Internet staje się głównym źródłem zagrożeń bezpieczeństwa systemów informatycznych w przedsiębiorstwach.

Organizacja Computer Security Institute wspólnie ze specjalną jednostką FBI - Computer Intrusion Squad - opublikowały raport 2002 CSI/FBI Computer Crime and Security Survey, jedną z najważniejszych cyk- licznych publikacji, poświęconych bezpieczeństwu komputerowemu. Stanowi on opracowanie wyników badań ankietowych, przeprowadzonych wśród ponad 500 osób odpowiedzialnych za bezpieczeństwo systemów informatycznych w dużych przedsiębiorstwach i instytucjach w Stanach Zjednoczonych (zatrudniających od tysiąca do ponad 10 tys. pracowników).

Według tegorocznego raportu, udostępnionego w kwietniu br., cyberataki są już normą - doświadczyło ich ponad 90% respondentów. Większość ankietowanych przyznała się jednocześnie do znacznych strat finansowych, spowodowanych atakami. Łączne straty ankietowanych wyniosły ok. 455 mln USD (autorzy raportu podkreślają, że na wielkość tej kwoty ma wpływ fakt, że dopiero od niedawna prowadzi się dokładne obliczenia). Respondenci twierdzą, że źródłem największych strat jest utrata ważnych informacji (łącznie na kwotę 171 mln USD), a nie przestępstwa związane z włamaniami do kont w bankach internetowych czy z nie autoryzowanym wykorzystaniem kart kredytowych (te stanowiły "zaledwie" 116 mln USD).

Ciekawe jest, że mimo posiadania przez 90% ankietowanych oprogramowania antywirusowego, aż w 85% przypadków chronione przez nie systemy ucierpiały wskutek ataków wirusów.

Tegoroczne badanie podważa rozpowszechniony mit, że znacznie więcej ataków jest inicjowanych z wnętrza organizacji niż ze świata zewnętrznego. 74% ankietowanych wskazało na połączenie internetowe jako źródło wykrytych ataków, podczas gdy ataki dokonywane z wykorzystaniem systemów wewnętrznych stanowiły jedynie jedną trzecią przypadków. Mimo małego udziału w całkowitej liczbie włamań, nie autoryzowane działania pracowników mogą być jednak bardzo uciążliwe. Raport podaje przykład dwóch osądzonych w listopadzie ub.r. byłych pracowników Cisco Systems, którzy nadużywając swoich uprawnień, rozdzielili między sobą akcje firmy warte 8 mln USD.

Chęć współpracy z rządem

Powszechne rozczarowanie budzi stosowanie rozwiązań infrastruktury klucza publicznego (PKI). Technologia uznawana za panaceum na bolączki związane z bezpieczeństwem systemów informatycznych nie doczekała się tak licznych wdrożeń jak można było oczekiwać. Jako jedną z przyczyn takiego stanu wymienia się brak wiedzy: czym jest PKI, jaki jest zakres zastosowań tej technologii oraz korzyści osiągane z jej kompleksowego wdrożenia. W efekcie wiele spośród amerykańskich firm, mimo zakupu stosowanego oprogramowania, rozwiązań sprzętowych i opracowania koniecznych procedur, nie radzi sobie z praktycznym zastosowaniem PKI. Niemniej technologia ta nadal budzi duże nadzieje.

Ankietowani specjaliści jednoznacznie wskazują, że potrzebna jest lepsza współpraca między światem biznesu a administracją rządową w zakresie wykrywania przestępstw komputerowych. FBI utworzyła strukturę ośrodków NIPC (National Infrastructure Protection Center), które są rozmieszczone w największych aglomeracjach Stanów Zjednoczonych. Ich zadaniem jest ochrona przed cyberatakami, wymierzonymi w kluczowe dla państwa elementy infrastruktury, czyli sektory: tele- komunikacyjny, energetyczny, transportowy, bankowy i finansowy, służby ratunkowe i wybrane agendy rządowe. Przestępstwa dokonywane w cyberprzestrzeni ścigane są na mocy specjalnej ustawy Computer Fraud and Abuse Act. Raport zaznacza, że z roku na rok rośnie poziom zaufania firm do organów ścigania, systematycznie wzrasta bowiem odsetek przypadków naruszeń bezpieczeństwa, które zgłaszane są właściwym organom. Firmy zaczynają rozumieć, że dyskrecja w tej sprawie jest szkodliwa.

Hakerzy i seksoholicy

Amerykanom coraz częściej dają się we znaki hakerzy z zagranicy. Raport CSI przytacza dwa najbar- dziej znane przypadki. W jednym, Wasilij Gorszkow z Czelabińska złamał 20 przepisów prawa amerykańskiego, długotrwale penetrując sieci wielu instytucji i firm w USA. Na jego komputerze znaleziono m.in. numery autentycznych i ważnych kart kredytowych 56 tys. obywateli amerykańskich. Dzięki tajnej operacji FBI Rosjanin został przewieziony do Seattle i tam będzie sądzony. W innym przypadku mieszkaniec syberyjskiego Surgutu pozyskał dane osobowe kilkudziesięciu tysięcy klientów banku internetowego z USA. Szantażując bank ujawnieniem tych informacji, uzyskał od niego ponad 10 tys. USD. Ostatecznie rosyjska policja wyśledziła go identyfikując wykorzystywany przez jego komputer numer IP. Został zatrzymany i grozi mu do 15 lat więzienia.

Jak jednak zauważają autorzy raportu, wśród wszystkich naruszeń bezpieczeństwa dominują zjawiska "z pogranicza", związane np. z łamaniem zasad wykorzystania Internetu w firmach (do ich wykrycia przyznaje się 78% ankietowanych). Wśród zaobserwowanych, niedozwolonych regulaminami działań pracowników wymienia się przede wszystkim nadużywanie poczty elektronicznej do prywatnej lub niezgodnej z polityką firmową korespondencji: molestowania czy obrażania pracowników. Wiele z tych sytuacji jest wynikiem pozornie humorystycznych pomyłek, gdy np. przesyłka zawierająca zdjęcia pornograficzne zamiast do wskazanej osoby, trafia do całego działu lub nawet innej firmy. Firma analityczna IDC przewiduje, że w związku z tymi zjawiskami i koniecznością przeciwdziałania im dynamicznie będzie się rozwijać rynek rozwiązań filtrujących przesyłaną korespondencję oraz pobierane z Internetu treści (obecnie wzrasta on o ok. 50% rocznie).

Raport "2002 CSI/FBI Computer Crime and Security Survey" jest dostępny pod adresem http://www.gocsi.com/press/20020407.html.