Jakie cechy powinna posiadać idealna placówka publiczna np.: urząd? Niektóre osoby będą chciały zapomnieć o długich kolejkach, inne marzą o miłej obsłudze, a jeszcze inni chcą, aby w ogóle do urzędów nie chodzić tylko załatwiać swoje papierkowe sprawy przez Internet. Naszym redakcyjnym marzeniem jest wprowadzenie najwyższego poziomu bezpieczeństwa i zaimplementowanie sprawdzonych rozwiązań dbających o nasze dane. Nikt z nas nie chciałby, aby informacje w postaci imienia i nazwiska, adresu zamieszkania czy też numeru PESEL wyciekły w świat i były publicznie dostępne. Czy taki scenariusz jest w ogóle możliwy? Pewien anonimowy rozmówca zechciał porozmawiać o bezpieczeństwie infrastruktury IT w urzędach, przetargach, przekrętach, PRISM oraz Linuksie, który nijak nie może się przebić do instytucji publicznych. Dlaczego tak jest? Zapraszamy do lektury wywiadu.
Morfeusz888 – symbol M8
Anonimowy rozmówca – symbol AR
M8: Na początek powiedz gdzie pracujesz oraz jak wygląda Twoja praca.
AR: Pracuję w urzędzie miejskim w małym miasteczku z ok. 5000 mieszkańców, 40 urzędników. Jestem jednoosobowym działem IT będącym częścią referatu organizacyjnego.
Zajmuję się zakupami na potrzeby IT, planowaniem budżetu, zakupami oprogramowania, wdrażanie nowych systemów, szkoleniami, serwisem sprzętu, redagowaniem BIP, pilnowaniem aby to, co jest w serwerowni działało bez przerw, utrzymaniem ciągłości licencji i opieki nad systemami dziedzinowymi.
M8: Po Twoim obowiązkach można stwierdzić, że jesteś człowiekiem od wszystkiego. Urzędy powinny cechować się wyższym standardem bezpieczeństwa danych od innych firm. Jak jest u Ciebie?
AR: W takich jednostkach jak urząd miasta skupia się na kontroli dostępu do danych i tworzeniu kopii bezpieczeństwa. Zwykle większość informacji (w sensie gabarytów – zajętości nośników) to informacje jawne i tu głównie wykonuje się tylko kopie bezpieczeństwa na wypadek uszkodzenia nośnika, przypadkowego usunięcia itp. W systemach informatycznych przetwarza się także dane wrażliwe – np. dane osobowe. Tam gdzie takie dane są przetwarzane dostęp jest wielopoziomowy tzn. odrębny login i hasło do stacji i odrębny login i hasło do systemu plus dziennik logowań i operacji (np. ewidencji ludności lub podatków). Oczywiście także regularnie wykonuje się kopie bezpieczeństwa (niekiedy kilka razy dziennie). Oczywiście stacje zabezpieczone są oprogramowaniem antywirusowym (plus zapora i kontrola portów USB).
To jakie środki do zabezpieczenia są stosowane zależy w główniej mierze od kasy jaką się dysponuje. Małych jednostek nie zawsze jest stać na zakup profesjonalnych rozwiązań (tzn. tych z najwyższej półki) np. z dziedziny bezpieczeństwa sieci (np. na styku LAN-Internet). Używa się rozwiązań open source (na zwykłym PC z kilkoma kartami LAN) i dostosowuje się je tak aby było jak najbezpieczniej. Tam gdzie można zastosować rozwiązania OS tam się oszczędza. Często bywa tak, że trzeba wybierać pomiędzy kupnem lepszego serwer albo wymienianą kilkunastoletnią stacją roboczą. Wtedy idzie się na kompromis i serwer składa się z najtańszych komponentów i wymienia tylko część stacji.
Tak – jestem człowiekiem od wszystkiego w ramach IT. Myślę, że to jest poważny problem w małych jednostkach gdzie pracuje jeden lub max 2 informatyków. Nie są oni wyspecjalizowani przez co jakość usług jest przeciętna. Specjaliści nie chcą pracować w urzędach, ponieważ płaca to śmieszne pieniądze w tej branży. Będąc informatykiem w urzędzie można zapomnieć o profesjonalnych szkoleniach – to też zniechęca. W poważnych firmach IT dba się o podnoszenie kwalifikacji swoich specjalistów. Zwykle uważa się, że jeśli skończyło się studia techniczne to jest wyśmienitym specem od wszystkich zagadnień związanych z IT. Niestety w tej dziedzinie trzeba się ciągle dokształcać – tego nie rozumieją decydenci z małych miasteczek.
