Informatika: koncept bodu

Veřejná diskuse k návrhům a bodům a tématům Pirátského programu.


Moderátoři: Garanti, Rada resortních týmů - členové, Poslanecka snemovna - poslanci

Pravidla fóra

Toto je veřejné fórum pro konzultace k Pirátskému programu.
Názory zde vyjadřované nelze bez dalšího považovat za stanoviska Pirátské strany.

Každý ať se vyjadřuje jasně, slušně a k tématu. Pokud chcete řešit novou věc, založte nové téma.

Do tohoto fóra patří programová témata, která se týkají programu jako celku, více bodů nebo žádného z nich.

Uživatelský avatar
Jakub.Michalek
Poslanec/poslankyně Parlamentu ČR
Příspěvky: 12336
Registrován: 22 čer 2009, 14:54
Profese: poslanec
Bydliště: Žižkov - Praha 3
Dal poděkování: 5377 poděkování
Dostal poděkování: 20687 poděkování
Kontaktovat uživatele:

Re: Informatika: koncept bodu

Příspěvek od Jakub.Michalek »

Mně tam hodně chybí vůbec to, že občan bude mít jeden přehledný portál veřejné správy, do kterého budou všechny služby zaintegrovány. Dnes je portál s prominutím na hovno.

Jakub Michálek, předseda poslaneckého klubu Pirátů a vedoucí resortního týmu Spravedlnost
Nenič mě, sloužím všem. :)

Uživatelský avatar
Marek.Necada
Administrativní odbor
Příspěvky: 3425
Registrován: 05 lis 2009, 22:44
Profese: silozpytec
Bydliště: Helsinki
Dal poděkování: 9678 poděkování
Dostal poděkování: 6754 poděkování
Kontaktovat uživatele:

Re: Informatika: koncept bodu

Příspěvek od Marek.Necada »

Pokud jsem něco nepřehlédl, zmínil bych ještě přístupnost a uživatelskou přívětivost úřadů přes internet (souvisí s českou implementací eIDAS).

Uvedu konkrétní příklad, abych přiblížil, co mám na mysli, nicméně problém je to obecný:

Postup ve Finsku při proclívání poštovní zásilky ze zahraničí (mimo EHS) jako fysická osoba: poštou dostanu (stejně jako v ČR) oznámení o zadržení zásilky celníky. Vlezu na webové stránky celní správy (uvedené v oznámení), jednou kliknu, autentizuji se pomocí přístupových údajů do elektronického bankovnictví, vyplním údaje o sobě a o zásilce (cenu vč. poštovného a doklad o ceně, druh zboží, zemi původu), okamžitě dostanu celní výměr, znovu se autentizuji do elektronického bankovnictví a zaplatím DPH (popř. clo). Záležitost na 5–10 minut (10 minut, pokud je to něco méně typického a musím se hrabat v celním sazebníku k určení kódu zboží; nejčastěji kupované věci jsou uvedeny přímo ve webovém formuláři).
No a teď si to zkuste v ČR... :evil:

Podobně „nechápu“, proč je v podstatě všechny úkony v registru vozidel nutno dělat osobně (marníce čas v šílených frontách), když na samotném registru vozidel k tomu není důvod (protokol z STK by taky klidně mohl být stanicí vydáván elektronicky).

Mimochodem, je má představa správná, že ze stručného programu budou odkazy na nějaké podrobnější vysvětlující texty?
Místopředseda finských Pirátů
Долой царя!
Uživatelský avatar
Ondrej.Profant
Technický odbor
Příspěvky: 7962
Registrován: 22 dub 2009, 23:55
Profese: Náměstek člena vlády
Bydliště: Praha 8
Dal poděkování: 15004 poděkování
Dostal poděkování: 8366 poděkování
Kontaktovat uživatele:

Re: Informatika: koncept bodu

Příspěvek od Ondrej.Profant »

@Marek: Chápu to dobře, že se ve Finsku autentizuješ k celníkům pomocí bankovnictví u soukromé banky? Jak je toto zajištěno legislativně.

eIDAS je v ČR jen klikihák (podpis). Určuje existenci osoby, nikoliv však identitu. A je to dovolená implementace. Čili to i finové musí přijimat.

