Takhle ne
Jako první vezmu odstrašující příklad z jednoho nejmenovaného městského úřadu. Zajímal jsem se, jak zde vzniká e-identita uživatele. Jaký je proces vzniku uživatelského účtu při nástupu nového zaměstnance. Čekal jsem cokoliv, ale odpověď mě skutečně dostala. Obvyklý proces je zhruba následující. Starosta nebo tajemník odchytí na chodbě někoho z IT oddělení se slovy: „Hele Pepo, tohle je Jan Novák, v pondělí nastupuje, tak mu založ účet, aby měl mail a dostal se do spisovky apod. Vždyť víš jak. Jo a dej mu notebook a telefon.“ Ve většině případů takové zadání probíhá dokonce telefonicky.
je společnost NEWPS.CZ
To jsem si skutečně nevymýšlel, to je realita. Děje se tak pořád na mnoha úřadech a troufám si tvrdit i v mnoha firmách, a to nejenom v těch malých. Chápu, že pro vedoucího pracovníka, který přijímá nového zaměstnance je přehození problému se založením uživatelského účtu (e-identity pro přístup k interním informačním systémům) na ajťáka tím nejsnadnějším způsobem, jak se problému zbavit. Neuvědomuje si přitom, že si právě „zadělal“ na mnohem větší problém. Právě vyrobil velkou bezpečnostní díru, která navíc není tou poslední v celém procesu!
Ajťák účet založí, často jich je potřeba založit více (každá aplikace má jiný způsob přihlašování a úřad to nijak neřeší) a uživatel může začít pracovat. Vše vypadá v pořádku. Pak přichází další problém – je potřeba nastavit přístupová oprávnění (uživatelské role), kam všude může nový zaměstnanec se svou e-identitou přistupovat. Ta opět nastavuje ajťák na základě podobného pokynu. Například: „potřebuji, aby se Jan Novák dostal do účetního systému.“ OK, ajťák nastaví příslušnou roli, ale neví, k čemu Jan Novák přístup do účetního systému potřebuje, žádnou bližší informaci nedostal, tak mu nastaví plný přístup. A vzniká další bezpečnostní problém. Jan Novák ve skutečnosti potřebuje ze systému třeba jenom přehled o objednávkách, ale nyní může v systému hledat podle své libosti. Nic mu v tom nebrání.
A když Jan Novák z úřadu odejde (ajťák o tom často ani neví), starostu nebo tajemníka ani nenapadne, že je potřeba jeho uživatelský účet/účty zablokovat. To se opakuje prakticky u každého zaměstnance, takže v průběhu poměrně krátké doby si vedení úřadu vyrobí značné množství „mrtvých duší“, které však mají aktivní uživatelský účet a kdykoliv se mohou podívat do libovolné aplikace úřadu. A co je horší, mohou klidně s aplikacemi pracovat, editovat údaje nebo je dokonce mazat. To už není bezpečnostní díra. To jsou dokořán otevřená vrata!
Bezpečnost dat zde jde úplně stranou. Nikdo se o ni nestará. Jinak by takhle nemohlo vedení úřadu postupovat. A nemyslete si, že takový přístup najdete pouze na úřadech. Je to běžná praxe i v mnoha firmách. Pokud přijde úřad o data, prakticky se nic nestane. Někdy se objeví článek v novinách. Maximálně udělí Úřad pro ochranu osobních údajů dotčenému úřadu symbolickou pokutu, která však těžko přiměje úřad zamyslet se nad zabezpečením svých dat. Firmě hrozí mnohem větší nebezpečí. Zejména pokud se týká firemního know-how. Snadno může přijít o to nejcennější, co má. V průběhu sekund může ztratit třeba výsledky svého vývoje a výzkumu, databáze klientů atd.
