Technologia dobra na wszystko?
Zabezpieczenia administracyjne, choć rzadko kiedy doceniane, stanowią podstawowe ogniwo dojrzałej strategii bezpieczeństwa. W dzisiejszych czasach - w dobie rewolucji technologicznej - nie wszyscy pamiętają o istnieniu tego elementu bezpieczeństwa. Czy bezgraniczne zaufanie technologiom wystarczy, by zapewnić bezpieczeństwo informacji w firmie?
Świat XXI wieku nie może się obyć bez komputerów. Są niemal wszechobecne i mało kto nie spotyka się z nimi na co dzień. I choć maszyny same w sobie nie popełniają błędów, to zachowanie ich jest definiowane przez człowieka, który zawsze błędy popełnić może. Wraz z rozwojem technologicznym budowa aplikacji i systemów staje się coraz bardziej skomplikowana. A tam gdzie bardziej skomplikowany system, tam większe prawdopodobieństwo wystąpienia błędu człowieka w procesie jego tworzenia. Zatem czy technologia jest dobra na wszystko? Czy technologię można obdarzać absolutnym zaufaniem?
Hakerzy w krawatach
Globalny rozwój Internetu i ogólna dostępność sieci sprawia, iż dostęp do informacji jest tak łatwy, jak nigdy wcześniej. Informacje o lukach i błędach w oprogramowaniu rozchodzą się w błyskawicznym tempie i docierają do milionów użytkowników. Czy można zatem przyjąć, iż instalując najnowsze rozwiązania w zakresie ochrony systemów informatycznych zapewniamy bezpieczeństwo naszej firmie? Według statystyk około 80 proc. zarejestrowanych incydentów naruszenia bezpieczeństwa jest inicjowana wewnątrz firm.
Brawurowe przypadki włamań komputerowych, szpiegostwa przemysłowego czy cyberterroryzmu spowodowały, iż większość firm od lat posiada mechanizmy zabezpieczające styk z siecią publiczną za pomocą systemów zaporowych (ang.:firewall) i systemów wykrywania włamań (IDS/IDP). Zabezpieczenia te powstrzymują większość "robaków" szukających systemów podatnych na znane luki. Obecnie producenci oferują również systemy do zabezpieczania sieci wewnętrznych i choć niewiele firm z nich korzysta, z pewnością większość instytucji będzie inwestowało w tę gałąź technologii. Kwestia bezpieczeństwa sieci wewnętrznej jest o wiele bardziej złożona niz ochrona styku z Internetem.
Około 70 proc. incydentów sieci wewnętrznej jest efektem braku wiedzy lub świadomości użytkownika. Pozostałe 30 proc. może być postrzegane jako umyślne działania nielojalnych pracowników. Kto bowiem ma większe możliwości manipulacji danymi księgowymi, niż sam księgowy? Kto ma tak nieograniczony dostęp do informacji jak administrator systemu pocztowego czy serwera plików? Trudno ograniczyć prawa administratorowi czy odebrać uprawnienia księgowemu. Jak zatem ustrzec się przed nieuprawnionymi działaniami pracowników? Czy technologia może nam rzeczywiście pomóc?
Polityka bezpieczeństwa
Na bezpieczeństwo danych składają się trzy komponenty:
- zabezpieczenia fizyczne,
- zabezpieczenia techniczne,
- zabezpieczenia administracyjne.
Tam, gdzie zastosowano już systemy zaporowe i wykrywania włamań, zabezpieczenia antywirusowe, kamery monitorujące i systemy kontroli dostępu, tam przychodzi czas na zabezpieczenia administracyjne - czyli na politykę bezpieczeństwa. Powinna ona zapewniać mechanizmy minimalizujące ryzyko popełnienia oszustwa przez nielojalnych lub nieświadomych pracowników. Pracodawca ma do dyspozycji wiele możliwości, m.in.:
- procedury weryfikacji kandydatów (np. kontrola referencji), mające za zadanie zidentyfikować nieuczciwe osoby już na etapie rekrutacji;
- separacja uprawnień - mająca za zadanie dzielić kluczowe procesy biznesowe, tak aby wymagały one współpracy co najmniej 2 osób.
Popełnienie w ten sposób fałszerstwa wymagałoby zmowy kilku pracowników, co znacznie obniża prawdopodobieństwo zajścia takiego zdarzenia;
- rotacja stanowiska - zwiększa prawdopodobieństwo wykrycia nielegalnych działań podejmowanych przez osoby wcześniej zajmujące dane stanowisko a także zwiększa odporność firmy na wypadek utraty kluczowego pracownika;
- obowiązkowe urlopy - zwiększa prawdopodobieństwo wykrycia nielegalnych działań podejmowanych przez osoby przebywające na urlopie, których obowiązki przejmuje inna osoba.
Rozwiązania proceduralne
Poza rozwiązaniami organizacyjnymi, nie mniej istotne są rozwiązania proceduralne, które minimalizują ryzyko popełnienia nieświadomych błędów, do najważniejszych można zaliczyć:
- procedury i wytyczne - czyli instrukcje postępowania w określonych sytuacjach, które mają za zadanie narzucić minimalny wymagany przez firmę poziom bezpieczeństwa (np. długość haseł);
- szkolenia uświadamiające - zapewniające, iż pracownik jest świadomy istniejących zagrożeń oraz obowiązujących procedur;
- regularne audyty - mające na celu niezależną ocenę poziomu zabezpieczeń technologicznych czy proceduralnych;
- monitoring i auditing - rejestrowanie kluczowych zdarzeń w systemach komputerowych w celu detekcji podejrzanych zachowań oraz w celach dowodowych.
To jedynie niewielki wycinek zagadnień związanych z tematyką polityki bezpieczeństwa. Technologia dostarcza nam wspaniałych rozwiązań, jednak nadal pozostają one jedynie narzędziem w ręku człowieka, który musi być świadomy jak z nich korzystać w bezpieczny sposób.
Aleksander Brożek ,
"Nowe technologie" - Magazyn ComArch