středa 9. září 2020

Jak vypadá IT v nemocnici v Pelhřimově

Níže uvedené body jsou volným přepisem toho, co povídal Karel Kužel, vedoucí IT nemocnice v Pelhřimově, na konferenci e-government 20:10. Přepis je bez záruky a nijak jsem ho neautorizoval. Snad jsem to moc nezkreslil. Pokud máte otázky nebo se vám zdá něco divné, tak odpovědi nemám 🙂.

Aktualizace 15.9.2020 - videozáznam: 


 

Popis stavu

  • nemocnice je IT prorostlá a na IT závislá, že bez PC nejsou prakticky schopni léčit,
  • v Pelhřimovské nemocnici je 700 zaměstnanců, 340 lůžek, za 2019 celkem 80k ambulantních vyšetření a 14k hospitalizací,
  • IT oddělení má 4 zaměstnance,
  • v síti mají 400 stanic a 40 serverů + ještě telefony, ústředny, tiskárny, 40 IT systémů,
  • vyvíjí si sami interní www systémy (30),
  • mají cca 50 IT zásahů za den (volání a žádosti zaměstnanců),
  • na nic jiného není čas,
  • podfinancování, špatné personální zabezpečení, starý HW,
  • legislativa si vynutí nový systém, tak se pořídí, ale pak se už o něj nikdo nestará,
  • mají 400 stanic a ještě dnes mají 60 stanic s Windows XP,
  • po v médiích propíraných kauzách se trochu hnuly ledy a do HW se začalo trochu investovat, za poslední 4 měsíce vyměnili 70 stanic,
  • nikdy nekončící nářek, za 10 let se mu nepovedlo prosadit jednoho IT člověka navíc,
  • nemají své sítaře, nemají člověka na NIS (pozn. asi jejich interní IT systém), uživil by 8-10 lidí,
  • problémy se řeší, až se něco stane, prevence minimální.

Průšvihy

  • před rokem jim hackli mail server (mají mail server od české společnosti, nerozuměl jsem jméno),
  • měli ho na serveru mimo firewall, přímo vystrčený do internetu (tehdejší firewall to prý nějak nepodporoval),
  • servisní zásahy probíhaly tak, že tam firmu pustil přes RDP a po práci to RDP zase zavřel (není čas na něco lepšího),
  • jednou RDP zapomněl zavřít,
  • jednu večer mu volá kolega, že nejedou maily, tak se přihlásil na server a uživatelský profil je zamčený, přihlásil se přes jiný profil,
  • milióny IMAP souborů pošty byly zašifrované,
  • divné bylo, že na disku nebyl žádný vzkaz od vyděrače, nepřišel žádný e-mail, nic, jen zašifrovaná data,
  • server byl naštěstí ve VmWare a měl repliku. Ale nezkoušeli pravidelně obnovovat zálohu, takže jim nakonec obnova proti plánu několika hodin trvala 7 dnů,
  • servisní organizace nedokázala vyřešit obnovu z repliku staré pár hodin, museli se vrátit k záloze 14 dnů staré,
  • problém byl v tom, že se jim nepodařilo rozjet repliku a zkopírovat z ní zálohu. Všechny operace nad filesystémem, který měl několik TB, trvaly hodiny,
  • nakonec udělal kompletní reinstalaci systému, protože nevěřil systému ze zálohy (mohl být napaden),
  • kopírování miliónů malých souborů ze zálohy trvalo desítky hodin,
  • přišli o 14 dnů e-mail komunikace,
  • po vyřešení koupili nový firewall, mail je už za ním, servisní organizace na něj chodí přes VPN,
  • po síti se jim také před 2-3 roky "proběhl" ransomware, který jim odstavil jim část IT systému, protože má ve sdílené složce umístěné vzorové soubory, které se nemění, ale musí být "vidět", to jen obnovili ze zálohy,
  • tehdejší antivir (AVG) ani nehl brbou, teď koupili Kaspersky (pokud jsem správně rozuměl).

Závěr 

  • nemají lidi, nemají bezpečáka, nemají čas se vzdělávat, nemocnice není schopna platit lidi,
  • lépe pořešili zálohování, zálohy ukládají do více lokalit,
  • myslel si, že horší jak u nich to už být nemůže, ale po nějakém sezení na Bulovce zjistil, že může,
  • doufá, že se teď něco změní, mají nového ředitele, který se o to bude snad více zajímat.

