„Poziom zabezpieczeń informatycznych w systemach identyfikacji RFID i monitoringu pojazdów.”

„Poziom zabezpieczeń informatycznych w systemach identyfikacji RFID i monitoringu pojazdów.”

 

Firma c-trace gwarantuje, że dane uzyskane „u źródła” za
pośrednictwem systemów identyfikacji RFID i monitoringu montowanych
na pojazdach wykonawców zostaną przesłane do systemu
informatycznego zamawiającego, w tym wypadku gminy czy miasta, w
stanie pierwotnym i niezmienionym, tzn. dane nie mogą ulec modyfikacji.
Firma c-trace wywodzi się z rynku niemieckiego, gdzie jest liderem
rozwiązań IT w zakresie systemów identyfikacji RFID i ważenia odpadów w
gospodarce odpadami komunalnymi. W Niemczech stosuje się systemy
identyfikacji RFID i monitoringu w celu rozliczania mieszkańców i firm za
odbiór pojemnika lub za wagę odpadu. Z tego powodu miasto czy gmina
wymaga by dane, na podstawie, których wyżej wymienione rozliczenia są
dokonywane, były rzetelne i nie mogły ulec manipulacji. W tym celu
wymagane jest przedstawienie certyfikatu potwierdzającego uzyskanie
normy CC, zanim dany system zostanie zaimplementowany.
Wielu zamawiających, tworząc koncepcje systemu informatycznego
wsparcia gospodarki odpadami komunalnymi nie posiada odpowiedniejPrzystępując do Unii Europejskiej Polska, zobowiązała się do
implementacji działań zmierzających do usystematyzowania i
usprawnienia gospodarki odpadami, w szczególności do ograniczenia ilości
odpadów komunalnych oraz stopniowego zmniejszenia udziału w nich
odpadów biodegradowalnych. Dodatkowo zobowiązała się wprowadzić nie
tylko obowiązek selektywnego zbierania odpadów, ale także obowiązek
osiągnięcia przez gminę odpowiedniego poziomu recyklingu i
przygotowania do ponownego użycia wybranych frakcji.

Systemy informatyczne

Odpowiedzią na przewidziane prawem wymogi jest stworzenie oraz
implementacja systemów informatycznych wparcia gospodarki odpadami
komunalnymi opartych na identyfikacji pojemników i monitoringu
pojazdów. Systemów, które wprowadziłby w sposób efektywny działania w
zakresie zdefiniowania poprawności prowadzonej segregacji odpadów u
„źródła”, a także kontroli poprawnego wykonywania usługi odbioru
odpadów komunalnych przez wykonawców. Co za tym idzie, uzyskania
rzetelnych, niepodlegających manipulacji danych, które stanowić mają
podstawę analiz poziomów recyklingu i ich zmiany w czasie, a także
podstawę do wyciągania konsekwencji za nieprawidłowe wykonywanie
usługi odbioru odpadów komunalnych i nie przestrzeganie przez
wytwórców odpadów zadeklarowanej segregacji.

Elementy systemu
Informatyczny system wparcia gospodarki odpadami komunalnymi składa
się z dwóch poziomów. Pierwszym z nich jest system Zamawiającego,
który kumuluje i analizuje dane, wskazując nieprawidłowości. Na
podstawie tych danych organy administracji przygotowują odpowiednie
raporty i wyciągają konsekwencje. Pierwszy poziom, system
zamawiającego, zasilany jest danymi, przesyłanymi za pośrednictwem
interfejsu wymiany danych, z systemu identyfikacji RFID i monitoringu
pojazdów wykonawcy (Drugi poziom informatycznego systemu wsparcia
gospodarki odpadami komunalnymi).