V ČR je to uděláno tak, že v rámci veřejné správy se můžeš autentizovat pomocí datové schránky. Což je sice poněkud nešťastné, ale už to tu je. Např. daňové přiznání jsem podával, tak, že jsem klikl, přihlásil se, dovyplnil údaje.

Doprovodné dokumenty tam samozřejmě budou, pokud budou napsané.

Souhlasím s myšlenkou jednotného portálu. Koneckonců jsem se ji v Praze podrobně zabýval. Jen nevím jak to prodat, aby to neznělo jak od VV.

profant.eu
náměstek vicepremiéra pro digitalizaci
vedoucí resortních týmů Informatika

Uživatelský avatar
Marek.Necada
Administrativní odbor
Příspěvky: 3425
Registrován: 05 lis 2009, 22:44
Profese: silozpytec
Bydliště: Helsinki
Dal poděkování: 9678 poděkování
Dostal poděkování: 6754 poděkování
Kontaktovat uživatele:

Re: Informatika: koncept bodu

Příspěvek od Marek.Necada »

Ondrej.Profant píše:@Marek: Chápu to dobře, že se ve Finsku autentizuješ k celníkům pomocí bankovnictví u soukromé banky? Jak je toto zajištěno legislativně.
Ano, pomocí bankovnictví u soukromé (resp. družstevní) banky.

Konkrétně třeba toto jsou stránky Helsinek pro elektronické úkony. Zde se dostanu na úvodní přihlašovací stránku (je to tam i švédsky a anglicky, prvních pár kroků si můžete sami vyzkoušet). Zde lze vybrat, zda se přihlásit jako fysická osoba, nebo podnik či spolek:
OFFTOPIC[attachment=7]helsinki-e-asionti.png[/attachment]
Po zvolení, že jsem fysická osoba, se dostanu na ústřední (státní) přihlašovací stránku, kde si mohu vybrat jeden ze tří způsobů autentikace: 1. mobil, 2. banka, 3. občanka s čipem:
OFFTOPIC[attachment=6]tunnistus-rozcestnik.png[/attachment]
Volím druhou možnost a vybírám svou banku:
OFFTOPIC[attachment=5]tunnistus-pankkivarmenne.png[/attachment]
Zadám přihlašovací údaje:
OFFTOPIC[attachment=4]s-pankki.png[/attachment][attachment=3]s-pankki2.png[/attachment][attachment=2]s-pankki3.png[/attachment]
Autentizován se dostanu zpět na „ústředí“ (přihlášení se zdařilo)...
OFFTOPIC[attachment=1]helsinki-e-asiointi-kirjautunut1.png[/attachment]
A následně, již přihlášen, jsem přesměrován na helsinský portál s elektronickými úkony, kde si mohu vyřizovat záležitosti s městem:
OFFTOPIC[attachment=0]helsinki-e-asiointi-kirjautunut.png[/attachment]

Legislativně je to ukotveno v zákoně o silném ověření a elektronických službách důvěry, který stanoví požadavky na poskytovatele ověřovacích služeb (tj. třeba ty banky) a veřejný dohled na ně.
Ondrej.Profant píše:V ČR je to uděláno tak, že v rámci veřejné správy se můžeš autentizovat pomocí datové schránky. Což je sice poněkud nešťastné, ale už to tu je. Např. daňové přiznání jsem podával, tak, že jsem klikl, přihlásil se, dovyplnil údaje.
Vím, a samo o sobě nijak nevadí, že je možné pomocí datové schránky – problém je, že je pak nutné datovou schránku mít (ve Finsku je možno si vybrat z více způsobů). Dále technické provedení (pamatuji nějaký šílený javovský bastl při podání daňového přiznání; toto řeší naše požadavky na otevřené standardy) a pak to, na co tu narážím – spousta věcí elektronicky udělat vůbec nejde, i když teoreticky tomu nic nebrání.
Doprovodné dokumenty tam samozřejmě budou, pokud budou napsané.
K mnou zmiňovaným věcem rád napíši.
Přílohy
Helsinki e-agenda, přihlášen
Helsinki e-agenda, přihlášen
e-tunnistus, přesměrování
e-tunnistus, přesměrování
S-pankki přihlášen
S-pankki přihlášen
S-pankki, 2F
S-pankki, 2F
S-pankki login
S-pankki login
e-tunnistus, výběr banky
e-tunnistus, výběr banky
e-tunnistus, volba způsobu ověření
e-tunnistus, volba způsobu ověření
Helsinki e-agenda, úvodní stránka
Helsinki e-agenda, úvodní stránka
Místopředseda finských Pirátů
Долой царя!
Uživatelský avatar
next_ghost
Návštěvník – nepatří k Pirátům
Příspěvky: 3239
Registrován: 21 dub 2009, 18:03
Profese: programátor
Dal poděkování: 1433 poděkování
Dostal poděkování: 5131 poděkování
Kontaktovat uživatele:

Re: Informatika: koncept bodu

Příspěvek od next_ghost »

V návrhu dost těžce chybí i bod ohledně počítačové bezpečnosti. Měl by mít dvě části:
  • Připravit smysluplnou koncepci zabezpečení státní infrastruktury (aby nevznikaly další paskvily jako novela zákona o Vojenském zpravodajství).
  • Dokopat soukromý sektor, aby přestal srát na zabezpečení vlastních produktů (zvlášť v případě IoT).
Marek.Necada píše:Postup ve Finsku při proclívání poštovní zásilky ze zahraničí (mimo EHS) jako fysická osoba: poštou dostanu (stejně jako v ČR) oznámení o zadržení zásilky celníky. Vlezu na webové stránky celní správy (uvedené v oznámení), jednou kliknu, autentizuji se pomocí přístupových údajů do elektronického bankovnictví, vyplním údaje o sobě a o zásilce (cenu vč. poštovného a doklad o ceně, druh zboží, zemi původu), okamžitě dostanu celní výměr, znovu se autentizuji do elektronického bankovnictví a zaplatím DPH (popř. clo). Záležitost na 5–10 minut (10 minut, pokud je to něco méně typického a musím se hrabat v celním sazebníku k určení kódu zboží; nejčastěji kupované věci jsou uvedeny přímo ve webovém formuláři).
No a teď si to zkuste v ČR... :evil:
Já to celkem třikrát absolvoval s DHL, když jsem si objednával pár zásilek z Japonska. Má to celkem 2 kroky:
1) V tomhle formuláři si necháš vygenerovat EORI kód pro zásilku.
2) EORI kód z předchozího kroku zkopíruješ do formuláře DHL. (Když jsem před 3 lety řešil první zásilku, tak tenhle formulář ještě neexistoval a posílal jsem ten EORI kód e-mailem.)

Toť vše. Případnou daň/clo pak doplatíš při převzetí zásilky.

Edit:
torrespondent píše:Myslel jsem obecně strategii pro budoucnost, třeba jak nahradit úplatné úředníky férovými roboty :) prostě plán jak zefektivnit samosprávu pomocí AI. Big Data o občanech stále v podstatě leží ladem (šmírování teď nechme stranou), a ještě jich řádově přibude. Stát by byl schopen zlepšit kvalitu života v mnoha oblastech, kdyby na jejich základě něco podnikal, příklady jsou zřejmé. Až se nacpou do deep learning stroje (jako to už dělá ta japonská pojišťovna, která vyhodila pojišťováky) nebo později i do opravdové AI, měli bysme se ocitnout v zemi bez přebujelých ministerstev, resp. budou v nich budou jen mainframy, obslužní roboti, a minimum personálu, to ze začátku, později jistě zvítězí decentralizovaná forma vlády :D
Jenom aby ti "féroví roboti" pak jenom tupě nekopírovali diskriminační tendence z cvičných dat.

