Bez podpory moderních a bezpečnostních technologií ve Zlatém erbu nezvítězíte!

22. 5. 2015 VSOL 2/2015 Veřejná správa on-line

Mezi kritéria soutěže Zlatý erb o nejlepší webové stránky a elektronickou službu měst a obcí, podle nichž jsou soutěžící weby hodnoceny, patří již třetím rokem kategorie „Podpora IPv6 a DNSSEC“. Na starosti ji má sdružení CZ.NIC, které je nejen správcem národní internetové domény .cz, ale například i provozovatelem Národního bezpečnostního týmu CSIRT.CZ či služby mojeID, kterou pro přihlašování na svých stránkách nabízí již více než stovka měst a obcí.

Přesto, že každá z hodnocených technologií se zaměřuje na řešení jiného problému, obě dvě jsou přímo spojeny s internetovou adresou, na které návštěvníci naleznou webové stránky obce či města. Při naplnění obou kritérií hraje významnou roli především firma, která zabezpečuje provoz webu, resp. registrátor zajišťující registraci doménového jména.

Zlatý erb a zařazení nového kritéria

U zrodu nového kritéria, které je spojeno s IPv6 a DNSSEC, stála především pozornost, která se těmto technologiím začala dostávat jak v odborných kruzích, tak ze strany vlády. Ta již v roce 2009 jako jedna z prvních v EU přijala v podobě usnesení vlády č. 727 legislativní opatření na podporu IPv6 ve veřejné správě. Dovolte zde ocitovat vysvětlující slova Tomáše Holendy, předsedy celostátní poroty soutěže: „Signálem, že bychom tyto technologie neměli přehlížet, pro nás byla strategie Digitální Česko 2.0, kde je jak IPv6, tak DNSSEC věnována vždy jedna celá kapitola. Ve Zlatém erbu jsme si proto řekli, že tyto technologie bychom neměli přehlížet a rozhodli se je v rámci inovací soutěže zařadit jako nově hodnocené kritérium. Od tohoto rozhodnutí nebylo daleko k činu vyzvat někoho, kdo věci odborně rozumí a je ochoten spolupracovat. Po několika krátkých konzultacích jsme se dohodli s CZ.NIC, že věc odborně zaštítí.“

Dalším důvodem pro zařazení kritéria bylo v září 2012 vyčerpání volných adresních bloků IPv4, kdy od této doby tyto adresy přidělovány pouze v omezené míře. Na IPv6 je tak nutné pohlížet i jako na součást tzv. síťové neutrality, kdy kvalitní web samosprávy by měl být přístupný všem, bez ohledu na to, z jaké sítě přistupují.

Od nejistých začátků (téměř) k samozřejmosti

Projektový koordinátor sdružení CZ.NIC Jiří Průša předává zástupcům obce Tisá v rámci slavnostního ceremoniálu soutěže Zlatý erb v Hradci Králové Zvláštní cenu sdružení CZ.NIC
Projektový koordinátor sdružení CZ.NIC Jiří Průša předává zástupcům obce Tisá v rámci slavnostního ceremoniálu soutěže Zlatý erb v Hradci Králové Zvláštní cenu sdružení CZ.NIC

Nové soutěžní kritérium bylo některými soutěžícími zpočátku přijímáno trochu rozpačitě a v roce 2013 jej ze všech přihlášených webů splnilo jen sedm – z toho překvapivě 5 obcí (Čížkov, Petrovice, Podomí, Vranov nad Dyjí a Vranovice), jedna pražská městská část (Praha 19) a jen jedno město – Úštěk. Tomu plný bodový zisk nakonec pomohl k celkovému vítězství ve Zlatém erbu. U Petrovic si pak dodnes vzpomínám na to, jak jsme s jejich webmasterem řešili problém v nastavení IPv6, který se objevoval jen z IPv6 sítí, kterou v Petrovicích neměli a nemohli si tak možnost chování svých stránek při přístupu z tohoto nového protokolu jak ověřit. Myslím, že nejen Petrovice byly vděčné za to, že mají k dispozici výsledky hodnocení jednotlivých porotců, které jim dobře slouží jako zajímavá zpětná vazba.

