Jak nepřijít o svá cenná data

Bezpečnost v oblasti informačních technologií představuje víc než jen zadat hesla nebo nainstalovat firewall. Spíše s...


Bezpečnost v oblasti informačních technologií představuje víc než jen zadat
hesla nebo nainstalovat firewall. Spíše se jedná o to, aby byly technika,
organizace a infrastruktura sehrané tak, aby se vytvořila obsáhlá koncepce
bezpečnosti. Ta zahrnuje i oblasti, které jsou mimo oblast zpracování dat,
např. techniku budov.
Žádný manažer dnes nebude vážně popírat, že informační technika představuje pro
jeho podnik strategický faktor. Stále větší díl komunikace se spolupracovníky,
obchodními partnery nebo s veřejností probíhá prostřednictvím Internetu,
interních nebo externích sítí, "virtuálních soukromých sítí" (VPN) a
podnikových sítí. Vedoucí IT tak dnes musí často spravovat velmi rozsáhlou síť,
přičemž je třeba zajistit její maximální bezpečnost.
Nejčastější problémy
Firmy sice používají bezpečnostní technologie, ale zanedbávají integraci těchto
technologií do obchodních procesů. Kromě toho jsou bezpečnostní rizika chybně
oceňována.
Nedávný průzkum ukázal, že 43 procent dotázaných podniků se obává škod
způsobených viry, ale jen 19 procent jich bylo viry skutečně jednou postiženo.
Naproti tomu jen 20 procent dotázaných bylo toho mínění, že zneužití
uživatelských práv by mohlo přivodit problémy, avšak 70 procent již mělo
odpovídající zkušenosti.
Průzkum provedla německá pobočka Meta Group mezi uživateli v Německu, dá se
však předpokládat, že podobná situace panuje i v České republice. Experti Meta
Group označili za hlavní příčinu problémů skutečnost, že organizační vedení
"podnikové bezpečnosti" je v 88 procentech případů v oddělení pro zpracování
dat a ne v podnikovém vedení. Naproti tomu nestačí oprávnění vedoucího IT,
zejména v oblasti ochrany dat, k tomu, aby mohl činit potřebná rozhodnutí.
Další 2 důležité poznatky ze studie následují:
V mnoha podnicích neexistuje pro bezpečnost IT žádný zvlášť vyčleněný rozpočet.
Investice do elektronického obchodování budou vyžadovat značné investice v
oblasti podnikové bezpečnosti.
Bezpečnost často přichází zkrátka
Pro vedoucího IT dnes znamená široké využívání komunikační a výpočetní techniky
podstatně větší odpovědnost než kdykoli v minulosti. Ve většině případů musí
spravovat komplexnější podnikovou síť než tomu bylo ještě před několika lety, a
také bezpečnost IT hraje čím dál větší roli, a vyžaduje proto větší vynaložení
sil a prostředků.
U řady evropských firem musí navíc oddělení pro zpracování dat bojovat se
známými problémy: příliš mnoho projektů a příliš málo kvalifikovaného
personálu. K tomu ještě přistupuje časový tlak, z toho vznikající ledabylost a
příliš nízko vyměřený rozpočet, takže pracovník odpovědný za zpracování dat
velmi často zanedbá hledisko "základní bezpečnosti IT". Mělo by mu však být
jasné, že to pro něj může mít právní důsledky, vyplývající z odpovědnosti k
zaměstnavateli, která je v různých podobách součástí právního řádu většiny zemí.
Odborník pro zpracování dat by proto neměl opominout upozornit svého
nadřízeného písemnou formou, ne však e-mailem, na mezery v bezpečnosti a jejich
následky a dát si tento dokument tímto nadřízeným podepsat.
Bezpečnost IT je věcí vedoucího
V mnoha případech si firmy nebo úřady uvědomí prioritu bezpečnosti IT teprve
tehdy, když "už dítě spadlo do studny", tedy když již škoda vznikla. Ve většině
případů není příčinou ztráty dat zlá vůle, nýbrž nedbalost nebo technické
selhání. Proto je důležité, aby management daného podniku nebo vedoucí
příslušného úřadu znal význam tohoto tématu a neponechával tuto oblast na
starosti samotným odborným oddělením pro zpracování dat.
