Doświadczenie pokazuje, że nie ma możliwości pełnego zabezpieczenia systemu informatycznego przed wirusami. Można jednak zmniejszyć ryzyko infekcji.

Najważniejszym elementem walki z wirusami jest świadomość, iż nawet najnowsze wersje oprogramowania antywirusowego, zainstalowane na stacjach roboczych i serwerach, nie gwarantują, że w firmie nie wystąpi epidemia. Poczucie bezpieczeństwa po zainstalowaniu pakietu antywirusowego jest bardzo złudne i sprawdza się tylko wówczas, gdy do firmowego systemu informatycznego trafiają dokumenty i pliki, zawierające dokładnie znane wirusy. W przypadku nowych odmian lub zupełnie nowych wirusów istnieje realne zagrożenie pojawienia się epidemii bez względu na to, czy firma korzysta z aplikacji zabezpieczających.

Doskonałym tego przykładem jest najsłynniejszy w ostatnich miesiącach wirus Melissa, który w pierwszej kolejności zaatakował dobrze zinformatyzowane firmy o bardzo rozwiniętej infrastrukturze komunikacyjnej, korzystające z najnowszych wersji aplikacji biurowych. Używane w tych firmach oprogramowanie antywirusowe, mimo że korzystając z wbudowanych mechanizmów heurystycznych wykrywało pliki zawierające podejrzany fragment kodu, nie umiało zapobiec rozprzestrzenianiu się wirusa. W jego bazie danych nie było bowiem definicji kodu Melissy opisującej, w jaki sposób należy usuwać wirusa z plików. W efekcie to użytkownik otwierający zainfekowany dokument decydował, czy chce uruchomić zawarte w dokumencie makrodefinicje.

Edukacja użytkowników

Żaden, nawet najbardziej wyrafinowany pakiet antywirusowy nie pomoże, jeśli zapomni się o edukacji użytkowników. Im także trzeba wytłumaczyć, że program skanujący wirusy nie gwarantuje stuprocentowego bezpieczeństwa ich danych. Bez szkolenia trudno wymagać od użytkowników poprawnej odpowiedzi na pytanie, czy otwierać dokument wyposażony w makra. Zapewne większość z nich nigdy nie używała makrodefinicji w tworzonych przez siebie dokumentach i nawet nie wie dokładnie, do czego one służą i w jaki sposób pracują.

Plagą Internetu są bezmyślnie przesyłane przez użytkowników ostrzeżenia o rzekomych wirusach (tzw. hoaxach), ukrytych w przesyłkach pocztowych, które opatrzono sensacyjnymi tytułami VIRUS ALERT, DO NOT OPEN itp. Ostrzeżenia te najczęściej nijak się mają do rzeczywistości i działy informatyki firm powinny dokładnie określić zasady traktowania takiej korespondencji (np. każdy użytkownik, który otrzyma tego typu wiadomość, powinien przed wysłaniem listu przekazać go do weryfikacji administratorowi sieci, który oceni, czy zapowiadane w nim zagrożenie jest realne).

Ważne jest też poinstruowanie użytkowników o sposobie reagowania na ostrzeżenia wyświetlane przez zainstalowane na ich komputerach aplikacje antywirusowe.

Bezpieczny jak najsłabszy element

Stara prawda mówi, że system informatyczny jest tak bezpieczny, jak jego najsłabszy element. Reguła ta odnosi się zarówno do zagrożeń ze strony hakerów chcących uzyskać dostęp do zasobów sieci lokalnych, jak i do wirusów próbujących przedostać się na komputery użytkowników. Ochroną antywirusową powinny być objęte wszystkie stacje robocze, serwery plikowe i aplikacyjne. Często koszt takiego rozwiązania jest ogromny. Dlatego jeśli przedsiębiorstwo nie chce lub nie może zdecydować się na kompleksowe zabezpieczenie, powinno tak zastosować rozwiązania pośrednie, aby objąć ochroną możliwie największy obszar sieci.

Jeśli podstawowym sposobem komunikacji w firmie jest poczta elektroniczna, to najważniejsze staje się zabezpieczenie serwerów pocztowych - przynajmniej tych, które pośredniczą w wymianie poczty między siecią lokalną a Internetem. W przypadku gdy firma korzysta z więcej niż jednego serwera pocztowego, a nie ma zamiaru kupować licencji oprogramowania antywirusowego na każdy z serwerów, powinna skonfigurować system pocztowy w taki sposób, by wszystkie listy zawsze były przesyłane przez serwer, który skanuje korespondencję pod kątem wirusów.