M8: Jak u Was jest z tymi funduszami na bezpieczeństwo? Twój przełożony zdaje sobie sprawę, że to ważna gałąź infrastruktury, czy jesteś zmuszony kombinować?
AR: Przy planowaniu budżetu opisuje się dokładnie wszystkie potrzeby, także wszyscy wiedzą jaka jest sytuacja. Zwykle przedstawia się wygórowane zapotrzebowania aby coś zostało po obcięciu. Potrzeby IT zwykle przegrywają z takimi pozycjami w budżecie jak inwestycja w odnowienie drogi czy budowę placu zabaw dla dzieci. Ponadto jak uzasadnić potrzebę inwestycji w lepsze systemy np. obiegu dokumentów, zintegrowanych z platformą ePuap skoro ilość pism, które przeszły przez ten system można policzyć na ręce drwala po wypadku z udziałem piły łańcuchowej :-).
Wracając do bezpieczeństwa – nie jest aż tak źle. Każda osoba zajmująca się tym zagadnieniem ma jakąś paranoję kontrolowania wszystkiego (niestety tak się nie da nawet w NSA). Myśląc o lepszym bezpieczeństwie – myślę o systemach, które np. dokonywałyby głębokiej inspekcji pakietów wychodzących do Internetu np. pod kątem czy ktoś (lub coś) nie wysyła dokumentów z danymi osobowymi. Nie tak dawno myśleliśmy o wdrożeniu systemu, który rejestrowałby aktywność każdego z użytkowników pod kątem kopiowania i przenoszenia plików. Niestety te rozwiązania są zbyt drogie i mają wiele mankamentów. Skończyło się na zabawie wersjami demonstracyjnymi. Wdrażanie takich systemów także nie jest “z góry” obowiązkiem więc nie trzeba wydawać pieniędzy. Bardzo ciężko przekonać do wydawania pieniędzy na coś co nie jest obowiązkiem.
W najbliższym czasie będzie boom na zakup nowych stacji roboczych, bo zbliża się koniec wsparcia dla Windows XP (8 kwietnia 2014 roku). Tam gdzie pracują jeszcze stare komputery, które były kupione z Windows XP zwykle nie są w stanie uciągnąć nic nowszego. Chciałoby się na nich zainstalować Linux’a jednak w 99% nie jest to możliwe ze względu na oprogramowanie dziedzinowe. Ktoś mógłby napisać, że jest Wine – jednak to rozwiązanie nie daje gwarancji poprawnego działania.
M8: No właśnie, legendarny XP odejdzie na zawsze. Planujecie zakupić komputery z systemem Windows 8/8.1 czy pracować na sprawdzonym Windows 7? Wspomniałeś, że na niektórych stacjach roboczych nie da się zainstalować Linuksa, wiadomo, oprogramowanie tworzone pod konkretne potrzeby zwykle działa tylko na Windowsie. Są jednak takie stanowiska, gdzie wdrożenie Linuksa mogłoby się udać? Czy próbowaliście wykonać migrację na kilku komputerach? Jeżeli tak, to jak to wyszło w praktyce?
AR: Odejdzie i nie pomogą nawet fochy Chińczyków – będzie Windows 8.1. Tam gdzie jest Windows 7 będzie aktualizacja.
W ostatnich latach poprawiła się sytuacja z systemami dziedzinowymi. Odchodzi się od modelu serwer i klient na bazie Windows (kiedyś DOS… czasami jeszcze gdzieś są niedobitki DOSowych systemów). Coraz częściej spotyka się rozwiązania z klientami pisanymi pod VM Java z opcją uruchamiania ze wsparciem dla systemów na bazie Linuksa. Przykłady – końcówki do liczenia i rejestrowania głosów podczas wyborów lub System Informacji Oświatowej – program do sporządzania i wysyłania sprawozdań. Ten ostatni w najnowszej odsłonie został przepisany na platformę Adobe AIR – wg mnie to błąd i ślepa uliczka (już pomijam o tym jak całe to rozwiązanie jest awaryjne). Zauważa się także trend z klientem uruchamianym w przeglądarce – jest to spore ułatwienie przy wdrażaniu. W dużych jednostkach gdzie pracuje ponad setka urzędników można łatwiej wprowadzić systemy bazujące na Linuksie. Spowodowane jest to tym, że pracownicy mają węższy zakres obowiązków przez co obsługują mniej aplikacji. W małych jednostkach jest tak, że pracownicy mają więcej obowiązków, często zastępują pracowników zajmujących się zupełnie inną dziedziną przez co na poszczególnych stacjach jest wiele aplikacji dziedzinowych. Wystarczy jedna aby nie można było używać Linuksa.
