Místostarosta Solenic: Pokud nevíme o případném nebezpečí, nemáme šanci se na něj připravit
ROZHOVOR
18. září 2023 (06:23)
foto: ilustrační, Pixabay (Kris)
„Malé obce IT infrastrukturu potřebují, a to včetně jejího zabezpečení. Požadavky na IT totiž už nikdy nebudou menší, právě naopak budou v čase přibývat,“ říká Lukáš Kornfeld.
Lukáš Kornfeld je místostarostou obce Solenice na Příbramsku, ve které žije na čtyři sta obyvatel. Zároveň se v profesně pohybuje v oblasti informačních technologií. Díky propojení obou působišť může sledovat přístup samospráv k IT a jejich zabezpečení zblízka. A nevidí ho příliš nadějně. „Mají dům, ale už u něj chybí plot, nemá branku a vchodové dveře jsou sice zamčené, ale čas od času někdo nechá otevřené okno v přízemí. Reálně provozují malé obce IT v nejnutnějším rozsahu, který většinou sestává z jednoduchých plochých sítí, několika málo počítačů a tiskáren,“ dává Lukáš Kornfeld příměr k aktuální situaci. V následujícím rozhovoru hovoří nejen o rizicích, ale i možnostech, jak ji řešit.
S jakými požadavky či riziky by se mohly malé obce v budoucnu potkávat v rámci digitalizace?
Požadavků je a bude celá řada. Už dnes v obcích fungují spisové služby, mají přístupy do různých státních registrů a nakládají s osobním údaji občanů. Toto všechno s sebou nese rizika spojená primárně se zabezpečením systému a dat. Různé obce disponují různou technologickou infrastrukturou, kterou si mohou, ale nemusí provozovat sami. Jedná se například o čističky odpadních vod nebo úpravny pitné vody. Ty jsou z pravidla kritickou infrastrukturou státu, která podléhá různým nařízením, k nimž se řadí zákon o kybernetické bezpečnosti, vyhláška o kybernetické bezpečnosti nebo evropská nařízení jako směrnice NIS2 (aktualizovaná evropská směrnice Network and Information Security – pozn. red). Malé obce dosud vždy dostávaly v této oblasti výjimku a problematika se jich nedotýkala. Tento stav může setrvat, ale také ne.
Požadavků je a bude celá řada. Už dnes v obcích fungují spisové služby, mají přístupy do různých státních registrů a nakládají s osobním údaji občanů. Toto všechno s sebou nese rizika spojená primárně se zabezpečením systému a dat. Různé obce disponují různou technologickou infrastrukturou, kterou si mohou, ale nemusí provozovat sami. Jedná se například o čističky odpadních vod nebo úpravny pitné vody. Ty jsou z pravidla kritickou infrastrukturou státu, která podléhá různým nařízením, k nimž se řadí zákon o kybernetické bezpečnosti, vyhláška o kybernetické bezpečnosti nebo evropská nařízení jako směrnice NIS2 (aktualizovaná evropská směrnice Network and Information Security – pozn. red). Malé obce dosud vždy dostávaly v této oblasti výjimku a problematika se jich nedotýkala. Tento stav může setrvat, ale také ne.
Co může nastat, pokud budou i malé obce nuceny zajistit vyšší zabezpečení této infrastruktury?
Pokud by dnes byly aplikovány zákon a vyhláška o kybernetické bezpečnosti plošně, tedy s dopadem na malé obce, pak by musely investovat do IT infrastruktury. To není vždy levné. Když provedu jednoduchý odhad, máme v ČR 6250 obcí. V případě, že by se situace týkala pouze 3000 z nich s investicí půl milionu korun, což je podle mého názoru velmi střízlivý odhad, pak bude celková výše investice z rozpočtu dotčených obcí v součtu 1,5 miliardy korun.
Další věcí je snaha státu o digitalizaci agend a služeb, kterou nelze zavést bez připravené infrastruktury. Ta je z mé zkušenosti bohužel pouze na vyšších úrovních státu (ministerstva, kraje, obce s rozšířenou působností). Co se týká malých obcí, vidím vážné nedostatky, které sice nejsou v rámci digitalizace státu v současné době zásadní, ale v dohledné době se jimi mohou stát.
Pokud by dnes byly aplikovány zákon a vyhláška o kybernetické bezpečnosti plošně, tedy s dopadem na malé obce, pak by musely investovat do IT infrastruktury. To není vždy levné. Když provedu jednoduchý odhad, máme v ČR 6250 obcí. V případě, že by se situace týkala pouze 3000 z nich s investicí půl milionu korun, což je podle mého názoru velmi střízlivý odhad, pak bude celková výše investice z rozpočtu dotčených obcí v součtu 1,5 miliardy korun.
