Nasze drogie bezpieczeństwo

Nie ma bezpieczeństwa bez wolności. Wolność należy stawiać na pierwszym miejscu. To główne przesłanie naszej konferencji ''Wolność i bezpieczeństwo: cyfrowa twierdza'' nabiera głębokiego sensu, gdy weźmie się pod uwagę możliwości współczesnej techniki i wymagania państwa wobec biznesu.

Nie ma bezpieczeństwa bez wolności. Wolność należy stawiać na pierwszym miejscu. To główne przesłanie naszej konferencji 'Wolność i bezpieczeństwo: cyfrowa twierdza' nabiera głębokiego sensu, gdy weźmie się pod uwagę możliwości współczesnej techniki i wymagania państwa wobec biznesu.

Telefon komórkowy Siemens C55 - bardzo chwalony przez zwykłych użytkowników - może nagle ujawnić swoją drugą, szpiegowską naturę. Na etapie produkcji zostały bowiem zaimplementowane w nim dwa numery kodowe do aktywacji zdalnego podsłuchu otoczenia lub rozmów prowadzonych za jego pośrednictwem. Dzieje się to niezauważalnie po wybraniu stosownego numeru. Gdy użytkownik dzwoni do kogoś, wtajemniczona osoba otrzymuje o tym SMS i zaczyna podsłuchiwać.

"To najnowszy krzyk mody umożliwiający dwukierunkowy podsłuch. Ale właściwie każda komórka pozwala na podsłuch otoczenia" - pozbawił złudzeń gości naszej konferencji "Wolność i bezpieczeństwo: cyfrowa twierdza" Bogdan Podolski, były oficer polskich służb specjalnych, specjalista od elektroniki specjalnej, obecnie doradca zarządu Horizon Venture Capital, spółki zajmującej się wywiadem konkurencyjnym.

Jego zdaniem walka ze szpiegostwem gospodarczym to nieustanny "wyścig zbrojeń". Jedni próbują zdobyć informację, stosując techniki podsłuchowe - a jak wykazał w swoim referacie, pomysłowość ludzka nie zna granic - inni, aby bronić swojej wolności i poczucia bezpieczeństwa, będą zabezpieczać sale przed podsłuchem czy też zagłuszać pracę telefonów komórkowych.

Granice wolności, granice bezpieczeństwa

Nasze drogie bezpieczeństwo
Gdzie przebiega granica, której przekroczyć nie wolno? Kazimierz Dymek, niezależny konsultant i zarazem biegły sądowy, twierdzi, że należy się liczyć z permanentnym inwigilowaniem. Trzeba odpowiedzieć sobie na pytanie, czy tzw. elektroniczną obrożę założymy osobie cierpiącej na zaburzenia pamięci, czy tylko przestępcy skazanemu prawomocnym wyrokiem sądu, za czym opowiada się prof. Andrzej Zoll, rzecznik praw obywatelskich.

A może nie potrafimy posługiwać się nowymi technologiami? "Proszę państwa, nie ufajcie bezgranicznie technice" - namawiał red. Edwin Bendyk z tygodnika Polityka. Świetnie oddała jego apel prezentacja Piotra Kaszycy z RSA Security o znacznikach RFID. Jego zdaniem bezmyślne wdrożenie RFID na rynku konsumenckim może spowodować wiele problemów związanych z bezpieczeństwem i ochroną prywatności obywateli. W Wlk. Brytanii zdarzyły się już demonstracje klientów przeciwko beztroskiemu zastosowaniu tej technologii. "Powinniśmy poszukiwać rozwiązań łączących odpowiedni poziom bezpieczeństwa, prywatności i użyteczności" - mówił Piotr Kaszyca, wskazując, że może rozwiązaniem jest "zaszycie" w znacznik RFID "bitu prywatności", który zagłuszałby namierzanie w innych miejscach, niż pierwotnie planowano.