Sprawa migracji na systemy linuksowe stała się nieco utrudniona pośrednio przez ustawę o ogłaszaniu aktów normatywnych (tj. Dz.U. z 2011 r. Nr 197, poz. 1172). Wprowadza ona nowy format dokumentów bazujący na XML. Dotyczy to aktów prawa miejscowego i innych dokumentów wytwarzanych z urzędzie. W tym formacie obowiązkowo przekazuje się akty prawa miejscowego (niektóre uchwały rady) do dzienników wojewódzkich. Format jest otwarty jednak na rynku nie ma oprogramowania do “produkcji” takich dokumentów, które działa pod Linuksem. Mamy w zasadzie monopol w tej dziedzinie. W małych urzędach prawie każdy pracownik uczestniczy w tworzeniu uchwał… więc musi pracować na oprogramowaniu, które zaprojektowano pod Windows (nawiasem pisząc .NET 4).
M8: Podaj przykład oprogramowania, które służy do “produkcji” takich dokumentów.
AR: Jak wspomniałem wybór jest praktycznie jeden – Edytory aktów prawnych XML firmy ABC PRO (www.abcpro.pl), który występuje w kilku wariantach. Najważniejsze to okrojona wersja dostępna za darmo oraz płatny Legislator (w kliku odmianach) mający więcej funkcji i nieco inną filozofie pracy. Oprogramowanie to jest względnie tanie i dynamicznie się rozwija. Ponadto otrzymuje się dostęp do publikowania dokumentów w specjalnej bazie, którą można przeszukiwać na wiele sposobów – www.prawomiejscowe.pl.
Jest jeszcze system stworzony na zlecenie byłego MSWiA – EDAP (http://bip.msw.gov.pl/bip/informacje-maic/informatyzacja/elektroniczna-forma-ak/18658,dok.html) – niestety od prawie 4 lat nie rozwijany i bardzo toporny – jednakże działa na Linuksie (w przeglądarce internetowej, serwer na bazie Apache Tomcat). Tutaj widać jak robi się projekty z pieniędzy publicznych. Wydało się pewnie niemałą kwotę, po czym otrzymaliśmy produkt bez kodów źródłowych (w sensie dostępnych publicznie), które mogły być rozwijane chociażby przez osoby z branży urzędowego IT. Kasa poszła, projekt odfajkowano.
M8: Dlaczego tak późno zdecydowaliście się na migrację? Data „śmierci” Windows XP znana jest od dawna, Windows 8 również wyszedł jakiś czas temu. Nie mogliście wcześniej się podjąć tego zadania, aby migracja nie przebiegała tak gwałtownie? W takich systemach informatycznych pośpiech nie jest wskazany.
AR: Część desktopów już zmigrowano do Windows 8.1. Większość jednak to prawie 10-letnie maszyny typu Celeron 2GHz i 1GB RAM – dlatego zaszła taka potrzeba. Gwałtowna? Czy ja wiem? To nie jest wymiana tysiąca stacji tylko ok. 15. Część zakupów zaplanowaliśmy w tym roku i już zostały sfinalizowane. Reszta do kwietnia przyszłego roku. Data owszem znana, ale po 8 kwietnia nic się na dobrą sprawę nie zawali – większość systemów będzie działać, jednak trzeba wiedzieć, że wraz z upływem czasu producenci oprogramowania nie będą wspierać Windows XP – dobry przykład Legislator – napisany w technologii .NET. Idę o zakład, że jak nie w 2014 to 2015 klienci ABC PRO otrzymają list, w którym zostaną poinformowani, że kolejna wersja edytora będzie korzystać z innowacyjnych technologii jakie daje .NET4.5 i w związku z tym prosi się o aktualizację systemów do co najmniej Windows Vista z dodatkiem SP2.
M8: Wróćmy jeszcze do kwestii bezpieczeństwa. Jeżeli kupujecie sprzęt, to na co zwracacie uwagę? Bierzecie pod uwagę takie aspekty jak pomoc techniczna, kompatybilność czy zainstalowane komponenty? Pod szczególną obserwacją powinny być urządzenia posiadające systemy wbudowane, jak np. routery, przez które płynie cały ruch. Zwracacie uwagę kto jest producentem, czy ma czyste sumienie (PRISM i inne tego typu akcje), czy stacje o nazwie No Name niewiadomego pochodzenia również zamawiacie?
