Smysluplná bezpečnost pro malé organizace

Výše rozpočtu na IT, který ovlivňuje investice do bezpečnosti, je častým kamenem úrazu. Velké firmy, organizace


Výše rozpočtu na IT, který ovlivňuje investice do bezpečnosti, je častým
kamenem úrazu.

Velké firmy, organizace či instituce problém informační bezpečnosti nepodceňují
protože si to prostě nemohou dovolit. Respektive věnují mu odpovídající
pozornost, mají na tento úkol vyčleněné celé oddělení (nebo alespoň
samostatného pracovníka), či dokonce externího dodavatele (outsourcing). A
samozřejmě také odpovídající rozpočet.
Nicméně právě rozpočet je častým problémem většiny malých a často i středně
velkých podniků. Přestože v přepočtu na zaměstnance vydávají oproti velkým
organizacím na bezpečnost stejně nebo i více, kýžený efekt se často
nedostavuje. O to více je žádoucí se vyvarovat tzv. školáckých (nebo
začátečnických) chyb, prostředky vynakládat co nejefektivněji a nejít cestou
typu "pokus-omyl".

Kombinovaná obrana
Byť to zní absurdně, i ve velmi malé síti má smysl budovat "hloubkovou obranu"
v podobě několika ochranných prvků za sebou. Při selhání nebo obejití jednoho z
nich pak nastupuje další. Právě u malých systémů je selhání některého prvku
pravděpodobnější než u systémů velkých. Stačí se jen podívat na strukturu malé
sítě, která je zpravidla decentralizovaná, bez jednoho hlavního místa, které by
šlo takzvaně opevnit. A tak k internetu bývá připojen buď jeden řadový počítač
a ostatní uživatelé se spojují se světem přes něj, anebo mají všechny počítače
přímé spojení. O nějakém poštovním serveru či místě, kam by šel nainstalovat
síťový firewall či další ochranný prvek, se takové síti může jen zdát.

Firewall základem
Proto je nezbytně nutné vytvořit obranu skládající se z několika vrstev. V prvé
fázi je to samozřejmě firewall, který chrání veškerý provoz jdoucí do sítě (v
ideálním případě kontroluje i odchozí provoz). Ne vždy je to ale možné či
technicky realizovatelné (třeba kvůli struktuře sítě). Proto by každý počítač
měl být vybaven ještě osobním firewallem. To ovšem platí i v případě, kdy je
možné postavit mezi síť a internet řádný firewall, neboť osobními firewally
získáváte další obranný val.
V malých sítích panuje jeden velmi rozšířený zlozvyk buď úplně eliminovat
přihlašovací prvky, nebo je sdílet (mít jedno společné heslo, nebo znát hesla
svých kolegů). Na jedné straně je to pochopitelné, malá firma se musí otáčet
jinak než velká a zákazník těžko bude slyšet na argument "k jeho datům nemáme
přístup, protože je mimo kancelář" apod. Na straně druhé však něco podobného
představuje velké riziko. Nepoužívání hesla otevírá dveře všem útočníkům bez
rozdílu, heslo sdílené nebo veřejné pak těm interním.

Zabezpečení dat
Další vrstvou obrany po firewallu a kontrole přístupu by se mělo stát
zabezpečení dat v současnosti je nejrozšířenější, nejlevnější a nejjednodušší
šifrování. V každém případě je zbytečné šifrovat úplně všechno, jak se někdy s
trochou paranoie děje, ale stačí dbát na ochranu nejcitlivějších dat. Každá
organizace si přitom musí zvážit, jaká data pro ni mají cenu vyšší než data
ostatní.
S tímto zaměřením ostatně souvisí i celé nastavení bezpečnosti, která by neměla
být budována chaoticky velmi rozšířeným způsobem: máme problém nasadíme toto
máme jiný problém přidáme k tomu něco dalšího atd. Což je sice nejjednodušší,
ale téměř nikdy nejlevnější a ani nejpohodlnější. Navíc je reagováno až na
vzniklou situaci namísto toho, aby se problémům předcházelo.
Proto je nutné nějakým způsobem provést bezpečnostní analýzu a identifikovat
hrozby s možnostmi jejich eliminace. Výběr vhodných protiopatření a produktů
pak může ušetřit hodně času, peněz, práce i nervů. Příkladem mohou být různá
komplexní bezpečnostní řešení na trhu, která mají v sobě integrováno několik
funkcí, takže není nutné kupovat několik samostatných aplikací (a ty pak
samostatně spravovat, aktualizovat, nastavovat nehledě na to, že mezi nimi
často vázne spolupráce). Mezi komplexními řešeními existuje dostatečně široká
nabídka na to, aby bylo možné najít řešení vhodné právě pro vás.