Další věcí je snaha státu o digitalizaci agend a služeb, kterou nelze zavést bez připravené infrastruktury. Ta je z mé zkušenosti bohužel pouze na vyšších úrovních státu (ministerstva, kraje, obce s rozšířenou působností). Co se týká malých obcí, vidím vážné nedostatky, které sice nejsou v rámci digitalizace státu v současné době zásadní, ale v dohledné době se jimi mohou stát.
V čem vidíte aktuální nedostatky samospráv ve vztahu k informačním a komunikačním technologiím?
Stručně v bodech je to chybějící infrastruktura, nízká digitální gramotnost, nedostatečný důraz na kybernetickou bezpečnost a finanční omezení. Dnes jsou na obecních úřadech malých obcí, ať už v zastupitelstvu nebo v dalších funkcích, lidé, kteří IT moc nerozumí. Je to pochopitelné a nikdo jim to nemůže mít za zlé, ale v tomto vidím největší riziko a nedostatek. Pokud někdo neví o případném nebezpečí nebo plně nechápe danou problematiku, pak nemá šanci se na nějaké nebezpečí připravit.
Stručně v bodech je to chybějící infrastruktura, nízká digitální gramotnost, nedostatečný důraz na kybernetickou bezpečnost a finanční omezení. Dnes jsou na obecních úřadech malých obcí, ať už v zastupitelstvu nebo v dalších funkcích, lidé, kteří IT moc nerozumí. Je to pochopitelné a nikdo jim to nemůže mít za zlé, ale v tomto vidím největší riziko a nedostatek. Pokud někdo neví o případném nebezpečí nebo plně nechápe danou problematiku, pak nemá šanci se na nějaké nebezpečí připravit.
Pojďme si tedy osvětlit, co hrozí.
Pokusím se v jednoduchosti vysvětlit případné požadavky a rizika na příkladu rodinného domu stojícího na pozemku. První, na co ve většině případů narazíme, je plot a branka. V IT tomuto místu říkáme perimetr infrastruktury. Je to tedy samotný okraj toho, o co se staráme a co zabezpečujeme. Stejně jako v normálním životě, tak ani tady nechceme, aby nám někdo chodil po pozemku. Pokud by tam nebyl plot, snadno se stane, že bude – v lepším případě – koukat oknem do kuchyně. V IT se perimetr infrastruktury zabezpečuje různými způsoby, nejčastěji jako „plot a branku“ používáme firewall. Filtruje všechen provoz, který v perimetru mít nechceme a propustí jen to žádoucí.
Další místo, na které typicky narazíme u domu, jsou vchodové dveře. K těm dáváme klíče pouze lidem, kteří mají mít k domu přístup. V IT to můžeme nazvat řízením přístupů. Zpravidla znamená identitu uživatelů, jejich přihlašovací údaje a další formy ověření, díky nimž přistupují k různým částem infrastruktury a do různých systémů. „Dovnitř" pouštíme pouze oprávněné osoby, a ty pak mají možnost přistupovat k různým částem domu.
Jedna z posledních věcí, které vnímám jako důležité je segmentace dané infrastruktury. Tedy fyzické nebo virtuální oddělení jednotlivých částí sítí, systémů a podobně. Pro příměr použijme místnosti v domě. Každá má svoje zdi a v ideálním případě i protipožární dveře. Pokud by tedy začalo v domě hořet, máme čas ostatní místnosti opustit, případně izolovat tu, ve které hoří a řešit požár lokálně pouze v tomto místě. V IT je to velmi podobné, pokud máme aplikovanou segmentaci, pak jsme schopni jakýkoliv škodlivý element, který se do infrastruktury dostal, izolovat a vypořádat se s ním v omezené části této infrastruktury. Pokud bychom ho neměli, může škodit všude. Stejně jako kdybychom neměli v domě zdi a začalo v něm hořet.
Moje zkušenost s IT v malých obcích je taková, že aktuálně mají dům, ale už u něj chybí plot, nemá branku a vchodové dveře jsou sice zamčené, ale čas od času někdo nechá otevřené okno v přízemí. Reálně provozují malé obce IT v nejnutnějším rozsahu, který většinou sestává z jednoduchých plochých sítí (chybí segmentace), několika málo počítačů a tiskáren. Není zabezpečen perimetr, moc dobře nefunguje řízení přístupů a je zde totální absence segmentace. Neznamená to, že malé obce nemohou aplikovat služby, které stát chce digitalizovat. Ovšem části těchto služeb – v lokální infrastruktuře dané obce – zřejmě nebudou dostatečně bezpečné.