Zatímco před třemi lety jsme hovořili o „sedmi“ statečných, v loňském ročníku již podpora IPv6 a DNSSEC byla mezi soutěžícími mnohonásobně vyšší. Z celkem 201 přihlášených (67 měst, 112 obcí a 22 městských částí v hl. městě Praze) mělo plný bodový zisk odpovídající zabezpečení domény prostřednictvím DNSSEC a podpoře IPv6 jak na webovém, tak jmenném a mailovém serveru celkem 55 soutěžících a celkem 18 finalistů.

Díky skriptu vyvinutému v evropském projektu GEN6 (Governmment ENabled with IPv6) zaměřujícího se právě na podporu implementace IPv6 ve veřejné správě, pak bylo v loňském roce zajímavé sledovat i to, jak si samospráva vede při zavádění IPv6 a DNSSEC v průběhu soutěže. Po dobu necelého jednoho měsíce se podařilo zajistit dostupnost přes IPv6 na 19 nových webserverech a minimálně na 38 mailserverech. Města a obce dokázaly, že implementace IPv6 a DNSSEC nemusí být problém a nasazení těchto technologií lze zvládnout ve velmi krátkém čase.

Veřejná správa jako lídr v zavádění IPv6

Další zajímavá čísla získáme při porovnání, jak si vedou města a obce při porovnání s dalšími orgány veřejné správy, potažmo ostatními českými servery, a zda obstojí v konkurenci např. estonských měst (Estonsko je v rámci Evropy vnímáno jako lídr v zavádění moderních postupů a technologií ve veřejné správě). Podle několika studií provedených na evropské úrovni patří Česká republika na špičku v implementaci IPv6. Ze všech domén s koncovkou .cz disponuje podporou IPv6 celkem 24 % webových serverů, 61 % DNS serverů a 16 % mail serverů. Vzhledem k tomu, že do tohoto průměru se započítává více než 1,2 milionu domén .cz, mnohem zajímavější pohled je na to, jak si při zavádění této technologie vede veřejná správa, konkrétně města a obce.

Tyto údaje sleduje naše sdružení od roku 2013 v rámci evropského projektu GEN6 a to nejen v rámci České republiky, ale i dalších vybraných zemí v Evropě.

Webové servery DNS servery Mail servery
1/13 3/15 1/13 3/15 1/13 3/15
Vládní instituce 19 % 64 % 55 % 93 % 19 % 42 %
Krajské úřady 8 % 15 % 54 % 77 % 15 % 23 %
ORP 8 % 35 % 39 % 68 % 2 % 14 %
Průměr v doméně .cz 15 % 24 % 51 % 61 % 13 % 16 %

Zdroj: CZ.NIC a GEN6

Z výše uvedené tabulky jasně vyplývá, že v implementaci IPv6 česká města a obce rozhodně nezaostávají, ba naopak. V případě webových serverů vykazují výrazně vyšší podporu tohoto protokolu, než ve zbytku české domény. Špatně si nevedou ani v kategorii DNS serverů a jejich zaostávání v případě mail serverů není až tak významné.

Vedle vysoké podpory rozšíření IPv6 u webových stránek samosprávy je zajímavé u obcí s rozšířenou působností sledovat i výrazné zlepšení mezi roky 2013 a 2015; zde je podle našich analýz jedním z hlavních motorů tohoto zlepšení právě soutěž Zlatý erb. Obce a města sice nejsou vázána usneseními vlády, ale za uplynulé tři roky jich soutěží Zlatý erb prošlo již několik stovek a při snaze získat co nejvíce bodů v hodnocení pak v rychlosti implementace IPv6 často předstihly nejedno ministerstvo i firmu.

