Zacznijmy obrazowo: na początku stulecia pojawiły się pierwsze samochody dostępne dla mas. Pasy bezpieczeństwa stały się w nich standardowym wyposażeniem w latach 70., od niedawna zaś mamy obowiązek ich używania. Podobnie jest z sieciami komputerowymi, które rozpoczęły pracę w latach 50., lecz dopiero przez ostatnie kilka lat usiłujemy tworzyć odpowiednie mechanizmy zabezpieczające.

Teraz już wiemy, że obowiązek stosowania zabezpieczeń jest sprawą naprawdę niedalekiej przyszłości. Na razie uznajemy za normalną sytuację sieci komputerowych z niekompletnymi mechanizmami zabezpieczeń, mimochodem wzorując się na pierwszych kierowcach, którzy wiedzieli, że w wyniku zderzenia zostaną wyrzuceni przez przednią szybę.

Jeszcze niedawno nie zwracano specjalnej uwagi na problem zaufania do sprzętu i oprogramowania przy projektowaniu, budowie i uruchamianiu sieci komputerowych. Wymagany poziom bezpieczeństwa osiągano poprzez nakładane na użytkowników ostrych ograniczeń w zakresie fizycznego i elektronicznego dostępu do systemów komputerowych. Ostatnio, również w Polsce, wkładany jest ogromny wysiłek w budowę sieci coraz bardziej złożonych i istotnych dla bezpieczeństwa strategicznego. Od sieci, które zyskały znaczenie (co widać nawet po zmianie nazw na sieci teleinformatyczne), wymagamy niezawodności. Pokładamy w nich większe zaufanie niż na to zasługują. Budowane i eksploatowane współcześnie sieci muszą sprostać nowym zagrożeniom.

Czy jesteśmy przygotowani?

Już od dłuższego czasu słyszymy niepokojące głosy. "Dziedzina IT Security jest problematyką wysoce złożoną i wybitnie interdyscyplinarną. Pojedyncza instytucja z reguły nie posiada wystarczającej liczby odpowiednio zorganizowanych specjalistów ds. zabezpieczenia systemów, środków finansowych, środków technicznych i technologii. Dokumenty normatywne, dotyczące omawianej problematyki, jeżeli nawet istnieją, to z reguły mają charakter wycinkowy, nie zawsze też nadążają za aktualnymi potrzebami i zagrożeniami" - tak przedstawiciel Narodowego Banku Polskiego naświetlał problem na Trzecim Forum Teleinformatyki w 1997 r.

Tymczasem są to zaledwie obawy bankowców, którzy w wyniku przestępstw komputerowych mają do utraty pieniądze, jak zwykle wpisane w straty nadzwyczajne, oraz dobre imię i zaufanie klientów. To wciąż niewiele, mając na uwadze interes państwowy.

Jednocześnie media coraz częściej informują, że sieci teleinformatyczne państw demokratycznych stają się obiektem ataków ze strony krajów będących przeciwnikami politycznymi. Takie informacje - podawane jako hot newsy - nie są niczym nadzwyczajnym dla wysokiej klasy specjalistów IT. Wiedzą oni, jak cenna może być informacja (tutaj informacja klasyfikowana). W wyniku przemian rynkowych, cywilizacyjnych i politycznych, a także zmian wynikających z uwarunkowań gospodarczych nabiera tempa zarówno znaczenie informacji, jak i wzrasta jej cena. Wiemy, że trwa bezlitosna walka konkurencyjna, oparta na dostępie do informacji. Następują istotne przekształcenia ustroju gospodarczego, w których nabiera wagi rola danych finansowych i personalnych jako informacji wrażliwych w procesach zmian własnościowych i prywatyzacyjnych.

Krajowe sieci strategiczne również będą celem ataków, tym częstszych i poważniejszych, im bardziej wiarygodnym będziemy stawali się sojusznikiem. Nie pytajmy, czy potrafimy ochronić informacje klasyfikowane z klauzulą tajne lub tajne specjalnego znaczenia, lecz czy możemy spełnić wymagania bezpieczeństwa usług sieciowych. Oznacza to umiejętność zapewnienia bezpieczeństwa informacji w zakresie: poufności treści (dla uprawnionych podmiotów), określania odpowiedzialności, i autentyczności - z możliwością potwierdzania tożsamości, niezmienności przy transmisji, niezaprzeczalności nadania i odbioru, dostępności, odporności wobec analizy ruchu sieci.

Od przyszłego roku wraz z włączeniem Polski do struktur północnoatlantyckich wymagana będzie pozytywna odpowiedź na powyższe pytanie.

Nasze miękkie podbrzusze

Przyglądając się Systemowi Teleinformatycznemu (STI) i drodze, jaką pokonują dane, widzimy kolejno: zbiory są narażone na skopiowanie i kradzież, obwody ochronne urządzeń wrażliwe na awarie, oprogramowanie podatne na awarie zabezpieczenia sterowania i kontroli dostępu. Zauważamy ludzi: operatora systemu mogącego ujawnić zabezpieczenia czy zamienić system operacyjny, konserwatora mogącego wyłączyć narzędzia ochrony lub użyć niebezpiecznych dla systemu programów pomocniczych, programistę systemowego potrafiącego neutralizować zabezpieczenia lub je ujawnić i dopisywać wejścia, użytkownika końcowego chętnie i łatwo postponującego identyfikacje i uwierzytelnianie oraz modyfikującego oprogramowanie. Obserwujemy urządzenia podatne na zwarcia linii lub wadliwe podłączenia, linie dostępowe bezbronne wobec urządzeń rejestrujących (patrz rysunek).