Pokusím se v jednoduchosti vysvětlit případné požadavky a rizika na příkladu rodinného domu stojícího na pozemku. První, na co ve většině případů narazíme, je plot a branka. V IT tomuto místu říkáme perimetr infrastruktury. Je to tedy samotný okraj toho, o co se staráme a co zabezpečujeme. Stejně jako v normálním životě, tak ani tady nechceme, aby nám někdo chodil po pozemku. Pokud by tam nebyl plot, snadno se stane, že bude – v lepším případě – koukat oknem do kuchyně. V IT se perimetr infrastruktury zabezpečuje různými způsoby, nejčastěji jako „plot a branku“ používáme firewall. Filtruje všechen provoz, který v perimetru mít nechceme a propustí jen to žádoucí.
Další místo, na které typicky narazíme u domu, jsou vchodové dveře. K těm dáváme klíče pouze lidem, kteří mají mít k domu přístup. V IT to můžeme nazvat řízením přístupů. Zpravidla znamená identitu uživatelů, jejich přihlašovací údaje a další formy ověření, díky nimž přistupují k různým částem infrastruktury a do různých systémů. „Dovnitř" pouštíme pouze oprávněné osoby, a ty pak mají možnost přistupovat k různým částem domu.
Jedna z posledních věcí, které vnímám jako důležité je segmentace dané infrastruktury. Tedy fyzické nebo virtuální oddělení jednotlivých částí sítí, systémů a podobně. Pro příměr použijme místnosti v domě. Každá má svoje zdi a v ideálním případě i protipožární dveře. Pokud by tedy začalo v domě hořet, máme čas ostatní místnosti opustit, případně izolovat tu, ve které hoří a řešit požár lokálně pouze v tomto místě. V IT je to velmi podobné, pokud máme aplikovanou segmentaci, pak jsme schopni jakýkoliv škodlivý element, který se do infrastruktury dostal, izolovat a vypořádat se s ním v omezené části této infrastruktury. Pokud bychom ho neměli, může škodit všude. Stejně jako kdybychom neměli v domě zdi a začalo v něm hořet.
Moje zkušenost s IT v malých obcích je taková, že aktuálně mají dům, ale už u něj chybí plot, nemá branku a vchodové dveře jsou sice zamčené, ale čas od času někdo nechá otevřené okno v přízemí. Reálně provozují malé obce IT v nejnutnějším rozsahu, který většinou sestává z jednoduchých plochých sítí (chybí segmentace), několika málo počítačů a tiskáren. Není zabezpečen perimetr, moc dobře nefunguje řízení přístupů a je zde totální absence segmentace. Neznamená to, že malé obce nemohou aplikovat služby, které stát chce digitalizovat. Ovšem části těchto služeb – v lokální infrastruktuře dané obce – zřejmě nebudou dostatečně bezpečné.
Jak by se situace dala podle vás řešit?
Jediné rozumné řešení je podle mě edukační kampaň cílená právě na menší obce. Někdo by jim měl vysvětlit, že IT infrastrukturu potřebují, a to včetně jejího zabezpečení. Požadavky na IT totiž už nikdy nebudou menší, právě naopak budou v čase přibývat. Občas přijde nějaká konsolidace, ale trend je neúprosný. Do hry by měla vstoupit buď Digitální a informační agentura nebo Národní úřad pro kybernetickou a informační bezpečnost, případně v přenesené odpovědnosti výbory na jednotlivých krajích. Jakmile budou obce s problematikou seznámeny a budou jí alespoň na omezené úrovní rozumět, bude potřeba obcím pomoci s její aplikací. Tady vidím prostor buď pro ministerstvo vnitra nebo pro jednotlivé kraje, aby se zasadily o vznik rámcových smluv s potenciálními dodavateli a umožnily obcím nakupovat produkty a služby za výhodných podmínek.
