₧e to jde taky jinak. Minist°i v souΦasnΘ dob∞ nemajφ mo₧nost odbornΘho oponentnφho nßzoru na °eÜenφ souΦasn²ch problΘm∙ s informaΦnφm zajiÜt∞nφm jejich zßm∞r∙. Pokud dnes °ekne informatik resortu, ₧e pro zajiÜt∞nφ n∞jakΘho zßm∞ru vlßdy pot°ebuje 150 mil. korun, nenφ sφly, kterß by °ekla ministrovi a pota₧mo vlßd∞, ₧e je i jinß cesta.

To byl takΘ d∙vod pro z°φzenφ naÜeho ·°adu. Tady se bude muset ukßzat opravdovß sφla vlßdy, proto₧e ve sv²ch materißlech najdou minist°i stanoviska od t∞ch, kte°φ budovali souΦasn² stav a jsou na n∞m r∙zn²mi zp∙soby zainteresovßni.

Je zajφmavΘ sledovat p°ipomφnkovΘ °φzenφ k materißlu, kter² nßÜ ┌°ad rozeslal. Je tu jasnß struktura p°ipomφnek, sledujφcφch r∙znou mφru zainteresovanosti pisatele, ne ministra nebo nßm∞st-ka, ale skuteΦnΘho zpracovatele p°ipomφnek. Rozeslali jsme tento materißl i vÜem okresnφm ·°a-d∙m, kterΘ pova₧ujeme za st∞₧ejnφ v rßmci nßzor∙ na budoucφ °eÜenφ a jejich p°φstup je diametrßln∞ odliÜn² vesm∞s souhlasφ s naÜφm pojetφm SIS.

O kvalifikaci pracovnφk∙ svΘho ·°adu jsem p°esv∞dΦen, kdybych nebyl, nikdy bych do tΘto funkce nevstoupil, nejsem zvykl² vzφt funkci a pak hledat, kdo bude se mnou na problΘmu pracovat. Ov∞°il jsem si t²m pracovnφk∙ v tΘto oblasti ji₧ za p∙sobenφ na ┌°adu vlßdy a na jeho zßklad∞ jsem takΘ s Φist²m sv∞domφm p°ijal funkci p°edsedy tohoto ┌°adu.

Jak²m zp∙sobem se vßm poda°ilo p°esv∞dΦit vlßdu o pot°eb∞ financovßnφ vaÜeho ┌°adu, p°esto₧e nßvrh zßkona o ┌SIS parlamentem neproÜel?

Je pot°eba odd∞lit z°φzenφ ┌°adu a tφm i nßsledn∞ jeho financovßnφ od nßvrhu zßkona o vymezenφ p∙sobnosti. Vlßda z°φdila tento ·°ad, proto₧e ji₧ sama cφtila, ₧e nenφ mo₧nΘ v tΘto oblasti pokraΦovat zp∙sobem, jak²m se pracovalo v minulosti. Zßsadnφ argumenty pro z°φzenφ tohoto ·°adu byly objektivnφ skuteΦnosti od vynaklßdßnφ finanΦnφch prost°edk∙ a₧ po obtφ₧nou realizovatelnost, v n∞kter²ch p°φpadech i nemo₧nost skuteΦnΘho napln∞nφ zßm∞r∙ vlßdy a parlamentu v oblasti informaΦnφ podpory politick²ch rozhodnutφ. Proto vlßda vlo₧ila kompetenci k stßtnφmu informaΦnφmu systΘmu naÜemu ┌°adu u₧ v rßmci z°izovacφho zßkona Φ. 272/1996 Sb.

Nßvrh zßkona o p∙sobnosti naÜeho ┌°adu se sna₧il °eÜit i dalÜφ oblast, ve kterΘ je nutnΘ urychlen∞ zahßjit konkrΘtnφ kroky, a to v oblasti ochrany osobnφch ·daj∙. Vlßda m∞la zßjem nastartovat proces °eÜenφ i v tΘto oblasti a logicky se sna₧ila tφm pov∞°it ·°ad, kter² mß k tΘto problematice nejblφ₧e a tφm se sna₧ila zvolit i nejlevn∞jÜφ °eÜenφ. P°φΦinou neschvßlenφ tohoto nßvrhu byl prßv∞ tento zßm∞r, v ₧ßdnΘm p°φpad∞ se to net²kalo kompetence k stßtnφmu informaΦnφmu systΘmu.

Mluvφme o projektu jedineΦnΘho rozsahu a s dopadem na ka₧dΘho obΦana tΘto zem∞. Jak²m zp∙sobem jste konzultovali ve°ejnost vÜeobecn∞, p°φpadn∞ odbornou ve°ejnost?

