Linux E X P R E S

Otevřené řešení správy identit pro veřejnou správu

Řecké město Heraklion nabízí své otevřené řešení pro správu identit. Je založeno na kombinaci technologií OpenLDAP a WSO2, vyvinuto bylo pro propojení služeb města, Krétské univerzity (Πανεπιστήμιο Κρήτης) a Krétského kraje.

„Využívání tohoto řešení mohou ostatní města a obce ušetřit peníze. Nejen tím, že nahradí proprietární LDAP a identitní systémy, ale i proto, že sníží náklady na napojování nových aplikací a služeb,“ říká IT konzultant Panagiotis Kranidiotis, jenž se na vývoji řešení podílel. „Usnadní se tím sdílení uživatelských a identitních služeb například s místními veřejnými službami, univerzitami nebo i firmami.“

Řešení je navíc navrženo tak, aby vyhovovalo požadavkům dvou významných nařízení Evropské unie: eIDAS a GDPR. Otevřený software si město zvolilo ve své strategii pro smart city z roku 2016. „Rozšiřování použití otevřených standardů a svobodného a otevřeného softwaru je jednou z našich výzev,“ potvrdil Costis Mochianakis, vedoucí oddělení IT na úřadě města.

Státy EU by se měly dohodnout na politice odkrývání zranitelností

Podle studie agentury ENISA by se měly členské státy EU dohodnout na politice řízeného odkrývání zranitelností v hardwaru a softwaru. Většina států EU dosud nemá ani svou národní politiku (mají ji jen Francie, Nizozemsko a Litva), postupují tak v podstatě zcela nahodile a nesystematicky.

Na odhalování a hlášení bezpečnostních problémů je zaměřen program „bug bounty“ (v rámci širšího auditního projektu EU-FOSSA 2) financovaný z prostředků EU, který se věnuje softwaru s otevřenými zdrojovými kódy, konkrétně například Apache Tomcat, Drupal, Filezilla nebo KeePass.

Studie zmiňuje například obrovské dopady zranitelností Meltdown a Spectre, které byly nalezeny v masově používaných procesorech. Tyto zranitelnosti podle studie také ukázaly důležitost dlouhodobého bezpečnostního výzkumu.

Jiný příkladem zmiňovaným ve studii byla zranitelnost EternalBlue (v technologii Windows SMB), která byla ukázkou nezodpovědného přístupu k odkrývání nalezených chyb tohoto typu. Americká agentura NSA o zranitelnosti věděla už dlouho a místo nahlášení tvůrcům softwaru a následného úplného odkrytí ji utajovala a zneužívala pro své cíle prostřednictvím frameworku FuzzBunch. Jenže nebyla sama, nástroj se dostal do rukou zločinné skupiny The Shadow Brokers, která již během prvních dvou týdnů takto napadla více než 200 tisíc počítačů a následně se přes EternalBlue masově rozšířil ransomware WannaCry.

Ve stručnosti

• Francouzská vládní agentura Dinsic, zodpovědná za oblast ICT, přišla s iniciativou Blue Hats (modré klobouky; klobouk odkazuje na hacking, modrá je barvou veřejné správy). Jejím cílem je vybudovat komunitu pro otevřený software ve veřejné správě.

• Open source ve slovenské veřejné správě existuje (podle oficiálního vyjádření vlády) jen díky nadšencům v jednotlivých orgánech a organizacích, žádná systematická podpora neexistuje. Přitom slovenská vláda v letech 2016 a 2017 deklarovala, že v roce 2020 bude 40 % veřejných služeb používat software tohoto druhu.

• Bernský kanton zahájil sdílení svého softwaru, zvolil pro něj („novou“) BSD licenci. Na GitHubu je připraveno vše potřebné (např. šablony souborů), aby se dalo sdílet co nejsnáze. Prvním takto poskytnutým programem je prohlížeč katastru nemovitostí.

• Nová vládní koalice v Lucembursku podporuje používání otevřeného softwaru ve veřejné správě. Zelení, jedna ze tří vládních stran, to měli jako jednu z klíčových součástí volebního programu. Další ze stran, socialisté, by v rámci toho chtěla u softwaru odstranit plánované zastarávání.

• Americká agentura NSA otevře zdrojové kódy nástroje GHIDRA pro reverzní inženýrství. O nástroji se veřejnost dozvěděla z uniklých dat zveřejněných na serveru WikiLeaks.

• Belgická rozvojová agentura Enabel si jako součást své strategie zvolila otevřený a svobodný software. Učinila tak proto, že podle ní tento software podporuje sdílení, opakované využití a vylepšování; snižuje také bariéry ve spolupráci mezi agenturou a organizacemi zejména v nestabilních nebo chudších státech. Jedním z konkrétních výsledků činnosti agentury v této oblasti je GoFAST, řešení pro spolupráci kombinující například technologie Alfresco, Drupal nebo Apache Solr.

• „Bezpečnost softwaru jako občanské právo“ – tuto tezi použil Nikos Vaggalis ve svém článku podporujícím odhalování chyb v softwaru placené z veřejných prostředků. Konkrétně současný bug bounty program v rámci EU-FOSSA 2 už našel například zranitelnost v široce používaném programu 7-Zip. Za nalezení chyby lze získat odměnu až 25 tisíc eur (maximální výše se liší podle konkrétního softwaru – nejvyšší limit odměn má správce hesel KeePass).

• Členská města Open & Agile Smart Cities (OASC) se dohodla na „minimálních mechanismech interoperability“, které mají usnadnit výměnu dat a další spolupráci. Členy OASC je 120 měst z 24 zemí, především z Evropy, ale také z Ameriky a Austrálie. Česko nemá v tomto uskupení žádného zástupce.

• Italský antikorupční software byl vydán pod licencí EUPL. Systém umožňuje bezpečnou komunikaci svědka korupčního jednání s úřadem, který případ řeší, při zachování anonymity. V potřebném okamžiku ale může být identita svědka odhalena na základě autorizace třetí osoby.

• Finsko úspěšně migrovalo univerzitní knihovny na otevřený systém Koha, zajišťující back-endovou část knihovního softwaru. Knihovny tak mohly opustit zastaralý, dlouho neudržovaný proprietární systém.

• Do slovenského parlamentu jde návrh zákona o IT ve státní správě. Je v něm zakotvena řada nových povinností: poskytovat zdrojové kódy k softwaru vyvíjenému pro stát, dispozice státu s veškerými informacemi o projektech, použití licence EUPL, modularizace projektů (aby se mohlo zapojit více firem) a poskytnutí součinnosti původním dodavatelem při změně dodavatele. Skupina Slovensko.Digital navrhovala ještě další změny (například povinné využívání otevřených standardů), ale ty do návrhu zákona začleněny nebyly.