Zmowa milczenia

Bezpieczeństwo zasobów firmowych jest tematem tabu. Nie ma firmy, która mogłaby powiedzieć, że jej zasoby są zabezpieczone należycie. Podając taką informację do wiadomości publicznej, naraziłaby się bowiem na próby włamania przez osoby, które zapewnienie takie potraktowałyby jako wyzwanie. A wtedy mogłoby się okazać, że zabezpieczeń, choćby najbardziej wymyślnych, nie trzeba forsować, lecz można je po prostu ominąć. Firmy, które doświadczyły włamania, również nie są skłonne do dzielenia się tą informacją ze swoimi partnerami, klientami i akcjonariuszami, obawiając się negatywnej reakcji. To z kolei uniemożliwia oszacowanie zjawiska łamania zabezpieczeń.

Bezpieczeństwo zasobów firmowych jest tematem tabu. Nie ma firmy, która mogłaby powiedzieć, że jej zasoby są zabezpieczone należycie. Podając taką informację do wiadomości publicznej, naraziłaby się bowiem na próby włamania przez osoby, które zapewnienie takie potraktowałyby jako wyzwanie. A wtedy mogłoby się okazać, że zabezpieczeń, choćby najbardziej wymyślnych, nie trzeba forsować, lecz można je po prostu ominąć. Firmy, które doświadczyły włamania, również nie są skłonne do dzielenia się tą informacją ze swoimi partnerami, klientami i akcjonariuszami, obawiając się negatywnej reakcji. To z kolei uniemożliwia oszacowanie zjawiska łamania zabezpieczeń.

Sformułowanie, że problematyka zapewnienia bezpieczeństwa najważniejszych zasobów firmy powinna być traktowana kompleksowo, wydaje się banalne. Prawda jest jednak taka, że pomimo ogólnej świadomości tego faktu w praktycznych realizacjach systemów zabezpieczeń brakuje tej kompleksowości oraz ciągłości ochrony krytycznych zasobów, których utrata może się wiązać z dużymi problemami dla funkcjonowania firmy lub oznaczać nawet początek końca jej działalności.

Chociaż obecnie ogromną wagę przykłada się do bezpieczeństwa systemów informatycznych, to należy sobie uświadomić fakt, że zabezpieczony system informatyczny to nie tylko firewalle, VPN, rozwiązania kryptograficzne, zabezpieczenia antywirusowe i systemy detekcji włamań ukierunkowane na zabezpieczanie łączności na styku sieci korporacyjnej z Internetem. Znacznie więcej zagrożeń niosą tzw. zagrożenia wewnętrzne, związane z nie autoryzowanym dostępem do danych przez pracowników, którzy wcale nie muszą w tym celu łamać zabezpieczeń sieci. Najczęściej bowiem mają oni dostęp do znacznie większej ilości informacji niż jest im niezbędna do wykonywania pracy. Brak fizycznych zabezpieczeń powoduje, że swobodnie mogą się oni przemieszczać w firmie, uzyskując dostęp do materiałów przechowywanych również poza zabezpieczonym systemem informatycznym (np. kopii informacji na papierze bądź innych nośnikach). Nieograniczony dostęp do kopiarek i możliwość wyniesienia praktycznie dowolnych informacji z firmy dodatkowo ułatwiają gromadzenie informacji, które mogą się przydać w przyszłości, np. gdyby pracownik zdecydował się opuścić firmę lub, co gorsza, został do tego zmuszony przez pracodawcę.

Nie należy się również łudzić, że każdy pracownik firmy oprze się propozycji "współpracy" z osobą z zewnątrz, która za jego pośrednictwem i odpowiednią rekompensatą będzie chciała uzyskać dostęp do poufnych danych. Niejednokrotnie znalezienie takiego współpracownika jest znacznie łatwiejsze niż łamanie zabezpieczeń systemu informatycznego, a jednocześnie pozwala zostawić znacznie mniej śladów nie autoryzowanej działalności. Paradoksalnie często nieświadomy zagrożenia użytkownik sieci korporacyjnej bezwiednie może pomóc włamywaczowi zdobyć taką samą ilość informacji, jak współpracujący z hakerem sabotażysta.

