Strażnicy sieci

Podczas kwietniowej konferencji CA World 2000, jednej z największych imprez informatycznych w Stanach Zjednoczonych, Charles Wang (szef koncernu Computer Associates i jedna z głównych postaci amerykańskiego przemysłu komputerowego) przekonywał, że nie ma czasu do stracenia. Kto nie znajdzie się w sieci w ciągu najbliższych kilku czy kilkunastu miesięcy, może mieć kłopoty z utrzymaniem się na rynku.
Seria włamań do serwerów najbardziej znanych amerykańskich instytucji i firm internetowych na początku tego roku (zaatakowano między innymi serwisy Yahoo!, America Online, Amazon, FBI i NASA) zmusiła specjalistów do tego, by zwrócili baczniejszą uwagę na bezpieczeństwo w sieci. O wadze problemu świadczy choćby to, że w lutym prezydent Clinton zorganizował w Białym Domu swoisty "szczyt" branży teleinformatycznej poświęcony internetowemu terroryzmowi. O ile jeszcze kilka lat temu sieciowych włamywaczy i hakerów traktowano jak romantycznych zbójników nowej epoki (w internetowej subkulturze najsłynniejszego hakera Kevina Mitnicka do dziś otacza nimb bohatera), o tyle obecnie coraz więcej Amerykanów skłonnych jest traktować włamywaczy jak pospolitych przestępców lub co najmniej autorów nieprzyjemnych i bardzo dokuczliwych wybryków. Podczas spotkania w Białym Domu (uczestniczyli w nim szefowie najbardziej znanych firm branży IT) ustalono, że nadszedł już czas, by dogłębniej się zająć kwestiami bezpieczeństwa w Internecie, tym bardziej że sieć w coraz większym stopniu staje się krwiobiegiem gospodarki. Uczestnicy zobowiązali się nawiązać współpracę i udostępniać sobie informacje oraz stworzyć infrastrukturę wspomagającą tropienie sieciowych przestępców. Organy ścigania - wydziały przestępczości komputerowej FBI i policji - zostaną wsparte przez amerykański rząd oraz największe (i narażone na najczęstsze ataki) firmy komputerowe. Oczywiście, zaangażowane w poważne przedsięwzięcia internetowe firmy nie ograniczają się do apeli - stworzyły one strukturę e-Business Security Task Force (Siły Szybkiego Reagowania e-Biznesu). Jej zadaniem jest umożliwianie szybkiego kontaktu najlepszym ekspertom od bezpieczeństwa sieci, określanie wymogów, które powinny spełniać internetowe inicjatywy, oraz współpraca z organami ścigania. Simon Perry, specjalista od bezpieczeństwa sieciowego z Computer Associates, uważa, że "dla największej grupy szefów firm liczy się przede wszystkim atrakcyjność, prędkość i łatwość obsługi systemów on line. Bezpieczeństwo odkładają na później, przede wszystkim z braku doświadczenia i pieniędzy". W pierwszym półroczu 1999 r. powstała organizacja eTrust, skupiająca najlepszych specjalistów z kilku najważniejszych firm zajmujących się zabezpieczeniami w sieci. Ich zadaniem jest opracowywanie i opiniowanie narzędzi służących do ochrony sieci lokalnych przed atakami internetowych terrorystów.
- Użycie określenia "terrorysta" w odniesieniu do włamujących się do światowej pajęczyny nie jest przesadą - twierdzi ekspert od bezpieczeństwa sieciowego Lloyd Tanaka. - Światowa ekonomia internetowa obejmuje dziś przedsięwzięcia wartości ok. 130 mld USD, ale już w roku 2003 obroty e-biznesu wyniosą ponad 1,1 tryliona USD (w tym sprzedaż towarów dla odbiorców ma przekroczyć 100 mld USD). Przy tak dużych obrotach bezpieczeństwo sieci zaczyna być podstawowym problemem całej branży IT.
W ubiegłym roku z bazy danych jednej z amerykańskich agencji rządowych wykradziono 485 tys. numerów kart kredytowych; jakiś internetowy Janosik opublikował w sieci numer karty "wyzyskiwacza" Billa Gatesa. Na ataki narażeni są nie tylko Amerykanie. W Wielkiej Brytanii wykradziono spis klientów domu wysyłkowego CD Universe, a następnie opublikowano go w sieci wraz z tysiącami numerów kont bankowych. Takie sytuacje potwierdzają potrzebę nawiązania międzynarodowej współpracy instytucji zwalczających nie znającą granic przestępczość on line. Louis Freeh, szef FBI, alarmuje, że w minionym roku liczba przestępstw w tej kategorii wzrosła dwukrotnie, a i tak większość użytkowników sieci nie uświadamia sobie skali zagrożenia. Jest to spowodowane głównie "strusią polityką" firm narażonych na straty. Obawiając się reakcji klientów albo spadku wartości akcji, nie ujawniają większości wypadków wykrycia ataku.
