Fakty i reguły

Podstawowym argumentem przemawiającym za koniecznością monitoringu pracowników jest wymowna statystyka dotycząca wykroczeń i przestępstw dotyczących poufności i ochrony danych. Od lat statystyki dostarczane przez firmy audytorskie i konsultingowe są do siebie podobne. Tylko 10-15% dotyczy penetracji zasobów sieci z zewnątrz. Pozostałe 80-90% incydentów dokonywanych jest z wnętrza sieci. Około 60% związanych jest z nieautoryzowanym dostępem, ok. 15% to wynoszenie danych na zewnątrz korporacji (przez osoby, które mają do nich autoryzowany dostęp), zaś ok. 11% to sabotaż sieciowy. Tak więc ulubione rozwiązanie ostatnich lat, czyli firewall zewnętrzny, chroni sieć jedynie w 10-15%. Wiele problemów związanych z bezpieczeństwem sieci daje się rozwiązać dzięki systemom monitorowania i zarządzania zasobami sieciowymi, np. HP Open View, IBM Tivoli, CA Unicenter lub Microsoft SMS. Należy jednak pamiętać, że systemy te dobrze monitorują działanie sieci co najwyżej do poziomu warstwy IV modelu OSI. To, co się dzieje w warstwach wyższych, widziane jest we fragmentach. Dodatkową wadą jest brak możliwości realizacji wielu zadań ważnych dla zapewnienia bezpieczeństwa, gdyż po prostu nie są one do tego przeznaczone.

By mówić o bezpieczeństwie systemu IT, trzeba monitorować wszystko, co się w nim dzieje. Wygodnie jest tu zastosować model OSI - w którym sieci zobrazowane są jako system składający się z siedmiu warstw: fizycznej, łącza danych, sieciowej, transportowej, sesji, prezentacji i aplikacji. Sieć wymaga sprawnego działania i ochrony każdej warstwy. Żeby wiedzieć, co dzieje się w sieci, trzeba rozumieć, co dzieje się na każdym jej poziomie. Nie jest jednak oczywiste, że na poziomie każdej warstwy można dokonać włamania do sieci. Nawet ci, którzy są tego świadomi, nie podejmują skutecznych działań argumentując, że sieć jest tak złożona, że niemożliwe jest skuteczne zabezpieczenie każdej warstwy przed intruzami. Na szczęście tak nie jest.

Obecnie i w dającej się przewidzieć przyszłości skutecznym sposobem chronienia sieci przed włamaniem jest osiągnięcie przeświadczenia wszystkich użytkowników, że ich działania są monitorowane. Użyteczne do osiągnięcia takiego stanu są działania administratorów pokazujące, że sieć jest monitorowana. Może to np. być komunikat "Dlaczego przynosisz, kotku, z domu dyskietki, przecież jest to zabronione?" na monitorze użytkownika korzystającego z pozafirmowych nośników danych, albo "Rozpoczynasz kopiowanie pliku, co nie należy do twoich obowiązków. Wyjaśnij powód działania ochroniarzowi, który idzie już do Twojego biurka".

Sceptycy mówią w tym momencie, że śledzenie wszystkiego, co dzieje się w sieci, nie jest możliwe organizacyjnie, gdyż trzeba by stworzyć bardzo drogi system, który by to robił. Zwróćmy jednak uwagę na to, że to komputer wykona za nas murzyńską robotę, a celem działań jest uświadomienie użytkowników, że są monitorowani. Wiadomo, że skracamy, ułatwiamy i usprawniamy pracę, ograniczając dostęp jedynie do niezbędnych zasobów.

Wiele mechanizmów inwigilacji sieci (poza tajnymi mechanizmami systemów typu Echelon, Carnivor) można zbudować, wykorzystując systemy klasy "Global IT resources management" czy też "Asset management", które zwykle zawierają moduły: ewidencji zasobów sprzętowych i oprogramowania; ochrony przed wirusami; zarządzania siecią; organizacji i archiwizowania danych; prawa dostępu, hasła i szyfrowanie przesyłania danych; pracy grupowej oraz helpdesku. Te moduły pozwalają na monitoring zasobów i stanowią wygodne narzędzie służące do organizacji bezpieczeństwa w firmie.

Należy tylko podać zasady ochrony krytycznej dla systemu, urządzeń i oprogramowania, obrony przed wirusami, działania w sytuacjach anormalnych, archiwizacji danych, szyfrowania danych, przydzielania uprawnień i odpowiedzialność za zasoby oraz działania w sytuacjach uznanych przez nas za niebezpieczne. Zasady te są opisywane w dokumencie pt. "Polityka bezpieczeństwa". Droga do rzetelnego zapewnienia prawdziwego bezpieczeństwa działania zasobów IT polega na tym, że postępujemy zgodnie z opisanymi w nim procedurami.

Bezpieczeństwa nie można stworzyć w jednej chwili. Powstaje ono etapami. Nie trzeba kupować od razu całego systemu, lecz należy go wdrażać krokami dopasowanymi do organizacji. Moduły mogą być wdrażane osobno (np. podsystemy ochrony antywirusowej, czy centralnego tworzenia kopii zapasowych i archiwizacji). Samo zainstalowanie modułów nie rozwiązuje problemów bezpieczeństwa, ale pozwala stosunkowo łatwo uporać się z takimi problemami, jak kontrola praw dostępu do zasobów (monitorowanie i raportowanie dostępu czy single sign-on, tj. jednokrotna rejestracja dostępu do sieci) czy organizacja i ochrona zasobów archiwów.

Należy podkreślić, że systemy tego typu cały czas prowadzą monitoring zdarzeń we wszystkich zasobach IT, umożliwiają diagnostykę oraz pozwalają na predefiniowanie automatycznych reakcji. Monitoring odbywa się również w warstwie systemów i aplikacji. Chodzi tutaj o oprogramowanie systemowe i narzędziowe (również typu Exchange czy Lotus Notes), baz danych i aplikacje np. klasy ERP. Tak więc można śledzić, co dzieje się z utajnianymi zwykle danymi dotyczącymi cenników, sprzedaży czy raportów finansowych generowanych przez aplikacje typu R3 czy Baan i przechowywanych w bazach danych Oracle, DB2 lub Informix.

Zarządy firm, które nie lubią wydawać pieniędzy, chciałyby zabezpieczać korporacyjne zasoby IT, nie przeznaczając na to ani złotówki. Dlatego taką popularnością cieszy się pomysł skalkulowanego ryzyka. Ponosząc mniejsze nakłady pozwala się, by część danych była po prostu niechroniona, część chroniona lepiej, natomiast pozostałe przechodziły okresowe testy, pozwalające określić, czy należy wprowadzać nowe procedury, albo czy należy wprowadzone mechanizmy (takie jak sprzęt, oprogramowanie, organizacja) zmodyfikować.

Jednak zawsze prewencja przynosi lepsze efekty niż ściganie i karanie po stracie. Warto więc inwestować i wprowadzić odpowiednie mechanizmy ochrony danych, aby nie stracić dużo więcej.

Dr inż. Leszek Grocholski jest pracownikiem naukowym w Instytucie Informatyki na Uniwersytecie Wrocławskim. Andrzej Niemiec jest pracownikiem firmy Prim sp. z o.o.