Diagnoza: silny rozziew

Między teorią a praktyką bezpieczeństwa informacji w firmach istnieje często wielka przepaść. Taka diagnoza wymaga natychmiastowego leczenia, ale... czy pacjent chce wyzdrowieć?

Między teorią a praktyką bezpieczeństwa informacji w firmach istnieje często wielka przepaść. Taka diagnoza wymaga natychmiastowego leczenia, ale... czy pacjent chce wyzdrowieć?

Tworzenie, spisywanie i wdrażanie w firmach formalnej polityki bezpieczeństwa informacji stało się modne. Niestety, przeważają tylko pierwsze dwa elementy. Trzeci, czyli wdrażanie, bardzo kuleje. W rezultacie istnieje spory rozziew między planowanymi założeniami, obostrzeniami i udogodnieniami a stanem rzeczywistym. Różnice są często poważne i niekiedy dotyczą spraw kluczowych, takich jak uwierzytelnianie, weryfikacja uprawnień, audyt zabezpieczeń czy dostęp do danych. Problem tkwi, niestety, przede wszystkim w ludziach i to głównie w tych, którym z różnych względów "wolno więcej".

Wyjątki, wyjąteczki

Wdrożenie obostrzeń dla użytkowników, nawet drobnych, zazwyczaj skutkuje ich oporem. Ludzie nie są skłonni do zmian, a już na pewno do takich, które narzucają im jakieś niedogodności. Oczywiście, wszystko jest kwestią umiaru i rozeznania - wiele protestów użytkowników bywa całkiem słusznych. Przyczyny bywają bardzo prozaiczne, na przykład aplikacja napisana niezgodnie z założeniami standardu lub zgoła źle zaprojektowana. System, który nie potrafi zapisywać danych gdziekolwiek indziej niż dysk lokalny (wciąż się zdarza!), nie umożliwi użytkownikom zapisu gdziekolwiek indziej.

Jeśli w takich warunkach polityka bezpieczeństwa zakazuje wszelkiego dostępu do dysków lokalnych (co ma sens, zwłaszcza w przypadku systemów Microsoftu), taka aplikacja nie będzie działać zgodnie z polityką. Niezgodność z polityką bezpieczeństwa nie jest (przynajmniej wprost) problemem producenta, lecz wynikiem błędnie przeprowadzonego procesu zakupu i wdrożenia. To na tym etapie należało ustalać i sprawdzać szczegółowe wymagania dla aplikacji.

Wyjścia są dwa: zmienić aplikację (rzadko możliwe) lub... poluzować zapisy polityki bezpieczeństwa. W tym drugim przypadku niezgodność zostaje "załatana" w ten sposób, że dla użytkowników tej jednej aplikacji robi się "wyjątek" w procedurze. Naruszenie bezpieczeństwa systemu teleinformatycznego spowodowane akurat takim "poluzowaniem" zasad nie jest krytycznie ważne, bowiem można tak ustanowić obostrzenia, by zapewniały żądany poziom bezpieczeństwa (na przykład w ten sposób, by tymczasowe dane były niezawodnie czyszczone z dysku lokalnego). Niemniej trzeba się o to postarać, przygotować stosowne narzędzia, wzorce i itd.

Wszystko jest jednak ostatecznie kwestią skali i stopnia komplikacji. Gdy wyjątków i różnego rodzaju obejść dla nich powstanie kilkadziesiąt, spójna polityka bezpieczeństwa staje się chaotycznym zbiorem pobożnych życzeń i ostentacyjnych "dróg na skróty". Szczytny cel wprowadzania polityki bezpieczeństwa w firmie, czyli ustalenie jednego dla wszystkich, spójnego wewnętrznie zbioru zasad, zostaje w ten sposób praktycznie pogrzebany.

Technika stawia opór

Kolejnym obszarem, w którym ujawnia się rozziew między teorią a praktyką bezpieczeństwa, jest niezgodność rozwiązań na poziomie technologii. Skutki dla bezpieczeństwa mogą być poważne, co widać szczególnie dobrze na przykładzie urządzeń mobilnych, gdy trzeba jednocześnie pogodzić wygodę zdalnego użytkowania, połączenie (najczęściej bezprzewodowe) oraz odpowiedni poziom bezpieczeństwa.

Jeśli firma decyduje się na zdalny dostęp za pomocą technologii terminalowej, logika nakazuje wyposażenie urządzeń zdalnych we właściwego klienta. Niestety, dla niektórych urządzeń przenośnych takich klientów po prostu nie ma. Może inaczej: istnieją, lecz nie zapewniają bezpieczeństwa informacji (słabe uwierzytelnianie, proste szyfrowanie itp.). Podobnie wygląda sprawa z rozwiązaniami VPN, których poprawne wdrożenie dla urządzeń bezprzewodowych jest często trudne w realizacji - nawet w ramach rozwiązań jednego producenta zdarzają się problemy.

