Názory k článku
Správci a diktátoři

Docela to ho správce chápu.

Pokud je to typická nemocnice, tak mají starší PC a na nich jeste spoustu Win9x tzn. musí se o PC starat víc než na síti s W2K nebo XP, nejsou updaty ...

Navíc na počítači s daty pacientů nemá Internet co dělat, pokud by se tam někdo dostal mohlo by nakonec skoncit až u soudu.

A pokud je to opravdu typická nemocnice tak ani těch správců není nazbyt. Nevím jak autor, ale já mám zkušenost, že běžní uživatelé dokažou udělat s PC neuvěřitelné věci v neuvěřitelně krátké době. Pak nestačí ani 1 správce na 10 uživatelů.

Nikoho z vás nenapadne dělat "tunningové úpravy" na vašem služením autě. Ale každý uživatel by si chtěl nainstalovat tohle a tamto. Když pak PC přestane jet, "uživatel" nemůže pracovat, je popotahovanej správce ... To k němu neni fér a fér to neni a ni k zaměstnavateli který tuhle zbytečnou práci musí platit ...

Howg

Souhlas. Ano jsou spravci, kteri se v sikanovani uzivatelu vyzivaji. Ale tohle neni ten pripad (samozrejme zalezi na forme).

Odmitnout pripojit pocitac na net z duvodu nesystemovosti takoveho kroku mozna pusobi krute, ale je pochopitelne.

Naprostý souhlas s "předřečníky." Tu situaci znám z obou stran - tedy i z pozice, kdy se náš správce sítě špatně vyspal a pak přišel do kanceláře se slovy "chi chi chi, vodpojil sem vám Internet." O něco později jsem sám správcoval (a vlastně správcuji dodnes) a vím, jak si uživatelé - přesto, že mají záplatovaný systém, antivir, síť je za firewallem, funguje na ní blokování všeho možného, dokážou zasvinit počítače. A za kým potom jdou? No samozřejmě za správcem sítě se slovy ono mi to nějak nejede. Ještě se potom blbě zeptají čím to bylo? Co se týká nemocnic - v jedné velké nemocnici jsem dělal. Nutno říci, že některé muzeální kousky, které jsem tam viděl (byli tam i předchůdci 286ek - tuším XT?), by se dnes prodaly do muzea za slušnou cenu. A rozběhávat na nich Internet, aby byl bezpečný, bylo prakticky nereálné (zkuste na 386/486ce rozjet W95 s aktuálním /na tyto poměry paměťově náročným/ antivirem). Častým nešvarem, se kterým jsem se setkal nejen v té nemocnici, bylo připojování PC k Internetu skrze modem. Jaká je to bezpečnostní díra do sítě, byť sebelépe chráněné, asi nemusím podrobněji rozebírat. Přesto - vymluvit některým uživatelům, že to by opravdu neměli, byl běh na dlouhou trať. Takže také bych se na toho správce, zmíněného ve článku, nedíval tak černobíle. Chtělo by to znát i jeho názor a důvody a ne jen to, že prostě paní doktorku nepřipojil....

A přesně o vás ten článek je, copak to nevidíte?
Uživatel se podle vás "blbě zeptal, čím to bylo". Ne, ve skutečnosti projevil vůli se svým chováním také podílet na bezpečnosti sítě, ale místo abyste mu vysvětlil, co se nemá dělat, jste ho z jakéhokoliv důvodu vyhodil.
A připojení k internetu? To považuji pro nemocnice (ale koneckonců pro jakékoliv instituce) za samozřejmé. Spousta komunikace např. mezi oddělením a (externí) laboratoří, mezi dvěma odděleními z jiného města, mezi dvěma lékaři udržujícími profesní kontakt atd atd se odehrává samozřejmě přes email.

ad a)
Trieskas. Ale potesis ma, ak mi ukazes tie aspekty. Pretoze viem o pripadoch, kedy je windows bezpecnejsi, nez linux. A maju spolocne to, ze su zapojene do internetu.

ad b)
Admin (vynecham radsej slovko pan) je clovek, co ma presadzovat prislusnu bezpecnostnu politiku a politiku prace s IT v organizacii. Vzdy je to teda dokument/metodika autorizovana vedenim (bohmi, pr managermi, hr managermi, directormi atd.). Ohladne pingov v CS :) takych ludi pls nevolaj adminmi :).

"Pretoze viem o pripadoch, kedy je windows bezpecnejsi, nez linux."
Posloucháme...

Pripojuji se ...
A jsem hrube zvedav! Hlavne na to, jestli se dotycny jeste ozve :-)

Ah, supy sa zbiehaju.. Nice :).. linuxaci ste pani? :)

Ide o server na Windows 2003 (IIS), ktory ja nespravujem (specializacia je FreeBSD), spravuje ho znamy, maju ho vo firme.. platobny system (komunikacia s bankou, komunikacia s databazovym clustrom, vsetko via VPN).. pravidelne testovanie cez nessusd (kupena licencia, nie iba free clenstvo s oneskorenymi pluginmi), sledovanie konfier atd..

Na druhej strane vsak viem o stroji, kde bezia medialne sluzby, ktory je pomerne zacerveny a deravy..

Su windowsy, ktore ak sa o ne ich admin (a aj o seba) stara, tak vedia byt lepsie a vhodnejsie nez 60% linux masin, ktore spravuje neaky nadsenec bez ladu a skladu.. Lenze ono ma clovek Linux positive strasne infantilne sklony mindzovat na vsetko Winblowsacke, Mrkvosoftie etc etc.. uz samotne reakcie a vyjadrovanie poniektorych linuxakov stoji za uvazenie.. verim, ze vy dvaja ste ini..

Spokojni?

No jo, ale user login radši nikomu nedávej, tam jsou okna děravý jako řešeto... :-D

Tak to potom jo. Skutecne kvalitne, za penize a dobrym spravcem zabezpecene windows skutecne mohou byt bezpecnejsi nez default instalace dva roky stareho linuxu "vylepsena" instalaci vsech existujicich p2p programu (rozumej: coz je jediny adminsky zasah, ktery na tom kompu nekdo, konkretne majitel student, ktery se pro linux rozhodl proto ze kolejni sprava drzkovala nad kradenymi XP, provedl).

