Ministerstvo zemědělství si velmi dobře uvědomuje, že základním kamenem řízení informační a komunikační technologie (dále ICT) je promyšlená a propracovaná strategie a koncepce ve střednědobém horizontu. Každá strategie a koncepce, stejně jako strategie a koncepce ICT MZe je dynamický dokument, který reflektuje především reakci na změny okolí (technologické, ekonomické, klimatické, sociální i politické), dále pak pravidelné roční aktualizace a prověřování skutečného stavu.
Východiska pro volbu správné strategie
Aby bylo možno určit směr střednědobého vývoje, bylo klíčové důkladně a co nejpřesněji zanalyzovat stávající, tzv. výchozí stav. Na základě takto provedené analýzy současného stavu došlo následně k nutnosti zajistit detailnější informace např. těmito aktivitami: audit veřejných zakázek, analýza a doporučení zavedení mechanismu řízení procesů a projektů ICT, nastavení vzorových smluv pro různé typy nejčastějších dodávek a služeb, zavedení unifikovaného systému SLA parametrů, nový systém zadávání veřejných zakázek s ohledem na jejich transparentnost, nový systém a nové nástroje pro tvorbu a sledování rozpočtu v projektové kanceláři ICT, dotazníková akce k oslovení uživatelů pro zjištění jejich potřeb atd. Všechny výše zmíněné aktivity byly spuštěny s cílem lépe a konkrétněji popsat výchozí stav.
Dalšími faktory ovlivňujícími volbu strategie jsou dynamicky se rozvíjející ICT technologie (zejména oblast bezpečnosti, hardwarové a aplikační infrastruktury atd.), kdy je zapotřebí pružně reagovat na neustále se objevující podněty či nové podmínky včetně stanovení přípustné míry mezi výší nákladů a mírou rozvoje těchto technologií.
Zákaznický přístup ICT směrem k uživatelům výpočetní techniky, mající přímý dopad na jejich spokojenost, je také jednou z klíčových oblastí, na které se v mnoha organizacích v posledních letech zapomíná a na něž se snaží MZe v souladu s výše uvedenými důvody výběru vhodné strategie reagovat.
Volba vhodné strategie
Vzhledem k existenci celé řady relevantních možností, jak efektivně nastavit řízení ve střednědobém horizontu, jsme se soustředili na volbu ze tří základních variant. První varianta je tzv. stagnační, ve které mechanicky reflektujeme na celkové snížení, resp. postupné snižování rozpočtových prostředků. Tato varianta nebere v úvahu efektivnost ani účelnost vynaložených nákladů a hlavním doprovodným efektem je výrazné snížené nákladů na ICT.
Další uvažovaná varianta je tzv. revoluční, která je ze své podstaty nejnáročnější a nejodvážnější z uvažovaných variant, neboť se zabývá změnou obchodního, resp. procesního modelu organizace s podporou ICT.
Trojici uvažovaných variant doplňuje tzv. evoluční, kdy při zachování, resp. optimálním snížení stávající výše rozpočtových prostředků se s těmito relativně omezenými zdroji nakládá se zvýšeným důrazem na maximální efektivnost vynaložených investic.
S ohledem na aktuální situaci a možnosti MZe v oblasti ICT jsme se přiklonili k volbě evoluční strategie. Základními důvody pro tuto volbu jsou primárně technologická i projektová připravenost (outsourcing dodávky služeb, řízení podle ITIL, zvyšování flexibility infrastruktury, integrace odborných interních a externích kapacit, čímž dochází i k propojení vědomostních a dovednostních disciplín), zaměření na vysokou efektivnost (zejména v porovnání se strategií stagnační, která v budoucnu vyvolá extrémně vysoké náklady a časový tlak na urychlené realizace zastavených projektů – jde v podstatě o půjčku od budoucnosti), a nejmenší riziko realizace (revoluční strategie je extrémně riziková z pohledu vyvolání velkých tlaků na změny a v důsledku toho i nákladná – viz např. projekt datových schránek).