Úkolem managementu je pak vytváření povědomí o důležitosti bezpečnosti IT. A i
když to může znít banálně bezpečnost při využívání IT je úkol trvalý a může být
plněn jen tehdy, když všichni, kteří se na něm podílejí, spolupracují:
management, experti a v neposlední řadě uživatelé na pracovišti.
Pro zajištění bezpečného zacházení s daty a systémy pro zpracování informací je
potřebné vypracovat bezpečnostní normy a dodržovat je. Komplexní téma
bezpečnosti se v praxi člení do více úrovní, na bezpečnost technickou, logickou
a fyzickou.
technická bezpečnost: zrcadlení systému, nasazení UPS, RAID systémy apod.
logická bezpečnost: nasazení virových skenerů, firewally, systémy identifikace
apod.
fyzická bezpečnost: ochrana proti přepětí, požárům, fyzická ochrana zařízení
apod.
Technická bezpečnost
Nedbalost a chybějící kontroly vedou vždy znovu k tomu, že pracovníci
doporučená nebo nařízená opatření neprovádějí nebo je neprovádějí v plném
rozsahu. Tím vznikají škody, kterým by se většinou dalo relativně snadno
zabránit nebo by se přinejmenším daly omezit. Důvodem pro chybné chování
pracovníků je nedostatek smyslu pro bezpečnost. Příznakem toho je na příklad,
kdy jsou opakující se hlášení o chybách po určité době, během níž si na ně
pracovníci zvyknou, jednoduše ignorována. Pohrdání bezpečnostními předpisy má
mnoho podob:
Diskety nebo CD-ROM disky se sice uchovávají v zamčených psacích stolech, avšak
klíč ponechávají pracovníci v kanceláři, například na polici nebo v kartotéce.
Hesla jsou poznamenávána na lístky a ty jsou ukládány v blízkosti terminálu
nebo PC, příliš často je možno je vidět jako poznámkové lístky post-it
přilepené na monitoru.
Ačkoliv by měla být jasná užitečnost řádného zajištění bezpečnosti dat, dochází
vždy opět ke ztrátě dat, protože jsou nedopatřením vymazána nebo se vyskytne
porucha systému. Ano i tehdy, když byla data zajištěna, nedají se již v mnoha
případech informace rekonstruovat, patrně proto, že je k dispozici vadné nebo
příliš staré zálohování nebo jsou zajištěná data zamořena počítačovými viry.
Přístup do výpočetního střediska by měl být možný výhradně dveřmi zajištěnými
systémem pro kontrolu přístupu (čtecí zařízení magnetické pásky). Často se však
jako přídavného vchodu a východu používá únikových dveří, které smějí být
otevřeny jen v případě nouze.
Ochrana před nebezpečím Dalším zdrojem nebezpečí je personál provádějící
čištění nebo cizí personál. Rozsah tohoto nebezpečí sahá od neodborného
zacházení s technickými zařízeními přes "pohrávání si" na IT systému až ke
krádeži komponent. Uklízečka může například nedopatřením uvolnit zástrčkové
propojení, přemístit podklady nebo při čištění psacích stolů a regálů "utopit"
počítače nebo monitory.
Aby se tomu zabránilo, je třeba vytvořit jasná pravidla, např. taková:
Každý pracovník musí při ukončení práce uzamknout citlivé podklady.
Důležitá data je nezbytné pravidelně zálohovat.
Počítače je nutno chránit hesly, která jsou uchovávána tak, aby byla pro cizí
osoby nepřístupná a která jsou v pravidelných intervalech obnovována.
Pracovníci cizích firem smějí případné práce vykonávat jen pod dohledem.
Pracovníci firem provádějících čištění by měli být podrobně informováni, na co
mají zvláště dávat pozor.
Výpadek napájení
Přestože je bezpečnost zásobování elektřinou dosti vysoká, stále ještě dochází
k přerušení jejích dodávek. Největší počet těchto poruch trvá méně než jednu
sekundu, takže jsou stěží pozorovatelné. Ale již přerušení v trvání 10 ms mohou
ovlivnit IT systémy a podobně je mohou ovlivnit i další neobvyklé jevy, jako
jsou napěťové špičky.
Často se zapomíná, že na zásobování proudem závisí nejen počítač nebo
osvětlení, ale také jiná zařízení infrastruktury, která mají vazbu na
komunikační techniku a bezpečnost IT např. zařízení pro ohlašování nebezpečí.