Dla COMPUTERWORLD komentuje Marek Sell właściciel firmy Mks:

Liczba wirusów przyrasta liniowo, wolniej niż kilka lat temu. Zagrożenie atakiem wirusowym jest jednak znacznie większe ze względu na zmiany w sposobie pracy z komputerem. Po pierwsze, programy i systemy operacyjne są coraz wygodniejsze w obsłudze, coraz bardziej przyjazne dla użytkownika, niestety kosztem bezpieczeństwa. Po drugie, podstawowym źródłem infekcji wirusowych stała się wymiana danych, a nie wyłącznie wymiana programów, jak przed kilku laty. Wirusy zawsze były ulubionym tematem mediów. W ubiegłym tygodniu media nie zwróciły uwagi na wirusa CIH, co zaowocowało chyba największą dotychczasową epidemią wirusową. Myślę, że w Polsce po 26 kwietnia co najmniej kilka tysięcy płyt głównych kwalifikuje się do wymiany.

Wirusy będą zawsze, a ich pisanie stanie się jeszcze łatwiejsze. Szansę na ograniczenie tego zjawiska widzę we wprowadzeniu praktyki karania za rozpowszechnianie wirusów, ale też za zachwycanie się wirusami i ich twórcami na łamach prasy.

Ochrona tylko części serwerów pocztowych może jednak wiązać się z ryzykiem. W przypadku systemu pocztowego Microsoft Exchange nie wszystkie informacje przechowywane na serwerze są przez niego przesyłane, np. dokumenty umieszczane w folderach publicznych nie przechodzą przez żadnego agenta transferowego, co uniemożliwia ich sprawdzenie w zakresie obecności wirusów. W takiej sytuacji jedynym rozsądnym rozwiązaniem jest instalacja na każdym serwerze Microsoft Exchange pakietu antywirusowego, który nie tylko skanuje przesyłaną korespondencję, lecz także wyszukuje wirusy w skrzynkach pocztowych, znajdujących się na serwerze i we współdzielonych folderach publicznych.

Należy również pamiętać, że nawet instalacja stale aktualizowanego oprogramowania antywirusowego na wszystkich serwerach pocztowych nie zapewnia, iż nie przejdą przez nie zawirusowane pliki. Wystarczy, że załącznik zabezpieczony jest hasłem lub przesłany w formie spakowanego pliku ZIP zabezpieczonego hasłem, a oprogramowanie antywirusowe nie będzie mogło go otworzyć i zbadać. W związku z tym równie ważne jest zabezpieczenie stacji roboczych, na których zazwyczaj taki plik jest rozpakowywany, a jego zawartość "uwalniana".

Zawsze świeżo, zawsze pewnie

Na niewiele przydaje się oprogramowanie antywirusowe, które nie jest aktualizowane. Miesięcznie przybywa co najmniej kilkaset wirusów, w tym kilka naprawdę groźnych. Szczególną wagę należy przywiązać do rozwiązania problemu regularnej dystrybucji uaktualnień do oprogramowania wirusowego. Można to przeprowadzić, regularnie wysyłając pocztą elektroniczną użytkownikom pliki z nowymi definicjami wirusów, licząc, że samodzielnie skopiują go do odpowiedniego katalogu. Zazwyczaj jednak rozwiązanie takie się nie sprawdza, gdyż użytkownicy często nie kopiują plików w odpowiednie miejsce.

Najlepiej jeśli oprogramowanie dystrybuowane jest automatycznie, za pośrednictwem sieci komputerowej. Dobrze, gdy stacje robocze nie pobierają nowych definicji wirusów bezpośrednio z internetowych serwerów producentów (większość aplikacji antywirusowych ma już taką możliwość), ponieważ znacznie obciąża to łącze internetowe. Pliki aktualizacyjne powinny być ściągane z WWW producenta na jeden serwer w firmie, który będzie przekazywał je stacjom roboczym. Stosowana aplikacja antywirusowa powinna także umożliwiać zablokowanie modyfikacji jej konfiguracji przez nie uprawnionych użytkowników. Umożliwi to administratorom takie jej ustawienie, by użytkownicy nie mogli przerywać okresowego, kompleksowego skanowania dysków twardych ani wyłączać rezydentnego skanera monitorującego wszystkie otwierane pliki.