Jediné rozumné řešení je podle mě edukační kampaň cílená právě na menší obce. Někdo by jim měl vysvětlit, že IT infrastrukturu potřebují, a to včetně jejího zabezpečení. Požadavky na IT totiž už nikdy nebudou menší, právě naopak budou v čase přibývat. Občas přijde nějaká konsolidace, ale trend je neúprosný. Do hry by měla vstoupit buď Digitální a informační agentura nebo Národní úřad pro kybernetickou a informační bezpečnost, případně v přenesené odpovědnosti výbory na jednotlivých krajích. Jakmile budou obce s problematikou seznámeny a budou jí alespoň na omezené úrovní rozumět, bude potřeba obcím pomoci s její aplikací. Tady vidím prostor buď pro ministerstvo vnitra nebo pro jednotlivé kraje, aby se zasadily o vznik rámcových smluv s potenciálními dodavateli a umožnily obcím nakupovat produkty a služby za výhodných podmínek.
Jsou obavy o kyberbezpečnost v malých obcích opravdu tak zásadní?
Jak již bylo řečeno výše, kybernetická bezpečnost se dotýká všech a není možné ji ignorovat ani na úrovni malých obcí. Jedná se hlavně o případné incidenty na kritické infrastruktuře, úniky osobních údajů z nedostatečně zabezpečených systémů nebo celkovou nedostupnost služeb v případě zvlášť zásadního útoku, který může znamenat i ztrátu veškerých dat. Malých obcí se podle mě nejvíce dotýká riziko úniku dat nebo úplná ztráta dat například kvůli ransomware útokům. Dopady jsou pak velmi zásadní, především z ekonomického pohledu a v důsledku ztráty důvěry veřejnosti právě při úniku osobních údajů.
Jak již bylo řečeno výše, kybernetická bezpečnost se dotýká všech a není možné ji ignorovat ani na úrovni malých obcí. Jedná se hlavně o případné incidenty na kritické infrastruktuře, úniky osobních údajů z nedostatečně zabezpečených systémů nebo celkovou nedostupnost služeb v případě zvlášť zásadního útoku, který může znamenat i ztrátu veškerých dat. Malých obcí se podle mě nejvíce dotýká riziko úniku dat nebo úplná ztráta dat například kvůli ransomware útokům. Dopady jsou pak velmi zásadní, především z ekonomického pohledu a v důsledku ztráty důvěry veřejnosti právě při úniku osobních údajů.
Panuje v malých obcích také obava z přílišné závislosti na dodavatelích IT řešení, takzvaný vendor lock-in?
Tato obava určitě panuje nejen v malých obcích, ale i u velkých firem a velkých státních institucí. Zde je potřeba si v první řadě uvědomit rozdíl mezi dodavatelem produktů a služeb a jejich výrobcem. Ve většině případů jde o dva odlišné subjekty. Pokud zvolíme spolehlivého dodavatele, který pomůže navrhnout danou infrastrukturu a vybere vhodné výrobce, pak se tomu dá poměrně jednoduše vyhnout diverzifikací jednotlivých technologií. Tedy nemít celou infrastrukturo od jednoho výrobce, případně zvolit i více dodavatelů a rozdělit jejich agendu kupříkladu na kancelářskou část a technologickou část – úpravny vody, kotelny, čističky odpadních vod.
Tato obava určitě panuje nejen v malých obcích, ale i u velkých firem a velkých státních institucí. Zde je potřeba si v první řadě uvědomit rozdíl mezi dodavatelem produktů a služeb a jejich výrobcem. Ve většině případů jde o dva odlišné subjekty. Pokud zvolíme spolehlivého dodavatele, který pomůže navrhnout danou infrastrukturu a vybere vhodné výrobce, pak se tomu dá poměrně jednoduše vyhnout diverzifikací jednotlivých technologií. Tedy nemít celou infrastrukturo od jednoho výrobce, případně zvolit i více dodavatelů a rozdělit jejich agendu kupříkladu na kancelářskou část a technologickou část – úpravny vody, kotelny, čističky odpadních vod.
Sledujete příklady dobré praxe ve větších sídlech, která by se dala přenést na úroveň menších obcí – jak v přístupu k IT u samotných samospráv, tak třeba v širším konceptu smart cities?
Příkladů dobré praxe je na trhu spousta, bohužel však hlavně ve větších institucích, kde mají na IT interně či externě najaté odborníky. Město Příbram před několika lety provádělo modernizaci IT infrastruktury v rámci evropských fondů. Dobrým příkladem mohou být i některé kraje, které uzavřely rámcové dohody s výrobci na nákup infrastruktury do jednotlivých školských zařízení. Co se konceptů smart cities týká, pak zmíním pár zajímavých projektů z Prahy, kde lze díky senzorům na jednotlivých velkoobjemových kontejnerech na odpad řídit svoz odpadu efektivně podle plnosti nádob. Dalším je senzorické sledování hustoty dopravy a následné úpravy objízdných tras při rekonstrukci Barrandovského mostu.
