ČSSZ je největší správní institucí, která spravuje agendu více než 8,9 milionu klientů, pro které zabezpečuje výplaty dávek na sociálním zabezpečení a nemocenském pojištění. Kromě toho zabezpečuje výběr pojistného a působí v oblasti lékařské posudkové služby. Vůči zahraničním institucím je styčným místem pro peněžité dávky v nemoci a mateřství, důchody a peněžité dávky v případě pracovních úrazů a nemocí z povolání.
Hlavními výzvami, na základě kterých jsme s ČSSZ začali v roce 2005 spolupracovat, bylo nastavení bezpečnostních přístupů pro zaměstnance. Tím spolupráce nekončila, v dalších letech následovalo zabezpečení přístupu k aplikacím a datům a zajištění souladu se Zákonem o kybernetické bezpečnosti.
Jak probíhala spolupráce a co bylo jejím cílem?
Prvním krokem po zahájení spolupráce byl důkladný audit činností prováděných v systému identit a audit přístupu k aplikacím.
Začali jsme pracovat na portálu, který byl pojmenován AAA portál podle svých funkcí: autentizace, autorizace a audit. Cílem bylo sestavit jednotný a bezpečný IT systém s jasnými pravidly. K tomu vedlo mnoho mezikroků, které měly vést k lepšímu fungování celé instituce. Šlo o více než 10 tisíc účtů, více než 7 tisíc logických a přes 10 tisíc fyzických rolí, se kterými bylo potřeba pracovat.
Nejdříve bylo potřeba zajistit Identity and Access Management (IAM):
- správu životního cyklu uživatelských identit a oprávnění nezávislé na správcích;
- nastavení uživatelů a jejich přístupových práv výhradně prostřednictvím nástrojů IAM;
- definici pracovních postupů schvalování na principu více očí a delegování;
- přístup k aplikacím a správě z jednoho místa – webového rozhraní;
- jednotné přihlašování (tzv. SSO – Single sign-on) ke všem novým aplikacím ČSSZ;
- přizpůsobené pracovní prostředí každého uživatele dle jeho aplikační role;
- personální, schvalovací a systémové workflow;
- audit činností prováděných v systému identit;
- audit přístupu k aplikacím.
V dalších letech následovaly implementace bezpečnostních systémů Database Activity Monitoring (DAM) a Security Information and Event Management (SIEM).
Jaký je výsledek a s čím jsme ČSSZ pomohli?
Eviden pomáhá ČSSZ s kybernetickou bezpečnosti kontinuálně již od roku 2005, a i díky této spolupráci byla ČSSZ jeden z prvních orgánů státní správy, kdo úspěšně absolvoval audit kybernetické bezpečnosti. Společně jsme:
1. Nastavili jednotný systém
Podařilo se nám vytvořit modul pro správu všech uživatelů a služeb, a to i těch externích. Vstupem jsou údaje o lidských zdrojích, systém zpracovává workflow a spravuje příslušné účty v cílových systémech. Skrze jeden systém se nyní mohou uživatelé přihlásit do všech aplikací.
2. Zajistili soulad s legislativou
Výsledkem spolupráce je soulad se Zákonem o kybernetické bezpečnosti, nastavení interních procesů a dostupnost aktuálních dat o zaměstnancích v reálném čase, přístup k datům a systému dle pozice a role konkrétního zaměstnance. Díky tomu se k datům dostanou jen lidé, u kterých je to žádoucí, čímž se tak snižuje riziko krádeže a zpronevěry dat.
3. Vytvořili nástroj se snadným ovládáním pro všechny zaměstnance včetně manažerů
Nastavili jsme nástroj pro vytváření zpráv a bezpečnostních i personálních hlášení, a také aplikační rozhraní včetně logických a fyzických rolí i jejich vazeb. Manažeři pak mohou v rámci speciálního nástroje spravovat žádosti o role a udělovat dalším zaměstnancům oprávnění.
4. Automatizovali kontrolu bezpečnosti
Zajistili jsme bezpečnostní monitoring včetně správy logů, centrálního ukládání a analýz. Subsystém DAM zajišťuje nepřetržitý monitoring a audit provozu databází a všech aplikací. Systém zároveň upozorňuje na jakékoliv změny, bezpečnostní události a porušení pravidel kybernetické bezpečnosti.
Systém je provozován na 24 serverech ve 2 nezávislých lokalitách s vysokou dostupností dat.
Nadále systém rozvíjíme na základě legislativních změn a požadavků zákazníka. Zároveň udržujeme systém na nejnovější verzi, aby byl stále aktuální a bezpečný.
„V rámci státní správy je přístup k IT specifický, a to také s přihlédnutím k velkému rozsahu činností a obrovskému objemu dat České správy sociálního zabezpečení. Potřebovali jsme bezpečný a uživatelsky přívětivý systém, který zaměstnanci zvládnou využívat bez problémů a s podmínkou, aby tento systém vždy splňoval aktuální požadavky Zákona o kybernetické bezpečnosti. V tomto případě se to povedlo. Spolupráce se spol. Eviden Czech Republic nás příjemně překvapila“, říká Milan Shrbený, ředitel sekce informačních a komunikačních technologií z ČSSZ.