Zpracovßnφ naÜich koncepΦnφch materißl∙ je ve fßzi oponentnφho °φzenφ v rßmci stßtnφ sprßvy. Prob∞hlo setkßnφ naÜeho ┌°adu se vÜemi okresnφmi ·°ady a v rßmci komise KIS, co₧ jsou zßstupci resort∙. Zßkladnφ teze jsme p°edlo₧ili zßstupc∙m odbornΘ ve°ejnosti na setkßnφ s novinß°i dne 26. 6. 1997 na naÜem ┌°ad∞. Nenφ mojφ filozofiφ p°esv∞dΦovat vlßdu o bohulibosti svΘho zßm∞ru nßtlakem ve°ejnosti. Nechci vsunout prost°ednictvφm sd∞lovacφch prost°edk∙ ministr∙m pocit, ₧e rozhodujφ pod nßtlakem ve°ejnosti, chci je p°esv∞dΦit vlastnφ argumentacφ p°i jednßnφ vlßdy.

Podle d°φv∞jÜφch materißl∙ (Koncepce SIS) mß b²t sdφlenß databßze stßtnφ sprßvy vytvo°ena jako distribuovanß relaΦnφ databßze. Z Φeho vaÜi odbornφci usuzujφ, ₧e toto °eÜenφ je nejvhodn∞jÜφ? Mßte k dispozici n∞jakΘ srovnßvacφ v²sledky pro rozsßhlΘ systΘmy, nap°. nad objektov²mi databßzemi?

V naÜich pozd∞jÜφch materißlech jsme se sna₧ili d∙sledn∞ vyh²bat nßvrh∙m technick²ch °eÜenφ a to proto, ₧e jsme si uv∞domili, ₧e popis technologie bude p°edevÜφm p°edm∞tem projektu. P°esto je pravda, ₧e v usnesenφ vlßdy 91/1996 se hovo°φ o nßvrhu technickΘho °eÜenφ, kterΘ je formulovßno jako relaΦnφ distribuovanß databßze.

Toto °eÜenφ vychßzelo p°edevÜφm ze snahy dostat datovou zßkladnu do mφsta nejΦast∞jÜφ pot°eby a tak snφ₧it nßroky na komunikace. Jde tedy v tuto chvφli o okres, resp. okresnφ ·°ad. Odhaduje se, ₧e asi 80 % sprßvnφch ·kon∙ je provßd∞no v ·rovni okresu, a tak jsme zvolili prßv∞ okres jako centrum v²konu stßtnφ sprßvy ve vztahu k obΦan∙m.

Pova₧ovali jsme za vhodnΘ propojit jednotlivΘ Φlßnky stßtnφ sprßvy s okresnφm ·°adem a zde takΘ umφstit pr∙nikovß data prßv∞ pro oblast stßtnφ sprßvy. Princip budovßnφ systΘmu zdola, pro kter² jsme se rozhodli, nßm napovφdß, ₧e je t°eba vytvo°it pat°iΦnou infrastrukturu v ploÜe okresu a data tak dostat do elektronickΘ podoby ji₧ p°i jejich po°izovßnφ. Po zprovozn∞nφ vÜech bun∞k okresu je pak nasnad∞ tyto bu≥ky propojit v jednu logickou strukturu a to potom p°irozen∞ vede na databßzi s distribuovan²mi daty v okresech.

P°i hledßnφ podobn²ch aplikovan²ch °eÜenφ se nßm dostalo n∞kolik p°φklad∙ z oblasti podnikovΘ sfΘry. Jako jeden za vÜechny mohu uvΘst informaΦnφ systΘm firmy Fleming z USA (°et∞zec velkoobchod∙), kde je aplikovßna tato technologie na n∞kolika serverech po celΘm sv∞t∞.

V∞tÜina v²robc∙ databßzov²ch systΘm∙ uvßdφ mo₧nost tvorby distribuovan²ch systΘm∙ jako reßlnou. Je takΘ t°eba vzφt do ·vahy faktor Φasu a v²voj v tΘto oblasti, kter² naznaΦuje, ₧e prßv∞ tento trend se stßle vφce prosazuje, a tak vzhledem k reßlnΘmu zprovozn∞nφ celΘho systΘmu jsme p°esv∞dΦeni, ₧e jej lze pou₧φt i na SIS.

Na zßv∞r je nutnΘ konstatovat, ₧e celΘ °eÜenφ je p°edm∞tem ov∞°enφ a ₧e neznamenß okam₧itΘ zruÜenφ centrßlnφch registr∙ nebo jinΘ radikßlnφ zßsahy, ale signalizuje postupn² p°echod na tuto techniku spojen² s ΦiÜt∞nφm datovΘho obsahu centrßlnφch registr∙.