Jenom si nejak myslim, ze takovych linuxovych stroju je mene nez 60%. Oproti tomu windowsich stroju, ktere jsou spravovany jeste hure (k tomu, ze jsou v defaultni instalaci mene bezpecne) je pres 90%.

Nie, nie sme spokojni. Pretoze keby to bol priklad, tak by si uviedol, ze tam bol linux a z bezpecnostnych dovodov (a akych to by nas zaujimalo) sa tam nasadil windows, pretoze (sic!) bol bezpecnejsi... Inak je to iba pripadova studia nasadenia windows servera.
Je jasne, ze _kazdy_ system je taky bezpecny, akeho ma spravcu. Neznaly admin zmrsi hocijaky system, ale o tom otazka nebola...

Nemam preco uvadzat, ze tam bol linux, ked tam linux nebol. Ked tam bol a je windows. Nerozumiem tvojej reakcii, prepac. Skus to cele premysliet a napisat znova.

a) DOS zadny bezpecnostni navrh nemel. Nejsem si jisty, jestli u windows (myslim 95, nikoliv NT a podobne) nezustalo jen u toho navrhu.

b) Neverim, ze by admini nekoho omezovali kvuli svym pingum v counterstrike. Interni sit je prece 100Mbps (alespon mezi ucastniky hry) a ten 1Mbps (jestli) do netu ji nemuze nijak zatizit.

Tak to je vidět že nevíš jakou kapacitu dokáže sežrat takové Money S3 v síťové verzi. Samozřejmě pokud už nejsi dál, nemáš server připojený do sítě optikou a celou síť na 1 Gbps.

1) Bavili jsme se o counterstrike.
2) Nepochopil jsi co rikam, takze jeste jednou: admini hrajou s hlidacem counterstrike na interni siti. Do toho sektretarka zurive brouzda po siti. I kdyby se rozpulila, nestahne z te site vic nez kolik je kapacita linky ven - tj. 1Mbps. Pro adminy a hlidace parici counterstrike na lokalni siti s 100Mbps je tedy jedno, jestli sekretarka ten 1Mbps obsadi nebo ne.

Samozrejme pokud admini hraji nejaky moderni MUD primo po internetu (mimo LAN), je to o necem jinem.

Pane, uživatel v administrované síti nemá co "projevovat vůli podílet se na bezpečnosti sítě", protože:

a) je POVINEN dodržovat daná bezpečnostní opatření a zásady bez ohledu na vůli či nevůli, na ochotě či neochotě. Prostě to bude dělat.

b) není kvalifikován se snažit dělat cokoliv jiného, jakkoli se podílet na rozhodování o infrastruktuře a zabezpečení, jakákoli iniciativa je kontraproduktivní a ostatní zdržující i potenciálně nebezpečná.

Kutily mám nejraději. Asi tolik, jako by se na mé názory a "vůli podílet se" díval chirurg, kterému bych navrhoval, že lepší bude říznout tady.

A v tom je problém. Zatímco si všichni zvykli považovat (např.) chirurga za vysoce odborně vzdělaného člověka, kterému se do profese prostě nekecá, administrátora považuje obecný uživatel za "technika", "údržbáře", nebo někoho kdo "tahá kabely, hraje hry a dělá poskoka, kdykoli si dodrbu profil". To je omyl a je to i omyl článku - administrátor tu není proto, aby byl "služkami těch, kteří dělají skutečnou práci" (jak taková blbost mohla autora nepadnout?) Administrátor organizuje a udržuje jednu ze základních páteří chodu dnes už takřka čehokoli.

Troufám si tvrdit, že bez vysoce profesionální administrace už dnes není schopna složitější organizace fungovat. Není proto divné, že ICT manažeři bývají zpravidla členy vyššího managementu společnosti a spolupodílí se na rozvoji celé firmy. Narozdíl od těch "soustružníků", co dělají zmiňovanou "skutečnou práci". To jsou z pohledu organizace (a omlouvám se za reálný cynismus) jen a jen stroje, jen mají místo cpu mozek.

Hmm, nemam slov. Tak jo sefe, pojd do boardu. A poradne tem debilum vysvetli, ze ta sit je tvoje a oni at laskave drzi hubu... a dup!.. :)

P.S. drobna napoveda: az budes jako admin potrebovat prachy na novej hardware, tak by me zajimalo, ktera cast organizace ti na to udela budget. Predpokladam ze ti soustruznici.

No pokud si uživatel dokáže "zasvinit" počítač, pak je to hlavně věc správce systému. Buď to neumí zabezpečit a nebo neumí přesvědčit vedení, aby uvolnilo finance na zajištění zabezpečení.

Kdyz prijdu za vedenim, ze zamestnanci chteji surfovat na internetu, coz je sice mozne, ale bude to stat 150.000- za nakup aktualnich pocitacu, ktere jsou zabezpecitelne.

W9x NELZE zabezpecit pro praci na internet. Tuto funkci nemaji vestavenou a MS ji nikdy uz vestavovat nebude. W9x se daji pouze preinstalovavat, coz je v situaci, kdy tam mate karty pacientu proste neprijatelne.

Vy mate nezalohovane karty pacientu na pocitaci s W9x?

w9x jsou pro praci na internetu daleko bezpecnejsi nez wXP. Staci odinstalovat M$ sdileni a nebezi na nich nic, co by slo zvenku naborit (XP a jejich slavne RPC).

BTW: Nebavime se predpokladam o pouzivani IE.

Tak, tak ..

No, jeste se musi odinstalovat ten IE a outlook a pak spolehat na to, ze antivir a antispam na serveru odchyti uplne vsechny mailove viry ... ale mate pravdu, porad lepsi nez XP, kde ten IE tusim odinstalovat ani nejde (ne ze by to na 9x byla sranda).