AR: Zwykle są to sprzęty składane na zamówienie ze sprawdzonych komponentów na bazie rozwiązań Intel’a. Czy to ma obecnie znaczenie? Hmmm od lat w biznesie korzysta się z technologii vPro, która wbudowana jest w wybrane najnowsze procesory i płyty główne. Pozwala podłączać się do stacji roboczych przez zdalny pulpit (realizowany sprzętowo). Można przeglądać pliki, przeinstalować system lub zdalne włączyć i wyłączyć komputer. Czy są tam jakieś backdoory czy luki? Tu rozkładam ręce. Nie jestem w stanie prześwietlić układów scalonych. Nie ma także, wytycznych, które instruują jak ustrzec się przed zaawansowanymi metodami podsłuchu. Jedyne co można zrobić to kupowanie nowego sprzętu od producentów z zachodu i wystrzegać się tanizny z drugiej ręki.
Historia z życia – nie tak dawno temu dawne MSWiA zakupiło do projektu, którego celem jest centralne przetwarzanie rejestru PESEL routery Made in China. Dostaliśmy kartonik z tym routerem jakoś w czasie kiedy w branży mówiło się o lipnych ruterach ze wschodu. Skoro w ministerstwie nie zwraca się na takie rzeczy uwagi to o czym my tu piszemy?
M8: Nie zwracają uwagi ze względu na niekompetencję i niewiedzę, czy specjalnie? Myślisz, że dominuje przekonanie “po co kupować sprawdzony sprzęt, jak można jakiś lipny sprowadzić, byleby taniej”?
AR: Tu kłania się Prawo zamówień publicznych. Myślę, że jakiś specjalista napisał specyfikację do przetargu, zorganizowano przetarg i tak to się odbyło. Wybrano najtańszą ofertę. Może się mylę i te routery były sprawdzane, ale nie sądzę aby dokonywano inspekcji kodu źródłowego i samodzielnie kompilowano binarki. Trzeba pamiętać, że to nie wystarczy, ponieważ backdoory mogą istnieć także na poziomie sprzętu.
Wg mnie kluczowe elementy systemu, którym przekazuje się wrażliwe dane powinny być “robione” na miejscu. Mamy firmy, które to potrafią – choćby Digital Core Design robi świetne CPU. Gdyby MAC sypnęło kasą mogli by zaprojektować procesor(y) na miarę potrzeb. Oprogramowanie systemowe jest na wyciągnięcie ręki – Linux’a można dostosować do wszystkiego. Gorzej jednak z zaufanymi specjalistami – na dzień dzisiejszy nikt nie będzie zajmować się profesjonalnie, na światowym poziomie zagadnieniami bezpieczeństwa za mniej niż kilkanaście tys. na rękę. Można wynajmować zewnętrzne firmy i tak jak NSA obudzić się z ręką w nocniku.
M8: Wspomniałeś, że zajmujesz się również zakupami jak i szkoleniami w segmencie IT. Jak wiemy, w Polsce wszelkie zakupy jak i inne kwestie związane z pieniędzmi zakrapiane są korupcją. Czy możesz opowiedzieć o kilku dziwnych sytuacjach? Zapewne wiesz, co mam na myśli.
AR: Raz robiłem przetarg i nie było tego typu nieprawidłowości. W małych jednostkach w dziedzinie IT zdecydowana większość zakupów idzie z wolnej ręki. Jeśli z wolnej ręki to w grę wchodzą kwoty przy których – tak sądzę – nie opłaca się kombinować. Jak wiemy z mediów – co innego jest w przypadku wielkich projektów gdzie kwoty siedmio- lub ośmiocyfrowe przechodzą przez wiele rąk.
Dziwne rzeczy działy się wokół projektu PL.ID. Myślę, że to może potwierdzić każda osoba zajmująca się wdrożeniem tego projektu na najniższym poziomie. Ja zajmuję się implementacją w mojej jednostce. Projekt jest od wielu lat w stadium wdrażania i kilka razy ostateczny termin przesuwano.
Domyślam się, że coś jest nie tak. Może to być niezbyt pieczołowite przygotowanie specyfikacji, niedopatrzenie… lub może mieć związek z doniesieniami na temat korupcji wokół tego projektu.
W ramach PL.ID jednostki, które zajmują się ewidencją ludności lub mają urząd stanu cywilnego otrzymały sprzęt i oprogramowanie do realizacji tychże zadań. Jednym ze sprzętów były serwery (w różnych wariantach – w zależności od wielkości jednostki i zgłoszonego zapotrzebowania). My otrzymaliśmy serwer Dell’a z zainstalowanym systemem Windows Server. Nic dziwnego, ale kiedy instalowaliśmy oprogramowanie okazało się że aplikacja dziedzinowa działa na Ubuntu + Java + Tomcat + SQL… Ubuntu odpalony jako system zwirtualizowany pod Windows. Ktoś tak lekką ręką wydaje kilka milionów na zbędne licencje. Na sprzęcie też można było zaoszczędzić – wystarczyło spytać kto przyjmie obraz VM.
