Współpracować, nie szkodzić

Słowo bezpieczeństwo zyskuje nowe znaczenie, gdy rozważa się, w jaki sposób można używać i nadużywać nowe narzędzia

Słowo bezpieczeństwo zyskuje nowe znaczenie, gdy rozważa się, w jaki sposób można używać i nadużywać nowe narzędzia.

Dwie wschodzące gwiazdy w zaangażowanej politycznie, szybko rozrastającej się firmie z Silicon Valley. Obaj ciężko pracują i chcą awansować, żaden nie ma zamiaru podlegać drugiemu.

Jeden z nich nie ma ochoty siedzieć i patrzeć jak wygrywa lepszy. Pan X bierze sprawy w swoje ręce. Korzystając z firmowego systemu kalendarzowego, służącego do uzgadniania spotkań zmienia informacje przeznaczone dla przeciwnika - pana Y.

Pan Y zaczyna spóźniać się na ważne narady, przychodzić na nie istniejące spotkania. Coraz więcej ludzi, w tym i on sam zastanawia się nad jego wiarygodnością. Wszystko to szybko wpływa na pozycję pana Y w firmie, rezultatem jest awans pana X.

Mimo iż przykład jest fikcyjny, intrygę można by zorganizować. Środowiska przetwarzania współpracującego wymagają nowych rozwiązań w zakresie bezpieczeństwa. Rozwiązania takie muszą się znaleźć zanim rozrośnie się ich infrastruktura.

Dosyć rzadko spotykamy się z takim podejściem do problemów bezpieczeństwa. Historia wykazuje, że zarządzający dopiero wtedy dostrzegają potrzebę zabezpieczeń, gdy nowe technologie zostaną już na wielką skalę wdrożone i pojawią się poważne problemy.

Amerykański system komórkowej łączności telefonicznej daje kolejny przykład. Osoby zajmujące się łącznością na ogół nie zastanawiają się nad problemami bezpieczeństwa. W rezultacie specjalne numery seryjne, dzięki którym możliwa jest identyfikacja telefonu, z którego prowadzona jest rozmowa rozpowszechniły się wszędzie w formie nie zakodowanej. Pozwoliło to na przechwycenie tych numerów i zaprogramowanie ich na własnych telefonach. Koszty opłat za rozmowy ponosił nie telefonujący, lecz ktoś zupełnie inny.

Prace finansowane przez IBM, a wykowywane w Stanfrord Research Institute International (SRI) udowodniły iż wbudowanie systemów kontroli w aplikację w trakcie tworzenia jest dziesięć razy tańsze niż dodawanie ich, gdy aplikacje są już w fazie produkcji.

Zanim zostaną wybrane odpowiednie systemy kontroli przetwarzania współpracującego, organizacja musi ocenić ryzyko. "Organizacja musi wiedzieć jakie są jej podstawowe potrzeby" twierdzi David Coleman, główny konsultant w Collaborative Strategies. Oceny ryzyka powinny zawierać takie informacje jak oszustwa, przerwy w usługach, fałszowanie integralności danych, szpiegostwo przemysłowe, sabotaż, terroryzm, błędy i zaniedbania, naruszenia prywatności.

Przetwarzanie współpracujące wprowadza także specjalne systemy zabezpieczeń. Z definicji systemy dotyczą dzielonej przestrzeni. Gdy ludzie myślą o zabezpieczeniach myślą także o restrykcjach - typowo błędna filozofia.

Ronni Marshak, główny edytor Workgroup Computing Report opublikowanego przez Patricia Seybold Group twierdzi, iż użytkownicy systemów przetwarzania współpracującego "nie zastanawiają się zbytnio nad dzieleniem informacji, w rezultacie najczęściej ustanawiają prawa dostępu zbyt szeroko". Poza hasłami użytkowników, pakiety do pracy grupowej jak Lotus Notes posługują się kontrolnymi listami dostępu, by definiować typ informacji jaki wymaga dzielenia.

Własność informacji jest kolejnym obszarem, który wymaga klasyfikacji zanim wdroży się systemy przetwarzania współpracującego. Bardziej wyspecjalizowane organizacje potrzebują zdefiniowania właścicieli informacji, a także praw i obowiązków, jakie taka własność wnosi. Czy pojedynczy człowiek, bądź organizacja ma jakieś informacje? Jeśli nie odpowie się na to pytanie "ludzie mogą uważać, że naruszono ich prawa do prywatności" twierdzi Marshak.

