Konference Internet a bezpečnost organizací
Dne 20. března 2007 proběhl IX. ročník konference Internet a bezpečnost organizací [4], pořádaný Fakultou managementu a ekonomiky [5] a Fakultou aplikované informatiky [6] Univerzity Tomáše Bati ve Zlíně. Tématem konference byla: Informační a datová bezpečnost na Internetu v kontextu krizového řízení, strategického rozhodování a konkurenceschopnosti organizací.
Průběh konference byl poznamenán poslední sněhovou kalamitou, ale došlo jen ke změnám v pořadí příspěvků, nikoliv k poklesu kvality. Po konferenci následoval 21. března další tematicky návazný program Workshop European Association for Security. [7]
Vlastní program konference byl rozmanitý, od komerčních prezentací SW řešení pro krizové řízení a simulaci krizových situací, přes počítačovou kriminalitu, bezpečnost dětí na internetu, systémy řízení Help Desku v IT, bezpečnostní rizika teleworkingu, Competitive Intelligence, kritickou infrastrukturu České republiky, až po řešení moderních kamerových systémů v dopravě. V tomto dlouhém výčtu jsem ještě mnohá témata vynechal. Více tedy u jednotlivých příspěvků v pořadí v jakém přišly na pořad jednání.
Po úvodním ceremoniálu přišel na řadu jako první příspěvek na téma Bezpečnost dětí na internetu, který přednesl Jaroslav Winter z BMI sdružení. Prezentace je součástí informační kampaně probíhající v rámci března měsíce internetu po oborově zaměřených konferencích. Jejím motem je: internet - výhoda pro znevýhodněné. Nejzajímavější částí prezentace bylo shrnutí výzkumu společnosti Gemius, který byl založen na dotazníku Nobody's Children. Průzkumu se zúčastnily velké české internetové portály. Výsledkem tohoto průzkumu je dost tristní srovnání České republiky s Polskem v oblasti chování dětí na internetu. Rozdílné výsledky byly způsobeny zejména tím, že v Polsku probíhá již dva roky mediální kampaň (i v neelektronických mediích), která informuje rodiče i jejich děti o bezpečném chování na internetu. Kampaň je zjevně účinná, neboť při stejném množství svodů (pozvánek ke schůzce, nebo žádosti o důvěrné informace) je poměr rizikového chování v Čechách násobně větší než v Polsku. I u nás se však věci hýbají kupředu, a tak byla kupříkladu od počátku roku spuštěna internetová linka důvěry a v nejbližší době dojde k realizaci internet Hotline, která bude přijímat hlášení o výskytu dětské pornografie a s tím spojené mravnostní kriminality.
Druhý příspěvek potom byl na téma Simulace jako základ řízení znalostí který prezentoval Ing. Jaroslav Pejčoch z firmy T-SOFT spol s r.o. Tato společnost se zabývá komplexním plánováním krizových situací založeném na simulaci a ošetření všech vazeb. V průběhu prezentace došlo k představení způsobu využití jednotlivých komerčních produktů dodávaných firmou T-SOFT. Stručné shrnutí zajímavé a informacemi nabité prezentace lze vtěsnat snad do následujících pár vět:
- Rozhodně není špatným začátkem, jdeme-li v neznámém projektu více směry zároveň, lépe se tak získá pojem o správném směru, není pak chybou opustit ty méně úspěšné směry řešení a vítěze vývoje dále rozvíjet a financovat. Mnohdy to urychluje vývoj.
- I zdánlivě neřešitelné projekty mohou mít úspěch. Přes všechny své protimluvy a vnitřní omezení.
- Bezpečnost je pozitivní prvek (enabler - hledá se české slovo vyjadřující tuto vlastnost). Umožňuje v projektu dělat i věci všeobecně riskantní, protože nezbytná úroveň bezpečnosti byla vyřešena jako základní kámen.