Smekám klobouk za jeho odvahu a upřímnost o tom takto vyprávět a držím jim palce, aby se to zlepšilo, dostali finance a další lidi. 

pondělí 10. srpna 2020

Budoucnost využívání rodných čísel

Aktualizace 05.06.2023
Aktualizovaná verze tohoto článku vyšla 05.06.2023 na serveru Lupa.cz pod názvem Rodná čísla se měla utlumit, ne jen zmizet z občanek. Jaké identifikátory stát používá?

Aktualizace 28.05.2023
Níže uvedený text je z roku 2020 a proto nezahrnuje poslední důležitou část - Ověřovací portál pro soukromoprávní sféru (spuštěn 1.7.2022) a princip BSI, kterou popisuji na serveru Lupa.cz v článku Jak se vypořádat s koncem rodných čísel v občanských průkazech?


O vhodnosti používání rodných čísel jako (skoro) unikátních identifikátorů fyzických osob se diskutuje poměrně dlouhou dobu, úvahy o zrušení role rodného čísla RČ jako identifikátoru se objevují minimálně 10 let. RČ jsou uváděna v některých veřejných rejstřících, například ve výpisu z katastru nemovitostí, jsou součástí DIČ podnikajících fyzických osob nebo se objevují v číslech zdravotního pojištění a dalších místech.

Proč ale rodné číslo budí takové emoce?

  • není to bezvýznamový identifikátor, dá se z něj odvodit pohlaví a datum narození,
  • naopak je díky jeho konstrukci při znalosti data narození snadno predikovatelné - zaznamenali jsme pokusy, kdy automat pro zjištění RČ postupně zkoušel pro datum narození všechna čísla odpovídající bezezbytkovému celočíselnému dělení 11 (je jich pouze 909), dokud se pro danou osobu netrefil) ,
  • není snadno revokovatelné a při jeho zneužití nelze jednoduše získat nové.

To ale i další faktory je činí nevhodnými pro používání jako identifikátory osob.

První krok k omezení používání rodných čísel přinesly Základní registry (ZR), které byly zřízeny zákonem 11/2009 Sb. Jedním z jejich z cílů bylo omezení významu rodného čísla při komunikaci v rámci státní správy a samosprávy a jejich agendových informačních systémů (AIS). K tomu se využívají dva identifikátory – ZIFO a AIFO.

ZIFO – Zdrojový identifikátor fyzické osoby

ZIFO je neveřejný identifikátor a používá se výhradně ke generování AIFO. Je to náhodný řetězec vytvářený pomocí generátoru náhodných čísel v HSM. Je dostatečně dlouhý, aby nebyla možná jeho zpětná rekonstrukce z AIFO. Skládá se ze dvou částí (ZIFO-A, ZIFO-B), jejichž délka v součtu činí 12928 bitů (bez kontrolních údajů). Jeho generování má v kompetenci Úřad pro ochranu osobních údajů prostřednictvím informačního systému (IS) ORG.

ZIFO

Tyto identifikátory nejsou použitelné jak při komunikaci v rámci státní správy a samosprávy (mimo jejich speciální funkci pro generování AIFO v ORG), tak v soukromoprávní oblasti nebo při komunikaci občana se státní správou.

AIFO – Agendový identifikátor fyzické osoby

AIFO jsou bezvýznamové identifikátory a jsou jedinečné pro osobu a agendu, což znamená, že osoba „Josef Novák“ má v agendě evidence obyvatel jiné AIFO než v agendě katastru nemovitostí. Odvození AIFO ze ZIFO zajišťuje informační systém ORG a probíhá v HSM. Algoritmus vyžívá posloupnosti 3 standardních kryptografických funkcí, jejich výstupem je 128 bitů (bez kontrolních údajů). Ztráta věrohodnosti jedné z funkcí bezprostředně neohrožuje věrohodnost AIFO.

Odvozování AIFO

Když chce agenda katastru nemovitostí provést dotaz do evidence obyvatel, tak provede dotaz pro AIFO, které má pro osobu Josef Novák přiděleno (např. 123456), převodník ORG transparentně na pozadí při komunikaci přes eGSB/ISSS přeloží AIFO Jana Nováka v agendě katastru nemovitostí na AIFO agendy evidence obyvatel a do IS evidence obyvatel dotaz na pro Josefa Nováka doputuje pod jeho AIFO v dané agendě (např. 987654). 