Primární strategický cíl: optimalizace nákladů
Žádná strategie, ani sebelepší však není samospásným všelékem. Důležitou komponentou každého úspěšného řízení ve střednědobém horizontu musí být podloženo stanovením konkrétních cílů a těmto cílům podřízeny veškeré projektové i procesní aktivity. Takovým cílem je pro ministerstvo zemědělství optimalizace výdajů vynakládaných na informační technologie. Optimalizace nákladů je též jedním ze základních prostředků pro úspěšné plnění stanovené strategie a koncepce. Již v roce 2010 zahájilo dlouhodobý proces snižování nákladů, a to zejména v následujících oblastech:
– provoz ICT infrastruktury – tlak na cenu zavedením konkurenčního prostředí,
– služby ICT – optimalizace nebyla jen finanční, ale též v nastavení systému řízení dodavatele a odstranění měsíčního paušálu (platba na základě výkazu podle skutečně odvedené práce),
– veřejné zakázky malého rozsahu – nově se ICT bude více zaměřovat na zvýšení poměru implementačních zakázek oproti analytickým zakázkám.
Sekundární strategické cíle ICT 2011–2013
Projektová kancelář ICT rozpracovává celkovou rámcovou strategii do jednotlivých konkrétních projektových oblastí s ohledem na aktuálně určené priority. Sdružením řádově asi 80 projektů do několika základních skupin je zajištěna mnohdy tak potřebná, ale někdy na první pohled ne zrovna důležitá přehlednost. Implementací transparentních procesů, jako je např. kontrola minimálně čtyř očí, vymezení jednoznačné zodpovědnosti pracovníků a delegování úkolů včetně kompetencí k návrhům řešení, bylo nastaveno funkční prostředí, které je nyní ještě lépe připraveno na zvládání složitých úkolů v rámci zajišťování současných agend ICT. Snahou samozřejmě dále zůstává zvýšení efektivnosti vynakládaných prostředků, především pak projektového času a doby odezvy potřebné k vyřešení a zajištění požadavků uživatelů.
Mezi klíčové projektové oblasti definované strategií ICT, které projektová kancelář buďto přímo zajišťuje, nebo na nich spolu s odbornými garanty participuje, patří především rozvoj a úprava zemědělských registrů, rozvoj hardwarové infrastruktury, hledání synergických efektů s ostatními rezorty státní správy, optimalizace ERP systému z důvodu narovnání majetkoprávních vztahů a autorských práv, a to výhradně v souladu s judikaturou Úřadu pro ochranu hospodářské soutěže, zavedení manažerského informačního systému MZe pro zefektivnění řízení rezortu, implementace nezávislého bezpečnostního monitoringu a podpora elektronizace úřadu, hlavně rozvoj a integrace elektronické spisové služby na agendy ministerstva.
Kromě provozních projektů je samozřejmě zapotřebí věnovat se i přes dnešní uspěchanou dobu také projektům rozvojovým. I na ty strategie a koncepce pamatuje a definuje alespoň několik základních oblastí, které budou ve střednědobém horizontu předmětem dalších zlepšování, reorganizování a zefektivňování s cílem dosažení hlavního strategického cíle, tedy optimalizace nákladů. Mezi tyto vybrané projekty patří především optimalizace interních procesů, zejména procesů řízení změn, zdrojů, znalostí a rizik, dále pak oblast ICT infrastruktury se zaměřením na zvýšení flexibility a transparentnosti, využití spolufinancování z fondů Evropské unie, naplnění cílů smart administration a v neposlední řadě níže ještě podrobněji rozepsané téma bezpečnosti informací, procesů a pracovních stanic.
Bezpečnost informací
Jednou z nejrizikovějších strategických oblastí skrývajících dalekosáhlé dopady či ztráty je oblast bezpečnosti informací.