Předpokládám, že počítač je v síti, ergo data jsou rovněž na serveru.
Jednou za definovanou dobu se PC po síti přeinstaluje, v případě W9x to v podstatě stačí smazat disk a nasypat ho tam znovu ze sítě.
Odmontuju-li z takového počítače CD a FDD, zahesluji BIOS/Setup a event. tam prsknu tak malý disk, aby obsahoval jen systém a minimum místa na dočasné soubory, PC se na net připojuje po síti a ne dial-upem, mám po instalaci FW, AV a úpravě nastavení prohlížeče + zákazu editace registrů mám docela slušně zabezpečenou stanici. Předpokládám, že sestra si nebude otvírat PC, mazat heslo a připojovat vlastní HW :-)

Nejjednodussi je na podobna dulezite pracoviste dat pocitace proste dva (treba s prepinacem na jednu klavesnici/monitor) - jeden pro vedeni citlivych agend, druhy pro 'bezne' cinnosti jako je cteni emailu apod (a samozrejme to cele nastavit tak, aby na pocitaci pro citlive agendy zadny email a internet nesel otevrit). Na dost mistech se toto pokud vim aplikuje...
Upirat lidem pristup v dnesni dobe pristup k internetu je nesmysl, kdyz rada i odbornych a pro praci potrebnych informaci tam je k nalezeni. Problem nekterych spravcu je, ze se proste nesnazi vubec hledat reseni, ktere uspokoji jak jejich predstavy, tak i alespon castecne (pracovne oduvodnitelne) prani pracovniku.
Rict, ze to nejde je jednoduche... ale zamyslet se nad tim, jak by to slo udelat chce uz ponekud vice (a rekl bych ze clanek je prave o tomto) :-)

Ano to je dobre reseni ...

Ale kde vzít na druhý počítač?

A neměl by pracovník v práci spíš pracovat?

Pokud má pracovat, tak ať pracuje (lékař léčí ...)

pokud má studovat, ať jde do nemocniční knihovny odborné literatury a studuje na tamním počítači ...

Nemusi byt nutne novy a i kdyby byl, nemusi jit o posledni model herni stanice za desitky tisic.

Pokud mate lekare na nemocnicnim oddeleni kuprikladu v noci, tak tam rozhodne neni proto, aby lital po oddeleni a budil pacienty svou "lecbou". Rozhodne je ale zadouci, aby na oddeleni byl pro pripad, ze se nejakemu pacientovi pritizi a bude treba jeho zasah. Kdyby se v ten cas nachazel napr. v knihovne, tak jen cesta z te knihovny na oddeleni by par minut vzala a tech par minut by mohlo znamenat i smrt pacienta. Urcite se shodneme na tom, ze cim blize lekar je, tim lepe.

Podle me je to cas je tento cas vhodny pro samostudium, protoze zpravidla je klid na podobne veci. A zrovna u lekaru je myslim prvek samostudia velmi dulezity (asi by se nikomu nelibilo, kdyby lekar aplikoval davno prekonane postupy) a zminovany spravce je mimo jine placen i za to, aby pomahal podminky pro tuto cinnost vytvaret.
A zrovna ve zdravotnictvi si lidi davaji pomerne pozor na to, aby delali veci, ktere delat maji (a 'zabavu' resili jen kdyz je cas). Moje sestra pracovala jako zdravotni setricka na Motole, na oddeleni pocitac i s internetem meli a rozhodne u nej nesedely celou smenu (naopak, pres den se k nemu prakticky nedostaly, spis v noci...).

Pristup mnoha spravcu je bohuzel takovy, ze nejradsi by nedelali nic, vsem zakazali vsechno a sami pak sedeli zalezli ve svem kanclu u veci, ktere jinym zakazuji. Sam jsem se 'spravcovanim' zivil take a podobnych lidi jsem kolem sebe poznal hodne...

Cital som aj tento prispevok, aj ten o prispevok vyssie :) teda oba od teba.. Suhlasim v plnej miere.. sam som sa zivil a zivim sa spravcovanim a v casoch sveho mladi som bol presne take hovado, ake si aj ty poznal vo svojom okoli :).

No ty jsi koumes... At jde do knihovny... Ano, od toho vyvijime site, jejich propojeni, cesty, jak je dostat k uzivateli, aby nejaky hnup potom prisel s vyrokem "no vzdyt muze jit do knihovny (pokud mozno ve vedlejsi meste)".

Pokud je spravce neschopny arogantni hnup,problem chapu. Jinak ale existuje 1000 zpusobu, jak internet lekarce zpristupnit, a jak jiz bylo receno, zrejnme by nesurfovala s pacientem za plentou, ale neni duvodu, aby se nevzdelavala (nebo si neprecetla noviny - kdo z nas to nedela) v dobe, kdy tam pacienta nema?

Jiste, pripojit na internet pocitac s citlivymi daty, to zavani prusvihem - ale mame tady graficke terminaly - co brani tomu, pripojit nekde serevr a uzivatele nechat na nej pripojovat rdesktopem? Nebo co zapremyslet, zda by citliva data nemela byt obsluhovana nejakym klientem (http?) namisto primeho souboroveho pristupu k nim a psani ve Wordu ve slozce "My Documents"?

Vsechno jde kdyz se chce. Tady zjevne bylo trosku lino a arogantno.

Souhlasim, ze kdyz se chce tak jde vsechno.

Jde jenom o to kolik to bude stat ...

1.) email neni \"pristup na internet\" (zeptejte se okolo, \"pristup na Internet\" je seznam.cz [pokud to neni rovnou \"ten Internet\"]), da se pomerne efektivne ocistit od vitu a malware

2.) Běžný správce v běžné nemocnici nemá XxCPU server na WinServer200X + Xx uživatelská licence + Xx licence na terminálový přístup a pokud ho bude mít tak jen blázen z něj povolí přístup na Internet aby ohrozil DŮLEŽITÉ aplikace které na něm běží. Leda že by ne to měl samostaný server, ale už vidím vedoucího IT jak na to vyhrazuje 10xX tisíc ...

3.) Nahradit stávající alikaci nějakou serverovou je dobrá myšlenka, ale ne všechny aplikace se tak dají nahradit (spousta specializovaných aplikací tak prostě nefunguje ...) a navíc to stojí opravdu moc peněz a HW navíc.

4.) Další řešení je třeba Linux (u vštšiny lidí vyvolá záchvat paniky, \"Kde je Internet?????\" - nevidí modré e od IE ;-) ) nebo Windows Domena s Policy. No jo to, ale chce dobreho spravce. A jsme spet, dobry spravce chce dobry plat ... a na to vetsina nemocnic proste nema.

Ano není to tak jednoduché... nemá náhodou (nejen) lékař vzdělávání v oboru v popisu práce... Léčit lidi obávám se není jako zatloukat hřebíky - jednou se to naučím a vydržím s tím až do důchodu.

Tu povinnost mám taky ...

Ale v práci pracuji ... jsem za to placen a zaměstnavatel chce za své peníze výkon.

Vzdělávám se

a) na školení na které mne pošle zaměstnavatel (na jeho náklady - platové i za školení)

b) samostatně ve svém volnu \\"za své\\" - se zvýšenou kvalifikací se nestydím si říct o lepší plat ...
- neni to zas tak tvrdé ... pokud potřebuji literaturu tak mi ji firma koupí ...


Ale chápu, že takhle to ve státní nemocnici asi nechodí ...

Vas zpusob prace vam nikdo nebere. Ale nenutte ho druhym jako standard.

Co je spatneho, kdyz lekar vyhledava informace k problemu na internetu? Nepracuje?
Kdyz konzultuje po internetu? Nepracuje?
Kdyz pri nocni smene cte odborne sborniky on-line? Nepracuje?

A ze by delal treba i neco jineho? To ale neni vec, kterou by mel hodnotit spravce site.

>> To ale neni vec, kterou by mel hodnotit spravce site.

Naprosto souhlasim.

Bezpečnostní politika (BP) by měla být definovaná nejméně o stupeň výš (ještě lépe podepsána od top managera - on pujde sedet v pripade pruseru ... ;-) )

Poku jde o clanek verim, věřím (pro nic jiného nemám fakta), že admin neudělal přístup do Internetu právě z důvodu BP a ne proto, že paní doktorka nemá modré oči.

>> pokud má studovat, ať jde do nemocniční knihovny
>> odborné literatury a studuje na tamním počítači ...

A ted si predstav, ze doktor slouzi odpoledne, vecer, v noci na prijmove ambulanci oddeleni. Pokud neprijde pacient, tak vlastne ceka na vykon prace. Nemocnicni knihovna ma zavreno a tak muze studovat materialy na webu.

Ale dejme tomu, ze knihovna ma otevreno 24 hodin denne. Ty prijdes na urazovou ambulanci s rozbitou hlavou a zlomenou rukou, vsude sama krev a tam ti sestra sdeli, ze musis pockat min 10. minut nez doktor prijde z knihovny. To bude sprastych slov, urazek a nadavek...

Priklad ze zivota:

Prijdu na pohotovost (s těžkým vymknutím kotníku, chci vedet jestli neni neco zlomenyho nebo přetrženýho).
Jsem v čekárně sám.
20 min. po mne přijde človíček s rozbitou hlavou.
Doktor stále nikde.
Po 5 min. sebou sekne.
Konečně (bušením do dveří, na zvonek nikdo nereaguje) přivolám sestru. Profackuje človíčka a vynadá mu, že zaneřádil podlahu krví. Veme ho dovnitř.
Za dalších 5 min je chlápek venku s tím, že má jít na jiné oddělení.
Po 10 min. mne vemou dovnitř, sestra sklízí hrnky od kafe ...

Fakt pohotovost, reakční doba 40 min. podpořená bušením do dveří ...

To by mne uživatelé a pak šéf popravili.

To zni jako Bulovka :)))

Data pacientů bývají uložena na serveru, je na správci, aby je dokázal ochránit a zároveň umožnit personálu připojení k internetu; tento úkol mají počítačoví správci koneckonců ve všech institucích a firmách, nikoliv jen v nemocnicích.

Správci mají personálu sloužit, nikoliv ho šikanovat.

při vašem vidění světa nechápu, jak mohou existovat služby typu internetbanking - citlivá data a připojení k internetu ?????

Vsak take veskera napadeni techto sluzeb jsou prave od uzivatelu, co museji mit ten "Cool" setric, to ze odesila jejich hesla uz je jim jedno, za to preci muze admin...

Proto treba prave ebanka posila heslo mobilem pres sifrovane spojeni - aby ani odposlech hesla nekomu nepomohl. Jenze to je pro nase uzivatele "prilis velky opruz"...

uz jste nekdy slysel o main in the middle?

Uz jste nekdy slysel o certifikatech? ;-) A ohledne eBanky - tam i uspesny man-in-the middle akorat ta uvidi data uzivatele, ale nic podstatneho mu neprovede, pokud uzivatel neni opravdu velky blbec a nepotvrdi tu operaci z mobilu.

Doporučil bych přečíst celé vlákno ...

Před[řečník|pisálek] tu potvrzení na mobil zmiňoval, s tím, že většina bank je nepoužívá protože to uživatelé považují za "obtížné" ... ;-)

Nie. Ale pocul som o man in the middle... ;)

Souhlas! Pro bezpečnostní řešení je neslabším článkem právě uživatel! A vidění světa závisí také na zkušenostech, představivosti, schopnosti logického myšlení , atd. Což jsou vlastnosti, které chybí najmě lidem s humanitním vzděláním, především produkty filosofických fakult :-))

Pripojenie klientskeho PC do internetu nie je iba o internetbankingu. Si zobral argument z uplne opacnej strany taniera.

Tazky omyl. Vo vsetkych pismenach.
Data pacientov byvaju castokrat kdetade. A rovnaku povinnost chranit data maju tak spravca, ako aj personal. Ostatne to definuje prislusna bezpecnostna politika, ktoru uviedol v platnost manazment organizacie svojim schvalenim.
Spravcovia nemaju personalu sluzit, spravcovia maju na starost ICT v organizacii a az ta ma sluzit personalu.

Nikoho z vás nenapadne dělat "tunningové úpravy" na vašem služením autě.

Tak to pozor! Náš kolega v práci "vytulenil" i to služební auto :)

A firmě nevadilo že ztratila záruku?

Podle tonu prispevku soudim, ze to firme vadilo - a ze to mel byt priklad na to, ze nekteri uzivatele "zkazi" nejen pocitac, ale i to auto.

Libi se mi, jak za vetsinou techto "problemu" je zodpovednej spravce. Nikomu treba nedojde, ze spravce si je nejvic vedomej bezpecnostniho rizika a nema napr. z financniho duvodu moznost toto riziko snizit a proto to tem uzivatelum nepovoli.

Je to stejnej problem jako Spravce versus jeho zamestnavatel. Kdo ma rozhodovat?

No jestli ty dulezity data byly o pacientech, tak by pripojeni toho pocitace do internetu mohlo byt i poruseni zakona o ochrane osobnich informaci ... a jestli na tom pocitaci byly windows (nejlepe 98), tak se spravci nedivim ze se mu nechtelo je zabezpecovat ...

Prectete si zbytek diskuze nebo alespon ten prispevek o keylogerech a ten o software, ktery nelze hodit na servery. Nejsem jediny, kdo ma stejny nazor.

Podle toho co napsal ten soft asi nebude mezi těma, co nejde hodit na servery.
Keylogger ti je k ničemu. Sice možná dostaneš heslo, ale k čemu ti bude? Myslíš si, že si jen tak přijdeš do nemocnice a sedneš si k nějakýmu počítači? Člověče mysli trochu!

Aha, cize ako neautorizovana osoba ziskam pristup, samosebou neautorizovany, k takemu klientovi, tak tie data k dispozicii nemam, ze? :). Skus sa zamysliet nad tym, co pises. A nad tym, ze aky je vztah klient (PC) a server (databaza) a ako navzajom mozu tieto dva prvky interagovat a ake vonakjsie okolnosti mozu na tu interakciu vplyvat. A potom skus napisat odpoved. Dik.

take povzdychy pocuvame casto.... (naposledy skype...bleee)
Problemom je dokazat ochranit uzivatelom samych pred sebou. Nikto neda kurierovi previezt volne vytlaceny zoznam (tu napriklad pacientov) ale mailom (alebo cez icq) poslu xls v pohode....

Predpokladam ze pc lekare obsahuje duverna data o pacientech. A jsem jenom rad, pokud nekdo se snazi alespon takovou sit udrzovat oddelenou od verejneho netu. Protoze pravdepodobnost napadeni jinak hranici s jistotou.

Jsem delal par dni technickou podporu v jedne prazske nemocnici a to co jsem videl nainstalovano na lekarskych pokojich a pod, to jsem netusil do te doby ze vubec lze. Od te doby jakykoliv zaznam, ktery o mne nejaka instituce ma, povazuju v podstate za verejny.

Ano, žijeme v době, kdy pojem "soukromí" již přestává mít jakýkoliv význam. Čím dříve si na to zvykneme, tím dříve se nám uleví. Naši potomci se budou jen divit našemu vyprávění o tom, že jsme někomu nechtěli poskytnout své tel. číslo nebo informaci o tom, že mám chlastem zničená játra...btw - zablokování možnosti cokoliv na pc instalovat snad vyřeší spoustu problémů, nemýlím-li se. Jiná věc je neumožnit někomu přístup na internet - a pokud ano, tak omezení přístupu na určité stránky - o tom tento článek je - o svobodě přístupu k informacím(internetu) - o tom, že by žádný člověk neměl mít právo rozhodovat o tom, co si na netu vyhledáte. S názorem na zasvinění systému nesmyslnými instalacemi naprosto souhlasím. S blokováním přístupu na internet nikoliv.

Jisteze se potomci budou divit. "A to jste jako mohli nadavat vlade ? A to vas nezavreli ? A vy jste se mohli divat na televizi celych dvacet minut aniz by sla reklama ? A ty jsi videl reklamu na vlozky i kdyz jsi byl svobodny chlap ? To je prece plytvani ..."

Soukromi je dulezite. Bud najdeme zpusob, jak si ho udrzet, nebo skoncime v totalite.

Lekar by mel mit moznost svobodne hledat na internetu doma. Pokud ma tu moznost v praci, je to prijemny bonus, ale pokud to nejde (protoze nejde aby mel dva pocitace, jeden s pristupem k datum o pacientech a jeden na internet), neda se nic delat.

To předpokládáte špatně. Počítače v nemocnicích fungují v naprosté většině jako pracovní stanice a data jsou uložena na serveru. Je na správci, aby dokázal server odstínit od možných útoků a přitom umožnit personálu přístup na internet.

Data se na server zadavaji ze stanice a zobrazuji se take na stanici. Stanice s pristupem na serveru ma data z pohledu zcizeni pristupna.

Ani náhodou! Pokud má nějaký uživatel přístup k datům a práva na zobrazení a aktualizaci, pak správce nemůže "odstínit" data na serveru!! Prokazujete naprostou nelogičnost!! Pak už je jedno, jestli ta data kopíruje, ničí, nějaký malware, spuštěný s právy onoho uživatele! Správce může udělat jediné: LOGOVAT, LOGOVAT, LOGOVAT!
Bezpečnost by neměl zajišťovat správce, ale zaměstnavatel a měla by se přenést taky na uživatele.

To je stará známá věc, že správci sítě jsou arogantní a hloupí lidé (myšleno "lidsky" hloupí)...

To je stara znama vec, ze kuraci jsou sobecti a hloupi lide (mysleno skutecne blby)...

s tím zcela souhlasím :-))

Nemam s nemocnicema osobni zkusenost, ale dovolim si vrele pochybovat, ze na lokalnim PC jsou vubec nejaka data. To plati mozna tak pro PC obvodaka (kterej si ho tak jako tak spravuje sam a povoli si cokoli), ale ve vetsich firmach (coz nemocnice jsou) se vetsinou data uchovavaji na serverech, uz jen proto, ze jejich zalohovani ze stanic je zhola nemozne.

Zajistit pripojeni takoveho PC k internetu (prevazne jde pouze o pristup na web) je ciste otazka admina (pokud to neni zakazano zhora), a z hlediska ochrany site to nijak nemuze narusit bezpecnost, pokud to je skutecne admin (sit za FW, pristup pres proxy, ...).

A ty jsi admin, ze vsech nejvetsi, vid? Jak jsou data na serveru chranena proti zneuziti z opravnene stanice ovladane skrze malware prisleho pres internet?

... coz urcite oceni Vas nadrizeny, ktereho zjebe generalni reditel, ktery ten notebook provozuje :-)

V normalne fungujucej organizacii by generalny riaditel na nikoho nekrical, lebo by sam schvalil urcite pravidla, co sa tyka pouzivania IT (metodika, bezpecnostna politika etc.).

Ty si ale opisal pripad firmy pod <10 ludi, kde si najvyssi rad honi ego tym, ze v signature ma Managing Director, a kde takato situacia je fakt bezna.

aaano, myslim, ze klucove slovo vasho prispevku je "v normalne fungujucej organizacii". A teraz mi Kefalin povedzte, kolko takych normalne fungujucich organizaci poznate?

Hm to suhlasim :). Ale viacmenej kazda organizacia, kde v ramci IT oddelenia chapu, co je to ITIL a podobne exoticke veci, a kde to chape aj top manazment organizacie, tak taka organizacia je normalne fungujuca. Takisto statne urady su mnohokrat takto fungujuce (jasne definovane pravidla atd.). Ale tych nenormalnych, zle slovo, je samozrejme viac.. poznam aj take :).

Ehm, normalni system mi jako adminovi umozni rict "smis spoustet tyto aplikace". A jelikoz uzivatel nema opravneni toto nastaveni menit, tak sem zvedav, jak se ten vas malware spusti.

To ze jsou mezi nami i nenormalni OS pripoustim, ale takovy nema v siti co delat. Ovsem i u tech nenormalnich OS existuji zpusoby, jak zaridit vyse uvedene chovani.

Samozrejme ze prohlizec muze obsahovat diru, ale to muze kazdy SW, a pokud jde o uniky dat, opravdu neznam mnoho pripadu, kdy by k takovemu uniku doslo na zaklade utoku zvenci. Z 99% jde o utok zevnitr, prave od uzivatelu, kteri k datum pristup maji. A proti tomu je stejne kazda ochrana kratka.

Vis jak zakazat uzivateli poustet javascript ? Ja myslel ze to nejde ...

Víš vůbec co to ten javascript je? A snad v každým prohlížeči pokud vim jde zakázat. A můžeš mi říct, co má javascript společnýho s bezpečností sítě?

Vim - javascript ci spravneji ECMAscript je iterpretovany programovaci jazyk pouzivany v prohlizecich pro spousteni kodu v kontextu stranky, ale i pro rozsireni, kde miva vice prav.
Ja vim ze ho UZIVATEL muze zakazat, slo mi o to jak to uzivateli zakaze admin. A byl to jen priklad toho, ze se zakazani vsech aplikaci to IMHO neni tak snadne, zvlast pokud uzivateli musi zustat povolen pristup na interni aplikace ktere javascript pouzivaji ... je ovsem pravda ze jinak javascript nebyva pro malware idealni platforma.

No pokud vim, tak javascriptem se nedá udělat žádná škoda, nevim o ničem, že by měl nějaký příkazy který by ovlivňovaly cokoli jinýho než současnou stránku.
A kdybys to opravdu chtěl, co takhle ho vypnout a potom sebrat uživateli právo měnit soubor?

Tak to rozhodne pravda neni. Javascript muze ovlivnovat libovolnou stranku otevrenou v prohlizeci, otevirat stranky v prohlizeci a muze komunikovat s internetem, to je pomerne dost.

Ano, pokud javascriptem z internetu lze otevrit lokalni soubor a poslat ho do internetu, povazuje se to za chybu - ale to jednak neznamena ze se to nemuze stat a druhak nechrani pred tim aby to provadel lokalni javascript.

Krome toho interpret javascriptu je pomerne velky program a nelze vyloucit ze obsahuje chybu pouzitelnou ke spusteni libovolneho kodu ...

Myslim konfigurační soubor

Zaistit pripojenie takeho PC k netu nie je cisto otazka admina, je to otazka na schvalenie prislusnemu veducemu IT, bezny admin nema afaik rozhodovacie a schvalovacie pravo, maximalne tak moze odporucat.
Ale ak tuto poziciu (admin aj IT sef) zastava jeden clovek, tak sa da s tebou suhlasit.
Dalsou vecou vsak je, ze zaistenie pristupu PC k netu, resp. presnejsie jeho forma, je moznym rizikom z hladiska ochrany siete, bezohladu na firewally, proxy atd. Ak si dam do PC modem a dialup, tak je to taky krasny zdroj bezpecnostnych incidentov, ze az krasa.
Pretoze to PC v takom pripade uz nesedi ani za proxy, ani za firewallom, ale ma direkt spojenie na net a zaroven je v lokalnej sieti.

No pokud se můžou uživatelé beztrestně hrabat v počítači a namontovat si k němu modem, tak to neni záležitost admina, jako spíš vedení firmy. Protože to je spíš už porušení pracovní kázně. Jo, z blbosti si někdo může nainstalovat nějakej spyware, ale modem si z blbosti nenainstaluje.

Spíš než internet ano x ne mě zaráží například u správců blokování ICQ, nebo některých internetových stránek. Snaha o blokování stránek typu jobs.cz bych ještě jakž takž pochopil ale blokování ICQ už moc ne. Zvláště když ho část firmy používala pro vnitřní komunikaci. Odpověď správce, že na to mají mail je dosti výmluvná ;-).

oni nepotrebuji onanovat nad tim, jak jsou coool a kupovat si jabberi tricka, vnitropodnikovy IM je samozrejme nutne skloubit s externimi klienty/dodavateli.

kazdy slusny antivir dneska zvladna i IM protokoly..

Scasti omyl. Vnutropodnikovy IM nie je nutne sklbit s externym prostredim (klienti, dodavatelia, atd.). Cele je to vecou jasnej definicie komunikacnych kanalov, ci uz v ramci organizacie, alebo dnu/von do/z organizacie. Ak bude existovat kanal - napriklad icq - na takuto komunikaciu, tak fajn. Len treba brat do uvahy, ze je tazko sledovatelny (ta komunikacia) - nemyslim ale sledovatelny z hladiska smirovania, ale z hladiska trackingu komunikacie klient-organizacia.

ICQ je nevhodne zvoleny nastroj na internu komunikaciu, su aj lepsie, bezpecnejsie. Cize to je alibisticka vyhovorka, ze ICQ mam na vnutornu komunikaciu. A ak je raz v ramci organizacie zakazane, tak su pre zakaz isto relevantnejsie dovody, nez tvoj dovod pre jeho povolenie. Prepac. Tvoj argument je rovnako vymluvny, ako argument spravcu.

Hmmm...
Pouzivat ICQ pro vnitrofiremni komunikaci, kde se resi interni zalezitosti firmy, to vyzaduje opravdu silnou naturu.
Pokud toto nekdo nekde schvali, rozhodne to neni clovek na svem miste.

Je víc možností, jak toto vyřešit, třeba přístup na web (protože o to jde, pro vřejnost internet=web) může být patřičně zabezpečený - výhradně přes proxy s filtry, které neumožní stáhnout flash ani jiné obludy a s prohlížečem != IE. Nebo remote desktop (VNC, X server) na nějaký stroj, který bude sloužit jen k tomuto účelu.

Stejně si myslím, že správce má mít k dispozici jasné vyjádření vedení (tj. interní směrnici), zda, kde a za jakých podmínek lze mít přístup na web a co se považuje v organizaci za legitimní použití. Celá aférka je pak zbytečná.

Kdo považuje internet za zábavu, tak zaspal - třeba jen pitomý telefonní seznam (zlaté stránky) fungují elektronicky líp než papírové - a je toho víc. Počítačoví flákači stejně nejčastěji hrají Solitaire apod. :-)

To ano. Ale je otázka, jestli na to správce má čas a jestli to má cenu budovat kvůli tomu, že jedna masérka potřebuje občas na internet.

Ak organizacia pracuje s osobnymi udajmi, tak ver, ze ten spravca ten cas mat bude a aj budovanie svoju cenu mat bude :). Bezohladu, ci na net ide riaditel alebo maserka, alebo mysi z kuchyne.

Co to je za idiotskou hlášku, "jestli na to správce má čas"? Sakra od toho tam snad je! To je jako kdybys řek, že uklízečka neměla čas vytřít chodbu.

tak to davno existuje...

napr. ISA v kombinaci s necim jako je Webwasher...

a ano, proste existuje firemni politika ze flash je zakazan a user ma smulu... kdyz to rozhodne korporatni vedeni...


takto jsem jiz videl nekolik firem a nakonec se vzdy zjistilo "ze to vlastne neni potreba" a ze to jde jinak...

proste firma zvoli kompromis mezi komfortem usera a bezpecnosti...

user neni od toho aby si uzival, ale aby pracoval...a ve chvili kdy neni jeho zivnost "web" - ve smyslu napr. zadavani dat do katalogu tak musi soupat nohama...

Tohle neni problem jen nemocnic. Obcas je spravce proste blb a jen blb. Uvedu priklad:

U nas na skole je cca 80 pocitacu. Na vsech jsou windows nt 4 a vetsinou 128 MB RAM. Software je primo debilne nastaveny, napriklad IE nema nainstalovane pluginy, takze pri kazdem zobrazeni stranky musi clovek odkliknout trikrat hlasku at si stahne flash. Pokud antivir zacne kontrolovat disk, neda se pracovat...

Uz nekolik let ukecavam spravce aby na pocitace pridal alespon zakladni soft ktery je zadarmo: Openoffice/abiword (lepsi nez wordpad), Operu (narozdil od ie nepada) a total commander (skola ma koupenou multilicenci!!!). Dokonce jsem mu nabidl udelat instalacni davku, kterou by stacilo pridat do startovacich skriptu. Spravce hraje ale mrtveho brouka, pry je to prace navic. To uz neni jen neschopnost, ale primo saboterstvi.

Nebo jina story:
Byl jsem na brigade ve velke firme, cca 1500 lidi v jedne budove. Firma se rozhodla zvetsit bezpecnost pripojeni, takze zavedla centralni proxy s autentizaci heslem. Proxy ale byla od Microsoftu a pouzivala nejaky proprietarni protokol, takze ne MS soft nemohl na internet (napriklad Opera). Nevim proc to zavedly, proti trojanum to bylo na nic, vetsina jich umi pouzit primo pouzit IE a proxy tak pouzit. Navic tahle opicarna nekolikrat nesla, asi 5x dve hodiny a jednou dokonce cely den. Maily ale fungovaly, problem byl opravdu pouze v proxy. Behem vypadku se lide u nas v kancelari pripojovali na web pres GPRS :-)))

Takze pozor na neschopne spravce.

K te skole - doporucuju kontaktovat nadrizeneho toho admina, pripadne sehnat admina jineho a tohodle proste o to misto pripravit.

K te firme, tohle nebude na 90% prace admina (jen magor by si pridelaval praci a nechal na sebe rvat ze to nefunguje), ale managora, kterej nekde videl uzasnou prezentaci reseni od M$ a s vysokou pravdepodobnosti dostal do kapsy provizi za jeho pouziti.

Pritom by pro spravce stacilo, aby system podporoval whitelisting aplikaci pro jednotlive uzivatele - seznam programu, ktere je povoleno spustit.

Citliva data samozrejme odseparovana, ale to je kapitola sama pro sebe a jelikoz je v nemocnicich skoro vsecko na Windows ... tak udelat to opravdu dobre bude opravdu tezke.

Je ale pravda, ze problem je v rozpoctu, kompetenci a schopnostech jednotlivych clenu IT oddeleni vcetne rizeni. Nemocnice halt asi nebudou mit na odborniky.

Kdybych byl idealista, asi bych navrhl nejaky certifikacni system s pravidelnymi audity a dobrou dokumentaci - jak ma IT infrastruktura v nemocnicich vypadat nezavisle na pouzitem OS. A nechal externi firmy nebo interni zamestnance at se snazi v tech nemocnicich dosahovat co nejvyssi urovne toho certifikatu. Zvlast co se tyce bezpecnosti utajovanych dat pacientu.

Jenomze idealista nejsem - i certifikace a audity jdou obejit a vystavet Potemkiny vsude...

