• Moderné informačné technológie pre rast EMM
• BEAUJOLAIS 2011
• ITAPA 2011
• Otvorenie DataCentra
• IS2
• Seminár Analýza rizík a BIA
• ABIT
• TOP ICT Garden Party 2011
• Information Security Summit 2011
• EMM - 20. výročie
• ISACA Open DAY 2011
• Výzva na predloženie ponuky

O čom to je, bezpečnosť IS?

Azda aj takto by sme mohli nazvať pracovné raňajky s novinármi, ktoré sa uskutočnili koncom apríla v Bratislave. K otázkam vonkajšej, ale aj vnútornej bezpečnosti informačných systémov s nimi diskutovali technický riaditeľ spoločnosti Microsoft Slovakia Gabriel Fedorko, bezpečnostný architekt spoločnosti EMM a technický riaditeľ SOFTIPu Ján Schwarz.

Budovanie dôvery v súčasnom počítačovom svete
Gabriel Fedorko, technický riaditeľ spoločnosti Microsoft Slovakia

Približne v roku 1995 sa začal internet viac presadzovať nielen v akademickej, ale aj komerčnej sfére. Ukázalo sa, že prináša množstvo výhod - napr. efektívnejšiu komunikáciu. V roku 1995 bola založená aj firma Amazon, ktorá mala vtedy 11 zamestnancov a dnes je obrovskou globálnou firmou. "Rozvoj internetu dospel dnes do zaujímavých rozmerov a priniesol so sebou mnohé výzvy, hlavne z pohľadu bezpečnosti. Dôvodmi, prečo je potrebné venovať bezpečnosti veľký význam, je napr. veľké množstvo produkcie závadného kódu, ktorý je čoraz sofistikovanejší, či technológie ako spyware a phishing. Tieto technológie umožňujú zneužiť informácie, ktoré sa prenášajú on-line," uvádza Gabriel Fedorko.

Čo v oblasti on-line bezpečnosti podniká Microsoft?
Aktivity spoločnosti Microsoft v oblasti bezpečnosti sa sústreďujú do troch oblastí:

1. investície do technológií - Microsoft každoročne investuje do výskumu a vývoja 6 mld. USD. Z toho 1/3 dáva na vývoj bezpečnostných technológií. "V dnešnom svete je bezpečnosť základnou funkčnosťou každého nového produktu. Ak firma ponúka produkt, ktorý nie je bezpečný, stáva sa ťažko predajným" tvrdí Fedorko.
2. osveta - aby produkty prinášali zvýšenú úroveň bezpečnosti, Microsoft pripravuje pre používateľov návody, ako nasadzovať a najlepšie používať ich softvér.
3. spolupráca - Microsoft spolupracuje s inými IT spoločnosťami, vládnymi inštitúciami a rôznymi organizáciami, aby používatelia mali k dispozícii efektívnejšie bezpečnostné technológie. Spoločne sa tiež zasadzujú o presadzovanie práva, aby boli potrestaní tí, ktorí porušujú právne normy. Doposiaľ sa páchateľom trestných činov poradilo uložiť tresty vo výške 1 mil. USD.

Trochu porovnania
Počas 635 dní od uvedenia Windows 2000 Server bolo zverejnených 64 kritických chýb a záplat. Za rovnako dlhé obdobie po uvedení Windows Server 2003 bolo zverejnených 27 kritických chýb a záplat, čo je približne o polovicu menej. Svedčí to o snahe spoločnosti Microsoft priniesť do svojich základných technológií vyššiu kvalitu.

Microsoft v oblasti bezpečnosti presadzuje izoláciu. "Izoláciu možno chápať vo vzťahu k vonkajšiemu svetu, tzn. to čo nie je povolené sa ku mne nedostane. Ďalej sa izolácia týka aj bezpečného používania jednotlivých súčastí operačného systému. Príkladom je napríklad nasadenie Service Packu 2 pre Windows XP alebo Service Packu 1 pre Windows Server 2003, ale aj technológia AntiSpyware. V budúcnosti podstatne vyššiu úroveň zabezpečeného sieťového prístupu prinesie pripravovaný operačný systém Longhorn. Microsoft pripravuje aj nový internetový prehliadač Internet Explorer 7.0, ktorý bude vo veľkej miere postavený na technológiách, ktoré majú používateľov chrániť pred novými hrozbami ako phishing, malware a spyware. Súčasťou IE 7.0 bude aj technológia na nasadenie korporátnej politiky, tzn. ako má fungovať IE, ak zamestnanci firmy navštevujú aj on-line zdroje."

Microsoft kladie obrovský dôraz aj na autentifikáciu, ktorá je základným predpokladom bezpečnosti. Jeho autentifikačná technológia je postavená na Windows Active Directory.

