GLOBAL SERVICE/ INDUSTRY Fill in global service or industry! Doplňte podslužbu nebo oborové zaměření! AUDIT / TAX / ADVISORY / LINE OF BUSINESS Delete where inapplicable! Nehodící se smažte! Budeme hrát s čipovými kartami mariáš? RNDr. Eva Racková, partner září 2006
2 Použití čipových karet Čipové karty Platební nástroje Ukládání informací Sofistikovan é metody kontroly přístupu Kontrola přístupu
3 Použití čipových karet - Čipové karty Platební nástroje Ukládání informací Sofistikovan é metody kontroly přístupu Kontrola přístupu Autentizace Platba oběda PKI Přístup do budovy Přístup na parkoviště/do garáže Přístup do informačních systémů Identifikace pro účely systémů správy aktiv, knihovny, apod. Biometrické údaje Autentizační údaje
4 Typická situace Fáze 1: karta pro fyzický přístup do budovy (případně více karet pro přístup do různých objektů), později využívána i pro placení obědů Fáze 2: karta pro přístup k informačnímu systému Fáze 3: karta obsahující digitální certifikát pro šifrování a digitální podpisy Fáze 4: karty pro partnery a zákazníky
5 Situace se stává neudržitelnou… Karet přibývá, jejich administrace je stále obtížnější Množí se podvody s kartami a zneužití karet Uživatelé nejsou schopni rozlišovat význam jednotlivých karet Snaha o sjednocení karet
6 Co s tím?
7 Co vzít v úvahu při implementaci – organizace a řízení Ustanovení procesů přidělování karet Proces vydávání dočasných nebo náhradních karet Proces zneplatňování karet Školení uživatelů a získání jejich podpory Dostatečné testování k odhalení nedostatků v procesech (např. hlášení ztráty karty přes elektronický help-desk) Vhodné naplánování implementace
8 Další faktory Technické – ochrana dat, možnost dohledání transakcí/aktivit spojených s kartami, zajištění spolehlivého fungování, dostatečná fyzická odolnost, apod. Typ karet Typ paměti Velikost paměti Možnosti zabezpečení Způsob čtení (kontaktní vs. Bezkontaktní) Karty pro více technologií a více rozhraní Legislativní – hlavně ochrana osobních údajů Náklady – na implementaci, na vydání karet, živostnost karet, podpora systému, apod. Možnost spolupráce s dalšími systémy
9 Komponenty systému Karty Systém pro správu karet Čtečky (HW a SW) Aplikace přímo využívající karty (např. autentizační SW) Rozhraní k dalším aplikacím
10 Případová studie A Výchozí situace Téměř 40 chráněných systémů Pracná administrace uživatelů: přidávání a odebírání uživatelů v jednotlivých aplikacích Požadavek Zjednodušení administrace uživatelů a zrychlení souvisejících procesů Řešení Uložení single-sign-on informace na čipové kartě spolu s digitálními certifikáty a informací pro kontrolu fyzického přístupu Problémové oblasti Rozšiřitelnost – s počtem používaných karet nadměrně rostla doba reakce systému Nedostatečně připravené procesy související se ztrátou nebo zapomenutím karet Obtížné napojení jednotlivých aplikací do systému single-sign-on Závěr Proces se zrychlil, ale řada aplikací zůstala mimo proces Projekt byl vzhledem ke kapacitním problémům po pilotní fázi zastaven
11 Případová studie B Výchozí situace Tisíce zaměstnanců Čipové karty používané pro fyzický přístup a odběr obědů Jiné karty využívány pro single-sign-on informaci Požadavek na využití digitálních podpisů a šifrování a ukládání příslušných certifikátů na čipovou kartu Požadavek Zvýšení flexibility a bezpečnosti a snížení nákladů použitím pouze jedné karty pro každého zaměstnance Řešení Uložení single-sign-on informace na čipové kartě spolu s informací pro kontrolu fyzického přístupu Problémové oblasti Nedostatečně připravené procesy související se ztrátou nebo zapomenutím karet Problémy kapacity karty – postupné ukládání nových certifikátů ke starým Nedostatečně promyšlené procesy související ze zapomenutím PIN čísla uživatelem Závěr Fleixibility nebylo dosaženo Náklady stouply
12 Čipové karty ve veřejné správě Spojených států 1998: rozpočet stanovil představil použití karet ve veřejné správě Spojených států: Princip 1 zaměstnanec = 1 karta Použití: cestování, drobné nákupy, fyzický přístup do objektů Implementované aplikace: Bezpečný fyzický přístup do objektů Bezpečný logický přístup do informačních systémů Šifrování a podepisování ů a elektronických formulářů a dokumentů Využití autentizace pomocí biometrických údajů Kontrola majetku Bezpečný platební systém Bezpečné ukládání dat (zdravotní informace, cestovní příkazy, citlivé osobní údaje)
13 Ministerstvo obrany Využití čipových karet je nejpokročilejší Bezpečná autentizace a přístup do informačního systému – robustní systém řízení identit Cílem je elektronické podepisování a šifrování dokumentů Využití biometrických údajů Využití bezkontaktních karet a maximalizace počtu informačních systémů, do kterých je možné se s jejich pomocí hlásit
14 Sjednocení karet Výhody Každý zaměstnanec jen jednu kartu Snazší administrace Úspora nákladů na karty Snazší shromažďování informací o konkrétním zaměstnanci (např. v případě odchodu) Karta je lépe opatrována uživatelem („bez karty jako bych nebyl“) Karta nezůstává v počítači v nepřítomnosti uživatele Nevýhody Konfliktní mezi jednotlivými druhy použití - nutnost zavést procesy, které řeší případy ztráty nebo zapomenutí karty Vyšší nároky na proces vydávání karet – shromáždění všech informací
15 RNDr. Eva Racková, CISA, FCCA KPMG Česká republika, s.r.o The information contained herein is of a general nature and is not intended to address the circumstances of any particular individual or entity. Although we endeavor to provide accurate and timely information, there can be no guarantee that such information is accurate as of the date it is received or that it will continue to be accurate in the future. No one should act on such information without appropriate professional advice after a thorough examination of the particular situation. Informace zde obsažené jsou obecného charakteru a nejsou určeny k řešení situace konkrétní osoby či subjektu. Ačkoliv se snažíme zajistit, aby poskytované informace byly přesné a aktuální, nelze zaručit, že budou odpovídat skutečnosti k datu, ke kterému jsou doručeny, či že budou platné i v budoucnosti. Bez důkladného prošetření konkrétní situace a řádné odborné konzultace by neměla na základě těchto informací být činěna žádná opatření. © 2006 KPMG Česká republika, s.r.o., a Czech limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International, a Swiss cooperative. All rights reserved. Printed in the Czech Republic.