Leckdo se může podivovat, proč je nutné přihlášení při každém vstupu do počítačové sítě, proč bychom se měli odhlásit při každém odchodu z kanceláře, proč si musíme pamatovat i několik různých hesel. Tak jako si zamykáme minimálně jeden šuplík svého pracovního stolu, tak jako uzavíráme registračku s důležitými dokumenty nebo tak jako určité důležité listiny zakládáme do trezoru, měli bychom zodpovědně pracovat i s dokumenty a informacemi v elektronické podobě.
Ještě nedávno většina městských a obecních úředníků pracovala jen se svojí agendou, výměna informací se uskutečňovala často pouze uvnitř úřadu, rizikovým místem však už tenkrát bylo připojení do sítě internetu. V současné době se rozšiřují databáze obsahující citlivé osobní údaje, dochází k propojování informačních systémů jednotlivých institucí veřejné správy, vznikají registry, které bude využívat relativně široké spektrum uživatelů. Některá pracoviště pracují i se skutečnostmi utajovanými podle zákona č. 148/1998 Sb. Existuje však především osobní odpovědnost každého pracovníka městského nebo obecního úřadu za správu svěřené agendy. To všechno jsou důvody, proč je třeba zajistit, aby k určitým informacím měl přístup jen konkrétní člověk, nebo skupina lidí, proč je třeba identifikovat toho, kdo s daty pracoval. Každý nosič informací, softwarový produkt, počítačový server i uzavřený informační systém jsou z jistého pohledu křehká a zranitelná místa.
Největším nebezpečím uživatel
Jak vysvětluje Josef Očenášek ze společnosti CPE, spol. s r. o., zabývající se zejména bezpečností a archivací dat, existuje celá škála bezpečnostních rizik pro každý informační systém - od mechanického poškození při nevhodné manipulaci s hardwarem nebo při požáru či záplavě, známá je hrozba virového napadení, může se jednat i o zcizení, zneužití nebo ztrátu informací. Server městského nebo obecního úřadu může například nevědomě sloužit i jako přestupní stanice pro rozesílání spamu (nevyžádané korespondence) nebo hackerských útoků. Z dlouhodobých statistik je však zřejmé, že pro informační systémy největší nebezpečí představují především sami jejich uživatelé. Stále se například pokládá za jaksi nezdvořilé tajit svoje přístupové heslo před spolupracovníky, obzvláště těmi nejbližšími, stále je možné nalézt přístupové heslo dobře "ukryté" na spodní desce klávesnice počítače. Nepovolený přístup a zneužití zařízení výrazně dominují i před virovým napadením nebo selháním sítě. Zatím co dříve se jednalo o narušení informačního systému z nedbalosti nebo neznalosti, se vzrůstající počítačovou gramotností zaměstnanců začíná přibývat případů úmyslných proniknutí do informačních systémů. Nejčastějším důvodem takového jednání je zcizení a zneužití informací, druhým nejčastějším důvodem je zničení dat jako pomsta bývalému zaměstnavateli.
Informační bezpečnost je proces
Zabezpečení datových souborů, přenosu dat i celých informačních systémů vyžaduje dlouhodobý, koncepční přístup. Na většině pracovišť se zpočátku domnívají, že zajistí svůj informační systém dokáží vlastními prostředky. Teprve v momentě, když se vyskytne bezpečnostní incident, začíná sháňka po tom, jak takovou situaci řešit, jak jí odstranit, jak zajistit, aby se neopakovala. Až pak ve většině případů přichází na řadu externí firma. Je to pochopitelné minimálně proto, že bývá třeba zpřístupnit citlivé informace několika dalším cizím osobám a do bezpečnostních opatření se vkládají nové finační prostředky. Zkušenosti pracovníků firmy, která se specializuje na informační bezpečnost, však tyto nepříznivé momenty plně kompenzují. Taková firma většinou dokáže vytvořit metodiku odpovídající danému pracovišti, disponuje odpovídajícími zdroji a nástroji pro řešení, pracuje podle zásad standardů a norem. Mnohdy významnou roli hraje i nový, nezávislý pohled na danou situaci.
Řešení pro zabezpečení informačního systému musí začít tím, co je třeba chránit a před čím, co musí být dostupné a komu. Pro každý informační systém je třeba zpracovat konkrétní analýzu bezpečnostních rizik, stanovit pro dané pracoviště bezpečnostní strategii a zpracovat detailní projekt na zabezpečení informačního systému, který se opírá jak o opatření v rovině personalistiky, tak určuje postupy, které je třeba realizovat. Analogicky se vzrůstající možností narušení informačních systémů a zvýšenou potřebou ochrany dat se však rozšiřují do obecného užití i některé důležité zabezpečovací nástroje. Do hry vstupují zejména kryptografické metody, jejichž podobou je například elektronický podpis, elektronické podatelny provázané se spisovou službou a oběhem dokumentů na jednotlivých pracovištích, účinnější formy zálohování dat. Vždy však bude klíčovým momentem přesná identifikace uživatelů a monitoring provozu informačního systému. Zabezpečení dat není možné postavit na dobrovolnosti a přesvědčení. Jen konkretizace a osobní zodpovědnost mohou přinést výsledek. Vědomé zabezpečení dat zvyšuje důvěryhodnost elektronické komunikace jak na straně odesílatele, tak na straně příjemce, tj. jak městského nebo obecního úřadu, tak občana.
- sj -
|