Pohled na vítěze posledních dvou ročníků Zlatého erbu ukazuje, že bez plné podpory těchto technologií tuto populární soutěž nelze vyhrát a čím dál tím těžší je se probojovat i do finále v případě, že podpora tohoto protokolu chybí např. na mailovém serveru.

Co je to DNSSEC a jak zabezpečit svoji doménu

Druhou z technologií, která hraje při hodnocení ve Zlatém erbu roli, je DNSSEC. Tato technologie představuje rozšíření systému doménových jmen, které zvyšuje jeho bezpečnost a poskytuje uživatelům jistotu, že informace, které z DNS získali, byly poskytnuty správným zdrojem a jsou úplné. DNSSEC rovněž reaguje na vývoj v oblasti internetu – původní architektura DNS vznikala v době, kdy k této počítačové síti bylo připojeno poměrně malé množství uživatelů a mezi nimi panovala vzájemná důvěra. To již bohužel nelze říci v dnešní době, kdy je internet účinným nástrojem pro zviditelnění vybraných skupin, které neváhají k prosazení svých zájmů využít i kybernetických útoků.

Právě ochrana před kybernetickými útoky a zároveň posilování důvěry ve využívání elektronických služeb představovaly hlavní důvody, proč vláda ve svém Usnesení nařídila všem institucím veřejné správy nejpozději do 1. července 2015 zabezpečit všechny jimi držené domény prostřednictvím DNSSEC.

U zabezpečení domény prostřednictvím DNSSEC hraje hlavní roli registrátor domény. U naší národní domény .cz v současné době DNSSEC podporuje celkem 13 registrátorů, jejichž pravidelně aktualizovaný seznam včetně toho, zda podporují i další technologie jako IPv6 či mojeID, je možné nalézt na stránkách sdružení CZ.NIC (www.nic.cz, záložka „Registrátoři“).

Pro kvalitního registrátora by neměl být problém zajistit zabezpečení ani u jiných domén než .cz, zejm. .eu, .com. či .info, která některá města též využívají. Pravda, někdy nemusí být snadné na takového registrátora narazit, ale věřte, že existují a bezpečná doména zabezpečená DNSSEC nemusí mít jen koncovku .cz.

V případě, že registrátor je rovněž správcem DNS serverů (zejména v případě, že zajišťuje rovněž webhosting), neměl by být problém, aby výše uvedené kroky zvládl on sám s minimální součinností ze strany úřadu. V případě, že si jmenné servery provozuje obec či město, je možné využít návod „DNSSEC za 5 minut“ volně dostupný na stránkách www.dnssec.cz.

Mgr. Jiří Průša
Mgr. Jiří Průša
O autorovi
Jiří Průša se již téměř 15 let věnuje problematice eGovernmentu jak na domácí, tak evropské úrovni. V minulosti pracoval na Ministerstvu informatiky, později na Ministerstvu vnitra, mj. jako ředitel odboru Hlavního architekta e-Governmentu.
Ve sdružení CZ.NIC má na starosti především aktivity zaměřené na podporu veřejné správy a evropské projekty včetně projektu GEN6 (Governmment ENabled with IPv6), který se věnuje podpoře veřejné správy při přechodu na internetový protokol verze 6 či projekty STORK 2.0 a e-SENS zabývající se přeshraničním uznáváním eID.
Externě působí rovněž na Metropolitní univerzitě Praha, kde vede kurz „Informační systémy veřejné správy a eGovernment“ a „Informatika v právu a veřejné správě“.
Svoji dovolenou tráví nejraději v Africe, kde stál u vzniku ICT center v Burkině Faso, Etiopii, Keni, Zambii či Ugandě a naučil pracovat s počítačem již několik stovek tamních obyvatel, zejména z venkovských oblastí.

Jiří Průša, CZ.NIC