Jak wygląda rozwiązywanie problemu w typowej firmie? W przypadku sieci lokalnych wprost do sieci LAN podłącza się , by użytkownik mobilny mógł korzystać z intranetu. W przypadku dostępu zdalnego za pomocą GPRS/EDGE uznaje się po prostu (taki zabieg higieny psychicznej), że zapewnienie bezpieczeństwa leży po stronie operatora. Lepsze jednak to, niż oznajmić decydentom, że wymarzone przez nich bezprzewodowe gadżety nie nadają się do profesjonalnych zastosowań i być może trzeba by kupić inne, często droższe, rozwiązania dedykowane.

Konflikty sprzętowo-programowe to nic w porównaniu z konfliktem interesów. Gdy firma korzysta z dostępu zdalnego, typowym kłopotem jest ustalenie sposobu zabezpieczeń i uwierzytelnienia. Zazwyczaj jest tak, że im wyższy poziom zabezpieczeń, tym mniejsza wygoda użytkowania. Powszechnie stosowane jednostopniowe uwierzytelnienie, polegające na wpisaniu nazwy użytkownika i hasła do systemu, jest zbyt słabe. Niemal każdy poważnie traktujący swoje zadania informatyk już to wie. Problemem jest zastosowanie tej wiedzy w praktyce.

W przypadku wielu użytkowników, próby zastosowania środków pożądanych przez administratorów sieci - takich jak tokeny lub karty inteligentne - napotykają poważny opór. O ile sam token nie jest czymś niewygodnym czy trudnym w obsłudze, o tyle najpoważniejszym argumentem przeciw niemu jest to, że osoba korzystająca z dostępu zdalnego musi tę rzecz nosić ze sobą.

Im wyższe stanowisko takiej osoby, tym wyższe prawdopodobieństwo wymuszenia na informatykach przygotowania specjalnego "wyjątku" właśnie dla niej.

Dane na wynos

Członkowie zarządów i dyrektorzy często podróżują. Ważne dokumenty są tworzone, wymieniane, a nawet drukowane poza firmą. Korzystają z dobrodziejstw nowoczesnej technologii, pracując całkowicie zdalnie przez serwer terminalowy, albo też te dane przechowują w swoich przenośnych komputerach. Najczęściej stosuje się to drugie rozwiązanie, gdyż jest znane od dawna oraz mniej zależy od zawodnych i nieraz mało wydajnych łączy.

Najważniejszym problemem związanym z ochroną przenoszonych danych jest ochrona samych plików zapisanych na dyskach komputera. W niemal każdej polskiej firmie wykorzystującej komputery przenośne dane na nich zapisane nie podlegają żadnej ochronie. W takim przypadku odczytanie dokumentów z dysku twardego ukradzionego (lub "wypożyczonego" laptopa) jest bardzo proste.

Administratorzy znający wyłącznie system Windows powinni wiedzieć, że ustawienie uprawnień dostępu w systemie plików NTFS jest żadnym zabezpieczeniem, gdyż od dawna istnieją narzędzia obchodzące te ograniczenia. Kopiowanie danych trwa krótko, nie zostawia żadnych śladów w systemie Windows, jest niewidoczne dla konsoli audytu w typowych komputerach.

Jedynym rozsądnym rozwiązaniem tego problemu jest skuteczne szyfrowanie zapisywanych danych. Nawet proste włączenie szyfrowania plików offline, czy szyfrowanie zawartości katalogów w systemie Windows daje efekty, gdyż wyklucza skopiowanie zawartości przez amatora korzystającego z prostych narzędzi. Jednak w przypadku kradzieży notebooka, potencjalny włamywacz ma jednak bardzo dużo czasu. Może sobie pozwolić na łamanie haseł dostępu do systemu i zalogowanie się jako użytkownik lub administrator z oryginalnym hasłem dającym dostęp do zaszyfrowanych systemowo danych.

Jeśli chodzi o wybór rozwiązania, warto raczej szukać takich, których autorzy publikują kompletny kod źródłowy, dokumentują używane do szyfrowania algorytmy oraz sposób uzyskania i przechowywania klucza. Posługiwanie się oprogramowaniem o "magicznych" właściwościach jest złudne i niebezpieczne - najlepszym gwarantem bezpieczeństwa są rozwiązania, których zasady działania i moc kryptograficzną można zweryfikować, oraz ich sprawdzone implementacje.

Koszty nie stanowią problemu. Polecam zapoznanie się z darmowym oprogramowaniem truecrypt. W 90% polskich firm spełni ono wszystkie stawiane przed nim zadania, włącznie z ochroną prywatnych danych osoby zmuszonej przemocą do ujawnienia klucza - truecrypt posiada bowiem podział na dwa stopnie tajności danych. Problemem nie jest też wydajność. Technologia szyfrowania danych w locie jest stara (znali ją już użytkownicy DOS). W małej firmie można się oprzeć na rozwiązaniach oferowanych przez systemy Windows, zaś w większych - na zewnętrznych kartach szyfrujących.