Kdyby se k sobě, např. díky úniku dat, dostala data různých agend, nepůjdou přes AIFO nijak propojit - v agendě katastru nemovitostí má Jan Novák AIFO 123456 a v agendě evidence obyvatel má Jan Novák AIFO 987654. Propojení dokáže udělat pouze ORG, který ale zase neobsahuje žádné osobní údaje a je to zjednodušeně řešeno jen databáze ZIFO a k nim vydaným AIFO pro jednotlivé AIS. AIFO tak chrání před neoprávněným sdružováním dat.

Pozn.: celé je to podstatně komplikovanější, na pozadí probíhají další kontroly, např. v Registru práv a povinností, zda daná agenda (resp. činnostní role, pod kterou je zasílán dotaz) má na požadovaná data nárok. Není to tak, že libovolný AIS může číst libovolné údaje. Přístup k jednotlivým údajům je položkově přesně vymezen v zákoně. Vše je auditováno, každé volání i odpověď má jednoznačnou identifikaci (GUID), viz popis hlaviček eGon služeb.

Překlad AIFO v ORG a kontrola v RPP

AIFO jsou ze zákona neveřejné a není je možné používat pro účely uvádění na podáních (v případě katastru návrh na vklad) nebo na výstupech (v případě katastru list vlastnictví). Jsou velmi dobře využitelná v rámci státní správy, ale nejsou použitelná v soukromoprávní oblasti nebo při komunikaci občana se státní správou.

Vztah mezi ZIFO a AIFO:

Vztah mezi ZIFO a AIFO

AIFO je využitelné pouze jako interní identifikátor OVM a to ještě ne ve všech případech (např. katastr nemovitostí stále eviduje několik desítek tisíc fyzických osob, u nichž se nepodařilo ztotožnění proti základním registrům a nebylo získáno jejich AIFO).

ZIFO ani AIFO nejsou veřejné identifikátory a nemohou nahradit rodná čísla. Proto byly navrženy další identifikátory.

KIFO – Klientský identifikátor fyzické osoby

KIFO jsou veřejné identifikátory, jejichž použití je omezeno na jeden rezort (finanční správa, zdravotnictví, …). Toto omezení je podstatné a je dáno tím, aby se z KIFO nestal plošný identifikátor, jakým je RČ. Jako příklad KIFO lze uvést číslo pacienta resortu zdravotnictví nebo DIČ podnikající fyzické osoby.

Průkaz zdravotního pojištění

KIFO smí existovat pouze tehdy, když jej resort nebo OVM může vydávat na základě zákona, ve kterém musí být stanoveny podmínky vydávání a užívání. Resort vydávající tento identifikátor musí zajistit službu převodu KIFO na AIFO (a zpět), pro agendy vykonávané v rámci resortu resortními OVM.

Hlavním účelem je možnost jejich používání soukromou sférou, například soukromými zdravotnickými zařízeními při komunikaci s resortem zdravotnictví.

KIFO je veřejný identifikátor a může být uváděn na resortních dokumentech, dokladech (průkaz pojištěnce), informačních tabulích atd. Může se ukládat v informačních systémech.

KIFO je v principu pro jednu osobu trvalé a nemusí být zaveden mechanismus jeho pravidelné obměny. Musí ale být zaveden mechanizmus jeho revokace a přidělení nového při případném zneužití a proto musí počítat s historickými hodnotami.

SIFO – Stykový identifikátor fyzické osoby

SIFO jsou stejně jako KIFO veřejné identifikátory. Příkladem SIFO je číslo občanského průkazu nebo číslo cestovního pasu.

Občanský průkaz s RČ

Oproti KIFO, které jsou omezeny na jeden resort, jsou SIFO vydávány fyzickým osobám plošně a centrálně a jsou tak využitelné přes více resortů. Proto se na ně vztahují přísnější podmínky:

  • nesmí se ukládat do informačních systémů za účelem identifikace fyzické osoby, ale musí být na vstupu převedeny na AIFO nebo KIFO a IS musí dále pracovat pouze s těmito identifikátory,
  • musí mít omezenou platnost (10 let).

Stejně jako v případě KIFO musí existovat mechanizmus jeho revokace a přidělení nového při případném zneužití (ztráta nebo odcizení občanského průkazu), včetně evidence historických hodnot.

Zmíněné omezení ukládání SIFO do informačních systémů se týká výhradně účelu dohledávání dané osoby v IS. Pokud ale agenda pro své další fungování, například pro účely vydávání údajů na výpisech, SIFO potřebuje, tak ho ukládat může. V tom případě se identifikátor nevystupuje v roli SIFO. V případě katastru se může jednat např. o list vlastnictví, aby si kupující mohl na jeho základě potvrdit, že jedná s osobou v katastru zapsanou jako vlastník nemovitost.

