4. Technologie

Do wyzwań dyrektorów IT w 2006 r. z pewnością będzie należeć ostrożniejszy niż dotychczas dobór technologii i rozwiązań w dziedzinie zabezpieczeń. Okazuje się, że nawet dostawcy uważani powszechnie za solidnych i czerpiący z tego na co dzień korzyści w postaci premii za markę, miewają problemy z jakością. Więcej nawet - wielu spośród nich popełnia grzech zaniechania, oferując rozwiązania, które same podatne są na ataki, i to pomimo faktu, że - w wielu przypadkach - zagrożenie znane było wiele miesięcy wcześniej.

Tak było z błędami wykrytymi w systemie IOS, tak było wielokrotnie z dostawcami systemów antywirusowych, spośród których tylko nieliczni zainteresowali się faktem, że ich produkty nie wykrywają miniprogramów ukrytych tuż za nagłówkiem pliku. Podwójną moralność dostawcy - jawiącego się jako obrońca klientów przed wszelkim złem - pokazali także w sprawie związanej z oprogramowaniem DRM autorstwa Sony Music/BMG. Oprogramowanie to nie dość, że działało jak rootkit, okazało się, iż zawiera liczne błędy pozwalające na zdalne przejęcie kontroli nad komputerem. Mimo to większość skanerów antywirusowych nawet się nie zająknęła.

Przykro to stwierdzić, na klienta czyhają zarówno włamywaczem, jak i dostawcy zabezpieczeń. Włamywacze chcą mu ukraść dane i szantażować, żądając pieniędzy. Dostawcy zabezpieczeń również wymuszają haracz, choć robią to w białych rękawiczkach. Rootkity i programy szpiegujące mieszczą się w pojęciu malware, czyli złośliwego kodu, dla ochrony przed którym powstały ponoć skanery antywirusowe. Cóż z tego, skoro za nową funkcjonalność można wziąć pieniądze. Stąd właśnie bierze się oferowane oddzielnie, choć często integrujące się ze skanerem antywirusowym, oprogramowanie antyszpiegowskie i antyrootkitowe. Dyrektor IT nie może tej smutnej prawidłowości nie dostrzegać i stosownie do interesu swojej firmy powinien na takie praktyki reagować.

Innym wyzwaniem w dziedzinie technologii jest bezpieczeństwo produktów okrzykniętych bezpiecznymi. Nigdzie nie widać tego zjawiska lepiej, niż w dziedzinie rozwiązań do budowy sieci WLAN. Standardy uwierzytelniania w sieciach 802.11 wprawdzie istnieją - jest ich nawet całkiem sporo, ale żadnego z nich nie można uznać za całkowicie bezpieczny. Uwierzytelnianie jest w nowoczesnych sieciach WLAN sprawą krytyczną. Za sprawą standardu szyfrowania 802.11i, zwanego też WEP2, problem podsłuchu komunikacji WLAN został niby zażegnany, ale... to tylko pozory. Niedoskonałość uwierzytelniania w sieciach WLAN pozwala na włamanie się do sieci i podsłuchiwanie komunikacji bez prób łamania szyfrów opartych na algorytmie AES.

Sieci WLAN zgotują pod względem bezpieczeństwa jeszcze niejedną niespodziankę. Jeżeli na obecnym etapie rozwoju technologii wdrożenie naprawdę bezpiecznej sieci WLAN wymaga zakupu drogich sond wykrywających obcy ruch, zagłuszaczy, dedykowanego oprogramowania zarządzającego itp., można się zastanawiać, czy wdrażanie WLAN w ogóle jest dla firmy opłacalne. Największe wyzwania wciąż jednak przed nami. Hitem w dziedzinie zagrożeń będzie połączenie technologii WLAN z łącznością głosową VoIP, która sama nastręcza rozlicznych problemów.

Dla wielu dyrektorów IT już wkrótce wyzwaniem będzie zaprojektowanie skalowalnej architektury do przetwarzania rosnącej puli danych. Zadanie nietrywialnie nie tylko z powodu tego, że przechowywanie danych w formie niezaszyfrowanej wywołuje nerwowość w zarządach. Także dlatego, że wysiłki zmierzające do zapewnienia bezpieczeństwa danym mogą bardzo łatwo wymknąć się spod kontroli, ograniczając możliwości działania w innych sferach, w tym w bezpieczeństwie. Dość powiedzieć, że koszty zabezpieczenia sieci SAN to znacznie większe pieniądze, niż np. w przypadku sieci iSCSI.

5. Zagrożenia

Jeśli zagrożenia będą w 2006 r. się mnożyć w tym samym tempie, jak miało to miejsce w 2005 r., bieżący rok nie będzie należeć do udanych. Masowe infekcje wirusów wykorzystujących luki w zabezpieczeniach systemów i aplikacji działających w Internecie mogą bardzo łatwo odbić się na bezpieczeństwie. Dla wytrawnego włamywacza nie ma atrakcyjniejszego celu niż zdezorganizowana, zajęta sama sobą, wielka firma.

Ale zagrożenia niemasowe również dadzą o sobie znać. W sieci zaczynają pojawiać się eksploity pisane dla aplikacji, które nie są popularne, ale za to wykorzystywane przez użytkowników o określonym profilu (w domyśle: mających dostęp do ważnych danych lub zasobów sieci). Świadczy to o tym, że niekorzystanie z aplikacji będących dotychczas domyślnymi celami ataków hakerskich (m.in. Internet Explorer, Outlook Express, Outlook) wcale nie chroni przed zakusami zdalnych rabusiów danych czy tożsamości.

W ubiegłym roku pojawił się jeszcze jeden powód do zmartwienia. Firma GData ujawniła, że możliwe jest składanie fałszowanego kwalifikowanego podpisu elektronicznego zgodnego z literalnymi wymogami Ustawy o podpisie elektronicznym. Jeśli więc firma zamierza korzystać z podpisu elektronicznego w sprawach, które mogą skończyć się w sądzie, wątpliwe, aby było to rozsądne.

Prawo wyraźnie mówi, że autentyczności podpisu nie da się podważyć na bazie jego elektronicznej formy. Dowodów na podmianę niewielkiego ciągu znaków w momencie składania podpisu raczej próżno szukać.