- Metoda letmé betonáže může sloužit jako podnět k metodickému uvažování. (letmá betonáž - staví se na pevném základu, se stanoveným cílem, standardními konstrukčními prvky a za dodržování bezpečnostních předpisů a lhůt na vyzrání dosud vystavěného)
Třetím příspěvkem bylo Představení systému IS KIS prezentované Ing. Radanem Kasalem ze společnosti WAK System, spol s r.o. Jedná se o informační nástroj, jehož základem je relační databáze, která obsahuje data pro modelování krizového řízení. IS KIS je souhrnný název pro programové vybavení od společnosti WAK System. Součástí prezentace bylo představení datového modelu, logických i funkčních vazeb a zajištění přenosu informací do společného systému. Systém zaručuje jednotné zobrazení vstupních informací (s ohledem na vzájemné vazby), které dovoluje obsluze lépe rozhodovat na základě posledních údajů.
Čtvrtým příspěvkem bylo představení Evropského společenství pro bezpečnost v prezentaci Securitology od dipl.inž. Leszka Korzeniowského, prezidenta EAS Evropa. Součástí prezentace bylo shrnutí historie společnosti od založení v květnu 2000 a pozvání na 21. 3. 2007, kdy se konalo zasedání společnosti.
Pátý příspěvek zaujal skutečně všechny a řidiče především. Pod názvem Integrace systému CCTV pro podporu bezpečnosti ve městě se skrývala prezentace Ing. Milana Kladníčka z Městské policie Zlín. Zlín je stejně jako za Baťových dob v technologiích plně na výši doby. Kromě metropolitní sítě vznikají ve Zlíně další dvě soukromé sítě s plným pokrytím, není proto ekonomické používat klasických analogových CCTV systémů, ale je lepší přiklonit se k IP kamerám. Je mnoho přístupových bodu, na které jsou kamery připojeny. Testuje se nasazení WiMAX, které by s několika centrálními přístupovými body pokrylo celý Zlín. Kamery jsou nasazovány do místní MHD, na křižovatky, veřejné budovy a testuje se i nasazení do vozidel MP a integrovaného záchranného systému. Nasazení jde až tak daleko, že i jednotliví policisté zasahující za podpory vozidla mají přímé připojení s taktickým štábem a zároveň předávají kompletní obrazové a zvukové informace na centrálu. Propojení mezi PDA a kamerou zasahujícího policisty a jeho vozidlem je pomocí technologie WiFi. Vozidlo pak komunikuje s centrálními přístupovými body pomocí WiMAX. Na bezdrátových IP technologiích je založen i Varovný informační systém, kde se předpokládá ozvučení až 1200 autonomními hlásiči, které budou ovládány pomocí IP, nebo SMS. Další zajímavou prezentovanou aplikací byly dopravní kamery. Město Zlín patří spolu s Prahou, Brnem a Libercem mezi největší uživatele dopravních kamer, které měří i průměrnou rychlost vozidel. Jedná se o plně automatickou detekci, jednotlivé kamery jsou dokonce zcela autonomní a schopné pracovat offline. Pro klamání motoristů jsou některé kamery pouze atrapy, ale aktivní kamery lze lehce přenášet na jiná místa. Jeden tedy nikdy neví, a proto si skoro každý dává pozor. Omezení detekovaného překročení rychlosti není nastaveno na 50km/h, ba ani na legálních 55 km/h daných chybou měření tachometrů. Skutečná detekovaná rychlost se oficiálně neudává, ale dle náznaků v prezentaci je někde mezi 60 a 70 km/h. Je tomu tak i z prostého organizačního důvodu. Každé překročení rychlosti musí správní úřad řešit, tj. vyplnit papíry a následně odstíhat. Rychlost je tedy nastavena tak, aby nedocházelo k zahlcení byrokratického aparátu. Zajímavým zjištěním je, že po nasazení kamer došlo ke snížení průměrné rychlosti mezi 40-45 km/h a to za plné průjezdnosti úseku (tj. mimo zácpy). Kamerový systém rovněž ve své centrální databázi, která je přístupná přes webovou aplikaci, zajišťuje lustrace kradených vozidel a ukládá údaje o pohybu vozidel do archivu. Je tedy možné vyhledat dle poznávací značky pohyb vozidla po nějakou dobu zpětně, je možné se i podívat na to kdo vozidlo řídil. Bylo takto odhaleno již mnoho kradených vozidel, několik stíhaných osob a dokonce byl získán i důkazní materiál při případech vážné kriminální činnosti. Prezentace byla spojena i s praktickou ukázkou funkce a byla skutečně poutavá. Na využití kamer v bezpečnostní praxi pak odkazovaly i další prezentace.