Obecnie MAC robi porządek – w tym roku sprawdzali czy zakupiony sprzęt rzeczywiście jest w urzędach. Zdaje się, że sprzątają bałagan po aferze korupcyjnej. Szkoda tylko, że zmarnowano mnóstwo pieniędzy podatników i czasu.
M8: Jak ma się sprawa z systemami serwerowymi? Co w urzędach się bardziej preferuje? Jakieś przepisy to regulują?
AR: Najważniejsze przepisy obowiązujące w tym zakresie to:
Ustawa z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz.U.2013.235 j.t.)
Rozporządzenie Prezesa Rady Ministrów z dnia 14 września 2011 r. w sprawie sporządzania pism w formie dokumentów elektronicznych, doręczania dokumentów elektronicznych oraz udostępniania formularzy, wzorów i kopii dokumentów elektronicznych (Dz.U.2011.206.1216)
Rozporządzenie Prezesa Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz.U.2012.526)
Rozporządzenie MSWiA z dnia 21 kwietnia 2011 r. w sprawie szczegółowych warunków organizacyjnych i technicznych, które powinien spełniać system teleinformatyczny służący do identyfikacji użytkowników (Dz.U.2011.93.545)
Są jeszcze przepisy dotyczące przetwarzania danych osobowych.
M8: Czy robicie jakieś audyty bezpieczeństwa? Jeżeli tak, to co ile? Jak ogólnie Polskie prawo ma się do kwestii ochrony danych obywateli (szyfrowania itd)?
AR: Przynajmniej raz w roku robimy samodzielnie audyt bezpieczeństwa przy pomocy ogólnie dostępnych narzędzi np. KALI LINUX. Sprawdzamy podatność naszych systemów na typowe ataki.
Co do ochrony danych obywateli – zależy co masz na myśli. Jeśli chodzi Ci o dane osobowe, to tym zajmuje się GIODO. Przepisy regulujące to zagadnienie określa Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U.2002.101.926). Kwestie techniczne określa wcześniej wymienione rozporządzenie – Dz.U.2012.526.
M8: Zdziwiła Cię decyzja, że w Polsce nie będzie śledztwa w sprawie PRISM? Co ogólnie sądzisz o tej całej aferze z NSA?
AR: Po wysłuchaniu wystąpienia naszego premiera w tej sprawie już nic mnie nie zdziwi. Pan Tusk (w skrócie) wychodzi z założenia, że skoro to nasi sojusznicy to “olać to”, zresztą tajne służby są od tego aby inwigilować i wszyscy przecież o tym wiedzą. To nie jest wypowiedź premiera kraju suwerennego – tak to odebrałem. Z drugiej strony jestem pod wrażeniem skali PRISM. Chciałbym aby to nasze służby dysponowały takimi zabawkami :-). Władze USA jakoś sobie wewnętrznie poukładają sprawy związane z inwigilacją tak, że większość będzie zadowolona. PRISM będzie się rozwijać i inwigilować. W głębi duszy wolałbym aby cały wysiłek jaki wkłada się w projekty typu PRISM był spożytkowany w bardziej szczytnych celach – np. obliczenia naukowe.
Taka dygresja do PRISM. Nasze prawo nie jest dostosowane do współczesnych realiów. Dla przykładu GIODO wymyśliło sobie, że trzeba rejestrować w eGIODO każdy rejestr zawierający dane osobowe. Dla przykładu – jeśli prowadzisz mały pensjonat i masz książkę meldunkową – musisz ją zarejestrować. Tymczasem tacy giganci jak Google czy Facebook (czytaj PRISM) to największe “pająki” do zbierania danych osobowych w zakresie w jakim nawet służby bezpieczeństwa mogą pozazdrościć. Ich rejestrów nie znajdziesz w wykazie eGIODO. Nobo niby jak, jeśli nie mają oficjalnej działalności u nas. GIODO to pewnie też powiewa bo nie słyszałem aby coś z tym robili. Niemcy coś próbują i trzymam za nich kciuki. Niektórzy mogą pomyśleć “odwalcie się od mojego FB i Internetu” – oni nie rozumieją zagrożeń wynikających z globalnych serwisów społecznościowych.
M8: Dzięki za wywiad. W imieniu swoim i czytelników OSnews.pl życzymy wszystkiego najlepszego.