Zabezpieczanie kodowaniem

Gdy nie istnieją jasne zarządzenia dyrekcji dotyczące zabezpieczeń, wielu użytkowników systemów przetwarzania współpracującego, niedbale rozpowszechnia te informacje, które powinny być trzymane w tajemnicy. Użytkownicy mogą np., gromadzić informacje we wspólnym katalogu na serwerze, podczas gdy powinnny się one znajdować w katalogu na ich własnym twardym dysku.

Problemy zasad dostępu należy rozwiązać zwłaszcza wtedy gdy pracownicy więcej niż z jednej organizacji korzystają z systemu przetwarzania współpracującego. Spotyka się to często w korporacjach wirtualnych. W sytuacji, gdy firmy łączą grupy ludzi, na które składają się pracownicy kontraktowi, konsultanci, pracownicy zatrudniani na godziny i inni outsiderzy, tacy zatrudnieni są bardziej lojalni wobec siebie niż wobec organizacji. "Przy słabszej kontroli nad podwładnymi, prawdopodobieństwo zamieszania wzrasta" sądzi Coleman.

Problematyczna jest także prawdziwa tożsamość użytkowników przetwarzania współpracującego. Earl Craighill, dyrektor programowy rozszerzanych środowisk wspólnych w SRI twierdzi "podstawową potrzebą jest identyfikacja użytkowników i zasobów".

Craighill szczególnie bierze to pod uwagę przy wspólnych procesach czy agentach software'owych przesyłanych z jednej maszyny na drugą, zwłaszcza na sieciach o słabych zabezpieczeniach, jak np. Internet. Zasoby takie można wykrywać na podstawie ich adresów pochodzenia. Najczęściej nie ma jednak odpowiednich mechanizmów służących do potwierdzenia źródła tego typu zasobów.

"Rozważyć należy sytuację, w której wysyła się agenta do komputera maklera giełdowego, by wynegocjować nabycie akcji" mówi Craighill. "W jaki sposób komputer maklera ma dowiedzieć się, że agent nie jest koniem trojańskim, a sam komputer będzie wykonywać poprawnie wszelkie instrukcje użytkownika".

Szyfrowanie jest w stanie rozwiązać część z zagadnień, które przedstawił Craighill. Szyfrowanie pozwoli usunąć informacje sprzed oczu tych, dla których nie jest ona przeznaczona. Umożliwi także weryfikację, czy informacja została wysłana przez konkretnego klienta, otrzymana przez innego i nie została zmodyfikowana w trakcie tranzytu.

Craighill uważa szyfrowanie przez dowolnego użytkownika za niezbędny element pozwalający na korzystanie zarówno z tych funkcji, jak i innych np. etykiet czasowych dla wiadomości. Dopiero gdy firma wdroży oparte na szyfrowaniu funkcje będzie mogła zrezygnować z części zapór tworzonych przez systemy zabezpieczeń. "Korzystanie z zapór jest rozwiązaniem zbyt restrykcyjnym by mogło być stosowane w zaawansowanych systemach współpracy" twierdzi Craighill.

Brak standardów

Standardy i interfejsy do programowania aplikacji (API) w zakresie szyfrowania w środowisku przetwarzania współpracującego są wciąż niezbyt sprecyzowane. Jeżeli mamy uniknąć "kryptoanarchii" niezbędny będzie zapewne jakiś rodzaj centralnej kontroli.

Kryptoanarchia - wzrastająca liczba stosowanych przez użytkowników nie kontrolowanych, indywidualnych systemów szyfrowania. Może jej zapobiec w sieciach, które umożliwiają zachowanie anonimowości wysyłającego/adresata, niewykrywalność ścieżki przesyłania wiadomości, ślepe sygnatury cyfrowe.

Pomimo iż kryptoanarchia na razie jest jedynie groźbą w formie spekulacji, może mieć ona głęboki wpływ na społeczeństwo i biznes. (Więcej informacji na ten temat można uzyskać w książce Kevina Kelly "Out of Control", Addison Wesley, 1994).

Pojęcie "dobrze ukształtowane transakcje" będzie we wzrastającym stopniu integrowane z systemami przetwarzania współpracującego. Transakcja jest dobrze ukształtowana jeśli poprzedzają ją uważnie zdefiniowane reguły bezpieczeństwa. Na przykład, jedna z takich reguł może zakazywać użytkownikom korzystania z pakietów narzędziowych w celu bezpośredniego aktualizowania bazy danych. Aktualizacja może być wykonywana jedynie poprzez system zarządzania bazami danych, który ma własne zasady kontroli dostępu.