Šestý příspěvek se týkal Centra podpory zákazníků NWT Computer a odprezentoval ho Ing. Jiří Stodůlka z NWT Computer s.r.o. V příspěvku byly vysvětleny vazby a principy činnosti centra podpory zákazníků s jeho členěním na Hot-Line, HelpDesk a Dohledové centrum. Základní požadavky na budování centra podpory jsou následující:
- Přehlednost - rozdělení na jednotlivá střediska a znalost potřeb zákazníků.
- Komplexnost - za celé řešení musí odpovídat jeden dodavatel, heterogenní dodávky vedou k výmluvám jednotlivých dodavatelů a svádění problémů na ostatní.
- Odbornost - zákazník vyžaduje odborníka, který věci rozumí, nikoliv učícího se experimentátora.
Sedmý příspěvek měl název Bezpečnostní rizika teleworkingu a přednesla ho Ing. Jaroslava Kubátová, Ph.D. z Filozofické fakulty Univerzity Palackého v Olomouci. Na bázi teleworkingu pracuje cca 5 % populace, většinou se přitom nejedná o IT pracovníky. Obvyklým rizikovým faktorem je využívání pracovního počítače k zábavě a domácího počítače k práci. Rizikovým faktorem jsou zejména děti, které buď mají nízkou počítačovou gramotnost a páchají škody nechtěné, třeba i únikem důvěrných informací cizím osobám, druhým extrémem jsou převážně adolescenti, kteří si zkouší své znalosti a pokoušejí ochranu sítě zaměstnavatele rodičů. Je tedy třeba dbát na důkladné proškolení zaměstnanců a zřízení přísných předpisů. IT pracovníci by měli být schopni vysvětlit uživatelům bezpečnostní rizika na jim pochopitelné úrovni.
Osmým příspěvkem byla prezentace: Čipová karta, jako nástroj bezpečné klientské autentizace, kterou přednesl Mgr. Jiří Beneš ze společnosti Monet+, a.s. Společnost Monet+ stojí za takovými projekty, jako jsou Elektronické pasy a zázemí pro jejich vydávání, Elektronické mýto, Bankovní platební karty, Centrální systém pro autentizaci bankovních platebních karet v ČSOB. Tj. zkušenosti a portfolio vskutku nemalé. Současná doba, která je zcela závislá na IT systémech a vykazuje se extrémní heterogenností, klade vysoké nároky na zabezpečeného elektronického klienta, kterého je možné řešit za pomoci čipových karet. Požadavky jsou následující:
- identifikace klienta;
- autentizace klienta;
- neodmítnutelnost odpovědnosti;
- integrita předávaných dat;
- utajení komunikace a předávaných dat.