Následky mohou být bolestné: v jednom velkém jihoněmeckém průmyslovém závodě
bylo celkové zásobování elektrickou energií na větší počet hodin přerušeno,
protože se v příslušném elektrorozvodném podniku vyskytly problémy. V důsledku
toho vypadla také výroba a veškeré počítače ve vývojových odděleních, která
nebyla vybavena žádnými záložními zdroji napětí.
Porucha nosičů dat
Do oblasti technické bezpečnosti IT patří také výpadek, respektive porucha
nosičů dat. To se týká velkokapacitních pamětí, jako jsou pevné disky, páskové
nebo kazetové systémy. Také CD-ROMy se mohou stát nepoužitelnými, poškrábe-li
se povrch. Havárie zapisovací/čtecí hlavy pevného disku se může pro uživatele
stát těžkou poruchou je však třeba ji předpokládat a data pravidelně zálohovat,
v případě vadného serveru pak mít k dispozici rezervní systém, který zaskočí za
vadného "kolegu".
Logická bezpečnost
Druhou oblast našeho zájmu tvoří logická bezpečnost IT. Týká se zajištění IT
struktur proti zeslabení utajení, ztrátě integrity a dostupnosti informací. Pro
tento účel používají některé firmy a úřady šifrovací postupy. Ovšem v mnoha
podnicích stále ještě obíhají v síti obchodně kritická data v nešifrovaném
textu. Není třeba ani vynaložit příliš mnoho energie, aby si je bylo možno také
přečíst. V tomto případě je nutné vybudovat účinnou ochranu proti špionáži dat
nebo zneužití dat. To je však možné jen tehdy, když odborník pro zpracování dat
má aspoň přibližnou představu, jaké prostředky má k dispozici jeho "protivník".
Zloději, hackeři, ale také externí nebo interní pracovníci se mohou z
nejrůznějších důvodů, frustrace nebo zlosti na nadřízené, pokusit manipulovat s
prostředky IT, příp. zničit je, nebo dokumenty v nich uložené. Manipulace jsou
tím účinnější, čím později jsou odhaleny, čím obsáhlejší jsou znalosti
pachatele a čím hlouběji zasahují jejich účinky do pracovního procesu. Účinky
sahají od nedovoleného nahlédnutí do dat hodných ochrany až po zničení nosičů
dat nebo celých systémů IT.
Manipulace s daty
S daty nebo se softwarem je možno manipulovat různými způsoby: jejich špatným
sběrem, měněním přístupových práv k operačním systémům právě tak jako
falšováním různých evidenčních dat nebo výstupů písemného styku. Pachatel však
může manipulovat jen s daty a softwarem, k nimž má přístup. To znamená: čím
více přístupových práv pracovník má, tím lepší možnosti má pro závažné změny.
Bez mechanismů pro identifikaci a autentizaci uživatelů je kontrola
neoprávněného využití IT prakticky nemožná. Dokonce i u systémů s identifikační
a autentizační funkcí, například ve formě kontroly identifikačních dat
uživatele a hesla, je neoprávněné využití myslitelné, například tehdy, jestliže
někdo zjistí heslo a příslušná identifikační data uživatele.
Nejprimitivnější metodou jak vniknout do určitého systému, je vyzkoušet
nazdařbůh různá hesla. Bohužel mnoho uživatelů používá pojmy nebo číselné
kombinace, které se dají poměrně snadno odhalit, například jména a datum
narození partnerů a dětí. V mnoha případech zní heslo prostě "heslo" nebo
"password".
Útok pomocí softwaru
Slibné je také vybrat si smysluplné slovo jako heslo a vyzkoušet je na kontech
všech uživatelů. Při dostatečně velkém počtu uživatelů je tímto způsobem často
možné vybrat platnou kombinaci. Tento postup je možné dokonce automatizovat,
použije-li pachatel program, který systematicky zkouší všechna možná hesla. Tak
využil v roce 1998 jeden internetový červ jistého slabého místa v některých
operačních systémech UNIX, aby našel platná hesla, přestože tato byla uložena v
zašifrované formě. Program pro tento účel vyzkoušel všechny zápisy v jednom
slovníku tím, že je zašifroval pomocí šifrovací funkce, kterou měl k dispozici,
a porovnal je s uloženými zašifrovanými hesly. Každá shoda odpovídala jednomu
platnému heslu.
