Zabezpieczone systemy, zasznurowane usta

Prawie każde większe przedsiębiorstwo ma stanowisko albo dział zajmujący się bezpieczeństwem systemów informatycznych, tzw. Security Office. Nie ma chyba drugiej komórki w służbach IT, która tak starannie zarządzałaby komunikacją, tj. planowała, co powiedzieć, a co powinno pozostać w ukryciu. Tym bardziej że w ukryciu pozostaje naprawdę wiele.

Prawie każde większe przedsiębiorstwo ma stanowisko albo dział zajmujący się bezpieczeństwem systemów informatycznych, tzw. Security Office. Nie ma chyba drugiej komórki w służbach IT, która tak starannie zarządzałaby komunikacją, tj. planowała, co powiedzieć, a co powinno pozostać w ukryciu. Tym bardziej że w ukryciu pozostaje naprawdę wiele.

Polityką bezpieczeństwa nazywa się ogólnie zbiór zasad służących firmie do zapewnienia odporności jej systemów informatycznych na świadome i nieświadome naruszenia bezpieczeństwa. Kluczowym elementem tej polityki jest zarządzanie ryzykiem, czyli taka komunikacja z pracownikami i partnerami firmy, która zminimalizuje prawdopodobieństwo nieuprawnionego dostępu lub innego naruszenia zabezpieczeń.

Dziś w każdej szanującej się firmie istnieje regulamin korzystania z zasobów informatycznych, który jest częścią regulaminu pracy i do przestrzegania którego jest zobowiązana każda osoba funkcjonująca w firmie. Zawartość z reguły jest podobna: zakaz instalowania na komputerze aplikacji niewiadomego pochodzenia, rozpowszechniania materiałów, które mogłyby naruszać dobre obyczaje lub prawo, oraz reklam i "listów łańcuszkowych", podejmowania prób nieautoryzowanego dostępu, obowiązek chronienia haseł i przestrzegania warunków licencji itd. Czasami także firma informuje, że dostęp do Internetu (strony WWW, e-mail) jest monitorowany.

Informatycy z biur bezpieczeństwa twierdzą, że zasadnicza trudność w budowie takich regulaminów wcale nie polega na ich zawartości, lecz formie. W przedsiębiorstwie, gdzie większość użytkowników systemów informatycznych ma podstawową wiedzę o komputerach, dużym

wyzwaniem jest np. zakomunikowanie, by nie otwierać potencjalnie niebezpiecznych załączników do poczty. "Co to znaczy «potencjalnie niebezpieczny»" - zastanawia się głośno osoba odpowiedzialna za bezpieczeństwo w jednej z sieci handlowych. - "Nasi użytkownicy nie rozumieją nawet określenia «plik wykonywalny», jak możemy więc zakazywać ich uruchamiania? A jeśli nawet zakażemy, to czy mamy gwarancję, że rzeczywiście nie będą tego robić?"

Wniosek pierwszy jest więc taki, że podstawowym problemem na styku bezpieczeństwa i komunikacji jest ogólne obycie użytkowników z systemami informatycznymi.

"Wielką uwagę poświęcamy tzw. inżynierii społecznej (social engineering), która jest ulubionym narzędziem hakerów - np. włamywacz dzwoni do sekretariatu, przedstawia się imieniem i nazwiskiem

lokalnego informatyka i prosi o ujawnienie hasła prezesa. Prezentujemy ludziom takie sytuacje i staramy się wyrobić w nich właściwe reakcje" - mówi Security Officer w przedsiębiorstwie sektora energetycznego. Dodajmy, że wiele dobrego zrobiła książka Kevina Mitnicka Sztuka podstępu. Łamałem ludzi, nie hasła, gdzie dużą uwagę poświęca się właśnie tej metodzie, bo uświadomiła zagrożenia, które kryją się w niewinnych z pozoru telefonach i e-mailach. OCTAVE Catalog of Practices (http://www.sei.cmu.edu/publications/documents/01.reports/01tr020.html ) jest zbiorem praktycznych zasad dotyczących bezpieczeństwa informacji. Choć nie uwzględnia on polskiego prawa, stanowi znakomitą listę kontrolną tego, o czym trzeba pamiętać przy projektowaniu bezpieczeństwa. Szczególnie wymaga stworzenia i utrzymywania regulaminów korzystania z zasobów informatycznych oraz procedur uzyskiwania dostępu.

Przez półprzymknięte oko

Pamiętajmy, że ok. 60-80% naruszeń reguł bezpieczeństwa wynika z celowego bądź niecelowego działania użytkowników. Słabym ogniwem jest więc komunikacja do tych, którzy nieświadomie mogą się przyczynić do powstawania zagrożeń. Należy podkreślić, że taka edukacja nie powinna być jednorazowym aktem, ale stałym procesem. Ludzie mają tendencję do zapominania i bagatelizowania zagrożeń. A ci, którzy świadomie naruszają bezpieczeństwo, są pociągani do odpowiedzialności na podstawie kodeksu karnego i odpowiednich ustaw.

Aby jednak regulaminy były warte więcej niż papier, na którym je spisano, firma musi być w stanie je egzekwować. W tym celu prowadzi się wiele działań, które oczywiście nie są komunikowane na zewnątrz. Są to przede wszystkim sprawdzanie użytkowników podlegających regułom: a więc skanowanie ich dysków w poszukiwaniu oprogramowania niewiadomego pochodzenia i plików niesłużących sprawom służbowym.

Osobną kwestią jest, na ile firma chce reagować na drobne nieprawidłowości, np. przechowywanie plików MP3 czy DivX na dyskach służbowych komputerów. Choć niewątpliwie stanowi to naruszenie Prawa autorskiego i regulaminu korzystania z zasobów informatycznych, biura bezpieczeństwa reagują w takich przypadkach niezdecydowanie albo wcale. Zasada "kiedy reagować", nawet jeżeli jest gdzieś zapisana, praktycznie nigdy nie jest komunikowana. Najkrócej podsumowuje to pracownik biura bezpieczeństwa jednej z firm sektora finansowego: "Mamy dostatecznie wiele obowiązków przy chronieniu naszych sieci i aplikacji, by reagować na przesyłanie prywatnej poczty albo instalowanie gier dla dziecka na służbowym notebooku". Ta bardzo zdroworozsądkowa tolerancja kończy się tam, gdzie zaczyna się rzeczywiste zagrożenie systemów. Jeżeli owa "gra dla dziecka" jest ukrytym koniem trojańskim, który wyszukuje na dyskach informacje o hasłach i przesyła je przez Internet na serwery hakerskie, taka sytuacja natychmiast po wykryciu wywołuje konsekwencje.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200