Datová centra používaná státními institucemi nejsou bezpečná

Naprosto nevyhovující, tak lze hodnotit stav datových center provozovaných státními institucemi. Alespoň podle analýzy vypracované ministerstvy vnitra a financí společně s Národním úřadem pro kybernetickou bezpečnost pro projekt přípravy vybudování státního cloudu.

Základním rizikem, které doprovází uchovávání dat ve státní a veřejné správě je v prvé řadě absence koncepčního řešení rozvoje datových center a uchovávání státních dat jako celku. Vyplývá to ze Souhrnné analytické zprávy k „Projektu Příprava vybudování eGovernment cloudu“. Tu vypracovali odborníci z Ministerstva vnitra ČR, Ministerstva financí ČR a nedávno vzniknuvšího Národního úřadu pro kybernetickou bezpečnost ČR.

Zaměstanci státního podniku spadajícího pod Ministerstvo financí ČR – Státní pokladna Centrum sdílených služeb – prozkoumali stav datových center státních institucí. „Předmětem hodnocení byl technologický management datových center a serverových místností. Zpracovány byly dotazníky obsahující data o 47 datových centrech a serverových místnostech organizací státní správy,“ píše se v analýze. Dotazník obsahoval 152 otázek hodnotících jejich dílčí parametry, které byly rozděleny do následujících sekcí:

  • Kapacita a spolehlivost síťového připojení
  • Konektivita k internetu
  • Obecné vlastnosti datového centra
  • Vstupní kontrola
  • Lokalita
  • Generátory a palivové nádrže
  • Procesní zabezpečení

Z celkového počtu hodnocených 47 datových center a serverových místností bylo hodnoceno:

  • 0 % plně vyhovujících,
  • 15 % dostatečných,
  • 85 % nevyhovujících.

Ze 152 parametrů bylo 50 identifikováno jako kritických

  • Ani jeden kritický parametr nebyl splněn ve všech datových centrech
  • Žádné datové centrum nesplnilo všechny kritické parametry.
  • Pouze 10 ze 46 hodnocených datových center splnilo alespoň 80 % kritických parametrů.

„Jednotlivé subjekty státní a veřejné správy nemají dlouhodobě koncepčně vyřešen provoz, vybavení zabezpečení a rozvoj datových center jednotlivých resortů. Není tedy možné efektivně plánovat investice do datových center, HW a zabezpečení a citlivá data jednotlivých státních subjektů jsou de facto uchovávána v nevyhovujících prostorech a na zastaralé infrastruktuře,“ píše se v závěru tohoto bodu analýzy připravenosti státního sektoru na zavedení vládního cloudu.

K dalším rizikům podle autorů analýzy, patří především nemožnost a počáteční nereálnost odhadu budoucí potřebné kapacity datového centra. Následně pak dochází k poddimenzování kapacity, nebo naopak ke zbytečně vynaloženým nákladům z veřejných rozpočtů. „Provoz vlastního datového centra rovněž vyžaduje odborné personální zajištění, a především zvládnutí fyzické a logické bezpečnosti uložených dat. Tyto nároky mnohdy subjekty státní správy nejsou schopny plnit vlastní silou a dochází tak ke značným rizikům, která mohou mít za následek ohrožení celého datového fondu,“ varuje analýza.

Státní cloud se zpožděním

Celý projekt vládního cloudu má zpoždění, na což jsme upozorňovali už v říjnu 2016. Tehdy bylo stanoveno, že do 31. 12. 2017 má být předložen samotný projekt příprava vybudování eGovernment cloudu, což se nestalo. Zatím v polovině roku 2018 je připravena „pouze“ analýza současného stavu.

O státním cloudu se mluví již několik let, například v září 2016 jsme psali o tom, že vnitro představí snad již poslední strategii tohoto projektu. Pro zajímavost si přečtěte text Vnitro představí strategii pro nakládání s daty v cloudu. Podle plánů, které jsme popsali v říjnu 2016 v textu Strategie pro státní cloud bude nejdříve v roce 2018, mělo v letošním roce začít postupné budování eGC.

 Letos se mělo uskutečnit:

  • vytvoření státní části eGC – datová centra státu, tj. úprava vhodných stávajících datových center a dobudování dalších státních datových center,
  • průběžná realizace výběru a čerpání služeb dodavatelů komerční části eGC na základě definovaných požadavků,
  • postupná migrace IS, dosud provozovaných v datových centrech státních institucí, do datových center eGovernment Cloudu (do státní, resp. do komerční části eGC) poskytujících sdílené služby IaaS, SECaaS a PaaS, migrace bude probíhat „nenásilnou“ formou, a to jakmile dožije stávající provozní infrastruktura IS,
  • centralizace provozního prostředí určených IS, tj. IS začnou využívat výpočetní výkon státní části eGC resp. komerční část eGC v příslušných datových centrech (DC).
  • V této fázi dochází pouze ke změně infrastruktury, na které jsou informační systémy (IS)  provozovány, zodpovědnost za řízení provozu a případný další rozvoj IS v této fázi zůstává na věcném správci IS. Migrace bude postupná, aby se maximálně využily stávající investice jednotlivých institucí veřejné správy do technické infrastruktury.
    zdroj: Strategický rámec Národního cloud computingu – eGovernment cloud ČR

Vládní cloud bude rozdělen do dvou částí – komerční část (KeGC – služby provozované komerčními subjekty s využitím jejich vlastních datových center a komunikační infrastruktury) a státní část (SeGC – služby provozované v datových centrech a na HW a SW platformách v majetku státu a provozované organizacemi řízenými státem). Kritériem pro využití služeb SeGC nebo KeGC je úroveň bezpečnostních dopadů daného informačního systému . SeGC zajistí maximální úroveň bezpečnosti a je určen pro provoz služeb eGC bezpečnostní úrovně 4 (Kritická). KeGC v maximální míře využije tržních mechanismů pro zajištění optimálních cen pro nižší bezpečnostní úrovně.

Jiří Reichl

Tématu eGC tedy „státního“ cloudu se věnujeme dlouhodobě:

Státní cloud budou vyvíjet NAKIT a Státní pokladna 

Strategie pro státní cloud bude nejdříve v roce 2018 

Vnitro představí strategii pro nakládání s daty v cloudu 

Mají data v cloudu národnost? Microsoft má problém