Bezpieczeństwo systemów informatycznych - najsłabszym ogniwem człowiek
- Borys Łącki,
- 26.03.2012, godz. 09:00
Często spotkamy się ze stwierdzeniem, że to człowiek jest najsłabszym ogniwem skomplikowanego łańcucha procesów i komponentów mających wpływ na poziom ochrony zasobów IT. Warto więc zbadać na czym dokładnie polega słabość czynnika ludzkiego w odniesieniu do obsługi systemów informatycznych, a także jak można poprawić procesy odpowiedzialne za bezpieczeństwo informacji, żeby skutecznie wyeliminować zagrożenia.
Polecamy Testy penetracyjne: Kilka ciekawych narzędzi
Zobacz również:
Hakerzy dobrze znają sposoby tworzenia haseł przez użytkowników i pozornie trudne do odgadnięcia kombinacje, takie jak na przykład 1qazxsw23edc (odwzorowanie kształtu przez wciskanie odpowiednich klawiszy) czy 19750503 (data urodzenia), są bardzo często sprawdzane przez komputerowych włamywaczy. Warto pamiętać o odpowiednim poziomie skomplikowania hasła, czyli używaniu znaków specjalnych oraz cyfr. Z drugiej strony jeśli będzie ono zbyt skomplikowane (i trudne do zapamiętania), istnieje ryzyko, że użytkownik zapisze je na umieszczonej w pobliżu klawiatury kartce. Należy więc z rozwagą planować wymogi odnośnie stopnia skomplikowania haseł dostępu. Można to osiągnąć na przykład konfigurując odpowiednio urządzenia i systemy, tak aby wymuszały na użytkownikach zarówno ustawianie trudnych do odgadnięcia haseł, jak i ich systematyczną zmianę. Warto też pamiętać o automatycznym blokowaniu dostępu do konta w sytuacji powtarzających się prób logowania, z których każda zakończona jest niepowodzeniem. System pozwalający na wielokrotne testowanie poprawności haseł dostępowych jest łatwym celem dla intruza, który w zależności od zasobów i konfiguracji będzie w stanie sprawdzić setki tysięcy haseł w ciągu doby.
Polecamy Narzędzia dla administratorów sieci
Pamiętajmy, że technologia ma przede wszystkim umożliwiać ciągłą realizację założeń biznesowych. Wspomaganie procesów związanych z bezpieczeństwem również jest bardzo ważne, jednak priorytetem zawsze pozostaje sprawne działanie danego środowiska technologicznego.
Warto zaznaczyć, że możemy spotkać się z sytuacją, w której niemożliwe będzie wymuszenie odpowiednich blokad, bo na przykład wykorzystywane jest oprogramowanie, uniemożliwiające dokonania w nim takich zmian. Wówczas najlepszym rozwiązaniem będzie staranne przeszkolenie pracowników. Użytkownik powinien uświadomić sobie jak ważne są informacje, do których posiada dostęp, a także jakie mogą być potencjalne straty związane z nieuprawnionym dostępem do danych. W zależności od dokumentów podpisanych z pracownikiem, można przypomnieć o prawnej lub finansowej odpowiedzialności wynikającej z określonych zaniedbań.
Polecamy Narzędzia do analizy słabych punktów
Z perspektywy pracownika niezwykle cenna będzie praktyczna wiedza o tym, jakich metod może użyć przy tworzeniu skomplikowanych haseł. Może to być na przykład sposób, w którym wybieramy pierwsze litery znanego zdania (np. wiersza, piosenki). I tak ze zdania "nic co ludzkie, nie jest mi obce" uzyskamy łańcuch znaków nclnjmo, a po zmianie niektórych liter na wielkie i dodaniu cyfr uzyskamy nietrudne do zapamiętania, ale wystarczająco skomplikowane hasło 5nClNjMo5.
Polecamy Jakie hasła są bezpieczne?
W zmaganiach pracowników z dziesiątkami lub setkami haseł może pomóc użycie specjalnych aplikacji służących do ich przechowywania. Programy takie pozwalają wygenerować losowe, trudne do odgadnięcia łańcuchy znaków i przypisywać je do chronionych zasobów o podanych nazwach. Dzięki temu unika się stosowania przez użytkowników takiego samego hasła do zabezpieczania dostępu do wielu usług. Jeśli intruzowi uda się odgadnąć jedno z haseł, to inne zasoby pozostaną bezpieczne. Wybór odpowiedniej aplikacji do zarządzania hasłami warto poprzedzić analizą porównawczą jej zalet i wad oraz możliwego ryzyka.