Na wszystkich frontach

Dlatego też, aby kompleksowo zabezpieczyć informacje przechowywane w firmie, należy to uczynić we wszystkich możliwych obszarach, stosując zarówno zabezpieczenia techniczne, zabezpieczenia fizyczne, jak i zabezpieczenia organizacyjno-proceduralne. Pierwsze z nich obejmują wszystkie rozwiązania informatyczne, mające na celu zwiększenie dostępności rozwiązań informatycznych i ograniczenie dostępu do informacji. Zabezpieczenia fizyczne to m.in. podział firmy na strefy ograniczone kodami dostępu, stosowanie zamykanych szaf, do których klucze mają tylko upoważnione osoby, wykorzystywanie szaf pancernych, obowiązkowe noszenie zróżnicowanych identyfikatorów, co pozwala ochronie szybko zweryfikować, czy dany pracownik bądź gość firmy mają prawo poruszać się po określonym jej obszarze, stosowanie systemów gaśniczych, alarmowych itp. Zabezpieczenia organizacyjno-proceduralne pozwalają w formalny sposób określić zakres praw i obowiązków pracowników oraz sankcji grożących im za określone działania uważane za naruszenie bezpieczeństwa. Opisują one również metodę postępowania w przypadku wystąpienia zagrożenia bezpieczeństwa, sposób funkcjonowania sztabu kryzysowego, zakres odpowiedzialności poszczególnych jego uczestników itp.

Tylko stosowanie jednocześnie wszystkich trzech rodzajów zabezpieczeń zapewnia, że będą one w miarę szczelne i nie umożliwią łatwego, przypadkowego bądź celowego nie autoryzowanego dostępu do informacji.

Kompleksowa realizacja zabezpieczeń obejmujących całą firmę jest bardzo kosztowna i niestety nie gwarantuje pełnego zabezpieczenia przed wszelkimi możliwymi zagrożeniami. Stosowanie identycznych zabezpieczeń w firmie i taka sama ochrona wszystkich zasobów sieci korporacyjnych nie są uzasadnione ekonomicznie. Tylko część zasobów ma bowiem krytyczne znaczenie dla funkcjonowania firmy, a stosowanie identycznych zabezpieczeń powoduje, że część zasobów jest zabezpieczona znacznie lepiej niż nakazywałaby to logika biznesowa, a najbardziej poufna część - zbyt słabo.

Przed przystąpieniem do konstruowania systemu zabezpieczeń konieczne jest więc określenie, które zasoby są najważniejsze do funkcjonowania firmy: czy poufnymi informacjami są dane finansowe, czy może informacje dotyczące klientów i sprzedaży, informacje dotyczące procesów produkcyjnych, a może również zawartość dysków twardych komputerów użytkowników? Następnie trzeba zdefiniować zagrożenia, jakie mogą dotknąć te najważniejsze zasoby, i próbować je jako pierwsze zabezpieczyć. Doskonałą pomocą w ocenie elementów wymagających najlepszego zabezpieczenia jest analiza modelu biznesowego firmy i porównanie jakości zabezpieczeń poszczególnych składowych systemu informatycznego z ważnością tych elementów z biznesowego punktu widzenia.

Funkcjonalność i bezpieczeństwo

Z jednej strony, od osób odpowiedzialnych za utrzymanie infrastruktury informatycznej oczekuje się stałego zwiększania funkcjonalności sieci, udostępniania w niej nowych aplikacji i coraz lepszej komunikacji między pracownikami lokalnymi i zdalnymi, a także partnerami biznesowymi. Z drugiej jednak, sieć musi zapewniać maksymalne bezpieczeństwo i być wyposażona w mechanizmy uniemożliwiające dostęp nieuprawnionym osobom do najważniejszych zasobów. Osoby odpowiedzialne za bezpieczeństwo sieci korporacyjnych muszą nieustannie godzić te dwie sprzeczne grupy wymagań, nie utrudniając zbytnio pracy użytkownikom. Niestety, nie da się spełnić wszystkich żądań jednocześnie. Walka o bezpieczeństwo oznacza kompromis pod względem funkcjonalności.

