Bezpiecznie (w przybliżeniu)

Bezpieczeństwo jest nierozerwalnie związane z ryzykiem, co sugeruje, że można mu przypisać zakres potencjalnych strat i wycenić je. Myślenie o bezpieczeństwie w kategoriach absolutnego zabezpieczenia się przed określoną kategorią zdarzeń negatywnych nie ma sensu.

Bezpieczeństwo jest nierozerwalnie związane z ryzykiem, co sugeruje, że można mu przypisać zakres potencjalnych strat i wycenić je. Myślenie o bezpieczeństwie w kategoriach absolutnego zabezpieczenia się przed określoną kategorią zdarzeń negatywnych nie ma sensu.

W latach zimnej wojny formalny nadzór nad cywilnym i wojskowym ruchem lotniczym między Berlinem a resztą świata sprawowała działająca nieprzerwanie każdej doby komisja złożona z przedstawicieli czterech mocarstw. Każda wydawana przez nią na bieżąco zgoda na przelot opatrywana była klauzulą "bezpieczeństwo lotu nie gwarantowane". Klauzula ta miała wówczas również nieco inne, ukryte znaczenie, gdy jednak spojrzeć na nią bez uprzedzeń, dochodzi się do prostego i oczywistego wniosku: pełnej gwarancji nie tylko bezpieczeństwa, ale w ogóle dotarcia do celu podróży nie jest w stanie dać żaden przewoźnik - bez względu na to, jaki stosuje środek transportu.

Wsiadając do autobusu czy pociągu można zakładać, że przewoźnik zadbał o właściwy stan techniczny środka transportu i można sprawdzić, jaka jest jego odpowiedzialność za skutki ewentualnego wypadku. Nie można jednak liczyć na rekompensatę za straty poniesione z powodu opóźnienia w dotarciu na miejsce. Granicę odpowiedzialności wyznacza tu wartość umowy, która zazwyczaj stanowi wysokość opłaty za usługę, czyli cena biletu. Wyjątki w tym względzie mogą wprowadzać tylko postanowienia indywidualnych umów między stronami.

Gdyby próbować odnieść ten transportowy przykład do sprawy bezpieczeństwa wdrażania i użytkowania systemów informatycznych, można odnieść wrażenie, że analogie między tymi dziedzinami właśnie w tym miejscu się kończą. Tak jednak nie jest, głównie za sprawą swoistej zmiany jakościowej, jaką po transportowej stronie tego równania wprowadził terroryzm. Nieprzewidywalność miejsca, czasu i sposobu ataku daje się niemal wprost porównać z okolicznościami ataków na systemy informatyczne, dokonywanych spoza stosujących je organizacji.

To ostatnie stwierdzenie jest istotne, gdyż "ataki" na "informację" podejmowane od wewnątrz organizacji, przez ich pracowników, miały i mają miejsce od dawna i działo się tak niezależnie od tego, jaką i czy w ogóle stosowano tam technikę obliczeniową. Skutkujące nadużyciami ataki od wewnątrz nie są na ogół wynikiem słabości systemów informatycznych, lecz braku lub niedociągnięć w tworzeniu i stosowaniu procedur operacyjnych i kontrolnych.

Z tej przyczyny ataki od wewnątrz nie będą tu przedmiotem dalszych rozważań. Będzie natomiast próba zastanowienia się nad środkami wpływającymi na bezpieczeństwo stosowania systemów informatycznych, z których to środków może skorzystać organizacja narażająca się na dodatkowe ryzyka poprzez udostępnianie takich swych systemów na zewnątrz.

Dostęp i podstęp

Udostępnienie takie może mieć charakter czynny i bierny. W pierwszym przypadku działający z zewnątrz użytkownicy mogą korzystać z systemu informatycznego danej organizacji w celu wykonywania działań bezpośrednio pociągających za sobą skutki finansowe czy materialne. Przykładem takich działań są inicjowane na odległość operacje bankowe, zlecenia obrotu papierami wartościowymi, składanie zamówień czy dokonywanie zakupów. Udostępnianie, które - niezbyt precyzyjnie - daje się określić jako bierne, umożliwia użytkownikom spoza organizacji dostęp do jej wybranych zasobów informacyjnych oraz wysyłanie przesyłek poczty elektronicznej.

W większości przypadków oba rodzaje dostępu - określone tu jako czynne i bierne - odbywają się z udziałem sieci Internet, która pozostaje w stałym lub okresowym połączeniu z siecią wewnętrzną danej organizacji. W ten sposób połączenie między nimi staje się swoistą bramą wjazdową, często słabo strzeżoną, która ma ułatwiać szeroki dostęp do określonych zasobów i systemów informacyjnych organizacji.

Dla wielu przedsiębiorstw, banków i innych organizacji dostęp ten jest źródłem istotnych przychodów, a prostota i łatwość korzystania zeń ma dawać przewagę nad konkurentami i przyciągać kolejnych klientów. Ma to jednak dwojaki charakter: przyciąga nie tylko autentycznie zainteresowanych informacją i ofertą, ale również takich, których celem jest odniesienie korzyści kosztem organizacji udostępniającej swe usługi poprzez sieć Internet i kosztem jej klientów. Po stronie mającego złe zamiary stoi wspomniana już szerokość i łatwość dostępu, anonimowość, dowolność miejsca działania oraz słabości systemu i środowiska informatycznego potencjalnej ofiary.

Co, wobec tego, może uczynić będąca potencjalną ofiarą organizacja, aby uchronić się przed skutkami takich działań, albo - najlepiej - w ogóle je uniemożliwić? Odpowiedź na drugą część tak postawionego pytania daje sam początek tego artykułu - nie ma bezpieczeństwa absolutnego, a każde działanie niesie za sobą określone rodzaje ryzyka.

Istotne wobec tego jest, aby zdawać sobie sprawę z ich zakresu i skali i - w zależności od tego - decydować o środkach i sposobach mających to ryzyko ograniczać, bądź łagodzić skutki jego wystąpienia. W odniesieniu do środowiska informatycznego jest to relatywnie proste - potencjalne zagrożenia bezpieczeństwa są powszechnie znane, a nowe wykrywa się wcześniej, aniżeli ktokolwiek zdoła je wykorzystać w niecnych celach.

Bezpieczeństwo w tym zakresie pozostawałoby sprawą posiadania i stosowania odpowiedniej polityki, gdyby nie fakt, że - szczególnie w przypadku systemów określanych skrótowo terminem "wintel" - granica między środowiskiem a stosowanymi w nim systemami jest rozmyta. Przyczyny tego stanu sięgają założeń poczynionych w początkach stosowania komputerów osobistych. Z tego powodu poziom bezpieczeństwa środowiska bezpośrednio przekłada się na bezpieczeństwo działających w nim systemów i na odwrót: same systemy mogą ten poziom obniżać.

Pieniądz - siła wyższa

Próby uzyskania od usługodawców odszkodowań za skutki braków w bezpieczeństwie ich infrastruktury i działających w niej systemów są w większości przypadków skazane na niepowodzenie. Nawet jeżeli żądanie takiego zadośćuczynienia dopuszcza umowa, to dowiedzenie, w sposób niepodważalny winy usługodawcy jest z punktu widzenia klienta bardzo trudne, jeżeli nie niemożliwe.

Przykładem na to mogą być stosunkowo niedawno redagowane umowy, w których przedostanie się do środowiska informatycznego wirusa, czy brak przygotowania tego środowiska na odparcie ataku typu "Denial of Service" były kwalifikowane jako wyłączająca wszelką odpowiedzialność usługodawcy siła wyższa.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200