Na jak²ch principech bude zalo₧ena ochrana informaΦnφho soukromφ obΦana proti neod∙vodn∞n²m p°φstup∙m k dat∙m ze strany u₧ivatel∙ systΘmu?

Princip∙, kterΘ povedou k to-mu co °φkßte, je v naÜem zßm∞ru mnoho. Uvedu pouze n∞koli p°φklad∙:

• v²b∞r vhodnΘho operaΦnφho systΘmu,
• pou₧itφ neve°ejn²ch komunikaΦnφch tras,
• Üifrovßnφ p°enßÜen²ch zprßv,
• autorizace u₧ivatel∙,
• parcelizace informacφ,
• pravidelnΘ obm∞ny hesel,
• v²b∞r a sledovßnφ pracovnφk∙,
• stanovenφ bezpeΦnostnφch zßsad a kontrola jejich dodr₧ovßnφ.

Za zßkladnφ ·rove≥ bezpeΦnosti z hlediska Oran₧ovΘ knihy TCSEC je pro informaΦnφ systΘmy stßtnφ sprßvy vy₧adovßna ·rove≥ C2 (podle ITSEC je to ·rove≥ F-C2). To znamenß, ₧e systΘm provßdφ volnou ochranu zdroj∙, granularita je definovßna a₧ na ·rove≥ jednotliv²ch u₧ivatel∙, musφ b²t veden access log. Navφc musφ b²t zajiÜt∞na ochrana proti zneu₧itφ residuφ obsah oblastφ pam∞ti, registr∙ apod., potΘ co skonΦφ p°φsluÜn² proces.

P°edpoklßdßme, ₧e pokud budou existovat vybranΘ stanice, kterΘ umo₧nφ globßlnφ p°φstup k dat∙m, musφ spl≥ovat ·rove≥ B1 (respektive F-B1). Ka₧dΘmu kontrolovanΘmu objektu a subjektu musφ mφt p°i°azen stupe≥ utajenφ a musφ jφm b²t oznaΦen, a ka₧d² p°φstup musφ b²t ov∞°ovßn podle modelu Bell-LaPadula. Dßle musφ existovat popis implementovanΘho formßlnφho modelu a systΘm je podrobovßn testovßnφ.

JakΘ bude mφt SIS kontrolnφ mechanismy z hlediska poΦφtaΦovΘ bezpeΦnosti a ochrany soukromφ jednotlivce, do jakΘ mφry budou tyto kontrolnφ mechanismy nezßvislΘ?

V²stavba bezpeΦnostnφ struktury je dynamick² proces, je v neustßlΘm v²voji a proto musφ b²t pravidla informaΦnφ bezpeΦnosti neustßle pravideln∞ p°ipomφnkovßna a aktualizovßna. Zßkladnφm kontrolnφm mechanismem bude monitorovan² p°φstup k dat∙m (access log), tj. zßznamy o tom co, kdo, kdy, s Φφm a jak dlouho d∞lal, vΦetn∞ odmφtnut²ch pokus∙ o neoprßvn∞n² p°φstup a p°φsluÜnΘ nßslednΘ anal²zy t∞chto ·daj∙. DalÜφm kontrolnφm prost°edkem je monitoring dodr₧ovßnφ stanoven²ch bezpeΦnostnφch zßsad. Kontrola bude provßd∞na naÜφm ┌°adem, Φili nezßvisle na u₧ivatelφch a provozovatelφch informacφ.

Jak²m zp∙sobem bude SIS spolupracovat s jin²mi systΘmy (nap°. v pojiÜ¥ovnßch, bankßch, nemocnicφch apod.)

Stßtnφ informaΦnφ systΘm je systΘmem podporujφcφm p°edevÜφm Φinnost ve°ejnΘ sprßvy. V prvnφ fßzi bude budovßn jako systΘm uzav°en², a to p°edevÜφm z d∙vodu ov∞°enφ jeho funkce, bezpeΦnosti a menÜφ komplikovanosti. Po vytvo°enφ jeho zßkladny budeme ov∞°ovat cesty vhodnΘ pro p°edßvßnφ informacφ z ve°ejnΘ sprßvy do komerΦnφ sfΘry.

Zatφm se vede diskuse o zp∙sobu poskytovßnφ informacφ do vytypovan²ch subjekt∙, z nich₧ n∞kterΘ jsou d∙le₧itΘ pro Φinnost stßtu. Pat°φ mezi n∞ mimo jinΘ poÜta, zdravotnφ pojiÜ¥ovny a banky. Poskytovßnφ dat mezi t∞mito subjekty a ve°ejnou sprßvou je nutnΘ oÜet°it legislativn∞ v navrhovanΘm zßkonu o stßtnφm informaΦnφm systΘmu.