Stosunkowo łatwo jest zabezpieczyć sieć korporacyjną przed atakami z Internetu. Łatwo, pod warunkiem że pracownicy firmy korzystają z Internetu udostępnianego w sposób scentralizowany, a ich komputery wykorzystywane w firmie nie są wyposażone w modemy. Wtedy wystarczy "tylko" umieścić odpowiednie zabezpieczenia tuż za routerem łączącym sieć firmową z Internetem. Najlepszym i najprostszym zabezpieczeniem, które może być realizowane już na routerze, jest mechanizm translacji adresów IP z klasy publicznej (numery przyznane przez dostawcę usług internetowych) na jedną z klas prywatnych, które nie są routowane w ramach Internetu (np. przedział 172.16.x.x). Translacja może być dokonywana statycznie (jeden numer z klasy prywatnej jest translatowany na numer z klasy prywatnej), co nie daje jednak żadnego zabezpieczenia, gdyż włamywacz może się dostać do komputerów firmowych, korzystając z publicznych numerów IP lub dynamicznie (np. kilkadziesiąt komputerów korzysta z kilku publicznych numerów IP, realizując komunikację przez różne porty), co znacząco podnosi poziom bezpieczeństwa. Włamywacz bowiem nie może przewidzieć, którego zewnętrznego numeru IP używa w danej chwili komputer w sieci wewnętrznej. Jedynymi urządzeniami wymagającymi w takim przypadku dodatkowego zabezpieczenia są serwery usług internetowych, które muszą korzystać ze statycznych translacji, aby ich usługi były widoczne w Internecie zawsze pod tym samym numerem IP.

Kolejnym elementem systemu zabezpieczeń mogą być tzw. listy dostępowe (access list), które również można skonfigurować na routerze. Określają one, z jakich usług sieciowych mogą korzystać poszczególne numery IP (a w zasadzie stosujące je urządzenia). Zabezpieczenia te mają jednak sens wyłącznie wtedy, gdy użytkownicy zawsze korzystają z tych samych numerów IP. Jeśli logują się na różnych komputerach, to za każdym razem uzyskiwaliby dostęp do różnych usług sieciowych (dla każdego numeru IP listy dostępowe mogą być różne). Wtedy konieczne jest użycie firewalla, który umożliwia dynamiczne określanie praw dostępu do poszczególnych usług internetowych na podstawie identyfikatora i hasła użytkownika. Po zidentyfikowaniu użytkownika, weryfikowany jest numer IP stacji roboczej, z której ten w danej chwili korzysta, i dopiero na tej podstawie określane są prawa dostępu do usług sieciowych.

Firewall, realizujący filtrowanie dostępu do usług, nie jest jednak rozwiązaniem definitywnie zabezpieczającym przed zagrożeniami internetowymi. Powinien on działać w trybie stateful inspection, umożliwiającym mu analizę kontekstu każdej realizowanej transmisji, co pozwala w porę wychwycić i zapobiec wszelkim podejrzanym działaniom (np. atakom typu Denial of Service) na dozwolonych portach komunikacyjnych. Firewall powinien również współpracować z oprogramowaniem filtrującym, potrafiącym pracować w warstwie aplikacyjnej, czyli analizującym przesyłane dane. W zależności od protokołu komunikacyjnego oprogramowanie to może np. usuwać kod Java z transmisji HTTP, wirusy z załączników podczas komunikacji SMTP bądź uniemożliwiać pracownikom dostęp do określonych stron internetowych z wykorzystaniem HTTP.

Konfiguracja systemu zabezpieczeń dodatkowo się komplikuje, gdy konieczne jest zapewnienie bezpiecznego dostępu do sieci użytkownikom łączącym się zdalnie przez Internet lub partnerom biznesowym, którzy muszą mieć dostęp do wydzielonych serwisów w sieci korporacyjnej. Wtedy konieczna jest instalacja serwera VPN, który w przypadku dużego obciążenia może być wspomagany sprzętowymi urządzeniami szyfrującymi transmisje (sprzętowe rozwiązania VPN oferuje m.in. firma Nokia). Ważne z punktu widzenia bezpieczeństwa jest umiejscowienie serwera VPN wobec firewalla, o czym szczegółowo traktuje artykuł Pogodzić VPN z firewallem (str.14).

Zabezpieczenia wewnętrzne

Zabezpieczenie komunikacji z Internetem nie rozwiązuje jednak problemu nie autoryzowanego dostępu do zasobów sieci korporacyjnej przez nieuczciwych pracowników firmy. A trzeba pamiętać o tym, że mogą oni uzyskać dostęp do danych nie tylko poprzez jawnie udostępnione w sieci foldery, lecz także "podsłuchując" (za pośrednictwem oprogramowania typu sniffer) realizowane w sieci transmisje.

Najprostszym sposobem zabezpieczenia transmisji jest utworzenie w ramach sieci lokalnej niezależnych segmentów sieciowych (np. z wykorzystaniem technologii VLAN). Niemniej wprawni hakerzy mogą próbować obejść i takie zabezpieczenia. Kolejnym etapem może być więc realizacja kilku niezależnych stref sieci komputerowej zabezpieczonych, podobnie jak łącze internetowe, firewallem. Dzięki temu oddzielne zestawy list dostępowych ograniczałyby dostęp pracowników nie tylko do Internetu, lecz także do stacji roboczych i serwerów w takich działach, jak księgowość, dział handlowy itp.

Ostateczną linią obrony, stosowaną w szczególności w przypadku krytycznych stacji roboczych, może być komunikacja z serwerami korporacyjnymi za pośrednictwem połączenia VPN, realizowanego w ramach sieci lokalnej. Wtedy bezpieczny, szyfrowany kanał komunikacyjny jest umieszczany między komputerem użytkownika a serwerem VPN, działającym np. w wydzielonej strefie razem z innymi krytycznymi serwerami. Uniemożliwia to pracownikom znajdującym się nawet w tej samej strefie i segmencie sieciowym co krytyczna stacja robocza podsłuchanie realizowanych przez nią transmisji. Są one bowiem szyfrowane już na stacji i odszyfrowywane dopiero za firewallem chroniącym serwery.

Rozwiązanie to ma jednak wadę. Urządzenia sieciowe nie mogą bowiem skategoryzować ruchu sieciowego, który jest zaszyfrowany. Jeśli więc administrator zamierza ustalać priorytety dla różnego rodzaju transmisji i np. preferować przepływ danych między komputerami użytkowników a aplikacją finansową nad przeglądaniem Internetu (HTTP), to nie powinien umożliwiać pracy w ramach sieci VPN w sieci korporacyjnej.

Bezpieczny komputer

Zabezpieczając sieć korporacyjną nie można zapomnieć o najczęściej zaniedbywanym jej elemencie, jakim są komputery użytkowników. To właśnie za ich pośrednictwem najłatwiej jest skorzystać z sieci. Jako najmniej zabezpieczone ogniwo są one również bardzo często narażone na ataki polegające np. na instalowaniu konia trojańskiego, którego jedynym zadaniem może być np. przesyłanie do hakera informacji o znakach wprowadzanych przez użytkownika z klawiatury.

To właśnie na komputerach użytkowników najczęściej pojawiają się wirusy, które potrafią się do nich przedostać nawet przez , działające na firewallu i współpracujące z serwerem poczty elektronicznej. Dlatego każda stacja robocza powinna być wyposażona we własny pakiet antywirusowy, mogący automatycznie aktualizować szczepionki antywirusowe (bez zaangażowania) użytkownika, a także wymuszać (bez możliwości przerwania) okresowe skanowanie dysków twardych komputera pod kątem wirusów i koni trojańskich.

Administratorzy powinni również opracować mechanizmy (proceduralne bądź techniczne), które zapobiegałyby zapisywaniu danych kopiowanych z serwerów korporacyjnych na lokalnych dyskach komputerów. Powinni również wykonać system czyszczenia buforowanych lokalnie plików (jest to standardowy mechanizm przeglądarek internetowych, co ma ogromne znaczenie np. w przypadku gdy firma korzysta z aplikacji pracujących w przeglądarce), uniemożliwić samodzielne modyfikowanie przez użytkownika parametrów systemu operacyjnego (np. zmianę numeru IP), jak również wprowadzić system kontroli pracy użytkownika, ograniczając np. możliwość jego logowania się z konkretnej stacji roboczej tylko do godzin jego pracy.

W sytuacji gdy większość prac wykonywana jest przez użytkownika lokalnie na jego stacji roboczej, dobrym rozwiązaniem może być wdrożenie mechanizmu szyfrowania zawartości dysków twardych.

Dostęp do komputera można również ograniczyć, stosując nie tylko proste hasła, lecz także biometryczne sposoby identyfikacji pracownika (np. z wykorzystaniem odcisku palca) lub wdrażając kompleksowo rozwiązanie PKI, wykorzystujące np. karty chipowe do identyfikacji pracowników (w czytniki takich kart standardowo wyposażone są komputery stacjonarne i przenośne firmy Fujitsu-Siemens).

Problem szarego pracownika

Systemem, który pozostaje całkowicie poza kontrolą narzędzi informatycznych, jest sieć relacji międzyludzkich wśród pracowników firmy. Najczęściej to właśnie ludzie, pracownicy firmy, są najsłabszym elementem systemu zabezpieczeń. Dlatego osoby odpowiedzialne za bezpieczeństwo systemów teleinformatycznych powinny stale edukować współpracowników i uświadamiać im zagrożenie, począwszy od wykształcenia umiejętności szybkiego rozpoznania poczty elektronicznej, która może być nośnikiem wirusów, skończywszy na wyczuleniu na nieświadome zdradzanie tajemnic służbowych i udostępnianie poufnych informacji.

Osoby, które prawdopodobnie nigdy nie zostawiłyby w zamku klucza do swojego mieszkania, niejednokrotnie naklejają karteczki ze swoimi hasłami na monitorach komputerów lub wkładają pod podkładki myszek, ufając, że nikt inny z nich nie skorzysta. Jednocześnie, nieświadomi prostych technik z zakresu social engineering stosowanych przez hakerów, nierzadko ujawniają swoje hasła telefonicznie włamywaczom, którzy podają się np. za pracowników działu IT firmy. Nie zdając sobie sprawy z zagrożenia, często przesyłają poufne dokumenty pocztą elektroniczną poza firmę, np. do swoich prywatnych skrzynek pocztowych na publicznych serwerach, tak by móc pracować nad nimi również w domu. Działanie, które z jednej strony wynika z dobrej woli pracownika, w rzeczywistości może mieć jednak bardzo negatywne reperkusje.

Wiele zagrożeń bezpieczeństwa jest powodowanych przez pomyłki i niedopatrzenia - i to nie tylko ze strony szeregowych pracowników, ale także osób pełniących funkcje kierownicze bądź nawet zatrudnionych w departamencie informatyki (gdzie poziom świadomości dotyczącej bezpieczeństwa powinien być wysoki). Puste bądź proste hasła, pozostawianie nie wyłączonych komputerów z zalogowanym użytkownikiem itp. to codzienność w wielu firmach. Dlatego też, oprócz zabezpieczeń czysto technicznych i ciągłej edukacji pracowników, konieczne jest opracowanie i wdrożenie procedur gwarantujących należytą jakość realizacji rutynowych czynności.

Ciągłość

Podstawowym błędem popełnianym przez wiele firm jest traktowanie problemu zabezpieczenia ważnych zasobów firmy jako zagadnienia jednorazowego. Tymczasem zabezpieczanie powinno być procesem, który jest poddawany ciągłej ocenie i udoskonalaniu. Jest to powodowane faktem, że zmieniają się metody ataku i zdobywania informacji przez nieuprawnione osoby, jak również rozwija się firma, a co za tym idzie, mogą się zmieniać jej priorytety dotyczące stopnia ochrony poszczególnych zasobów.

Konsekwencja w zabezpieczaniu zasobów, monitorowaniu bezpieczeństwa, wykrywaniu i ściganiu nadużyć pozwala na bieżąco sprawować pełną kontrolę nad posiadanymi informacjami, co w dłuższej perspektywie w połączeniu z otwartą polityką informacyjną umożliwi zwiększenie zaufania do firmy przez jej klientów i partnerów.