Chceš, aby organizace fungovala? Komunikuj!
Česká pirátská strana: Neškodná.

torrespondent
Návštěvník – nepatří k Pirátům
Příspěvky: 361
Registrován: 05 črc 2016, 16:42
Profese: např. právník, grafik, student práva
Dal poděkování: 268 poděkování
Dostal poděkování: 634 poděkování

Re: Informatika: koncept bodu

Příspěvek od torrespondent »

next_ghost píše:Jenom aby ti "féroví roboti" pak jenom tupě nekopírovali diskriminační tendence z cvičných dat.
aspoň se ušetří na mzdách
ZtF
Příznivec Pirátů – Praha
Příspěvky: 4
Registrován: 14 pro 2010, 14:24
Profese: Vedoucí ICT NTK
Dostal poděkování: 30 poděkování

Re: Informatika: koncept bodu

Příspěvek od ZtF »

Mnohé z bodů, které tu padly, jsou skutečně pravdivé a aktuální. Nicméně zdaleka to nestačí. Předně bych doporučoval vyvarovat se módních výstřelků a nesnažit se o high tech projekty (jako jsou třeba big data nebo IoT či jiný, aktuálně moderní buzzword). Pochopitelně je problém, když někdo pomocí automatů na jídlo hackne chytré žárovky a bliká celou budovou, protože IoT zabezpečení je zoufalé, ale to není vysloveně koncepční problém, který by veřejný sektor měl primárně trápit. Stačí na to pamatovat ve výběrových řízeních a pokud nejde o kritickou infrastrukturu, tak je z toho maximálně ostuda pro danou organizaci. Ačkoliv jsem velmi liberální tvor, tak v tomto ohledu doporučuji být lehce konzervativní. Těžko si totiž lze představit, v jakém stavu aktuální IT ve veřejné správě vlastně je a jak je užíváno.
Shrňme to tak, že to není hezký pohled po technické, ekonomické a ani filosofické stránce a uživatelé nejsou často schopni provádět základní operace ve formátování textu či práce se souborovým systémem. Z pozice parlamentu nelze detailně reflektovat problémy každého lokálního IT nebo se snažit vzbudit dojem důvěry v IT oddělení v obci XYZ (kraji, resortu, ...). Pojďme se na IT podívat trochu pod drobnohledem a třeba z toho vyplynou témata k další konstruktivní diskuzi. Je dobré nevymýšlet kolo, ono už tu totiž ledacos je, jen se o tom příliš neví.

IT se skládá obecně z HW a SW, SW pak je ve veřejném sektoru rozdělen do agendových IS (AIS), provozních (PIS) a subsidiárních (SIS) IS (tohle má oporu i v zákoně, jmenovitě č. 365/2000 Sb. a č. 111/2009 Sb., kromě subsidiárních, ale virtualizace nebo management síťových prvků prostě není PIS, nesedí na to ta definice, ale nelze to ignorovat jako neexistující či nehodno koncepce). Každá z těchto kategorií má své vlastní problémy a je otázka, kam se zaměřit a pro koho.

Co je všude?

Správa identit - centralizovat na úrovni organizací, napojit na centrální registry a centralizovat (lze-li to) na úrovni státu resp. EU. Existují velmi dobré svobodné IdM řešení včetně certifikací a supportu. Stav, kdy má občan různé identity v různých systémech různých resortů je velmi neuspokojivý.
Autentizace a autorizace - odpověď je eID. Co v tomto lze dělat? Definovat s příklady, jak má vypadat SP a IdP. Vzorem v ČR je např. EduID.cz (rovněž postaveno na SAML).
Šifrování a poskytování důvěry - odpověď je eIDAS. Jde o to, aby se elektronický podpis maximálně rozšířil a nutnou podmínkou pro to jsou elektronické občanské průkazy (což je v přípravě).
Hardware, na kterém služby běží - odpověď by měl být vysoce dostupný PaaS provozovaný na certifikovaném a podporovaném open source veřejným sektorem. Věru není dobré udělat státní cloud tak, že se pronajme AWS či Azure, resp. rozhodně ne u všeho. Software s těmito parametry existuje a je široce používán v soukromém sektoru (např. Cloud Forms či Open Shift, zákazníkem je např. Škoda AUTO a.s. či finanční sektor). Výhodou je hybridní cloud, který splní požadavky na bezpečnost, ale i na škálovatelnost.