Z powyższego, krótkiego opisu informatycznego systemu wsparcia
gospodarki odpadami komunalnymi wynika, że kluczowym elementem
systemu, są podmioty realizujące usługi odbioru odpadów komunalnych, a
przede wszystkim systemy identyfikacji RFID i monitoringu, które przez te
podmioty są używane. To na tym poziomie systemu należy się skupić,
ponieważ od wykonawców usługi odbioru odpadów komunalnych
powinniśmy uzyskiwać rzetelne dane o stanie obecnym poziomu
segregacji „u źródła” i jego zmiany w czasie, a te dane w sposób
niezmieniony powinny zostać przesłane do zleceniodawcy, w tym wypadku
gminy czy miasta. Czy w rzeczywistości tak jest? Czy dane uzyskiwane
przez wykonawcę za pośrednictwem systemów identyfikacji RFID i
monitoringu są rzetelne i nie podlegają manipulacji?

Śledzenie odpadów
Część samorządów w Polsce zaczyna dostrzegać potrzebę informatyzacji
systemu gospodarki odpadami komunalnymi i wprowadza elementy
monitoringu jakości oddawanych przez mieszkańców odpadów, a także
kontroli poprawnego wykonywania usługi odbioru odpadów komunalnych
przez wykonawców. Niektóre miasta i gminy wprowadziły swoisty system
„śledzenia” odpadów oraz wykonujących usługę ich odbioru. System
opiera się na danych płynących z systemów identyfikacji RFID i
monitoringu zamontowanych na pojazdach wykonawców usługi odbioru
odpadów komunalnych. Systemy te składają się z systemów GPS,
identyfikacji pojemników oznakowanych czipami RFID, systemów
dynamicznego ważenia (każdy odpad w pojemniku ważony jest przy
opróżnieniu) oraz coraz częściej systemu kamer, który dokumentuje trasę
pojazdu podczas wykonywania usługi robiąc zdjęcia w określonym
interwale czasowym lub nagrywając film. Taki system identyfikacji RFID i
monitoringu pozwala na określenie, kto, kiedy i jakiego rodzaju odpady
oddał i ile ten odpad ważył, a także, kto i kiedy ten odpad odebrał, costanowi niepodważalną zaletę. Jednak istnieje również zagrożenie.
Elementy składowe systemu identyfikacji RFID i monitoringu wskazują na
bardzo dużą ilość informacji, w tym danych osobowych (dane deklaracji –
osób, od których odpady maja zostać odebrane), czy danych dot. filmów
czy zdjęć z systemu kamer – co może naruszać prawa do wizerunku i
prawo do prywatności, a także informacji dot. wykonywanej usługi odbioru
odpadów, które docelowo mają być podstawą wszczęcia postepowań
egzekucyjnych w wyniku odkrytych nieprawidłowości. Należy zadać sobie
pytanie, co gwarantuje, że wymienione wyżej informacje płynące z
systemu identyfikacji RFID i monitoringu wykonawcy, które wysyłane są
za pośrednictwem interfejsu wymiany danych do informatycznegosystemu wsparcia gospodarki odpadów komunalnych zamawiającego, w
tym wypadku gminy czy miasta, nie ulegają manipulacji i są odpowiednio
zabezpieczone? Przecież na podstawie właśnie tych danych zamawiający
może naliczyć kary za nieprawidłowości w wykonywaniu usługi odbioru
odpadów komunalnych, czy wszcząć postepowanie zmiany stawki za
odbiór odpadów podmiotom niewywiązujących się z obowiązku segregacji,
co więcej na podstawie tych danych zamawiający określa koszty ogólne
funkcjonowania systemu gospodarki odpadami komunalnymi czy rozliczna
wykonawcę na podstawie wagi odpadów, która rejestrowana jest za
pośrednictwem dynamicznego systemu ważenia. Niestety, bez
odpowiednich norm i standardów oraz oceny zabezpieczeń stosowanego
przez wykonawcę oprogramowania (System identyfikacji RFID i
monitoringu), osiągniecie spodziewanych efektów nie jest możliwe, a
wręcz odwrotnie, efekty mogą zostać zmanipulowane i narzucone
zamawiającemu. Jakie mogą być tego skutki? Odpowiedź zostawiam
wyobraźni czytelnika.


