Środki techniczne

Kolejnym sposobem zabezpieczania dostępu są środki mechaniczne i wizyjne: niszczarki dokumentów, szkatułki, małe i większe szafy pancerne, sejfy, kodowane zamki, drzwi, zapory, bramki, monitoring wizyjny, itd. itp. Mamy również do dyspozycji świetne systemy służące do inwigilacji użytkowników systemów informatycznych.

Systemy monitorujące w zasadzie robią wszystko to, co można robić "ręcznie". Konieczność ich stosowania wynika ze złożoności obecnych rozwiązań informatycznych. Są to systemy klasy "Zarządzanie Zasobami Informatycznymi" (mylący angielski termin Asset Mangement). Przykładami takich systemów są: MS SMS, IBM Tivoli, CA Unicenter, HP Open View itd. Po okresie wieloletniego rozwoju i rozbudowy funkcji systemy te obecnie są wręcz wymarzonym narzędziem analizy pracy firmy czy instytucji od strony informatycznej. Mogą dostarczyć praktycznie każdą informację o zachowaniach użytkowników. Kłopot polega jedynie na takim ich skonfigurowaniu, by dostarczały informacje nas interesujące i robiły to w odpowiedni sposób (np. poprzez wiadomość SMS), donosiły i reagowały (np. poprzez blokadę drzwi) na incydenty.

Nazwa klasy systemów jest myląca, gdyż nie ma w niej bezpośredniego odwołania do obszaru zarządzania bezpieczeństwem i ochroną informacji. Systemy te dzięki ewidencji zasobów i możliwości monitorowania działania praktycznie każdego komponentu sprzętowego i programowego są wręcz wymarzonym narzędziem inwigilacji (nb. słownictwo związane z prowadzonym przez owe narzędzia monitoringiem odpowiada nomenklaturze wykorzystywanej przy opisie ostatnich głośnych spraw, chociażby Orlenu). W skład tych systemów wchodzą inteligentne agenty (programy - nie zaś osoby), które monitorują zachowania użytkowników zasobów w celu m.in. wykrycia incydentów i zidentyfikowania podejrzanych użytkowników oraz podjęcia odpowiednich działań wyprzedzających intruza.

Systemy monitorujące zasoby sieci mają opinie drogich. Odstrasza to przed ich zakupem, zwłaszcza małe i średnie firmy. Doświadczenia autorów wykazują natomiast, że nawet wyrywkowe ich stosowanie przynosi bardzo dobre rezultaty. Użytkownicy są często bardzo zaskoczeni widokiem list zrealizowanych przez siebie połączeń telefonicznych, przesyłanych w sieci plików, wysyłanych e-maili lub drukowanych dokumentów. Jeżeli będą musieli dodatkowo napisać wyjaśnienie, dlaczego się z kimś kontaktowali, po co drukowali pewne dokumenty, dlaczego wysyłali e-maile do osób niebędących pracownikami czy kontrahentami, to na pewno nie pozostanie bez wpływu na ich zachowania. Koszty wyrywkowych rozwiązań są minimalne, zaś korzyści mogą być natychmiastowe i w dodatku wymierne ekonomicznie.

Przykładowo, istnieje sprawdzone polskie rozwiązanie do monitorowania wydruków (Printoscope). Zasadniczym przeznaczeniem tego systemu jest monitorowanie wydruków zlecanych przez użytkowników. Żeby to robić, system monitoruje ruch w sieci i pokazuje, kto i jakie pliki transferuje, więc jest on bardzo dobrym środkiem zapewnienia poufności i ochrony informacji. Użytkownicy, którzy muszą tłumaczyć się z tego, co i gdzie drukują, pracują wydajniej. W dodatku Printoscope w znaczący sposób ogranicza ilość marnowanego papieru i tuszu, co ma konkretne znaczenie ekonomiczne.

A zatem decydenci odpowiedzialni za IT w organizacjach mają większość narzędzi, aby prawidłowo chronić informacje. Dlatego hakerzy i wykradacze danych stają przed coraz ambitniejszymi zadaniami i z mniejszym lub większym powodzeniem podejmują swoje niecne czyny. Dlatego mija czas "Zoś samoś" i "Madchen fuer alles" i magii(*). Trzeba zdać się na wiedzę i doświadczenie specjalistów z zakresu dobrze określonych zadań cząstkowych, w tym scalających rozwiązania z zakresu ochrony i bezpieczeństwa danych.

Decydenci (członkowie zarządu, pełnomocnicy ds. bezpieczeństwa systemów i danych) nie muszą: patentować koła(*), zawracać kijem Wisły(*), udawać Greka vel rżnąć głupa(*): obiecywać gruszek na wierzbie(*) czy szukać kamienia filozoficznego(*). Muszą natomiast (1) standaryzować występujące w firmie procesy, (2) szacować i monitorować ryzyko oraz (3) wdrażać procedury korzystania z dostaw i usług firm zewnętrznych, kontroli wewnętrznej i zewnętrznej oraz panowania nad rozwojem systemu.

Audytorzy i szpiedzy etyczni

Ułomności natury ludzkiej, w szczególności niechęć wobec zmian, lenistwo i trudności z przyznawaniem się do popełnianych błędów czy przewinień, przyczyniają się do konieczności przeprowadzania audytów. W każdej instytucji, gdzie istotne są ochrona dostępu i bezpieczeństwo informacji, powinna być osoba (pełnomocnik zarządu, oficer bezpieczeństwa albo audytor wewnętrzny) odpowiedzialna za opracowanie odpowiednich procedur, a następnie monitorowanie ich stosowania. Poleganie jedynie na osobach wywodzących się z firmy nie wystarcza z dwóch podstawowych powodów:

1. Obrony własnych interesów (Czy w przypadku któregoś z ostatnich incydentów ktoś przyznał się do winy? Oczywiście najczęściej nikt - "wszystko było OK");

2. Naturalnej i oczywistej niewiedzy (to niemożliwe i zresztą niepotrzebne, by w każdej instytucji pracowali tacy specjaliści, jak np. "antyhakerzy").

Dlatego tak ważne jest korzystanie z audytów zewnętrznych prowadzonych przez profesjonalistów. Należy zaznaczyć, że sami audytorzy jakości, np. wg ISO 9001, nie wystarczą, gdyż mogą oni stwierdzić jedynie, czy przestrzegane są procedury. Praktyka pokazuje, że najlepsze wyniki daje uzupełnienie ich działań audytami bezpieczeństwa sieciowego przeprowadzanymi przez etycznych szpiegów informatycznych i hakerów.

Wynika to z cech psychiki ludzkiej. Wszyscy - a w szczególności administratorzy i oficerowie bezpieczeństwa - będą lepiej pracowali, jeżeli będą wiedzieli, że ich szefowie wynajęli specjalistów, którzy w każdej chwili mogą starać się wykraść z firmy dane, zablokować serwer, zniszczyć zasoby czy na stronie głównej organizacji umieścić zdjęcie pornograficzne.

Etyczny szpieg to nienaganna pod względem moralnym, niekarana osoba, która ma do tego pozwolenie i pełnomocnictwa wysoko postawionej osoby w firmie. Stosując metody wywiadowcze, stara się zdobyć poufne informacje, w tym sposoby zabezpieczania informacji w systemach informatycznych, by następnie stosując różne nieetyczne metody (jak np. prowokacja, podszywanie się pod kogoś) wykraść te informacje. Ponadto stosując wiedzę hakerską, próbuje: skanować porty, dotrzeć do zasobów, zniszczyć je (po uprzednim zrobieniu kopii), zablokować serwery, zmienić zawartość stron WWW .