Devátou prezentaci na téma Bezpečnostní rizika budoucnosti on-line marketingu s velkým nasazení a dá se říci i show předvedl Ing. Radek Sakáš z HACH-LANGE, s.r.o. Příspěvek byl spíše o marketingu než o bezpečnosti, Již 85 % aktivních uživatelů internetu použilo toto medium ke svým nákupům. V současnosti jsou všichni uživatelé masírování bannerovou reklamou, vůči níž začínají být slepí, proto se reklama stává čím dál, tím víc agresivní (kupříkladu objekty létající přes webovou stránku). Autoři současných reklamních kampaní mnohdy nepochopili rozdíl mezi billboardem a interaktivním mediem jakým internet je. V současné době se zvyšuje nasazení kontextové reklamy, tak známé kupříkladu z Google ad-ons. Tato reklama má až nečekaně vysoký konverzní poměr a hlavně není uživateli většinou hodnocena jako rušivá. Pokročilým způsobem této reklamy je potom behaviorální cílení reklamy na jednotlivé uživatele, oproti kontextové reklamně nejsou nabízeny jen odkazy odpovídající právě zobrazovanému, či vyhledávanému obsahu, ale dochází k dlouhodobému vytváření profilu zájmů jednotlivých uživatelů a k dodávání reklamy vztažené i k jejich historii s přihlédnutím ke starším preferencím. Trochu kontroverzní je tato reklamní metoda v ohledu na ochranu osobních údajů. Marketingoví analytici však očekávají, že pohodlí spojené s touto reklamou (a způsobem informování) převýší paranoiu uživatelů. Lidé si prostě zvyknou, jako mnohokrát předtím.
Desátá, opět komerční prezentace byla na téma: Bezpečnost výměnných zařízení: Endpoint Security od Ing. Martina Ondráčka ze společnosti SodatSW. Jedná se o řešení, které různými zásahy do systému a průnikem pod systém Windows řeší jeho nedostatečný bezpečnostní návrh, zejména pokud se jedná o zacházení s externími zařízeními. V dnešní době vypalovacích mechanik a zařízení USB-Mass Storage v podobě od malých flash pamětí, přes fotoaparáty a MP3 přehrávače až po velké externí disky, není problém zkopírovat a vynést důvěrná či jinak chráněná data, či nahrát nežádoucí SW a obsah na počítač. Prezentovaný systém, který dodává a vyrábí firma SodatSW nabízí skutečně velkou možnost škálovatelnosti ať už při postupu ze strany oprávnění či zákazů. Umožňuje i nadstavby spojené se šifrováním dat na výměnných úložištích. Pro běžný provoz je třeba nastavit na pracovní stanici maximální možnou míru omezení, stejně jako je tomu na serverech. Bod úniku dat dnes totiž většinou leží na úrovni klientských stanic.
Jedenáctou prezentaci na téma: Competitive Inteligence = Information in Context přednesl Ing. Tomáš Vejlupek ze společnosti TOVEK. Jeho prezentaci snad ani není třeba komentovat, neboť se s ní nějakým způsobem zřejmě setkali již všichni čtenáři Ikara. Stačí snad jen přiložit odkazy na Society of Competitive Intelligence Professionals (SCIP) [8] a jeho českou odnož SCIP CZECH [9], kde si čtenáři v případě zájmu jistě najdou podrobné informace.
Jedenáctou velice zajímavou prezentací na téma: Možnosti odhalování a vyšetřování informační a počítačové kriminality přednesl doc. RNDr. Josef Požár, CSc. z Policejní akademie ČR. Příspěvek byl neuvěřitelně obsáhlý a tak bylo přidělených 20 minut příliš krutých vzhledem množství informací, které se od podia valily. Díky velkému časovému tlaku tak bylo jen jemně nahlédnuto do následujících oblastí:
- druhy a motivace počítačové kriminality;
- trestně právní aspekty;
- odhalování počítačové kriminality - Modus Operandi;
- modely vyšetřování počítačové kriminality.
Pověstná třinácka připadla na prezentaci: Digitálná identita v kontexte počítačovej kriminality, kterou přednesl Ing. Marek Lašák z Akadémie Policajného zboru v Bratislavě. Příspěvek nahlížel z jiné strany na problematiku předchozího příspěvku. Vzácně se vzájemně doplňovaly, ale opět není možné vytvořit výtah z výtahu výtahu, neboť i k tomuto rozsáhlému tématu byl čas příliš krutý. Čas pro diskuzi mohl alespoň částečně vynahradit snad jen večerní společenský program konference, kterého jsem se bohužel nemohl zúčastnit.