Pane Bednář, vaše články nečtu, otevřel jsem ho omylem. Ale když už, rád bych upozornil na problém tohoto článku, který je cítit i z mnoha vašich dalších článků (proto se jim vyhýbám). Hrubým nastíněním situace, bez podstatných faktů, vytvoříte něco, kde může být z logického i morálního hlediska pravda na více stranách. Řekl bych, že už původní záměr není "glosa", ale bulvarizace.

Konkrétně k aktuálnímu článku: Chybí nastínění situace, představoval bych si informace o OS a druhu "pracovních" dat. Ty jsou pro připojení na inet klíčové.

No a právě takové názory nahrávají myšlence zakázat vše. Vaše slova "všichni přece víme" se snaží protlačit myšlenku jejím "samozřejmováním" a slovy "nic jiného než soubory ve Wordu" se snažíte protlačit, že je to fuk.
To, co dále píšete o správcích, nemohu posoudit. Určitě ale nemůžete házet všechny do stejného pytle a nad případného "opravdového" správce se povyšovat slovy "nerozumíte tomu, všichni jste stejní".
Dál musím reagovat na vaše překlepy. Vypadá to, jako by jste musel hodně rychle na záchod a nepřečetl si to po sobě. Další možností je, že to máte na háku, proč se snažit psát správně, když stačí, že si to přečteme. Ať je to jakkoliv, v žádném z těchto případů není slušné se zapojovat do diskuze.

To mi pripomina bonmot: "Vite jak se pozna dobry spravce site? Ma nohy na stole, popiji kafe a brouzda po internetu!" :-)

A to, jestli se zamestnanci nebudou mit net, nebo jestli se budou moct (treva v ramci motivace) volne brouzdat po netu, nema co rozhodovat admin.

Že je správa sitě službou, je samozřejmé. To ovšem neznamená, že správce je sluhou a už vůbec ne kohokoliv. Plnit nové požadavky může jen tehdy, má-li k tomu prostředky. Má vhodné počítače navíc pro instalaci routeru, DNS, firewallu a proxy? Má počítač pro mailový server? Jak znám mnohé špitály, řekl bych, že ne. Koupí je někdo? Pochybuji. Pak ovšem jinak rozhodnout nemůže. Navíc bych si nikdy nedovolil zavést internet do lokální sítě bez výslovného svolení organizace. Už proto, že to znamená nějaké náklady a kdosi také musí podepsat patřičné smlovy. Źe vnitřní předpisy o internetu nemluví, to přeci zdaleka nastačí. Tady musí být výslovný souhlas, respektive zadání organizace. Zmíněná lékařka se měla jasně obrátit na vedení špitálu a nikoliv na správce sítě, který takové rozhodnutí ani udělat jemůže. Právě proto, že je JEN službou! A to by autorovi článku mělo být naprosto jané.

Souhlas. To je přesně náš případ. Navíc síť tak nechutně zpytlíkovaná že jsem vůbec rád že se mi podařilo alespoň v jedný části rozdělit do vlanů podle typu pracovníků. Náklady na to aby se to pořádně udělalo vč stavebních - 2 000 000Kč. Kolik máme na ICT? 60000Kč.

V clanku jde o jedine ( jak to vidim ja ) :
lekarka = pritelkyne V.Bednare, se zminila ze v praci nemuze na net protoze to jejich admin zakazal ( proc, to uz nerekla - nebo ano, ale autor to sikovne vypustil ) => V.B. zavetril prilezitost a napsal "clanek". Jako ve vetsine pripadu stojici za ho..y.
Ale co, Lupa to zaplati, vzdyt jde prece o svobodu projevu a je jen na nas, uzivatelich, abychom to cetli. Nebo radeji necetli.

P.S. Ja to ctu jen proto, ze se vzdy "tesim" co zas V.B. vypotil za paskvil :))

U nás je třeba problém takovej, že nic jiného krom http a ftp ven nepouštím. Nelíbí se mi to, ale nemám jinou možnost.Mám to tak stanoveno i v interních dokumentech(ICT standard MŠMT), takže je to jakoby v pořádku. Rád bych teda pustil maškarádu aby to nebyl jen přístup k webu a ftp. Nemůžu si dovolit experimentovat s l7-filtrem a ip2p v produkčním prostředí, kde na JEDNOM serveru jede vše-o5 chyba správce? Správce prostě od mngmntu nedostane prachy na další mašiny. Buď bude dělat linuxovýho debílka a pokoušet vyhazov instalací těch sraček výše, a nebo to holt zůstane tak jak je.
Potřeboval bych vyfiltrovávat třeba p2p provoz. No prostě takhle potřebuji buď další mašinu-nejsou peníze a nebo profi komerční řešení firewallu s l7 filtrem-nejsou peníze. Takže co má dělat správce když nemá prostředky? To to má pustit jen tak bez dohledu bez nějakýho bezpečnostního řešení? Z hovna se vařit nedá a chybí ty prostředky. Ty prostě nejsou a nebudou. A podle toho se musim zařídit. Přístup jsem povolil jen dvěma kolegům kterým mohu důvěřovat.

je treba informovat sve ovecky, ze se maji obracet na vedeni, nikoli na administratora. Nekdy to pomuze. Kdyz bude managora otravovat dostatecny pocet lidi s dostatecne vymluvnym zduvodnenim proc to potrebujou.

A bohuzel, situace kdy IT nema $ a ocekava se od nich ze budou delat "z hovna kulicky" je v CR naprosto bezna. Bezne je i to, ze spravce nema $ vlastne zadne a dostane je az v pripade nejakeho pruseru (neco shori ...).

P2P prevadzku vyfiltrovavat nepotrebujes. IMHO ta je uz vyfiltrovana internymi dokumentami (za cenu papiera a tonera :)), nie?
Tym dvom kolegom, ktorym doverujes, si povolil P2P?

Osobně bych na počítači s citlivými daty povolil přístup k netu jedině přes rdesktop/VNC/X11 nebo jiný terminál. Stojí to sice jisté náklady na server, ale v globále se to vyplatí. No a i na notebooky je řešení - dualboot - jedna instalace na práci (pouze určité programy, bez admin práv) a druhá "na hraní" - admin práva, IE, ... Samozřejmě, pokud jsou na NTB citlivá data, je potřeba ještě šifrovací token.