Ne glede na dolgoleten razvoj zaščite podatkov predstavlja posebno pomemben dogodek ustanovitev organizacijske enote katere osnovna naloga je zaščita podatkov v okviru informacijsko telekomunikacijskega sistema policije. Center za zaščito podatkov opravlja naloge na področju normativnega urejanja vseh vrst podatkov (osebni, tajni, ...), implementira različne vrste zaščitnih ukrepov in postopkov, izvaja nadzorno dejavnost, skrbi za varstvo osebnih podatkov, prav tako pa opravlja tudi nekatere druge pomembne dejavnosti s področja zavarovanja podatkov policije.
Razvoj kriptozaščite Organizacija in razvoj kriptozaščite v organih za notranje zadeve sicer sega že v obdobje druge svetovne vojne toda pravi razvoj sodobne kriptozaščite se začne v 70. letih. Tedaj se področje kriptozaščite organizira v Oddelku za zveze in kriptozaščito pri Upravi skupnih služb, sestavljali pa so ga: šifroteleprinterski center v RSNZ, šifrerski podcentri na UNZ in šifrerske postaje na tedanjih postajah milice. Z reorganizacijo Republiškega sekretariata za notranje zadeve v letu 1991 je kriptozaščita postala naloga Centra za zaščito podatkov v Upravi za informatiko in telekomunikacije.
Pred osamosvojitvijo je bilo področje kriptozaščite in protielektronsko zavarovanje podatkov pravno urejeno s tedanjo jugoslovansko zakonodajo, zato je bila ena izmed prvih nalog Centra za zaščito podatkov pripraviti nove predpise o izvajanju omenjenih postopkov v organih za notranje zadeve. Prav tako je Center za zaščito podatkov pripravil alternativne in avtonomne sisteme za varno komuniciranje z zaupnimi podatki z uporabo domačega algoritma ter vpeljal ustrezno zamenjavo šifrirnih ključev. Rezultat teh prizadevanj je bila vzpostavitev varne komunikacije tako imenovana elektronska pošta >SEJA<, ki je med vojno za Slovenijo omogočila varen prenos podatkov. Po osamosvojitvi je Center za zaščito podatkov nadaljeval z razvojem kriptozaščite ter pripravil celostno rešitev za varne dostope do podatkov v okviru informacijsko telekomunikacijskega sistema slovenske policije (ITSP).
Razvoj varstva in zavarovanja (osebnih) podatkov V obdobju mehanografske oziroma strojne obdelave podatkov se je zavarovanje podatkov in opreme osredotočilo v glavnem na tehnično in fizično varovanje prostorov. Namen teh ukrepov je bilo preprečevanje dostopa nepooblaščenim osebam do strojne opreme ter podatkov, shranjenih v kartotekah in drugih nosilcih podatkov (luknjane kartice). Zaščita je bila usmerjena predvsem v preprečevanje morebitnega nepooblaščenega odtujevanja, kraje, ponarejanja ali poškodovanja podatkov. Sistemski pristop k zavarovanju podatkov se je pričel v sedemdesetih letih, ko je bil v Republiškem sekretariatu za notranje zadeve izdelan interni pravilnik o zaščiti podatkov v Elektronskem računalniškem centru (ERC, leta 1977), naslednje leto pa je v okviru SDV nastalo prvo navodilo o zaščiti informacijskega sistema organov za notranje zadeve. Na področju tehnične zaščite prenosa podatkov pa so se tedaj uporabljale švicarske naprave Gretacoder 515.
Z razvojem terminalske obdelave podatkov so se v tedanji informatiki že zavedali nujnosti celovitega pristopa zavarovanja podatkov (identifikacija ter avtorizacija uporabnikov, evidentiranje dopstopanja do podatkov, sprožanje zaznav ob nepooblaščenem vstopu v računalniški sistem in podobno). V letu 1985 je UI pripravila sistemsko programsko zaščito, nekoliko kasneje pa še Navodilo o ščitenju in varovanju podatkov na mikroračunalniških delovnih postajah ISONZ. V tem obdobju se je z zaščito podatkov ukvarjala tudi Komisija ISONZ, ki je svoje strokovnjake pošiljala na razna izpopolnjevanja ter tematske posvete. Tedaj se pojavijo tudi prvi informacijski varnostni >škandali< povezani z novo nastajajočim računalniškim kriminalom. Ti dogodki pospešijo razmišljanja informatikov o varovanju IT sistemov.
Na področju zaščite podatkov so tedaj obstajali le redki predpisi, ki so le v manjšem obsegu urejali tedanjo avtomatsko (elektronsko) obdelavo podatkov (Zakon o ljudski obrambi, Uredba o merilih po katerih se določa za LO pomembni podatki, Zakon o temeljih sistema zvez), pa še ti so se nanašali zgolj na varovanja in ščitenja podatkov, ki so bili označeni s stopnjo tajnosti. Leta 1982 je RSNZ izdal Pravilnik o določanju tajnih podatkov, o uporabi in čuvanju teh podatkov ter o načinu njihovega varovanja, 1989 pa je bil v ISONZ evidentiran prvi pojav računalniškega virusa. Komisija ISONZ je temu problemu posvetila posebno pozornost ter sprejela vrsto ukrepov za preprečevanje vnosov in razširjanje računalniških virusov.
