Przyszłością bezpieczeństwa jako koncepcji organizacji systemów informatycznych jest prostota, a nie mnożenie wyrafinowanych funkcji. Dla producentów IT największym wyzwaniem jest tak naprawdę poprawa jakości oprogramowania.

Bezpieczeństwo systemów informatycznych nie jest już tylko modą - to absolutna konieczność. W porównaniu z innymi dziedzinami informatyki, koncepcje, technologie i narzędzia służące zapewnieniu bezpieczeństwa obecnie znajdują się w początkowej fazie rozwoju. W jakich kierunkach mogą następować zmiany w najbliższych latach?

Bezpieczna stacja

Jeżeli problem uwierzytelniania zawęzić jedynie do identyfikacji użytkownika, to klasyczny, statyczny login oraz powiązane z nim hasło wydają się dostatecznie bezpieczne, a w każdym razie nie mniej bezpieczne niż nowoczesne metody biometryczne. Choć takie cechy, jak odcisk palca, obraz tęczówki czy rysy twarzy są niepowtarzalne, to jednak w przeciwieństwie do loginu i hasła nie da się ich ukryć, a zatem można je relatywnie łatwo skopiować. Zresztą zostało to już udowodnione.

Wartość identyfikacyjna ma certyfikat cyfrowy. Aby go użyć, należy wprowadzić hasło, np. w formie PIN-u, do karty z mikroprocesorem. To samo można powiedzieć o metodach opartych na hasłach jednorazowych generowanych przez tokeny - również zabezpieczone hasłami. Bez względu na formę lub sposób użycia hasło zachowywane w pamięci jeszcze długo pozostanie w użytku (oczywiście dopóty, dopóki będzie je można łatwo zapamiętać).

Dotychczasowe doświadczenia pokazują, że przyszłością kontroli dostępu są metody mieszane, wykorzystujące jednocześnie wiele technik identyfikacji: wiedzę (np. login i hasło), narzędzia (np. karta lub token), cechy unikatowe (np. odcisk palca), a w niektórych zastosowaniach także czas (np. możliwość zalogowania się tylko w określonych porach). Ponadto wydaje się konieczne zapewnienie okresowego sprawdzania tożsamości użytkownika i mechanizmu automatycznego wylogowania. W wielu przypadkach zależy to bardziej od woli administratora niż technologii. Dużo też zależy od świadomości użytkownika - nawet tak proste zabezpieczenie, jak chroniony hasłem wygaszacz ekranu, znacznie zwiększa poziom bezpieczeństwa.

Identyfikacja to tylko część problemu. Dane służące do identyfikacji mogą być przechwycone (np. przez wyspecjalizowane programy typu sniffer lub koń trojański) na lokalnym komputerze lub w sieci, a następnie użyte do działań niezgodnych z wolą użytkownika. W tym celu już dziś są opracowywane przeznaczone dla komputerów osobistych rozwiązania antywirusowe, zapory, a nawet systemy wykrywania włamań o parametrach nie gorszych niż stosowane do ochrony serwerów. Na tej podstawie w ciągu kilku najbliższych lat będą powstawały rozwiązania wymuszające scentralizowaną kontrolę polityki bezpieczeństwa także na komputerach łączących się zdalnie (tzw. REPS - Remote End-Point Security). Jeszcze dalej idzie Microsoft, opracowując koncepcję Palladium, proponującą autoryzację aplikacji wobec lokalnego komputera i sieci realizowaną za pomocą hierarchii certyfikatów cyfrowych, których tzw. root ma być przechowywany w specjalizowanym układzie scalonym na płycie głównej komputera.

Jeżeli wizję Palladium uda się zrealizować, poziom zaufania do sprzętu i aplikacji znacznie się zwiększy. W świetle dotychczasowej praktyki wydaje się jednak, że to użytkownik pozostanie największym zagrożeniem dla sieci i siebie. Komplikowanie zabezpieczeń po stronie użytkowników mija się z celem, większość z nich bowiem nie myśli o zdobywaniu wiedzy na temat bezpieczeństwa, lecz skupia się na bezpiecznej pracy. Poza tym, bez względu na wyrafinowanie zabezpieczeń, użytkownik zawsze był, jest i będzie podatny na oszustwo, a tym bardziej wyrafinowaną socjotechnikę. Dlatego, zamiast komplikowania zabezpieczeń, w wielu przypadkach bardziej uzasadnione wydaje się zrezygnowanie z nich na rzecz prostoty wykluczającej użytkownika z podejmowania decyzji mogących wpłynąć na bezpieczeństwo. Administratorzy coraz częściej będą blokować stacje robocze w taki sposób, aby można było uruchamiać na nich tylko sprawdzone aplikacje. Wzrośnie też zapewne popularność terminali graficznych, których oprogramowanie będzie pobierane z lokalnej pamięci typu flash lub nawet z serwera.

Oddzielną kwestią jest "starcie" między identyfikacją i autoryzacją użytkownika na poziomie sieci a kontrolą dostępu na poziomie poszczególnych zasobów, np. aplikacji czy baz danych. Mnogość identyfikatorów z pewnością nie służy bezpieczeństwu, stąd rosnąca popularność rozwiązań typu single sign-on i migracja w kierunku scentralizowanego zarządzania tożsamością, zamiast wieloma kontami z przypisanymi im identyfikatorami i hasłami.