Takhle ano
Druhý příklad je opět z úřadu, tentokrát je to vzorová ukázka, „jak se to má dělat“. Přístup ke správě uživatelských účtů tam byl taky dlouhou dobu velmi podobný tomu z výše uvedeného odstrašujícího příkladu. Pak ale přišlo nové vedení a rozhodlo se něco s tím udělat. Na počátku byl požadavek zajistit přístup uživatelů úřadu k vlastním aplikacím s jednoznačnou identifikací, autentizací a autorizací uživatele, prostřednictvím jedné e-identity. A to vše při co největším uživatelském komfortu. Ano, hned na začátku zde bylo pamatováno především na uživatele. Toho, kdo k aplikacím každodenně přistupuje, a koho se bude nový způsob přihlašování nejvíc týkat.
Pokud máte vše jako ve vzorovém příkladu, tedy autoritativní zdroj dat, jednu e-identitu pro bezpečné přihlašování, své garanty aplikací a centrální systém správy uživatelů, máte své procesy nastaveny správně a nemusíte se bát mrtvých duší v systému.
Vedení úřadu rovněž pochopilo, že uživatelské účty a jejich přístupová oprávnění nemá mít na starosti IT oddělení, které má primárně zajišťovat provoz aplikací úřadu. Nemá nést odpovědnost za zakládání uživatelských účtů. Účty vznikají na základě impulsu z autoritativního zdroje dat, což je v případě úřadu (ale i firem) personální systém. Tam je nový zaměstnanec zaevidován a jsou o něm zapsány potřebné údaje. Proto byl personální systém použit jako autoritativní zdroj dat a propojen s centrálním adresářem systému správy uživatelů. Vybrané atributy o každém uživateli jsou pak automaticky přeneseny do tohoto adresáře, kde vzniká nový uživatelský účet např. Jana Nováka s nastavenými základními uživatelskými oprávněními (mail, intranet apod.). Jak vidíte, za vznik uživatelského účtu zde neodpovídá IT oddělení ale personální. IT pouze zajišťuje provoz systému.
Další uživatelská oprávnění pro přístup k různým aplikacím v tomto úřadě nastavují uživatelům na základě požadavku tzv. garanti aplikací. To jsou obvykle vedoucí odborů, kteří jsou odpovědni za chod dané aplikace. Oni dovedou nejlépe posoudit, jaká oprávnění konkrétní zaměstnanec pro výkon své funkce potřebuje. Žádost o přidělení oprávnění, jeho schválení apod. probíhá samozřejmě elektronicky a o každém kroku je veden systémový záznam. Tedy kdo, co, kdy a na základě čeho schválil nebo zamítl. Opět vidíte, že to nedělá IT oddělení. To sice zná jednotlivé aplikace, ale z provozního hlediska. Nemá přehled, jaká oprávnění přísluší jednotlivým pracovním pozicím. To mají skutečně garanti aplikací.
Pokud v tomto úřadě Jan Novák skončí, předně je tato skutečnost zaznamenána v personálním systému s konkrétním datem ukončení jeho pracovního poměru. Poslední den pak dochází opět automaticky k přenesení informace o ukončení pracovního poměru z personálního systému do systému správy uživatelů, kde je jeho účet zablokován, včetně všech uživatelských oprávnění. Současně je informace o zablokování účtu propagována automaticky do všech aplikací napojených na systém správy uživatelů. Jan Novák nezůstane v systému jako mrtvá duše, do žádné aplikace se už nepřihlásí.
A jak jste na tom vy?
Pokud máte vše jako ve vzorovém příkladu, tedy autoritativní zdroj dat, jednu e-identitu pro bezpečné přihlašování, své garanty aplikací a centrální systém správy uživatelů, máte své procesy nastaveny správně a nemusíte se bát mrtvých duší v systému.
Pokud je to však u vás podobné jako v uvedeném odstrašujícím příkladu, je nejvyšší čas s tím něco udělat, než bude pozdě. A pokud si nevíte rady, anebo váš dodavatel IT služeb vám dosud nenabídl řešení správy uživatelů zajišťující jednoznačnou identifikaci, autentizaci a autorizaci uživatelů, obraťte se na nás. Rádi vám pomůžeme.
Ing. Martin Řehořek, jednatel NEWPS.CZ
Partnerem seriálu je:
