Przestrzeganie dobrze przemyślanej procedury bezpieczeństwa w firmie ogranicza ryzyko strat spowodowanych niespodziewaną awarią systemu komputerowego i minimalizuje niebezpieczeństwo jej wystąpienia
Systemy informatyczne w firmie zawierają coraz większą liczbę ważnych danych. Niejednego szefa niepokoi myśl, że mogłyby one wpaść w ręce niepowołanych osób. W ankiecie przeprowadzonej w połowie zeszłego roku na zlecenie firmy Hitachi Data Systems wśród dużych i średnich przedsiębiorstw z krajów Europy, Bliskiego Wschodu i Afryki (EMEA) prawie jedna trzecia (30 proc.) ankietowanych dyrektorów ds. IT przyznała, że kwestie bezpieczeństwa spędzają im sen z powiek. Co istotne, wskaźnik ten był o 10 proc. wyższy niż w takim samym badaniu przeprowadzonym pół roku wcześniej. W obawie o koszty utraty szczególnie ważnych danych dyrektorzy coraz bardziej dbają o inwestycje zapewniające ciągłość działania biznesu. Około 81 proc. ankietowanych firm potwierdziło, że wydatki na ochronę systemów informatycznych przed katastrofami naturalnymi i spowodowanymi przez człowieka mają znaczenie priorytetowe.
Z badań utworzonego w zeszłym roku w Warszawie Centrum Bezpieczeństwa Microsoftu wynika, że ponad 80 proc. polskich przedsiębiorstw zamierza inwestować w rozwiązania dotyczące bezpieczeństwa, a tylko jedna piąta nie widzi takiej konieczności.
Zasada jednak jest taka, że im mocniejsze zabezpieczenia, tym jest bardziej kłopotliwe ich użytkowanie. Dlatego zawsze przed wprowadzeniem konkretnego rozwiązania warto się przyjrzeć, gdzie tkwią źródła potencjalnych zagrożeń, jakie dane należy szczególnie zabezpieczyć itp. Jeśli bowiem szef w kilkunastoosobowej firmie dojdzie do przekonania, że na jego dane czyhają supermocarstwa, najlepiej będzie, jeśli sam im te dane udostępni. W wypadku, gdy stwierdzi, że realnie większe zagrożenie może występować ze strony takich osób jak pani Zosia, która kilka razy w tygodniu sprząta biuro, być może bardziej odpowiednie będzie wprowadzenie haseł blokujących dostęp do komputera. Oczywiście między tymi skrajnościami pojawia się cała gama możliwości różnych rozwiązań i sytuacji.
Ważne kopiowanie
Jednym z podstawowych elementów układu bezpieczeństwa w każdej firmie jest system kopiowania istotnych danych, aby w wypadku awarii móc je szybko odtworzyć i mieć do nich dostęp. Wybór konkretnej technologii zależy z jednej strony od możliwości finansowych, z drugiej od tego, jak szybko chcemy odtworzyć działanie systemu po awarii - czy w dzień, tydzień, czy miesiąc? Można wybrać taki system archiwizacji, który będzie wykonywał kopiowanie po godzinach pracy w firmie. Zasadą stosowaną przy archiwizacji powinno być to, że kopiowane informacje znajdują się poza używanym komputerem - w innym pomieszczeniu, w kasecie ognioodpornej. A najlepiej przechowywać je w innym biurze.
Warto wykonać zawsze kilka kopii. W ten sposób prawdopodobieństwo utraty kopii zapasowych w wyniku usterki urządzenia do przechowywania danych lub nośnika jest mniejsze. Kopie zapasowe należy przechowywać w dwóch różnych miejscach.
W kopiach zapasowych należy utrzymywać porządek. Może to oznaczać usunięcie starych plików lub kompresowanie informacji, tak by zajmowały mniej miejsca. Niektóre firmy oferują bezpłatne oprogramowanie do kompresowania danych, np. Winzip lub Netzip firmy Real Networks.
Informacje należy chronić hasłem. Niektóre formaty nośników są wyposażone w funkcje zabezpieczeń (np. ochronę hasłem). Warto rozważyć zastosowanie tej funkcji w wypadku tworzenia kopii zapasowych informacji osobistych lub poufnych. Jest to szczególnie ważne przy korzystaniu z komputera przenośnego.
Hasła, szyfry, internet
Pierwszą linią obrony w systemie bezpieczeństwa jest zazwyczaj blokowanie dostępu. To abecadło, ale połączenie z serwerami i skorzystanie z zasobów sieci komputerowej powinno się odbywać tylko po podaniu identyfikatora i hasła. Oczywiście zabezpieczenie komputera hasłem da się obejść, ale wymaga to zawsze czasu i pewnych umiejętności. Nie należy jednak zaniedbywać też sprawy fizycznego ograniczania dostępu do sprzętu osobom niepowołanym - szczególnie dotyczy to coraz popularniejszych notebooków czy palmtopów.
Dzisiaj trudno sobie wyobrazić funkcjonowanie firmy bez dostępu do internetu i korzystania z poczty elektronicznej. To wiąże się jednak także z pewnymi wyzwaniami dla systemu bezpieczeństwa. Wysłane e-maile mogą dotrzeć do osób niepowołanych. W internecie, gdzie nie ma mowy o fizycznym zabezpieczeniu łącz transmisyjnych, poufność może zapewnić jedynie kodowanie. Istnieje wiele protokołów i rozwiązań zapewniających zadowalający poziom bezpieczeństwa niektórych usług. Na przykład pakiet oprogramowania PGP pozwala na zachowanie poufności oraz weryfikację tożsamości w wiadomościach wysyłanych pocztą elektroniczną. Rosnącą popularność zdobywają też "nakładki" na protokoły transportowe umożliwiające szyfrowanie wszystkich danych przekazywany w sesji, np. SSL - secure socket layer.
Żelazną zasadą natomiast powinno być to, że pracownicy nie instalują w swoich komputerach nieuprawnionego oprogramowania i nie uruchamiają plików (np. z rozszerzeniem exe) pobranych z sieci. Jednym z najczęstszych źródeł kłopotów jest bowiem wykorzystywanie tego samego komputera zarówno do celów służbowych, jak i do rozrywki. Witryny rozrywkowe są bardziej narażone na "niespodzianki". Łatwo wprowadzić do systemu trojana, robaka czy oprogramowanie szpiegowskie.
Wskazana ostrożność
Należy pamiętać, że żadne szyfry, hasła czy ograniczenia nie sprawdzą się, jeśli do spraw bezpieczeństwa podchodzi się nie do końca poważnie. Najsłynniejszy haker świata Kevin Mitnick w swojej książce, której nie bez kozery nadał tytuł Sztuka podstępu. Łamałem ludzi, nie hasła, wyznaje, że swoje sukcesy zawdzięcza przede wszystkim temu, że udało mu się kogoś przekonać do ujawnienia mu hasła do systemu. To, że ktoś bardzo ładnie prosi, nie powinno sprawiać, że otrzymuje hasło do ważnych danych.
Marek Jaślan
Co może grozić
- zdarzenia losowe - awarie sieci energetycznej, pożary, klęski żywiołowe
- niezamierzony błąd człowieka - skasowanie ważnych danych, wysłanie ważnych informacji do niewłaściwego adresata, uruchomienie wirusa
- celowe działanie na szkodę firmy (zarówno od wewnątrz ze strony nieuczciwego pracownika, jak i z zewnątrz) - skasowanie ważnych danych, nieautoryzowany dostęp do systemu informatycznego, atak hakerów
Kilka istotnych pytań, kilka ważnych kroków
To nie do działu IT, ale do szefa czy zarządu firmy powinno należeć określenie polityki bezpieczeństwa, procedur i zasad postępowania pracowników. Informatykowi należy natomiast pozostawić dobór i dostosowanie narzędzi technologicznych odpowiednich do tych zadań.
Najpierw więc należy sprawdzić, jakie obszary działania firmy są zinformatyzowane, kto w firmie ma dostęp do jakiego typu danych. Trzeba też określić, które z tych danych są szczególnie istotne dla funkcjonowania firmy i w jaki sposób są chronione przed utratą. W tym miejscu warto sobie postawić pytanie, co się stanie, jeśli te informacje zostaną utracone lub zmodyfikowane i jak długo może trwać awaria systemu teleinformatycznego, aby to nie zakłóciło działania firmy.
Gdy już będziemy znali odpowiedzi na te pytania, można dokonać analizy zagrożeń, czyli zastanowić się, które miejsca w systemie IT są najbardziej narażone na awarię i z której strony może nastąpić ewentualny atak.
Dopiero teraz można przystąpić do wyboru odpowiednich zabezpieczeń. Sprawdzić, jakie technologie będą do naszych potrzeb najodpowiedniejsze i ile kosztują, co trzeba zrobić od strony organizacyjnej, aby je wdrożyć.
Gdy już zapadnie decyzja o wyborze konkretnego rozwiązania, warto w tym zakresie przeszkolić personel, wdrażając jednocześnie odpowiednie procedury organizacyjne. Przy czym w tej kwestii warto dbać o dyscyplinę wśród pracowników. Naturalną tendencją wśród personelu jest bowiem unikanie uciążliwych procedur związanych z bezpieczeństwem.
Słownik
Exploit - rodzaj ataku na system komputerowy, w którym jakiś błąd lub niedoskonałość systemu albo
też narzędzie (np. skrypt, program) wykorzystano jako lukę do włamania.
Firewall - oprogramowanie lub urządzenie tworzące system zabezpieczeń komputera podłączonego do sieci. Zadaniem firewalla jest uniemożliwienie nieuprawnionej osobie dostępu do określonych zasobów znajdujących się w komputerze.
Koń trojański (trojan) - program, który zawiera kod realizujący funkcje inne niż te, których spodziewa się użytkownik, wykonując bez jego wiedzy dodatkowe, szkodliwe czynności.
Kryptografia - dziedzina nauki zajmująca się transmisją informacji w formie zakodowanej, przeznaczonych tylko dla upoważnionego adresata.
Luka - błąd w oprogramowaniu, procesie lub działaniu administracyjnym, w wyniku którego komputer jest podatny na atak.
Luka administracyjna - nieprzestrzeganie praktyk administracyjnych, na przykład używanie słabych haseł lub logowanie się na koncie o uprawnieniach większych, niż tego wymaga konkretne zadanie.
Naruszenie prywatności - sytuacja, w której nieupoważniona osoba jest w stanie uzyskać dostęp do poufnych informacji personalnych innych użytkowników.
Słabo przygotowani na informatyczną katastrofę
Firma Veritas Software opublikowała w listopadzie 2004 r. badanie, z którego
wynika, że aż 43 proc. firm na całym świecie jest nieprzygotowanych do działania w wypadku większej katastrofy informatycznej. W badaniu brytyjskiej firmy Dynamic Markets wzięło udział 1259 informatyków z firm na całym świecie. Okazało się, że zaledwie 38 proc. respondentów potwierdziło posiadanie kompleksowych, zintegrowanych planów przywracania przetwarzania po katastrofie i zapewnienia ciągłości działania firmy - mimo że aż 92 proc. przyznało, że zakłócenia działania ich infrastruktury informatycznej spowodowałyby poważne konsekwencje. Najczęściej wymieniany powód to awaria systemów komputerowych związana z usterkami sprzętu lub oprogramowania (37 proc.). Jako pozostałe powody wymieniano:
- zewnętrzne zagrożenia systemów komputerowych, takie jak wirusy i hakerzy (26 proc.)
- klęski żywiołowe, takie jak pożary i powodzie (14 proc.)
- wewnętrzne zagrożenia systemów komputerowych, jak błędy lub zła wola pracowników (13 proc.)
- katastrofy wywołane przez człowieka: wojna lub akty terrorystyczne (10 proc.).
Bezpieczeństwo polskich przedsiębiorstw
Małe to łatwiejszy cel
Małe i średnie firmy mają niemal trzykrotnie słabiej zabezpieczone sieci niż duże przedsiębiorstwa.
Wykryte luki krytyczne (mające podstawowe znaczenie dla bezpieczeństwa systemu IT i umożliwiające przejęcie nieautoryzowanej kontroli nad systemem osobom z zewnątrz) na firmę w zależności od jej wielkości:
mniej niż 10 stanowisk - 1,11
1-50 stanowisk - 0,67
51-200 stanowisk - 0,52
201-500 stanowisk - 0,34
501-200 stanowisk - 0,31
Najlepiej zabezpieczone - bankowość i finanse,
najsłabiej - edukacja, służba zdrowia i administracja publiczna
Średnia liczba luk krytycznych na firmę w zależności od sektora gospodarki
administracja publiczna - 0,84
finanse i bankowość - 0,29
budownictwo - 0,76
handel - 0,38
turystyka - 0,53
konsulting - 0,58
edukacja - 1,07
służba zdrowia - 0,87
Źródło: Centrum Bezpieczeństwa Microsoft, badanie przeprowadzone
wśród 676 małych, średnich i dużych polskich firm
Z badań utworzonego w zeszłym roku w Warszawie Centrum Bezpieczeństwa Microsoftu wynika, że ponad 80 proc. polskich przedsiębiorstw zamierza inwestować w rozwiązania dotyczące bezpieczeństwa, a tylko jedna piąta nie widzi takiej konieczności.
Zasada jednak jest taka, że im mocniejsze zabezpieczenia, tym jest bardziej kłopotliwe ich użytkowanie. Dlatego zawsze przed wprowadzeniem konkretnego rozwiązania warto się przyjrzeć, gdzie tkwią źródła potencjalnych zagrożeń, jakie dane należy szczególnie zabezpieczyć itp. Jeśli bowiem szef w kilkunastoosobowej firmie dojdzie do przekonania, że na jego dane czyhają supermocarstwa, najlepiej będzie, jeśli sam im te dane udostępni. W wypadku, gdy stwierdzi, że realnie większe zagrożenie może występować ze strony takich osób jak pani Zosia, która kilka razy w tygodniu sprząta biuro, być może bardziej odpowiednie będzie wprowadzenie haseł blokujących dostęp do komputera. Oczywiście między tymi skrajnościami pojawia się cała gama możliwości różnych rozwiązań i sytuacji.
Ważne kopiowanie
Jednym z podstawowych elementów układu bezpieczeństwa w każdej firmie jest system kopiowania istotnych danych, aby w wypadku awarii móc je szybko odtworzyć i mieć do nich dostęp. Wybór konkretnej technologii zależy z jednej strony od możliwości finansowych, z drugiej od tego, jak szybko chcemy odtworzyć działanie systemu po awarii - czy w dzień, tydzień, czy miesiąc? Można wybrać taki system archiwizacji, który będzie wykonywał kopiowanie po godzinach pracy w firmie. Zasadą stosowaną przy archiwizacji powinno być to, że kopiowane informacje znajdują się poza używanym komputerem - w innym pomieszczeniu, w kasecie ognioodpornej. A najlepiej przechowywać je w innym biurze.
Warto wykonać zawsze kilka kopii. W ten sposób prawdopodobieństwo utraty kopii zapasowych w wyniku usterki urządzenia do przechowywania danych lub nośnika jest mniejsze. Kopie zapasowe należy przechowywać w dwóch różnych miejscach.
W kopiach zapasowych należy utrzymywać porządek. Może to oznaczać usunięcie starych plików lub kompresowanie informacji, tak by zajmowały mniej miejsca. Niektóre firmy oferują bezpłatne oprogramowanie do kompresowania danych, np. Winzip lub Netzip firmy Real Networks.
Informacje należy chronić hasłem. Niektóre formaty nośników są wyposażone w funkcje zabezpieczeń (np. ochronę hasłem). Warto rozważyć zastosowanie tej funkcji w wypadku tworzenia kopii zapasowych informacji osobistych lub poufnych. Jest to szczególnie ważne przy korzystaniu z komputera przenośnego.
Hasła, szyfry, internet
Pierwszą linią obrony w systemie bezpieczeństwa jest zazwyczaj blokowanie dostępu. To abecadło, ale połączenie z serwerami i skorzystanie z zasobów sieci komputerowej powinno się odbywać tylko po podaniu identyfikatora i hasła. Oczywiście zabezpieczenie komputera hasłem da się obejść, ale wymaga to zawsze czasu i pewnych umiejętności. Nie należy jednak zaniedbywać też sprawy fizycznego ograniczania dostępu do sprzętu osobom niepowołanym - szczególnie dotyczy to coraz popularniejszych notebooków czy palmtopów.
Dzisiaj trudno sobie wyobrazić funkcjonowanie firmy bez dostępu do internetu i korzystania z poczty elektronicznej. To wiąże się jednak także z pewnymi wyzwaniami dla systemu bezpieczeństwa. Wysłane e-maile mogą dotrzeć do osób niepowołanych. W internecie, gdzie nie ma mowy o fizycznym zabezpieczeniu łącz transmisyjnych, poufność może zapewnić jedynie kodowanie. Istnieje wiele protokołów i rozwiązań zapewniających zadowalający poziom bezpieczeństwa niektórych usług. Na przykład pakiet oprogramowania PGP pozwala na zachowanie poufności oraz weryfikację tożsamości w wiadomościach wysyłanych pocztą elektroniczną. Rosnącą popularność zdobywają też "nakładki" na protokoły transportowe umożliwiające szyfrowanie wszystkich danych przekazywany w sesji, np. SSL - secure socket layer.
Żelazną zasadą natomiast powinno być to, że pracownicy nie instalują w swoich komputerach nieuprawnionego oprogramowania i nie uruchamiają plików (np. z rozszerzeniem exe) pobranych z sieci. Jednym z najczęstszych źródeł kłopotów jest bowiem wykorzystywanie tego samego komputera zarówno do celów służbowych, jak i do rozrywki. Witryny rozrywkowe są bardziej narażone na "niespodzianki". Łatwo wprowadzić do systemu trojana, robaka czy oprogramowanie szpiegowskie.
Wskazana ostrożność
Należy pamiętać, że żadne szyfry, hasła czy ograniczenia nie sprawdzą się, jeśli do spraw bezpieczeństwa podchodzi się nie do końca poważnie. Najsłynniejszy haker świata Kevin Mitnick w swojej książce, której nie bez kozery nadał tytuł Sztuka podstępu. Łamałem ludzi, nie hasła, wyznaje, że swoje sukcesy zawdzięcza przede wszystkim temu, że udało mu się kogoś przekonać do ujawnienia mu hasła do systemu. To, że ktoś bardzo ładnie prosi, nie powinno sprawiać, że otrzymuje hasło do ważnych danych.
Marek Jaślan
Co może grozić
- zdarzenia losowe - awarie sieci energetycznej, pożary, klęski żywiołowe
- niezamierzony błąd człowieka - skasowanie ważnych danych, wysłanie ważnych informacji do niewłaściwego adresata, uruchomienie wirusa
- celowe działanie na szkodę firmy (zarówno od wewnątrz ze strony nieuczciwego pracownika, jak i z zewnątrz) - skasowanie ważnych danych, nieautoryzowany dostęp do systemu informatycznego, atak hakerów
Kilka istotnych pytań, kilka ważnych kroków
To nie do działu IT, ale do szefa czy zarządu firmy powinno należeć określenie polityki bezpieczeństwa, procedur i zasad postępowania pracowników. Informatykowi należy natomiast pozostawić dobór i dostosowanie narzędzi technologicznych odpowiednich do tych zadań.
Najpierw więc należy sprawdzić, jakie obszary działania firmy są zinformatyzowane, kto w firmie ma dostęp do jakiego typu danych. Trzeba też określić, które z tych danych są szczególnie istotne dla funkcjonowania firmy i w jaki sposób są chronione przed utratą. W tym miejscu warto sobie postawić pytanie, co się stanie, jeśli te informacje zostaną utracone lub zmodyfikowane i jak długo może trwać awaria systemu teleinformatycznego, aby to nie zakłóciło działania firmy.
Gdy już będziemy znali odpowiedzi na te pytania, można dokonać analizy zagrożeń, czyli zastanowić się, które miejsca w systemie IT są najbardziej narażone na awarię i z której strony może nastąpić ewentualny atak.
Dopiero teraz można przystąpić do wyboru odpowiednich zabezpieczeń. Sprawdzić, jakie technologie będą do naszych potrzeb najodpowiedniejsze i ile kosztują, co trzeba zrobić od strony organizacyjnej, aby je wdrożyć.
Gdy już zapadnie decyzja o wyborze konkretnego rozwiązania, warto w tym zakresie przeszkolić personel, wdrażając jednocześnie odpowiednie procedury organizacyjne. Przy czym w tej kwestii warto dbać o dyscyplinę wśród pracowników. Naturalną tendencją wśród personelu jest bowiem unikanie uciążliwych procedur związanych z bezpieczeństwem.
Słownik
Exploit - rodzaj ataku na system komputerowy, w którym jakiś błąd lub niedoskonałość systemu albo
też narzędzie (np. skrypt, program) wykorzystano jako lukę do włamania.
Firewall - oprogramowanie lub urządzenie tworzące system zabezpieczeń komputera podłączonego do sieci. Zadaniem firewalla jest uniemożliwienie nieuprawnionej osobie dostępu do określonych zasobów znajdujących się w komputerze.
Koń trojański (trojan) - program, który zawiera kod realizujący funkcje inne niż te, których spodziewa się użytkownik, wykonując bez jego wiedzy dodatkowe, szkodliwe czynności.
Kryptografia - dziedzina nauki zajmująca się transmisją informacji w formie zakodowanej, przeznaczonych tylko dla upoważnionego adresata.
Luka - błąd w oprogramowaniu, procesie lub działaniu administracyjnym, w wyniku którego komputer jest podatny na atak.
Luka administracyjna - nieprzestrzeganie praktyk administracyjnych, na przykład używanie słabych haseł lub logowanie się na koncie o uprawnieniach większych, niż tego wymaga konkretne zadanie.
Naruszenie prywatności - sytuacja, w której nieupoważniona osoba jest w stanie uzyskać dostęp do poufnych informacji personalnych innych użytkowników.
Słabo przygotowani na informatyczną katastrofę
Firma Veritas Software opublikowała w listopadzie 2004 r. badanie, z którego
wynika, że aż 43 proc. firm na całym świecie jest nieprzygotowanych do działania w wypadku większej katastrofy informatycznej. W badaniu brytyjskiej firmy Dynamic Markets wzięło udział 1259 informatyków z firm na całym świecie. Okazało się, że zaledwie 38 proc. respondentów potwierdziło posiadanie kompleksowych, zintegrowanych planów przywracania przetwarzania po katastrofie i zapewnienia ciągłości działania firmy - mimo że aż 92 proc. przyznało, że zakłócenia działania ich infrastruktury informatycznej spowodowałyby poważne konsekwencje. Najczęściej wymieniany powód to awaria systemów komputerowych związana z usterkami sprzętu lub oprogramowania (37 proc.). Jako pozostałe powody wymieniano:
- zewnętrzne zagrożenia systemów komputerowych, takie jak wirusy i hakerzy (26 proc.)
- klęski żywiołowe, takie jak pożary i powodzie (14 proc.)
- wewnętrzne zagrożenia systemów komputerowych, jak błędy lub zła wola pracowników (13 proc.)
- katastrofy wywołane przez człowieka: wojna lub akty terrorystyczne (10 proc.).
Bezpieczeństwo polskich przedsiębiorstw
Małe to łatwiejszy cel
Małe i średnie firmy mają niemal trzykrotnie słabiej zabezpieczone sieci niż duże przedsiębiorstwa.
Wykryte luki krytyczne (mające podstawowe znaczenie dla bezpieczeństwa systemu IT i umożliwiające przejęcie nieautoryzowanej kontroli nad systemem osobom z zewnątrz) na firmę w zależności od jej wielkości:
mniej niż 10 stanowisk - 1,11
1-50 stanowisk - 0,67
51-200 stanowisk - 0,52
201-500 stanowisk - 0,34
501-200 stanowisk - 0,31
Najlepiej zabezpieczone - bankowość i finanse,
najsłabiej - edukacja, służba zdrowia i administracja publiczna
Średnia liczba luk krytycznych na firmę w zależności od sektora gospodarki
administracja publiczna - 0,84
finanse i bankowość - 0,29
budownictwo - 0,76
handel - 0,38
turystyka - 0,53
konsulting - 0,58
edukacja - 1,07
służba zdrowia - 0,87
Źródło: Centrum Bezpieczeństwa Microsoft, badanie przeprowadzone
wśród 676 małych, średnich i dużych polskich firm