AIS
Agendové IS by měly být všechny otevřené. Je to logické, protože stát je jejich jediným zákazníkem. Asi těžko lze argumentovat, že by si měly konkurovat dva IS správy sociálního zabezpečení či dva registry vozidel. Uznávám, že někde to je složité a když potřebuji např. nějaké business intelligence a k tomu ERP + infrastrukturu kolem, tak tam prostě bude zpravidla SAP.
Největší bolest (vyjma jmenovaných) je, že je-li AIS spojován s nějakým zákonem (což z definice musí být) a je-li jeho účastníkem nějaký jiný subjekt (což zpravidla bývá), existuje o tom zpravidla zákon, prováděcí vyhláška, technická definice rozhraní (např. WSDL a XSD), ale zpravidla chybí příklady resp. otevřená referenční implementace klientského SW. Všichni dodavatelé pak musí pálit své zdroje na to, aby udělali analýzu toho zákona a vyhlášky a provedli na základě toho vlastní implementaci.

PIS
Kromě vendor lock-inu je tu problém zpravidla v tom, že systémy nejsou sdílené napříč organizacemi. Jiný personální systém má městská část Praha 7, jiné Ministerstvo financí, jiné Národní technická knihovna. Pokud takový PIS není integrální součástí jiného PIS, pak nechť je toto centralizováno a poskytováno např. prostřednictím skupin typu Otevřených měst.

SIS
Opět vendor lock-in, ovšem zpravidla mezinárodní. Víc než kdekoliv jinde je zde vidět nekompetentnost lokálního IT na té nejnižší úrovni. Tak například není důvod si kupovat licence Oracle, když by v mnoha případech bylo účelnější věnovat se přechodu na Enterprise DB. Proč? Je to levnější, vychází to z open source, umí se to tvářit jako Oracle a soukromý sektor to dělá v jednom kuse a šetří na tom. Zájemne nechť si vyhledá success stories a jaké úspory to přineslo.

HW
Centralizovat a sjednotit. Není ekonomické provozovat infrastrukturu co IS, to kus HW a pokud možno od jiného výrobce. Centralizovat, virtualizovat, ujednotit a centrálně řídit. Nelze-li zajistit v každé organizaci, která to potřebuje, pak je třeba založit národní cloud.

UX
Klást na to důraz. Jde o to to opravdu dělat a chtít to po dodavatelích. Pro inspiraci je zde např. tento článek. Občané nesmějí mít pocit, že jim IT přidělává práci nebo že úkon, který se po nich chce, je nesmírně obtížné splnit. Odpovědí na to je právě důraz UX, který v IS veřejné správy velmi chybí.

Ochrana osobních údajů
Určitě to vzít jako téma. Po stránce mezinárodní spolupráce v rámci EU je toto téma řešeno v rámci GDPR. Možná by se tím mohl někdo zabývat.

Obecně
Velmi problematickým bodem je naprosto nedostatečná integrace systémů mezi sebou. Často bývá jediné rozhraní papír, s nímž je občan nucen obcházet jednotlivé složky veřejné správy, kde data znovu a znovu legie adminsitrativních pracovníků kopírují ručním přepisem do jiných IS. Tohle zdaleka nejvíc bolí občany, vřele doporučuji to vyzdvihnout a věnovat se vysvětlování toho, co je systémová integrace a proč je potřeba.
Open source je dobře pro lidi, kteří rádi globalizaci (protože přece spolupracujeme na nějakém univerzálním celosvětovém řešení), tak i pro patrioty, protože úpravy a rozvoj takových systémů poskytuje pracovní místa s vysokou přidanou hodnotou v ČR a činí nás konkurenceschopnějšími na mezinárodním trhu.
Jedním z největších problémů je rovněž zákon o veřejných zakázkách. Povídání o něm je jen z hlediska IT na samostatný obsáhlý článek. Řekněme pouze, že se obchází všemi možnými legálními a občas i nelegálními prostředky za různými účely (od snahy dobrat se řešení, které nebude ku škodě věci a bude zapadat do nějaké koncepce až po osobní prospěch). Tady ale žel nevím jak to opravit.