"Natura e-biznesu wymaga, by firmy szerzej otwierały swe sieci nie tylko dla większej niż wcześniej, ale także mniej znanej i mniej godnej zaufania grupy odbiorców" - stwierdzają autorzy raportu o bezpieczeństwie w Internecie, przygotowanego przez ekspertów z Grupy Hurwitz. Zarówno to, jak i inne opracowania wskazują, że jedynym rozwiązaniem zalecanym firmom i instytucjom jest zachowanie jak najdalej idących środków ostrożności. Nie można dziś sobie wyobrazić, by uruchomiony został jakikolwiek serwis sieciowy bez skutecznej ochrony antywirusowej i ścian ogniowych (firewalls), czyli zabezpieczeń oddzielających ogólnie dostępne części sieci od udostępnianych upoważnionym. Systemy ochrony muszą zapewniać bezpieczeństwo danych nawet wewnątrz instytucji - wbrew powszechnemu przekonaniu włamania wewnątrz instytucji wielokrotnie są przyczyną strat większych niż spowodowane przez hakerów (dotyczy to na przykład nie autoryzowanych przelewów z rachunków bankowych). Coraz większym zagrożeniem są ataki typu denial of service, polegające na takim "ogłupieniu" systemu komputerowego, że odmawia on dostępu wszystkim użytkownikom. Większość tegorocznych ataków wymierzonych w popularne witryny amerykańskie należała do tej kategorii.
Eksperci z internetowych sił szybkiego reagowania oceniają, że konieczność stosowania skutecznych systemów ochrony sieci powoduje, iż tworzenie dobrego oprogramowania zabezpieczającego w najbliższym czasie stanie się doskonałym interesem. Tylko w Stanach Zjednoczonych do 2003 r. firmy będą musiały przeznaczyć na ten cel ok. 8 mld USD. Tworzenie programów antywirusowych i zabezpieczeń sieciowych przez długi czas było domeną stosunkowo niewielkich firm, traktowanych jako niszowe, ale rosnący popyt na tego typu produkty sprawia, że pojawiają się one także w ofercie dużych producentów oprogramowania biznesowego. Zainteresowanie Charlesa Wanga bezpieczeństwem sieci nie jest przypadkowe - Computer Associates (jedna z największych amerykańskich firm produkujących programy wspomagające zarządzanie przedsiębiorstwem) promuje własny, bardzo rozbudowany (składający się aż z czternastu modułów) system ochrony sieci firmowych przed atakiem z Internetu pod nazwą eTrust. Na bieżąco śledzi on funkcjonowanie serwera, potrafi obronić sieć przed wirusami i atakami włamywaczy i błyskawicznie zmienić ustawienia systemu komputerowego, jeśli odkryje, że hakerzy pokonali zabezpieczenia niższego szczebla.
Wbrew pozorom wydatki na dość drogie systemy zabezpieczające opłacą się z nawiązką - głośne włamania on line przeprowadzone w lutym 2000 r. kosztowały zaatakowane firmy 1,2 mld USD, a łączna suma strat spowodowanych w latach 1998-1999 przez wirusy przekazywane za pośrednictwem sieci sięga 28 mld USD! Szacunki nie obejmują strat tak niewymiernych, jak utrata zaufania klientów czy też zmniejszenie potencjalnych zysków spowodowanych obawami - szczególnie nasilonymi w Europie - przed posługiwaniem się kartą kredytową w transakcjach sieciowych.
Współczesne narzędzia do ochrony Internetu to niezwykle rozbudowane programy pełniące jednocześnie wiele zadań - kontrolują zarządzanie siecią i dostęp użytkowników do poszczególnych jej fragmentów, wykrywają wszelkie próby łamania haseł, wyszukiwania "otwartych okien" i zarażania systemu wirusami. Inteligentne narzędzia zabezpieczające potrafią w sposób niezauważalny dla użytkownika zmienić parametry funkcjonowania sieci i przewidzieć, że pewne fragmenty kodu otrzymanego z Internetu mogą być nieznanym dotychczas wirusem. Doskonałych rozwiązań jednak nie ma i zapewne nigdy nie będzie. Sieciowi włamywacze i twórcy zabezpieczeń uczestniczą w nie kończącym się wyścigu, który można porównać chyba tylko z próbami pokonania fałszerzy pieniędzy. Stawka w tej grze jest wysoka, od bezpieczeństwa sieci zależy bowiem rozwój branży, której roczne obroty już za kilka lat mogą sięgać dziesiątek miliardów dolarów. Simon Perry nie ma wątpliwości, że "w ciągu najbliższych lat bezpieczeństwo stanie się najważniejszym czynnikiem wzrostu zaufania do Internetu, co jest podstawą rozwoju e-biznesu".