Čtrnáctý příspěvek pod názvem Kritická infrastruktura České repuliky přinesl doc. Ing. Luděk Lukáš z domácí Fakulty aplikované informatiky na Univerzitě Tomáše Bati ve Zlíně. Současná společnost se stala závislou na informačních technologiích, naše dnešní infrastruktura je taková, že i nízkonákladový útok dovede ochromit komunikační kanály, které ale fungují jako řídící i pro energetiku a zásobování. Ochrana kritické infrastruktury se zajišťujě jak klasickými systémy, tak i zabezpečením datových komunikací. Velice důležitá je i personální bezpečnost, nazasení agenta do organizace, kde s postupem času získá dostatečné oprávnění k informačním systémům může mít fatální důsledky pro celou infrastrukturu státu. Roku 2004 byl zahájen evropský program k budování a zajištění kritických infrastruktur na úrovni celé EU. Hlavními úkoly tohoto plánu je vyhledání kritických infrastruktru a jejich následné zabezpečení a posílení. Jedná se o systémy dodávky energie a vody, infrastrukturu informačních technologii, zajištění zdraví obyvatelstva, potravinovou základnu, legislativu a soudy, chemický a jaderný průmysl. V ČR řeší tyto problémy rada pro civilní a krizové plánování. Celá problematika spadá pod rezort Ministerstva vnitra.
Patnáctý příspěvek byl na téma XML security v roce 2007 a přednesla jej RNDr. Dagmar Brechlerová z PEF České zemědělské univerzity v Praze. Jednalo se o stručné představení aktuálních norem pro zabezpečení a autentizaci XML dat a jejich přenosů. Kladen důraz zejména na XACML. Tyto technologie jsou použity například v systému Shibboleth.
Posledním šestnáctým příspěvkem měl název Network Enabled Integrated Interoperable Local Outdoor Mobile WiFi/WiMAX SUPERSYSTEM for the Emergency a přednesl jej doc. Ing Jiří F. Urbánek, CSc. z Katedry ochrany obyvatelstva Fakulty ekonomiky a managementu Univerzity obrany. V prezentaci byl představena metodika zpracování událostí prostřednictvím aplikačních rozhraní na základě dat dodaných pomocí sítí WiMAX a WiFi. Jedná se o takticko-operační data, která jsou ještě před přenosem hodnocena z hlediska validnosti a proto stačí k přenosu jen poměrně úzký kanál. Jde o komplexní řešení, které nabízí taktický nadhled při krizových situacích. Zajímavostí je, že celý systém je stavěn z dílů běžně dostupných v kterémkoliv lepším IT velkoobchodu. Hlavním spojovacím a mapovacím prvkem je malý RC model letadla (rozpětí 3 m), který nese kameru a acces point. Při zkušebním mapování republiky bylo zjištěno, že v ČR téměř neexistuje místo, kde by nebylo pokrytí WiFi sítěmi. To zakládá jistý předpoklad k úvaze, zda by v případě katastrof nemohly být ze zákona využívané soukromé WiFi sítě k zajištění komunikace zasahujících jednotek.
Celkově lze konferenci vyhodnotit jako zdařilou, jen bych považoval za lepší rozčlenit ji na část o IT bezpečnosti a část o krizovém plánování. Případné prodloužení konference na dva dny by bylo asi rovněž vhodné, protože mnohé z prezentací trpěly malým časovým přídělem. Z mého osobního hlediska lze za výběr příspěvků z oblasti počítačové kriminality a komunikačních technologií pořadatele jenom pochválit. Mohu jen litovat, že byl náhle z konference odvolán prof. JUDr. Ing. Viktor Porada DrSc., dr.h.c., jehož příspěvek byl z IT i kriminálního hlediska rovněž dle sborníku anotací na vysoké úrovni.