Jak poznamenal bezpečnostní manažer ICT MZe Ing. Štefl, dynamika vzniku nových hrozeb a útoků je značná, stejně tak jako frekvence výskytu nových trendů. Zejména nyní, při elektronizaci státní správy, jsou činnosti ministerstva zemědělství již plně závislé na informačních systémech, ve kterých úřad zpracovává všechny své agendy. Jako příklady můžeme uvést rozsáhlý systém registru půdních bloků, registru zvířat, elektronický systém spisové služby a mnoho dalších. S rostoucími nároky na možnosti informačních systému rostou i nároky na jejich zabezpečení. Mnohé systémy obsahují citlivé informace, osobní údaje a další informace, které je nutné chránit tak, aby byla zajištěna jejich důvěrnost, integrita a dostupnost.
Na ministerstvu zemědělství je od roku 2006 zaváděn systém řízení bezpečnosti informací (dále též ISMS) v souladu s normami ČSN ISO/IEC 27001 a 27002. Tento systém je zaváděn k zajištění ochrany informací MZe s důrazem na naplnění požadavků národní strategie informační bezpečnosti. Systém řízení bezpečnosti informací zahrnuje zavedení a realizaci bezpečnostních opatření v různých oblastech, jako je fyzická ochrana, personální bezpečnost, a to smluvními vztahy z hlediska bezpečnosti a zejména zajištěním bezpečnosti provozu IT. Na podporu tohoto systému je schválena bezpečnostní dokumentace, jejíž podstatná část byla v květnu 2011 aktualizována.
Hlavním koordinačním orgánem pro implementaci a údržbu bezpečnostní politiky informací v působnosti ministerstva zemědělství je výbor pro bezpečnost informací MZe. Činnost výboru spočívá zejména v posuzování návrhů vnitřních bezpečnostních norem, koordinaci a vyhodnocení zavádění bezpečnostních opatření v rámci působnosti ministerstva, řízení zajištění kontinuity činností MZe atd. V rámci systému jsou dále zavedeny různé role na podporu provozu a řízení bezpečnosti informací. K tomu slouží i řada organizačních a technických opatření.
Jednou z aplikací podporujících tyto procesy je tzv. aplikační katalog. Aplikační katalog obsahuje souhrn všech aplikací, které jsou ve správě ministerstva zemědělství nebo je ministerstvo využívá. Katalog je přístupný pro všechny zaměstnance ministerstva prostřednictvím portálu ministerstva zemědělství a je průběžně aktualizován a doplňován o aplikace nové. Aplikační katalog má vazbu na adresářový server, čímž je zajištěna automatická aktualizace dat u aplikací, které jsou ve správě ministerstva.
Aplikační katalog obsahuje základní přehled o aplikacích s bližšími informacemi, jako jsou popis aplikace, přehled garantů, vlastníků dat, dodavatelů, provozovatelů a administrátorů aplikací. Kromě uvedených základních informací jsou dále obsaženy důležité informace, především pak jednotlivé role, včetně jejich popisu, u aplikací. V případě požadavku o přístup do konkrétní aplikace si sám žadatel může vyhledat potřebné role a urychlit tak přidělení přístupu do aplikace.
Jedním z hlavních využití Aplikačního katalogu je podpora procesů v rámci helpdesku ministerstva. Helpdesk využívá katalog denně, zejména při přidělování přístupů k jednotlivým aplikacím. Operátor helpdesku z katalogu vyčte, kdo dané přístupy schvaluje, na koho se obrátit v případě problému či může pomoci s výběrem rolí do jednotlivých aplikací. Pro zajímavost, v současné době je v katalogu obsaženo 114 aplikací. Samotné vysoké číslo dokládá význam vedení tohoto centrálního místa, které usnadňuje každodenní práci s tak vysokým počtem aplikací.
Další aplikace, které významně zvyšující bezpečnost provozu IT na ministerstvu, jsou v nedávné době nasazené systémy prevence před průniky (dále též „IPS“) a systém filtrace webového obsahu (dále též „WCF“).