Systemy grupowe powinny dysponować formalnym mechanizmem do delegowania przywilejów dostępu i rejestrowania poszczególnych dostępów dla potrzeb systemu zabezpieczeń. Aspekt dobrego ukształtowania wymaga by każda transakcja została wcześniej zaakceptowana przez system.

Dobrze ukształtowane transakcje mogą na wiele innych, równie ważnych sposóbów wpłynąć na wspólne przetwarzanie. Skierowanie zainteresowania na problemy zabezpieczeń, może pozwolić uzyskać rozwiązania wypracowane przez wymuszające reakcję mechanizmy.

Shirish Hardikar, wiceprezydent ds. marketingu grupowego dostawcy Action Technologies sądzi, iż jest tylko jedna metoda upewnienia się, że proces będzie odbywać się tylko w chwili, kiedy się rozpoczął. Jest nią "uniemożliwienie innym użytkownikom przerwanie transakcji dopóki jakiś autoryzowany klient pracuje na niej".

Może to mieć formę nakazu złożenia podpisu -- bądź korzystania z jego elektronicznego ekwiwalentu - zanim będzie można przystąpić do pracy. Byron dodaje, że tego typu transakcje powinny być dobrze uszeregowane w czasie. Informowałyby wtedy użytkowników tak: "Nie można przeprowadzić transakcji do przyszłego wtorku".

Z punktu widzenia bezpieczeństwa, dobrze ukształtowane transakcje powinny być przeprowadzane także przez specjalne kanały, np. programy umożliwiające kontrolę rozdziału obowiązków. Jeżeli systemowe programy usługowe zostaną użyte do bezpośredniego modyfikowania plików aplikacji, w efekcie oszukując kontrolę aplikacji, zostanie to wykryte i zaraportowane.

Inne opcje

Inną obiecującą metodą uzyskania bezpieczeństwa w przyszłych systemach przetwarzania współpracującego może stać się enkapsulacja obiektów. Dzięki takiemu podejściu, informacja o prawach dostępu i inne zabezpieczenia mogłyby towarzyszyć dokumentowi w trakcie korzystania z niego w środowiskach zorientowanych obiektowo.

Przykładowo w sytuacji, gdy łączy się dwa dokumenty uzyskany w ten sposób objekt powinien uzyskać wyższy z poziomów klasyfikacji danych jakie nadano oryginalnym dokumentom. Marshak wykrył, że proces dziedziczenia używany przez niektóre systemy przetwarzania współpracującego generują czasami niefunkcjonalne rezultaty. Dzieje się tak ponieważ systemy zabezpieczeń wykorzystują częściej z enkapsulacji aplikacji niż z enkapsulacji dokumentów.

Jeżeli dokument połączony z arkuszem kalkulacyjnym jest wykorzystywany przez dwie osoby, można przypadkowo dać drugiej osobie takie przywileje dotyczące arkusza kalkulacyjnego, jakie nie powinny jej się należeć. Uniknąć tego typu problemów można raczej dzięki ujawnieniu dziedziczonych przywilejów zabezpieczeń niż ich nie ujawnianiu.

Automatyczne kontrolowanie systemów przetwarzania współpracującego powinno towarzyszyć kompleksowym technicznym rozwiązaniom w zakresie zabezpieczeń. Craighill oczekuje, iż technologia oparta na agentach i systemach będzie stosowana do badania reakcji użytkowników i procesów, w celu wykrycia problemów, zanim pojawią się one w świecie rzeczywistym.

Użytkownicy powinni jednakże uważniej postępować z systemami, które automatyzują. Administratorzy systemów, częstokroć zmuszani są do zajmowania się setkami zadań. Powoduje to pokusę automatyzacji tych działań, które nie powinny być poddane takiemu procesowi. Można się zatem czasem spotkać z niszczeniem baz danych gromadzących przywileje użytkowników. Działanie takie powinno wymagać przed wykonaniem ludzkiej akceptacji.

Organizacje muszą aktywnie kształtować systemy przetwarzania współpracującego tak, by pasowały do ich własnych potrzeb biznesowych. Po wdrożeniu powinny ciągle monitorować systemy bądź sprawdzać czy działają one zgodnie z założeniami.


TOP 200