Większość zagrożeń przeważnie stwarza personel. Nie jest tajemnicą, że najczęściej niebezpieczeństwo grozi ze strony własnych pracowników lub kooperantów, którzy popełniają błędy i to czasami celowo. Widać tu ogromną potrzebę wyszkolenia rozumnego i świadomego personelu, konsekwentnie dbającego o bezpieczeństwo chronionych aktywów. W tym miejscu zaczynamy rozumieć, że pojawia się konieczność ustanowienia jasnych zasad w celu przeciwdziałania zagrożeniom: opracowania dokumentu Polityka Zabezpieczeń Teleinformatyki (PBTI) i procedurypostępowania na wypadek incydentu, a także powołania ( z określeniem pozycji) stanowiska inspektorów Bezpieczeństwa Sieci (Security Oficers). To pozwoli właściwie zarządzać ryzykiem.

Co to za człowiek, który nam przeszkadza

Jak wygląda sytuacja inspektora Bezpieczeństwa Sieci? To praca odpowiedzialna - jak dotąd o nie ustalonej odpowiedzialności dyscyplinarno-karnej - wykonywana w najlepiej pojętym interesie firmy. Z uwagi na wykonywane czynności nie będzie to osoba powszechnie lubiana. Obraz inspektora Bezpieczeństwa mieści się między wizerunkami inspektora BHP a księgowego.

Jeżeli pracują w firmach, w których STI jest narzędziem, będą traktowani jak zło konieczne.

Jednak dopuszczana jest (choć wciąż szeroko dyskutowana) możliwość zlecenia tych zadań specjalistom zewnętrznym. Jeżeli zaś pracują na rzecz dużych i poważnych STI, personel firmy jest na ogół - dla dobrego imienia przedsiębiorstwa i własnego bezpieczeństwa socjalnego - świadomy potrzeby zapewnienia ochrony budowanej i utrzymywanej sieci.

Co się stało, że jest niebezpiecznie

Zatarły się granice systemu komputerowego. Pojawiają się nowe możliwości zdobywania informacji. Zyskując lawinowy wzrost możliwości w dziedzinie komunikacji, straciliśmy możliwość fizycznej ochrony dostępu.

W efekcie do wspólnej sieci dołączani są użytkownicy nie znani właścicielowi systemu i niekoniecznie realizujący te same cele. Z tego powodu nie wystarczy apelować o postępowanie użytkowników zgodnie z ustalonymi regułami bezpieczeństwa - takie postępowanie należy wymuszać. Brakuje uzgodnionych środków weryfikacji odpowiedzialności, nie ma stopniowania tajności informacji i czytelnych reguł, zgodnie z którymi użytkownik miałby dostęp do informacji o określonej klauzuli tajności. Innymi słowy, zarówno w dziedzinie fizycznego dostępu do STI, jak i dostępu do informacji potrzeba czytelnych regulacji (nawet o mocy ustawy) określającej cechy tajności informacji oraz tryby dostępu użytkowników.

Każdy wie, że nie można swobodnie rozporządzać dokumentami z klauzulą "Tajne". Podobne postępowanie z elektronicznymi nośnikami informacji nie jest już tak oczywiste. Ryzyko jest mniejsze, jeśli wynosi się na zewnątrz zapisaną dyskietkę. Tymczasem problem pojawia się już przy edycji dokumentów. Zwykłe komputery i ich peryferia można podsłuchać z odległości kilkuset metrów. Istotnym zagadnieniem jest także odzyskiwanie przez niepowołane osoby informacji ze skasowanych nośników informacji: ze skasowanej i zniszczonej w niszczarce dokumentów dyskietki 3,5" można odzyskać ponad 80% informacji. I nie są do tego potrzebne żadne wyrafinowane technologie.

<hr size=1 noshade>Paweł Musiał jest pracownikiem Centrum Informatyki Kolejnictwa w Warszawie.