Výpis z KN s číslem OP

Pokud vám odstavec výše přijde nesrozumitelný, tak ho zkusím zjednodušeně připodobnit, jak by to mohlo po zavedení probíhat v praxi (neuvažuji teď výjimky jako např. cizinci atd.):

  • na katastr dorazí návrh na vklad, v seznamu účastníků budou uvedena čísla cestovních dokladů (pasů),
  • katastr podle čísel dokladů provede dotaz do základních registrů, aby zjistil AIFO účastníků návrhu na vklad a čísla identifikačních dokladů (ZR vrací všechny platné doklady),
  • zjištěná AIFO a čísla občanských průkazu si uloží do ISKN,
  • číslo občanského průkazu se bude zobrazovat a vydávat ve výstupech (např. výpis z katastru nemovitostí neboli „LVčko“).

Katastr by měl (převážně z výkonostních důvodů) uložené číslo občanského průkazu, ale toto číslo by neplnilo roli SIFO – nedalo se podle něj přímo vyhledávat.  Pokud by někdo chtěl vyhledávat osobu, nezadal by rodné číslo, ale číslo dokladu (a bude moci zadat i číslo pasu, které katastr uloženo nemá). Katastr následně provede dotaz do ZR/ROB, aby pro dané číslo dokladu zjistil AIFO a měl tak identifikátor fyzické osoby, o kterou se jedná. Následně podle AIFO zjistí všechna vlastnictví nemovitostí a jiné právní vztahy.

Vyhledávání v Dálkovém přístupu do KN

Protože katastr odebírá notifikace o změnách, tak se bude automaticky aktualizovat číslo občanského průkazu při jeho změně. Vyhledávání ale bude fungovat i pomocí historických čísel.

Uvedený postup má jeden další pozitivní boční efekt. Všechny dotazy do ZR/ROB se ukládají a občan si následně může vyžádat informaci (nebo je mu automatizovaně 1x ročně odeslána do datové schránky), který AIS na něj vznesl dotazy. Protože se ze SIFO na AIFO budou převádět všechny dotazy, bude mít daný občan poměrně slušnou evidenci toho, kdo se na něj kdy ptal (další evidence je ještě v rámci GDPR).

Pozn.: Výpis o využití údajů z registru obyvatel se tím stane poměrně nepřehledným a dlouhým a bylo by zřejmě vhodné ho převést do nějaké interaktivní formy s možností filtrování a třídění.

Jaký je aktuální stav a co dál?

V roce 2019 Ministerstvo vnitra zpracovalo koncepci řešení minimalizace využívání RČ a předložilo ji do mezirezortního připomínkového řízení. Vláda ji usnesením č. 28/2020 vzala na vědomí a členové vlády a vedoucí ústředních správních úřadů dostali za úkol zpracovat do 31.03.2020 přehled právních předpisů v jejich působnosti, na které bude mít dopad.

Resorty mají do konce září 2020 zpracovat analýzu a do konce prosince 2020 Ministerstvo vnitra předloží vládě souhrnný materiál koncepce zavedení nových elektronických identifikátorů fyzických osob. 

Musí být provedena novelizace jednotlivých předpisů a musí vzniknout služby pro převod SIFO/KIFO (včetně historických) na AIFO. Podle upravené legislativy a nových služeb se musí upravit jednotlivé agendové IS, jejich výstupy atd.
Pozn.: V případě identifikačních dokladů (občanský průkaz, cestovní pas) současné služby ISZR umožňují vyhledávání pouze pomocí platných údajů a vracejí též pouze platná data. 

Pokud platí plán ukončení uváděných rodných čísel v občanských průkazech od roku 2022, je toho na práci více než dost. Legislativa se může nepříjemně táhnout, OVM budou čekat na vydání specifikací nových služeb a jejich vystavení na testovací prostředí ISZR.

Jednotlivé resorty budou dle svých potřeb (a nutných zákonných zmocnění) pro identifikaci osob na rozhraní občan-resort využívat KIFO (zřejmě např. Finanční správa) nebo SIFO (např. katastr). Komunikace mezi úřady už dnes většinově probíhá přes AIFO. 

Vzhledem k tomu, kolik let se o této problematice mluví, bylo by dobré řešení dotáhnout do zdárného konce, byť to jednoduché nebude. Stejně nás to nemine.

Rodná čísla jako taková ale nezanikají. Stále se budou zapisovat např. do matrik. Dochází „pouze“ k jejich postupné minimalizaci v roli interních nebo veřejných identifikátorů.