WCF zařízení slouží k monitorování a filtraci přístupu uživatelů sítě ministerstva zemědělství na webové stránky. IPS zařízení slouží k monitorování sítě a preventivní ochraně síťového provozu na nebezpečné aktivity a činnosti. Je zapojen tak, že veškerý odchozí a příchozí datový provoz z objektu ministerstva zemědělství je kontrolován. Hlavním přínosem kontroly IPS je zachycování škodlivého software v reálném čase. Není tedy nutné nepřetržitě sledovat logy a podle aktivovaných filtrů léčit příčiny, ale IPS samo automaticky zablokuje škodlivý provoz. Dalším velmi důležitým přínosem je ochrana operačních systému ještě před jejich záplatováním výrobcem. V rámci iniciativy ZeroDay se zkoumá zranitelnost systémů třetích stran a do „digitální vakcíny“ se začleňuje filtry na zranitelnosti, které obvykle výrobci systémů opravují až po měsíci a více. Operační systémy jsou tak chráněny ještě před uvolněním patřičných patchů. Během pilotního monitorovacího provozu bylo nalezeno několik z pohledu IPS nebezpečných aktivit pro činnost sítě ministerstva, které ICT úspěšně odstranilo.
Oba systémy pak chrání například před škodlivými kódy ze stránek s nebezpečným obsahem, zamezují používání sociálních sítí, přístupu na servery se sdíleným obsahem, zamezují používání sítí internetových rádií a televizí a napomáhají tím efektivnímu využívání kapacity linek. Ze závěrečného vyhodnocení pilotního provozu vzešlo doporučené nastavení, které sníží možné hrozby v budoucnu na minimální možnou hranici zablokováním veškerých známých typů útoků na operační systémy PC a severů, aktivní síťové prvky, známé zranitelnosti aplikací a blokováním nestandardního chování uživatelů v rámci síťového provozu ministerstva.
Bezpečnostní inteligence není nikdy dost
Ke konci roku 2010 byl na MZe nasazen nový bezpečnostní prvek pro sběr auditních logů sloužící k odhalování skrytých útoků. Systém se skládá ze dvou samostatně implementovaných komponent, první tvoří konektorový server a druhou pak centrální úložiště logů. Konektorový server zajišťuje nejdůležitější část sběru dat a vzhledem k možnostem tohoto unikátního a otevřeného řešení je napojen na široké spektrum systémů, aktivních síťových prvků a aplikací provozovaných na MZe. Server je sám o sobě schopen sbírat logy, které tyto primární systémy produkují. Další významnou funkcí konektorového serveru je úprava takto sebraných různorodých dat a sjednocení informací do mezinárodně používaného formátu pro ukládání a následnou práci se systémovými logy.
Poté, co je informace převedena do tohoto standardizovaného formátu, je vzápětí odeslána zabezpečenou komunikací do druhé části systému, k uložení a indexaci do tzv. centrálního úložiště logů. Takto uložená data jsou přehledně a snadně dostupná pro vyhledávání a další zpracování. Systém nachází využití jak v oblasti řešení bezpečnostních incidentů, tak při kontrole a dohledu nad administrátory správy sítě a svěřených systémů. Hlavní výhodou námi využívaného řešení je možnost automatické konsolidace logů z několika nehomogenních zdrojů a možnost implementovat manažerský informační systém včetně přehledného on-line reportingu. Právně díky výše uvedenému jsme schopni například odhalovat nebezpečný software snažící se o prolomení do našeho systému nebo nestandardní chování uživatelů.
Klíčové informace
– Současná strategie ICT na Ministerstvu zemědělství vychází z provedené analýzy výchozího stavu.
– Analýza byla speciálně zaměřena zejména na oblasti stavu a kvality provozovaných ICT systémů a vybavení.
– Zohledněn byl rovněž systém zadávání veřejných zakázek, který se procesně se řídí zákonem č. 137/2006 Sb., o veřejných zakázkách a příslušnými interními směrnicemi Mze.
– Mezi další oblast determinující ve velké míře volbu strategie patří také výše rozpočtu, která v porovnání s minulým obdobím nedosahuje ani zdaleka takové výše.
Ing. Petr Vančura
Ing. Kamil FriebMinisterstvo zemědělství
Odbor informačních a komunikačních technologií
