Przy Poznańskim Centrum Superkomputerowo-Sieciowym powstało Centrum Innowacji Microsoft zajmujące się problemami związanymi z bezpieczeństwem i outsourcingiem w małych i średnich przedsiębiorstwach.

Opublikowana niedawno przez McAfee lista dziesięciu największych prognozowanych zagrożeń bezpieczeństwa w 2007 r. to lista banałów. Któż bowiem nie spodziewa się zwiększenia liczby spamu, czy wzrostu ataków z wykorzystaniem phishingu? Każdy chyba zgadza się również z tym, że hakerzy nie znikną z końcem zabawy sylwestrowej. W publikowaniu listy tych banałów nie ma nic złego, bo ta fundamentalna wiedza na temat zagrożeń i walki z nimi nadal nie przekłada się na standardy bezpieczeństwa informacji.

Nadal jest słabo, a nawet bardzo słabo, jeżeli chodzi o podstawowy poziom bezpieczeństwa i to nie tylko wśród małych organizacji. Dowodzą tego chociażby niesławne wycieki informacji o klientach banków elektronicznych, których źródło miało miejsce wewnątrz sieci bankowej, czy też skuteczny, długotrwały atak DoS na portal Gazeta.pl, który miał miejsce niedawno. Równolegle funkcjonuje - i ma się całkiem dobrze - pokaźny zbiór mitów na temat heroicznej skuteczności (bądź też jej braku) rozwiązań czy technologii.

Jednym z celów utworzonego Centrum Innowacji Microsoft było m.in. przeprowadzenie audytów bezpieczeństwa w małych i średnich organizacjach, głównie publicznych. Celem miało być zebranie informacji i stworzenie wiedzy na temat tego, co zamieścić na

liście największych "grzechów", które sprawiają, że dobra technologia jest wdrażana i zarządzana w sposób obniżający jej bezpieczeństwo. Przedstawiona poniżej lista może być kolejną listą banałów, ale jest potrzebna.

1. Autoryzacja, uwierzytelnianie, monitorowanie

Wielokrotnie dało się słyszeć, że największe zagrożenie pochodzi nie z zewnątrz, a z wewnątrz sieci. Wydawać by się mogło, że te zagrożenia z wewnątrz są łatwiej wykrywalne, a przynajmniej powinny być. Owszem, może tak być, ale praktyka pokazuje, że w zdecydowanej większości małych i średnich organizacji dostęp do sieci jest praktycznie dowolny, autoryzacja i uwierzytelnianie są znane z czasopism, a monitorowanie jest nieśmiałym marzeniem administratorów. I dotyczy to zarówno sieci przewodowych, jak i bezprzewodowych, z naciskiem na te pierwsze. W przypadku tych drugich widać, że poskutkowało powtarzane jak litania "Sieci bezprzewodowe są niebezpieczne!". Zagrożenie to pochodzi często z wiary w mit, że sieci przewodowe są bezpieczne, a dane na serwerach są i tak chronione hasłem dostępu. Nic bardziej mylnego! Poufność informacji to w pewnym sensie wyznaczanie granic jej dystrybucji, jeżeli tego nie zrobimy, to informacja zgodnie ze swoją naturą będzie starała się maksymalnie rozpowszechnić.

2. Separacja i segregacja

To bardzo użyteczne instrumenty, niestety, rzadko można natrafić na ślady ich użycia w sieciach małych i średnich organizacji. Sieć komputerowa stanowi tam często jedną wspólną domenę, co prawda komputery są podłączone do różnych fizycznych urządzeń, ale rzadko posiadają adresy w rozdzielnych sieciach IP, a jeśli w ogóle, to jest to separacja czysto logiczna, bo fizycznie stanowią jedną sieć. Podróż pakietu przez taką sieć przypomina podróż samochodu przez zakorkowane miasto. Poza oczywistymi implikacjami związanymi z wydajnością takiej sieci, znaczące są również konsekwencje związane z bezpieczeństwem informacji podróżujących takim pakietem. Może on zabłądzić i dostarczyć informacje nie tam gdzie trzeba, może w ogóle się zagubić. Mówimy tutaj znowu o wyznaczaniu granic. Sieć, w której przetwarza się informacje finansowe, nie musi być wspólna z siecią, w której działa oprogramowanie typu CAD. Odpowiednia separacja jest niezwykle istotna, nie tylko na poziomie sieci, ale w każdym kontekście przetwarzania informacji.

3. Określenie własności informacji

Porzekadło o tym, że to co wspólne jest niczyje, zna pewnie każdy. Tak samo jest z informacjami, które należą do wszystkich. Brak możliwości jasnego określenia, kto jest właścicielem danych, kto odpowiada za ich bezpieczeństwo, jest zaproszeniem do tego, aby je przejąć. Powoduje to nie tylko bałagan organizacyjny, co w przypadku awarii może być bolesne, ale stanowi kolejne zagrożenie dla bezpieczeństwa danych i łączy się z już wymienionymi. Jaki bowiem ma sens zabezpieczanie danych hasłem, kiedy jednocześnie to hasło zna każdy pracownik? W przypadku wycieku hasła nie mamy nawet możliwości stwierdzenia, kto je udostępnił, ani który konkretnie pracownik miał dostęp do danych. Ważne jest więc precyzyjne określenie, kto i na jakich prawach ma dostęp do danej informacji.

4. Tworzenie kopii bezpieczeństwa

Bezpieczeństwo informacji to nie tylko ich poufność i integralność, ale również dostępność, a zatem kopie bezpieczeństwa, co rodzi z kolei problem poufności i integralności. Wszystko to jednak można odpowiednio zaimplementować. Przykłady błędów w tej materii, jakie można spotkać podczas audytów, sprowadzają się w większości do tego, że kopie bezpieczeństwa nie uwzględniają wszystkich wymaganych do odtworzenia stanu danych, że nie są przechowywane odpowiednio długo, że nie są wykonywane odpowiednio często, że nie przeprowadza się testów odtwarzania, że przechowywane są w ogólnodostępnym miejscu lub z nieodpowiednimi uprawnieniami.

5. Opisywanie historii zdarzeń

Za pomocą dzienników systemowych i logów można ustalić, jakie wydarzenia zaszły w przeszłości, stwierdzić ich chronologię, a w razie najgorszego wyciągnąć wnioski na przyszłość. Ich poprawna konfiguracja i odpowiednie składowanie umożliwiają odtworzenie przebiegu wydarzeń w sieci, co może być nieocenioną pomocą przy rozwiązywaniu problemów z wydajnością, analizie incydentów, prognozowaniu zapotrzebowania na zasoby, czy odpowiednim, proaktywnym reagowaniu na pojawiające się zagrożenia. Podstawowy problem polega na tym, że w wielu organizacjach nadal nie traktuje się logów z należytą uwagą, a jeśli one są, to nie korzysta się w pełni z możliwości, jakie dają.

6. Przede wszystkim człowiek

To oczywiście nie wszystko, co należy poprawić, aby móc stwierdzić poprawę poziomu bezpieczeństwa. Wszystkie wymienione problemy można rozwiązać odpowiednimi środkami technicznymi i nietechnicznych. W całej dyskusji na temat bezpieczeństwa technologii nadal najbardziej niedoceniony pozostaje jednak czynnik ludzki i on stanowi najbardziej krytyczny element systemu bezpieczeństwa. To też oczywiście banał, dzisiaj już ostatni...

Jarosław Sajko, Gerard Frankowski, Michał Melewski są pracownikami Poznańskiego Centrum Superkomputerowo-Sieciowego, zaangażowanymi w prace Centrum Innowacji Microsoft.