Smakołyk w kieszeni

Małe jest wygodne, ale bywa też niebezpieczne. W pamięci urządzeń typu PDA czy bardziej rozbudowanych telefonów komórkowych pozostaje kopia niektórych ważnych informacji, np. terminarza lub listy zadań z programu pracy grupowej. Synchronizacja bardzo ułatwia życie, ale dla osób odpowiedzialnych za bezpieczeństwo jest prawdziwą solą w oku.

W przypadku korzystania z narzędzi takich jak kalendarz w systemach czy Symbian, nie ma możliwości zaszyfrowania danych wykorzystywanych przez ten program. A bywa, że są to dane bardzo istotne, dotyczące terminów spotkań biznesowych, ważnych ustaleń i itd. Zamiast łamać zabezpieczenia i czytać dane programów takich jak Outlook czy Lotus, prościej ukraść dane z urządzenia przenośnego. Jak pogodzić wygodę użytkowania takich urządzeń przenośnych z zachowaniem odpowiedniego poziomu bezpieczeństwa?

Na pewno nie za pomocą głośno reklamowanych czytników biometrycznych. Każdy zaawansowany serwisant potrafi obejść takie "zabezpieczenie" albo odczytać zawartość pamięci urządzenia. Ponadto na kartach pamięci użytkownicy urządzeń PDA zawsze mają aktualny backup, który... nie jest szyfrowany. Przyczyna jest prosta - całkowite rozładowanie wszystkich baterii w systemach 2003 i starszych zawsze skutkuje pełną utratą danych w urządzeniu. Gdyby chcieć zrealizować ostre ograniczenia polityki bezpieczeństwa, żadne z urządzeń przenośnych opartych na tym systemie nie miałoby szans na przechowywanie danych aplikacyjnych.

Wyszło jak zwykle

Opór przed stosowaniem odpowiedniej technologii czy kłopoty z dobraniem właściwych rozwiązań są niczym wobec żądań związanych z wykorzystywaniem firmowych notebooków poza pracą. Wiele dyrektorów jest zdania, że wykorzystywany przez nich laptop jest prawie ich własnością i w związku z tym muszą mieć takie uprawnienia, by mogli z nim zrobić "wszystko". Dotyczy to na przykład instalacji gier dla rodziny, oprogramowania z płyt dołączanych do różnych gazet, programów pobieranych z Internetu. Wszelkie tłumaczenia przynoszą zazwyczaj skutek odwrotny i kończą się walką podjazdową między dyrekcją i osobami z działu informatyki.

Pół biedy, gdy dla takiego "gadżeciarza" istnieje możliwość przygotowania sprzętu, który umożliwia łatwą wymianę dysków. Wtedy do pracy jest przeznaczony jeden dysk zawierający dobrze przygotowany system operacyjny oraz wszelkie obostrzenia konieczne do zachowania odpowiedniego poziomu bezpieczeństwa. Do "zabawy" służy drugi dysk, łatwo wymienialny, zawierający najczęściej typową, domyślną konfigurację Windows XP, która z bezpieczeństwem ma niewiele wspólnego i dlatego nie ma wstępu do sieci firmowej. Niestety wymaga to dyscypliny od użytkownika, a o to trudno także na wysokich szczeblach. Ponadto nie tak łatwo znaleźć notebooka o satysfakcjonujących dyrekcję parametrach, ułatwiającego wymianę dysków. Wyjściem jest przydzielenie dwóch notebooków, ale to już nie jest zagadnienie z dziedziny bezpieczeństwa.

Gdy dział informatyki nie ma pozycji silnej na tyle, by takim roszczeniom móc się przeciwstawić, zazwyczaj kończy się to całkowitym poluzowaniem reguł bezpieczeństwa i jakakolwiek "polityka" w tej materii przestaje istnieć. Gorzej jeszcze, gdy stanie się to, co w takich warunkach nieuchronne, czyli firmowy komputer stanie się ogniskiem wszelkiego internetowego plugastwa, winni są ci, którzy odpowiadają za informatykę. Bo nie dopilnowali, nie zabezpieczyli, nie dopatrzyli itd.

Nic się nie zmienia

Podstawowym niedostatkiem bezpieczeństwa większości systemów teleinformatycznych nie są braki technologii, lecz nieświadomość użytkowników i opór przed uznaniem względów bezpieczeństwa za ważne dla nich samych. Paradoksem jest to, że taką postawę prezentują często osoby wysoko postawione w strukturze organizacyjnej firmy, przetwarzające na swoich komputerach dane syntetyczne, często o strategicznym znaczeniu dla firmy. Czynienie wyjątków dla nich jest bardziej ryzykowne i niebezpieczne dla firmy, niż całkowite zwolnienie z zabezpieczeń komputerów "szeregowych" pracowników. Ten problem jest starszy niż informatyka, ale kto ma dziś czas sięgać po mądrość sprzed wieków?


TOP 200