Bude web někdy bezpečný?

Kdybyste se v životě měli řídit tím, co čtete o zločinech v novinách, ani byste ráno nevstali z postele. To samé po...


Kdybyste se v životě měli řídit tím, co čtete o zločinech v novinách, ani byste
ráno nevstali z postele. To samé poměrně trefně platí i o bezpečnosti na webu.
O problémech s bezpečností na webu se píše často, ale už se nepíše o tom, co
zabezpečené je. I když právě procházíme jedním z nejhlubších ekonomických
útlumů v nedávné historii, on-line obchod představuje nejrychleji rostoucí trh
na zemi jak ve spotřebním segmentu, tak v segmentu obchodování mezi firmami.
Ale potom, co si něco přečtete o bezpečnosti na webu, by vás nenapadlo, že je
web tak skvělý. Podle jedné nedávno zveřejněné zprávy je podvodů s kreditními
kartami nyní 12krát více na síti než při transakcích v obchodech, zatímco podle
jiné jsou on-line podvody čtyřikrát častější než při klasických transakcích. Ať
už to vyčíslíte jakkoli, je to opravdu alarmující dokud si neuvědomíte, že web
přispívá k dvoucifernému růstu prodeje a on-line podvody představují méně než
1,2 centu z každého dolaru, který se na síti utratí. Je pro nás tedy
zabezpečení webu problémem? Ano, ale dá se to zvládnout.

Vše spolu souvisí
Největší chybou, které se IT specialisté dopouštějí při posuzování bezpečnosti
webu, je to, že se soustředí na řešení problému a už nevidí obchodní
příležitost. Všechny technologie s sebou nesou rizika, jejichž obchodní dopad
je potřeba vyřešit. Úkolem IT odborníka je identifikovat a následně
minimalizovat rizika takovým způsobem, abychom mohli uvádět nové technologie
posilující výkonnost firmy.
Fenoménem internetu také vzniká potřeba nových oblastí a oborů profesionality.
Mnoho odborníků z oblasti IT se proto také výhradně specializuje na bezpečnost
informačních technologií. Prakticky u každé firmy by měl být anebo již existuje
bezpečnostní specialista, jehož oborem je implementace nových bezpečnostních
technologií právě do prostředí podniku. Taktéž na straně dodavatele už nejsou
pouzí dodavatelé softwaru a hardwaru, ale "bezpečáci", kteří zajistí ochranu
vašich informací proti neoprávněnému využití.
Dalším obvyklým omylem je domnívat se, že před nástupem webu byla bezpečnost
neprůstřelná. Když byly zhruba před patnácti lety obchody uskutečňovány
převážně po telefonu a formou fyzických transakcí, zločinci si dokázali najít
způsoby, jak napíchnout telefonní linky, odposlouchávat hovory a krást fyzická
data. Zabezpečení žádného informačního systému na světě není silnější než jeho
nejslabší článek, kterým je člověk. S pokračujícím přesunem podnikání na web
před námi stojí nová bezpečnostní rizika, která jsou však kompenzována
obrovským ziskem rychlosti trhu, lepších služeb zákazníkům, širší zákaznické
základny, vyšší produktivity a nižších provozních nákladů. Cesta zpět už
neexistuje.

Efektivnost a rizika
Teď je tedy třeba zabývat se tím, jak maximalizovat efektivnost webové
technologie a zároveň snižovat rizika. Daří se to lépe, než si většina lidí
uvědomuje. Při jakékoli webové transakci musí firma vyřešit několik základních
úkolů. Podnik potřebuje přesně identifikovat své uživatele, co by jim mělo být
umožněno a na jakých zásadách budou založena obchodní rozhodnutí. Tyto zásady
musí například definovat práva různých druhů uživatelů zákazníků, zaměstnanců,
dodavatelů a obchodních partnerů.
Při budování silnějšího zabezpečení podniků potřebujeme zajistit, aby tato
přidaná ochrana byla snadno a flexibilně integrována v celé firmě a aby ji šlo
jednoduše zavést a spravovat. Například pro zaměstnance, kteří do firmy
nastupují anebo ji opouštějí, musí mít IT administrátoři možnost aktualizovat
přístupová práva k síti, aniž by museli kvůli každému zaměstnanci zasahovat do
kódu několika aplikací. Vzhledem k tomu, že v některých odvětvích nyní
fluktuace zaměstnanců dosahuje až hranice 100 procent, je správa zabezpečení
napříč rozmanitými systémy a aplikacemi tak nákladná a složitá, že spousta
zaměstnanců má přístupová práva k podnikovým systémům, k nimž by se jinak vůbec
neměli dostat. Jejich práva jsou totiž zastaralá a 20 procent účtů v
podnikových sítích stále patří lidem, kteří už pro společnost nepracují pět let
nebo dokonce i déle.
S těmito skutečnostmi souvisí také nově vzniklé dimenze a požadavky na
bezpečnost. Již nejde o pouhá práva přístupu, kdy zaměstnanec může číst data,
ale jde například o rozšíření pravomocí (kdy, proč a jaká data mohu
zpracovávat). Bezpečnostní politiky jsou jemnější (můžeme zpracovávat pouze
části dat, veškeré změny jsou uchovávány apod.).

Jednoduchost a flexibilita
Do řešení, jimiž se vyrovnáváme s riziky obchodování na webu, musí být
zabudována také jednoduchost používání, flexibilita a ekonomičnost. V současné
době se po zákaznících vyžaduje ověření totožnosti několika vrstvami informací
uživatelským jménem, heslem, číslem kreditní karty a případně i dalšími
identifikačními informacemi, jako je datum narození nebo poštovní směrovací
číslo. Pokud tyto informace souhlasí s informacemi organizace, která platební
kartu vydala, a firmy, může zákazník dokončit transakci.
Obchodníci a organizace vydávající platební karty pracují na dalších vrstvách
ochrany, aby se jim dařilo prosít podvodníky, jenže omezujícím faktorem je
jednoduchost použití. Ochranné vrstvy nesmí nakupování na síti zkomplikovat
natolik, aby každého odradily. Zločinci si pochopitelně mohou získat informace
on-line, stejně tak jako mohou padělat kreditní karty a získat jejich čísla pro
nezákonné nákupy v obchodech nebo v zásilkových službách. Přitom pro
uskutečnění podvodného fyzického nákupu nepotřebujete platné uživatelské jméno
a heslo.

Biometrika bude
Dalším krokem ve zlepšování bezpečnosti na síti může být použití biometriky,
kdy jsou uživatelé identifikováni na základě svých fyzických vlastností. Do
určité míry nyní používáme biometriku s digitálními fotografiemi uživatelů na
řidičských průkazech a kreditních kartách. Internet nám umožní digitalizovat
další fyzické vlastnosti například umožní používat otisk prstu či dlaně nebo
snímek sítnice. Se zdokonalováním biometriky bude testem této technologie její
finanční výhodnost a zároveň její přijatelnost ve vztahu ke srovnatelně
důležitým obchodním požadavkům na ochranu soukromí a důvěry spotřebitelů.
Bude tedy web někdy bezpečný? Vzhledem k tomu, kde jsme byli a kam nyní
směřujeme, můžeme naprosto oprávněně očekávat, že web bude stále bezpečnější.
Bezpečnost přitom bude obchodování usnadňovat a ne dusit.
Steve Mills je senior viceprezident a ředitel skupiny Software Group
společnosti IBM.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.