Ledacos dalšího mě napadne, až bude workshop nebo při nějaké další diskuzi. Prosím o stanovení termínu konání, sjednocení pracovní platformy a definici nějakého rámce, který by dokázal dát tvar i osamělým výkřikům do tmy, které ovšem občas mají nezanedbatelnou informační hodnotu.
Uživatelský avatar
next_ghost
Návštěvník – nepatří k Pirátům
Příspěvky: 3239
Registrován: 21 dub 2009, 18:03
Profese: programátor
Dal poděkování: 1433 poděkování
Dostal poděkování: 5131 poděkování
Kontaktovat uživatele:

Re: Informatika: koncept bodu

Příspěvek od next_ghost »

ZtF píše:Mnohé z bodů, které tu padly, jsou skutečně pravdivé a aktuální. Nicméně zdaleka to nestačí. Předně bych doporučoval vyvarovat se módních výstřelků a nesnažit se o high tech projekty (jako jsou třeba big data nebo IoT či jiný, aktuálně moderní buzzword). Pochopitelně je problém, když někdo pomocí automatů na jídlo hackne chytré žárovky a bliká celou budovou, protože IoT zabezpečení je zoufalé, ale to není vysloveně koncepční problém, který by veřejný sektor měl primárně trápit. Stačí na to pamatovat ve výběrových řízeních a pokud nejde o kritickou infrastrukturu, tak je z toho maximálně ostuda pro danou organizaci.
Když bude nějaký vtipálek přes síť jenom blikat žárovkami, tak je to prkotina. Ale když se ty sesíťované žárovky, termostaty, videorekordéry a televize v domácnostech začnou podílet na půlterabitových DDOS útocích, tak už je to dost zásadní bezpečnostní problém. A když se podobným způsobem dají napadnout třeba auta nebo nemocniční přístroje na operačním sále, tak už jde doslova a do písmene o život.

Chceš, aby organizace fungovala? Komunikuj!
Česká pirátská strana: Neškodná.

ZtF
Příznivec Pirátů – Praha
Příspěvky: 4
Registrován: 14 pro 2010, 14:24
Profese: Vedoucí ICT NTK
Dostal poděkování: 30 poděkování

Re: Informatika: koncept bodu

Příspěvek od ZtF »

next_ghost píše:
ZtF píše:Mnohé z bodů, které tu padly, jsou skutečně pravdivé a aktuální. Nicméně zdaleka to nestačí. Předně bych doporučoval vyvarovat se módních výstřelků a nesnažit se o high tech projekty (jako jsou třeba big data nebo IoT či jiný, aktuálně moderní buzzword). Pochopitelně je problém, když někdo pomocí automatů na jídlo hackne chytré žárovky a bliká celou budovou, protože IoT zabezpečení je zoufalé, ale to není vysloveně koncepční problém, který by veřejný sektor měl primárně trápit. Stačí na to pamatovat ve výběrových řízeních a pokud nejde o kritickou infrastrukturu, tak je z toho maximálně ostuda pro danou organizaci.
Když bude nějaký vtipálek přes síť jenom blikat žárovkami, tak je to prkotina. Ale když se ty sesíťované žárovky, termostaty, videorekordéry a televize v domácnostech začnou podílet na půlterabitových DDOS útocích, tak už je to dost zásadní bezpečnostní problém. A když se podobným způsobem dají napadnout třeba auta nebo nemocniční přístroje na operačním sále, tak už jde doslova a do písmene o život.
S tím souhlasím, ale nějak si neumím představit, jak k tomuhle dělat na úrovni ČR nějakou politiku. Zakázat dovoz takových zařízení, která neprojdou bezpečnostní certifikací, kterou bude dělat nějaký úřad? Něco jako kombinace EZÚ a SZÚ pro obor ICT? Je někde nějaký příklad, odkud se inspirovat? A je vůbec správně, aby o takových věcech rozhodoval stát? Nenarušuje tím náhodou volný trh? Takže asi jen některé výrobky by měly mít patřičné bezpečnostní certifikace. Ale... to už přece mají nebo minimálně mají mít a nepochybně to deklarují. U automotive to bude problém, protože na nějaký CAN bus či nějaké I2C apod., které tam někde je, si kdekdo může napojit kdeco a věru to nejde pořádně regulovat. DDOSy z consumer-grade zařízení, zastaralých IP kamer apod. lze jen těžko vyloučit. Nutilo by to totiž výrobce držet bezpečnostní aktualizace po celou dobu provozu zařízení, což někdy dokonce ani není možné (protože výrobce třeba přestane existovat a nejde to dost dobře čekat, viz Sun Microsystems a internetová bublina).