Common Criteria

Tutaj pojawia się zagadnienie Common Criteria (norma między narodowa
ISO/IEC 15408) - norma pozwalająca w sposób formalny
weryfikować bezpieczeństwo systemów teleinformatycznych.
Wspólne kryteria (CC) poruszają zagadnienia ochrony informacji
przez nieupoważnionym ujawnieniem, modyfikacją lub utratą dostępności.Informacja przechowywana w systemach informatycznych jest
newralgicznym zasobem, umożliwiającym organizacjom uzyskanie
określonych celów. Co więcej, każda osoba ma uzasadnione oczekiwanie
ze jej osobiste dane zawarte w systemach informatycznych pozostaną
poufne, a dane operacyjne uzyskiwane przez poszczególne procesy nie
ulegną nieupoważnionej modyfikacji.
Firma c-trace, jako jedyna firma na rynku systemów identyfikacji
RFID może poszczycić się posiadaniem zaświadczenia przyznania Common
Criteria, wydanym przez Federalne Biuro Bezpieczeństwa Informacji w
Niemczech (BSI). C-trace uzyskała normę, potwierdzającą przestrzeganie
restrykcyjnych wymogów dotyczących szeroko rozumianego
bezpieczeństwa. Dzięki spełnieniu szeregu wymogów pod kątem:
bezpieczeństwa fizycznego, środowiskowego, ochrony połączeń
sieciowych, świadomości procedur wśród pracowników, standardów
wytwarzania oprogramowania dla klientów, a także zaawansowanej
infrastruktury, c-trace może poszczycić się otrzymaniem zaświadczenia na
poziomie EAL1+. Co to oznacza w praktyce?Firma c-trace gwarantuje, że dane uzyskane „u źródła” za
pośrednictwem systemów identyfikacji RFID i monitoringu montowanych
na pojazdach wykonawców zostaną przesłane do systemu
informatycznego zamawiającego, w tym wypadku gminy czy miasta, w
stanie pierwotnym i niezmienionym, tzn. dane nie mogą ulec modyfikacji.
Firma c-trace wywodzi się z rynku niemieckiego, gdzie jest liderem
rozwiązań IT w zakresie systemów identyfikacji RFID i ważenia odpadów w
gospodarce odpadami komunalnymi. W Niemczech stosuje się systemy
identyfikacji RFID i monitoringu w celu rozliczania mieszkańców i firm za
odbiór pojemnika lub za wagę odpadu. Z tego powodu miasto czy gmina
wymaga by dane, na podstawie, których wyżej wymienione rozliczenia są
dokonywane, były rzetelne i nie mogły ulec manipulacji. W tym celu
wymagane jest przedstawienie certyfikatu potwierdzającego uzyskanie
normy CC, zanim dany system zostanie zaimplementowany.
Wielu zamawiających, tworząc koncepcje systemu informatycznego
wsparcia gospodarki odpadami komunalnymi nie posiada odpowiedniejwiedzy, doświadczenia lub zasobów koniecznych, aby osądzić czy ich
zaufanie do zabezpieczeń systemów identyfikacji RFID oraz monitoringu
pojazdów montowanych na pojazdach wykonawców jest uzasadnione a
jednocześnie opieranie się jedynie na deklaracjach dostawców
zamawianych systemów informatycznych nie wydaje się być rozsądne.
Zamawiający mogą związku z tym zdecydować się na zwiększenie swojego
zaufania do wspomnianych systemów poprzez wymaganie oceny jego
zabezpieczeń, które w klarowny sposób określą czy dane dostarczane
przez systemy identyfikacji RFID i monitoringu pojazdów nie ulegają
modyfikacji. Nie jest to wymagane prawem, lecz rozsądkiem i dobrą
praktyką.


Aleksander Kamoda,
c-trace

wróć