Devetdeseta leta so bila prvenstveno namenjena zaščiti >informacijske zasebnosti posameznika< v skladu z 38. členom Ustave RS in na njegovi podlagi sprejetega Zakona o varstvu osebnih podatkov. Neposredno pred osamosvojitvijo je UIT sodelovala pri pripravi Zakona o varstvu osebnih podatkov, leta 1992 pa pripravi in izda prvi Katalog zbirk osebnih podatkov ministrstva za notranje zadeve. Center za zaščito podatkov pripravi vrsto pravnih aktov, med njimi tudi: Pravilnik o določanju zaupnih podatkov in o varovanju zaupnih in osebnih podatkov, Pravilnik o merilih in postopkih za določanje zaupnih podatkov policije, Pravilnik o varovanju podatkov policije (spremenjen 2008), Pravilnik o hrambi komunikacijskih podatkov policije in o dostopu do policijskih baz podatkov, Pravilnik o načinu vodenja policijskih evidenc ter Strokovno navodilo o uporabi videonadzornih sistemov pri varovanju policijskih objektov. S povezovanjem Slovenje z EU je področje varstva osebnih podatkov še dodatno pridobilo na pomenu. Schengenska konvencija tako, med drugim, poleg določenih zbirk osebnih podatkov ureja tudi področje varstva zasebnosti in zavarovanja osebnih podatkov. Ne glede na navedene slovenske pravne akte kakor tudi pravne akte Sveta Evrope in EU, s področja varstva osebnih podatkov, pa ne smemo pozabiti tudi na določbe Zakona o policiji. Ta v IV. poglavju ureja >Zbiranje, varstvo in zavarovanje podatkov<, s tem pa postavlja temeljne pogoje za ureditev zbirk osebnih podatkov policije in obdelovanje osebnih podatkov v Policiji. In ne nazadnje, nadaljuje pravno ureditev zbirk (evidenc) osebnih podatkov, ki jih je začrtal že zakon s področja evidenc javne varnosti.
V času priprav na vstop Slovenije v NATO in EU se izpostavijo zahteve po ureditvi področja tajnih podatkov oziroma vzpostavitve enotnega sistema obravnavanja in varovanja tajnih podatkov. Tako na osnovi zahtev omenjenih >integracij< kot tudi na osnovi prizadevanj Centra za zaščito podatkov, nastane prvi slovenski zakon o tajnih podatkih. Kot rečeno le-ta predstavlja temelj, tedaj še bodoče celovite pravne ureditve obravnavanja in varovanja tajnih podatkov. Na osnovi zakona o tajnih podatkih je nato sprejeta vrsta podzakonskih predpisov, uredb in pravilnikov, katerih sprejem se zaokroži s sprejemom Uredbe o varovanju tajnih podatkov v komunikacijsko informacijskih sistemih (2007).
Na podlagi zakona o tajnih podatkih je Center za zaščito podatkov izvedel vrsto aktivnosti, izpostavljamo pa sledeče: priprava predpisov (pravilnik, navodila), vzpostavitev sistema varnostnega preverjanja posameznikov in izdaje dovoljenj organizacijam za obravnavo tajnih podatkov vzpostavitev različnih informacijskih, logično-tehničnih in organizacijskih rešitev za varno obravnavanje in varovanje tajnih podatkov, prav tako je bil vzpostavljen sistem usposabljanja za področje tajnih podatkov, vzpostavljena pa so bila tudi upravna in varnostna območja.
Intenzivni razvoj "policijske" informatike je neločljivo povezan z razvojem tako imenovanega policijskega informacijskega prava. Njegov razvoj, na kratko, pojasnjujejo že navedeni pravni akti.
Vendar moramo ob 50 letnici ITSP posebej opozoriti tudi na dejstvo, da se prav ob jubileju, tehnološke in pravne komponente zaščite ITSP nadalje nadgrajujejo.
Tako se v sodelovanju z IBM Slovenija in S&T izvaja vzpostavitev novega sistema avtentikacije tako imenovane enotne prijave v ITSP (na podlagi >več funkcijske< pametne kartice, ki omogoča vpeljavo elektronskega certifikata in/ali biometričnih podatkov). V preteklem letu je bila izvedena posodobitev sistema za avtorizacijo uporabnikov zbirk osebnih podatkov, prav tako pa bo v letošnjem letu nadgrajen sistem spremljanja dela uporabnikov ITSP (>enotni< dnevnik dela). S tem bomo v celoti posodobili celoten sistem AAA.
Nadalje smo dogradili sistem varnostne pregrade, ki ITSP povezuje z drugimi informacijskimi sistemi ter vzpostavili dodatni sistem za odkrivanje vdorov v sistem preko interneta. Uvedena je bila rešitev varnega dostopa preko prenosnega mobilnega računalniškega terminala, ki komunicira preko javnega mobilnega telefonskega omrežja. Uvedena je bila avtomatizacija obdelav statističnih podatkov internetne varnostne pregrade in opravljeno filtriranje (preprečevanje) določenega poštnega prometa na priključni točki ITSP na internet. Uvedeno je kriptoščitenje nove elektronske pošte ter internet protokola prenosa podatkov. Za varovanje dostopa do podatkov SISone4all je bila nabavljena potrebna oprema, ki omogoča, da sinhronizacija podatkov med C.SIS in N.SIS poteka po posebno kriptoščitenem komunikacijskem omrežju. Izvedeno je bilo tudi ustrezno ščitenje rezervnega centralnega računalnika in digitalnega radijskega omrežja TETRA.
Naj opis aktivnosti na področju zaščite ITSP zaključimo z napovedjo skorajšnje vzpostavitve novega, "paralelnega", informacijsko komunikacijskega sistema namenjenega obravnavi oziroma prenosu nacionalnih tajnih podatkov.
mag. Andrej Lesjak,
CI UIT