Příkladů mohu jmenovat celou řadu, bohužel nás však vrací na začátek. Tím je fakt, že není možné budovat jakékoliv smart projekty bez toho, aniž by obce měly alespoň základní IT infrastrukturu. A tu nezískají bez pomoci státu, který by dokázal vysvětlit, co a proč potřebují, a následně jim pomohl s financováním.
Příkladů dobré praxe je na trhu spousta, bohužel však hlavně ve větších institucích, kde mají na IT interně či externě najaté odborníky. Město Příbram před několika lety provádělo modernizaci IT infrastruktury v rámci evropských fondů. Dobrým příkladem mohou být i některé kraje, které uzavřely rámcové dohody s výrobci na nákup infrastruktury do jednotlivých školských zařízení. Co se konceptů smart cities týká, pak zmíním pár zajímavých projektů z Prahy, kde lze díky senzorům na jednotlivých velkoobjemových kontejnerech na odpad řídit svoz odpadu efektivně podle plnosti nádob. Dalším je senzorické sledování hustoty dopravy a následné úpravy objízdných tras při rekonstrukci Barrandovského mostu.
Příkladů mohu jmenovat celou řadu, bohužel nás však vrací na začátek. Tím je fakt, že není možné budovat jakékoliv smart projekty bez toho, aniž by obce měly alespoň základní IT infrastrukturu. A tu nezískají bez pomoci státu, který by dokázal vysvětlit, co a proč potřebují, a následně jim pomohl s financováním.
Tip redakce: Pokud nechcete, aby vám unikly aktuální informace, staňte se fanoušky naší stránky na Facebooku a budete 24 hodin denně v obraze.
zdroj: pribram.cz
autor: Magdalena Rezková
Související
•Za energie zaplatí Příbram příští rok o 40 milionů méně
•Zastupitelé Příbrami se přeli kvůli akvaparku, opozice kritizovala novou studii
•Parkovací dům v Příbrami bude dražší, zastupitelé schválili vícepráce za 6 milionů korun
Další články
Den matek klepe na dveře: Máš dárek, nebo zase jen výmluvu?
Existují dny, na které si člověk vzpomene sám od sebe – narozeniny, Vánoce, první …
NEPŘEHLÉDNĚTE
Počet výjezdů dál roste. Středočeský kraj bude obnovovat vozový park nákupem nových sanitek
Středočeští krajští radní odsouhlasili nákup 40 sanitek pro záchrannou službu v letech …
ZDRAVOTNICTVÍ
Ředitelka ZŠ, Příbram VII, 28. října 1 Renata Nováková: „Naší prioritou je bezpečné a zdravé prostředí pro děti“
Jak vypadá škola, která staví na uměleckém zaměření a zároveň klade důraz na výkon i …
ROZHOVOR
Bobři v Brdech pokračují v díle. Vytvořili krajinu plnou tůní a života
Brdské bobry si už každý bude navždy spojovat s tím, jak přehradili Klabavu pod …
POZNÁVÁME BRDY
Pietní akt u Slivice připomene poslední bitvu druhé světové války v Evropě
U Památníku Vítězství na Slivici se v neděli 10. května uskuteční pietní akt věnovaný …
HISTORIE
Výjimečná příležitost: Reprezentativní obchodní prostor 200 m² přímo na náměstí v Příbrami
V samotném centru Příbrami se nově nabízí k pronájmu atraktivní prostor o velikosti …
PR
Užitková vozidla na D4 přecházejí na ekologické biopalivo. Emise klesnou až o 75 procent
Údržba nové dálnice D4 míří k výrazně ekologičtějšímu provozu. Společnost Via Salis …
DOPRAVA
Tipy na víkend: Vyzkoušejte si práci architekta, přivítejte jaro nebo zajděte na koncert!
Tento víkend bude v Galerii Františka Drtikola připraven zajímavý program pro malé i …
AKTUÁLNĚ
Rožmitálská Družina zámku Růže láká na šerm i vystoupení pro královnu Johanku
Šermířské skupiny zažívají v Česku rostoucí zájem – nejen jako forma historické …
NEPŘEHLÉDNĚTE
Hotel Belveder čekají změny. Novým ředitelem se stává Tomáš Bezouška
Hotel Belveder, jedna z tradičních ubytovacích kapacit v Příbrami, prochází v …
NEPŘEHLÉDNĚTE