P°i spln∞nφ legislativnφch podmφnek a p°i spln∞nφ podmφnek pro ochranu osobnφch ·daj∙ pak bude velmi ₧ßdoucφ vyu₧φvat data po°izovanß t∞mito subjekty a subjekty ve°ejnΘ sprßvy k vzßjemnΘ kontrole sprßvnosti. Z technickΘho hlediska by mohlo jφt o kontrolovan² peering mezi sφt∞mi uveden²ch subjekt∙.

Bude moci obΦan zjistit ze SIS informace vedenΘ pouze o svΘ osob∞, nebo zφskß takΘ jednoduch² p°φstup k dalÜφm ve°ejn²m informacφm, jak²mi jsou nap°. ·daje z obchodnφho rejst°φku?

Stßtnφ informaΦnφ systΘm nenφ jenom uzav°en²m systΘmem stßtnφ sprßvy podporujφcφm sprßvnφ ·kony, ale mß i druhou Φßst, a tou jsou ve°ejnΘ informaΦnφ slu₧by. Tyto slu₧by budou poskytovat informace ve°ejnosti o aktivitßch ve°ejnΘ sprßvy a takΘ budou poskytovat informace na ·rovni ve°ejn²ch listin v souladu s podmφnkami ochrany osobnφch ·daj∙.

Z∙stßvß otßzkou, kterΘ z t∞chto slu₧eb budou placenΘ. Navrhujeme, aby v∞tÜina t∞chto slu₧eb placenß nebyla, pouze v n∞kter²ch p°φpadech by mohl b²t po₧adovßn sprßvnφ poplatek a to p°edevÜφm z d∙vodu evidence n∞kter²ch typ∙ dotaz∙. V zßkon∞ o SIS se budeme sna₧it prosadit, aby obΦan mohl po₧adovat na stßtnφ sprßv∞ informace, kterΘ jsou o n∞m stßtnφmi institucemi vedeny, a stßtnφ sprßva by byla povinna mu je poskytnout.

Spln∞nφ tΘto podmφnky ·zce souvisφ se souΦasn²m stavem v oblasti IS veden²ch jednotliv²mi subjekty stßtnφ sprßvy. Dφky nedostatku informacφ a neochot∞ tyto informace poskytovat nenφ zatφm p°esn∞ znßm souΦasn² stav. Proto takΘ ┌°ad navrhuje zahßjit neprodlen∞ registraci informaΦnφch systΘm∙ ve stßtnφ sprßv∞ s tφm, ₧e to je nutn² krok pro zavedenφ jistΘho °ßdu do IS stßtnφ sprßvy. Hlavnφm cφlem registrace z naÜeho pohledu je zφskßnφ detailnφch informacφ o struktu°e IS, ne o datech obsa₧en²ch v IS. Doufßm, ₧e z tohoto vysv∞tlenφ je z°ejmΘ, ₧e ┌°ad si neklade ambice kontrolovat data, resp. obsah registr∙.

Jak² je Φasov² plßn pro praktickou implementaci SIS, kdy poprvΘ obΦan pocφtφ p°φnos SIS ve svΘm b∞₧nΘm ₧ivot∞?

Stßtnφ informaΦnφ systΘm si musφme v prvnφ °ad∞ p°edstavit jako systΘm, kter² mß fßze v²stavby, provozu a rozvoje. V²stavbu v p°φpad∞ schvßlenφ vÜech nßstroj∙ tak, jak je ┌°ad p°edklßdß vlßd∞, odhadujeme na dobu zhruba Φty° let. Jeho prvnφ globßlnφ odzkouÜenφ p°edpoklßdßme zavedenφm dat zφskan²ch p°i sΦφtßnφ lidu v roce 2001.

Musφme si uv∞domit, ₧e jeho realizace musφ probφhat p°i plnΘm provozu stßtnφ sprßvy a ka₧dΘ kroky musφ b²t pouze zkvalit≥ujφcφ tento v²kon. Jeho realizace nesmφ v ₧ßdnΘm p°φpad∞ ohrozit v²kon stßtnφ sprßvy. Jsem p°esv∞dΦen, ₧e obΦan pocφtφ pozitivnφ v²sledky naÜφ Φinnosti ji₧ ve fßzi v²stavby. Jenom to, ₧e musφ dojφt v rßmci v²stavby k p°ehodnocenφ a redukci objemu vy₧adovan²ch informacφ a zlikvidovat jejich duplicitnφ vy₧adovßnφ.

D∞kuji za rozhovor.