Počítačové viry patří k programům se škodlivými funkcemi. Škody v tomto případě
tvoří zejména ztráta nebo zfalšování dat nebo programů největšího významu.
Takové funkce virových programů mohou být neúmyslné, ale mohou se vyskytovat
také jako záměrně řízené.
Fyzická bezpečnost
Třetí komplex související s bezpečností IT představuje fyzická zabezpečení
zařízení pro komunikaci a zpracování dat, například proti škodám způsobeným
požáry. Kromě zpustošení způsobených ohněm přímo na budovách nebo jejich
zařízeních dochází zpravidla k následným škodám, které mohou mít katastrofální
následky především pro informační techniku. Platí to zejména pro škody
způsobené při hašení vodou. Nedochází k nim jen přímo na místě požáru; mohou
zasáhnout také níže položené části budovy.
Kromě toho dochází k tomu, že při spalování PVC vznikají chlorové plyny, které
ve styku se vzdušní vlhkostí a hasicí vodou tvoří kyselinu solnou. Rozšíří-li
se páry kyseliny solné po budově pomocí klimatizačního zařízení, mohou tyto
páry ovlivnit funkci elektronických přístrojů, které jsou umístěny v části
budovy nacházející se i poměrně daleko od místa požáru.
Požár vzniká nejen nedbalým zacházením s ohněm, například při svařování nebo
pájení, ale také neodborným užíváním elektrických zařízení, například kávovaru,
který nepozorovaně vře nebo od přetížených vícenásobných zásuvek. Rozšíření
požáru může nepříznivě ovlivnit řada faktorů:
úsekové protipožární dveře se řádně nezavírají nebo jsou dokonce udržovány v
otevřené poloze pomocí založených klínů,
hořlavé látky se skladují neodborně,
chybí zařízení pro hlášení požáru,
protipožární ochrana je nedostatečná v tom, že na kabelových trasách nejsou
provedeny protipožární přepážky.
Škody způsobené vodou však vznikají nejen tehdy, když hasiči bojují s požárem.
Často jsou příčinou nekontrolovaného vniknutí vody do budovy nebo místností
přírodní jevy jako jsou průtrže mračen nebo povodně. Dalšími příčinami mohou
být, poruchy v zásobování vodou a v odvodu odpadní vody, vadná zařízení pro
vytápění nebo klimatizaci, protipožární rozprašovací zařízení uvedená v činnost
nějakou chybou.
Nezávisle na tom, jakým způsobem voda vniká do budovy nebo do místností, vzniká
nebezpečí, že napájecí okruh nebo komponenty IT budou poškozeny nebo vyřazeny z
provozu, ať již vznikem krátkého spojení nebo zrezivění. Pracovník odpovědný za
IT by měl proto zkontrolovat, zda jsou centrální rozvaděč proudu, telefonní a
páteřní datová vedení umístěna ve sklepních místnostech vybavených automatickým
odvodňovacím systémem.
Ačkoliv stále více komponent v informační technice pracuje čistě
"elektronicky", neobejde se tato technika bez mechanických komponent, tj.
disket, CD-ROMů, pásků, pevných a výměnných disků, tiskáren nebo skenerů. Již
nepatrné nečistoty mohou vést k poruše.
Další bezpečnostní riziko představuje neodborné nebo nedbalé zacházení s
hardwarem nebo s programy.
K tomu je třeba poznamenat, že "pachatelé" si často nejsou vědomi, že něco
udělali špatně, protože se jim nedostalo přiměřeného školení.
0 0046 / pen

Jak zajistit bezpečnost
Na následujících řádcích vám předkládáme 7 základních kroků, jejichž
absolvování vám pomůže zajistit dostatečnou bezpečnost vašich systémů IT:
1.Stanovte cíle bezpečnosti.
2.Určete osoby zodpovědné za bezpečnost.
3.Vypracujte koncepci bezpečnosti IT.
4.Realizujte potřebná opatření a zapojte do nich již existující bezpečnostní
mechanismy.
5.Kontrolujte účinnost opatření a podle potřeby je optimalizujte.
6.Zjistěte a analyzujte změny relevantní pro bezpečnost.
7.V pravidelných intervalech opakujte kroky 3 až 6.
Na základě těchto kroků je možné vytvořit a realizovat přiměřené řízení
bezpečnosti. Bezpečnost by měla mít stejnou prioritu jako ostatní kriteria,
například vysoká flexibilita a hospodárnost.

Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.