Nasze drogie bezpieczeństwo
Ale jak żyć bezpiecznie z nowymi technologiami, kiedy korzystanie z Internetu staje się nieodzowne, zaś użytkownicy indywidualni oraz przedsiębiorcy nie mają pieniędzy na kosztowne systemy zabezpieczające ani na zatrudnienie dedykowanych specjalistów ds. bezpieczeństwa. "Oni chcą po prostu rozwijać się biznesowo i nie tracić czasu na codzienne śledzenie kilkunastu biuletynów poświęconych informacjom o zagrożeniach i sposobach przeciwdziałania kolejnym robakom internetowym" - uznał Krzysztof Silicki, dyrektor techniczny NASK, a zarazem przedstawiciel Polski w Radzie Zarządzającej ENISA, europejskiej organizacji zajmującej się bezpieczeństwem teleinformatycznym. Jego zdaniem, jest to obraz błędnego koła w bezpieczeństwie teleinformatycznym, które sprzyja rozwojowi podziemia ekonomicznego wykorzystującego słabości systemów w Internecie. Nikt nie rozmawia na co dzień jak sobie poradzić z tym problemem. Czy można to zmienić?

Sieć broni się sama

Unia Europejska powołała agencję ENISA, której jednym z celów jest właśnie rozpatrzenie, co należy zrobić, aby poprawić bezpieczeństwo. W specjalnej wideokonferencji, która miała miejsce podczas naszej konferencji, jej uczestnicy usłyszeli od Andre Pirottiego, dyrektora wykonawczego ENISA, że warto się dzielić dobrymi praktykami w dziedzinie bezpieczeństwa i że ENISA kładzie m.in. na to nacisk. Co jednak nazwać dobrą praktyką?

Przedstawiciele Cisco Systems mają na to odpowiedź. "Niech sieć broni się sama" - taką wizję roztoczył Nader Baghradi, specjalista od bezpieczeństwa IT w tej firmie. Inteligentne urządzenia samodzielnie wykryją zagrożenia i odpędzą intruza. Pod warunkiem, że zagrożenia nie stworzy sam człowiek, beztrosko obchodząc się z procedurami bezpieczeństwa. Kariery hakerów pokazują, że ich sukcesy były pokłosiem rutynowego działania i naiwności personelu różnych instytucji. Jak z tym walczyć?

Organizacja nad technologią

Duże zainteresowanie uczestników naszej konferencji "Wolność i bezpieczeństwo: cyfrowa twierdza" wzbudził warsztat "Zarządzanie Bezpieczeństwem Informacji", który w dużej mierze został poświęcony praktycznym aspektom implementacji norm ISO/IEC 17799 i PN-I-07799:2 i prowadzenia za ich pomocą audytów bezpieczeństwa teleinformatycznego. Co ciekawe, Polska pod względem lokalizacji tych międzynarodowych norm znajduje się w ścisłej czołówce. Dzięki pracy polskich specjalistów od niedawna mamy do dyspozycji komplet polskich norm w tym obszarze.

Prowadząca warsztat Elżbieta Andrukiewicz z firmy Trusted Information Consulting podkreślała znaczenie umiejętności nawiązana dialogu przez działy informatyki (w szczególności specjalistów od bezpieczeństwa teleinformatycznego) z zarządem, podejmującym decyzje inwestycyjne. Nie są to duże pieniądze, bowiem średnio tylko 5% nakładów na IT przeznaczane jest na bezpieczeństwo (nieco więcej w USA). W przypadku bezpieczeństwa nie można bowiem mówić o tradycyjnym współczynniku ROI. Powinno się tutaj raczej operować aparatem pojęciowym z zakresu zarządzania ryzykiem.

Także tutaj - w obszarze organizacyjnym - lokuje się większość problemów zarządzania bezpieczeństwem w organizacji. Przykładowo wprowadzenie w firmie rozwiązań kryptograficznych niesie konieczność dalszego zarządzania zbudowaną infrastrukturą kryptograficzną - o czym często się niestety na początku zapomina. O bezpieczeństwie trzeba więc przede wszystkim myśleć w kontekście ryzyka i organizacji, a nie samej technologii.

Przemysław Gamdzyk

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200