Nutná prevence
Od vlastní ochrany (eventuálně reakce na vzniklé problémy) jsme se tak dostali
k prevenci. Tedy k tomu, jak lze bezpečnostní hrozbu zaregistrovat včas. V
takovém případě je vhodné sledovat logy z firewallu (pochopitelně pomocí
automatického vyhodnocovacího programu, který umožní včas zastavit začínající
útok, například zablokováním určité IP adresy apod.). Stejně tak lze podniknout
i další preventivní protiopatření: zablokovat (alespoň dočasně) možnost
přihlášení pro toho uživatele, který třikrát po sobě zadá nesprávné
přihlašovací údaje.

Odpovědné osoby
Dalším velmi častým a velmi nepříjemným problémem v malých organizacích je
absence pověřeného člověka nebo autority, která by měla informační bezpečnost
na starosti a zároveň za ni zodpovídala. Díky tomu chybí i znalostní báze
ohledně vzdělávání dalších pracovníků, stejně jako autorita, která by
vyhodnocovala situaci, stanovovala pravidla či doporučovala opatření apod. Tím
samozřejmě není řečeno, že firma o pěti lidech by měla na plný úvazek zaměstnat
šestého bezpečnostního specialistu. Na základě stejné logiky by totiž podobná
firma musela zaměstnávat na plný úvazek hasiče, automechanika, vrátného a mnoho
dalších profesí. O informatiku všeobecně (a tedy i o bezpečnost) se v případě
malých firem zpravidla stará externí správce. Takovýto člověk ale často nemá
čas ani chuť bezpečnost řešit. Většinu problémů zpravidla řeší přidělením
administrátorských práv všem uživatelům nebo nějakým jiným podobným opatřením,
které samozřejmě jde na úkor bezpečnosti. Jak tuto situaci řešit? Poměrně
jednoduše, přidat do smlouvy s tímto externistou pasáž o zajištění antivirové a
další bezpečnosti, aby měl na ní i svůj díl zodpovědnosti a za případné
problémy mohl být postihován. Když už nic jiného, správce alespoň začne
aplikovat bezpečnostní záplaty na operační systém, což z hlediska bezpečnosti
vůbec není zanedbatelné.

Rady nakonec
Na konec uvádíme ještě několik tipů z oblasti "co by se dalo pro bezpečnost
ještě udělat". Dobrým řešením problémů s decentralizovanou sítí je pořízení
jednoho serveru, přes nějž půjde veškerá komunikace včetně té e-mailové. Ten
bude zároveň použit i ke sdílení dokumentů. Na serveru bude instalován
antivirový program stejně jako firewall, případně další ochranné prvky. Toto
řešení je výhodné i z hlediska ochrany před hardwarovým selháním dokumenty
shromažďované na jednom místě (serveru) se zálohují snadněji a přehledněji než
soubory roztroušené mezi několik počítačů. Tímto krokem vzniká centralizovaný
systém sítě i ochrany, který se samozřejmě spravuje mnohem jednodušeji než
několik různých počítačů, jež jsou unikátní kombinací hardwaru, softwaru a
jejich příslušného nastavení.
Dalším poměrně častým problémem je použití vhodného softwaru i hardwaru všechny
počítače v malé síti by měly mít zhruba stejný výkon, aby mohly používat stejný
software, neboť nákup multilicencí vyjde levněji a jeho správa je jednodušší.
Teď ale nemáme na mysli ono: "Přejděte na Linux!" Těžko bychom totiž mohli po
běžných uživatelích chtít, aby den ze dne změnili své návyky nebo aby se z
hodiny na hodinu stali administrátory. Ale i v rámci Windows jsou z hlediska
bezpečnosti lepší a horší varianty. Velmi nešťastné je přitom použití systémů
Windows 95 nebo 98, naopak lépe jsou na tom Windows XP Professional se všemi
svými podpůrnými funkcemi (jako implementovaný firewall apod.).
Bezpečnost v malé síti nemusí být neřešitelným, drahým nebo obtížně
realizovatelným problémem. Stačí se držet několika relativně jednoduchých
doporučení a vysoká míra ochrany je zajištěna.


Nejčastější chyby v malých organizacích
Sdílená nebo veřejná hesla tedy taková, která nemohou plnit svoji funkci.
Heslo, která zná (nebo k němu má přístup) více uživatelů, svoji funkci jako
ochranný prvek samozřejmě nemůže plnit.
Decentralizovaná síť s nejasnou strukturou. V takové síti se samozřejmě obtížně
nasazují jakékoliv ochranné prvky, brání se případným incidentům a implementuje
jakákoliv politika.
Absence pověřené osoby, takže dochází k situaci, že bezpečnost dělají všichni a
v konečném důsledku nikdo.
Pozor na administrátorská práva všech uživatelů z hlediska správce je to
samozřejmě nejjednodušší, z hlediska bezpečnosti ale nežádoucí.
Absence bezpečnostní politiky. Ta nemusí mít podobu tlustého, nikdy nepoužitého
seznamu, ale stačí několik jednoduchých, srozumitelných a zapamatovatelných
bodů, které pomohou každému.
Používání nevhodného softwaru a to jak pro zajištění bezpečnosti, tak pro běžný
provoz. Vhodným výběrem a koncepcí se dá mnoha problémům zabránit.

Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.