Nicméně skoro nám z toho vyplývá bod "Zřídíme ministerstvo informatiky", což by mohlo projít, zrušeno bylo vzácnou shodou ODS a ČSSD ústy pánů Topolánka a Paroubka. Už to samo o sobě by mohlo být vcelku silné.
Uživatelský avatar
next_ghost
Návštěvník – nepatří k Pirátům
Příspěvky: 3239
Registrován: 21 dub 2009, 18:03
Profese: programátor
Dal poděkování: 1433 poděkování
Dostal poděkování: 5131 poděkování
Kontaktovat uživatele:

Re: Informatika: koncept bodu

Příspěvek od next_ghost »

ZtF píše:S tím souhlasím, ale nějak si neumím představit, jak k tomuhle dělat na úrovni ČR nějakou politiku. Zakázat dovoz takových zařízení, která neprojdou bezpečnostní certifikací, kterou bude dělat nějaký úřad? Něco jako kombinace EZÚ a SZÚ pro obor ICT? Je někde nějaký příklad, odkud se inspirovat? A je vůbec správně, aby o takových věcech rozhodoval stát? Nenarušuje tím náhodou volný trh?
Volný trh to nenarušuje o nic víc než třeba hygienické předpisy pro výrobu a skladování potravin. A příklady k inspiraci z jiných států zatím nejsou, protože většina politiků si ještě ani nestačila všimnout, že ten problém vůbec existuje.
Takže asi jen některé výrobky by měly mít patřičné bezpečnostní certifikace. Ale... to už přece mají nebo minimálně mají mít a nepochybně to deklarují.
Dobrovolná certifikace je v tomhle případě totálně k ničemu. Koncové zákazníky to typicky vůbec nezajímá, protože ani sami neumí zhodnotit, jestli ten certifikát vůbec řeší nějaký podstatný problém.
U automotive to bude problém, protože na nějaký CAN bus či nějaké I2C apod., které tam někde je, si kdekdo může napojit kdeco a věru to nejde pořádně regulovat.
Domácí kutil si tam může připojit, co bude chtít. To je jeho věc a jeho zodpovědnost. Zásadní je, aby výrobce fyzicky oddělil zábavní elektroniku od řídící jednotky motoru a dalších systémů pro ovládání jízdy. Z bezpečnostního hlediska je prostě nepřijatelné, aby řídící jednotka motoru byla za jízdy připojená k něčemu, co přijímá digitální data z vnějších zdrojů.
DDOSy z consumer-grade zařízení, zastaralých IP kamer apod. lze jen těžko vyloučit. Nutilo by to totiž výrobce držet bezpečnostní aktualizace po celou dobu provozu zařízení, což někdy dokonce ani není možné (protože výrobce třeba přestane existovat a nejde to dost dobře čekat, viz Sun Microsystems a internetová bublina).
Automatické aktualizace jsou základ, ale krach výrobce se dá vyřešit až později. Jediná alternativa k pravidelným aktualizacím je to, že k přeprogramování daného zařízení bude nutný fyzický přístup k němu (výměna čipu, přehození jumperu, připojení externí programovací jednotky, apod.).

Ale vedle toho se dá 99% problému vyřešit pomocí dvou jednoduchých požadavků:
  1. Primární funkcionalita zařízení nesmí jít zapnout, dokud uživatel nezmění administrátorské heslo.
  2. Všechna jednoúčelová zařízení (kromě routerů apod.) musí používat IP whitelist, který bude blokovat spojení mimo lokální síť a ručně přednastavené adresy.
Drtivá většina IoT bazmeků je stejně postavená na Linuxu, kde tahle dvě pravidla zvládne naprogramovat i cvičená opice během jednoho týdne (a zkušený vývojář za jedno odpoledne).
Nicméně skoro nám z toho vyplývá bod "Zřídíme ministerstvo informatiky", což by mohlo projít, zrušeno bylo vzácnou shodou ODS a ČSSD ústy pánů Topolánka a Paroubka. Už to samo o sobě by mohlo být vcelku silné.
To je naprostá samozřejmost. Tenkrát to zrušili mimo jiné i kvůli tomu, že tam neměli koho dát, kdo by tomu resortu aspoň trochu rozuměl.

Chceš, aby organizace fungovala? Komunikuj!
Česká pirátská strana: Neškodná.

Odpovědět

Zpět na „Pirátský program“