Spam a phishing
Spam sa stal obrovským problémom, ktorý má okrem bezpečnostného aj komerčný dopad. Napríklad Hotmail denne zachytí 3,2 mld. spamov. V boji proti spamom sa Microsoft sústreďuje na tri oblasti:

1. legislatíva,
2. spolupráca s inými firmami na tvorbe štandardov a ich implementácia do riešení,
3. vzdelávanie používateľov.

"Súčasťou technológií by malo byť čoraz viac subtechnológií, ktoré riešia problematiku spamu, ako napríklad Sender ID alebo technológia filtrovania. Ich cieľom je, aby používateľovi prichádzala len tá pošta, ktorú si vyžiadal. Microsoft sa zaujíma o riešenie problematiky spamov hlavne kvôli obľúbenosti svojho e-mailového systému Microsoft Exchnange."

Phishing je jedna z najnebezpečnejších praktík, pretože odchytáva veľmi citlivé údaje ako heslá a čokoľvek iné, čo človek zadáva na internete. "Riešeniu tohto problému sa bude venovať spomínaný Internet Explorer 7.0, pretože je to vstupná brána k využívaniu bankových služieb v on-line prostredí alebo nakupovaniu cez internet, kde je ale potrebné zadať číslo kreditnej karty," dodáva Fedorko.

Ako pristupovať k riešeniu bezpečnosti firemných informácií
Ivan Masný, analytik - bezpečnostný architekt spoločnosti EMM

Investície do technológií sú v súčasnosti nákladné, a preto si zákazníci strážia bezpečnosť informačných systémov. K zneužitiu cenných informácií dochádza nielen v dôsledku útokov hackerov a kyberterorizmu. Príčinou je aj nedostatok interných zdrojov na prevádzku informačných systémov a zlá interná politika voči zamestnancom. Neustále sa komunikuje on-line, rýchlo sa rozvíja elektronický obchod, informačné systémy sú otvorené a prepojené, a pritom sa v nich nachádzajú cenné informácie. To všetko sú dôvody, prečo riešiť ich bezpečnosť komplexne a nie iba čiastkovo.

"Pre zabezpečenie informačného systému je potrebné vypracovať projekt, ktorý bude zosúlaďovať legislatívne požiadavky na danú firmu a jej informačný systém s požiadavkami na podnikanie a firemnými cieľmi, povedal Ivan Masný zo spoločnosti EMM. "Samozrejme, je dôležité budovať bezpečnosť na nejakých štandardoch, či už sú to naše slovenské normy STN alebo nejaké medzinárodné štandardy."

Bezpečnostný projekt by mal stavať na štúdii, ktorá zadefinuje, čo a v akom rozsahu chceme v rámci firmy riešiť. Ďalšou dôležitou fázou je analýza rizík daného systému, ktorá povie, kde sú slabé miesta a do čoho je potrebné investovať v rámci ochrany aktív, ktorými môžu byť nielen technológie. Bez analýzy rizík sa nedá urobiť kvalitný návrh bezpečnostného projektu. Pri jeho jej absencii môže dôjsť aj k tomu, že firma preinvestovať preinvestuje zbytočne veľa financií.

Celý proces budovania bezpečnosti je potrebné rozbehnúť v troch hlavných líniách:

• vybudovanie infraštruktúry,
• vytvorenie bezpečnostného povedomia zamestnancov (neustále ich informovať o tom, aké informácie sú pre firmu dôležité a ako sa takéto informácie majú chrániť),
• postavenie architektúry bezpečnostného systému a prevádzkovej časti, na ktorej bude celý systém fungovať. Bezpečnostná architektúra určí, akým spôsobom aplikovať vo firme bezpečnosť informácií (určí sa napríklad, že prenos informácií bude chránený, a to šifrovaním s určitou silou, a pod).

"Čo je potešiteľné, týmto spôsobom už nebudujú svoju bezpečnosť len finančné inštitúcie a väčšie spoločnosti, ale postupne aj štátne inštitúcie," hovorí Ivan Masný.

Keď hovoríme o legislatívnej rovine bezpečnosti informácií v rámci firmy, je potrebné zostaviť bezpečnostný manuál - súbor pravidiel hry pre zamestnancov, dodávateľov, zákazníkov, a pod., teda pre všetky subjekty, ktoré sa podieľajú na fungovaní firmy. Vrcholový dokument je bezpečnostná doktrína, ktorú schváli vrcholový manažment a zaväzuje všetkých dodržiavať pravidlá bezpečnosti informačných technológií a investovať do nich.

"Na konci procesu budovania bezpečnosti je audit informačného systému. Ten poskytuje spätnú väzbu, aké riešenia sa implementovali, ako prebehla implementácia, a odpovie na otázky, čo sa pri zabezpečení urobilo zle a čo treba napraviť," hovorí Masný. "Audit nijako nesúvisí s analýzou rizík. Ide o nestranný, nezávislý pohľad a zhodnotenie systému."

Dizajn zabezpečenia firemných systémov
Ján Schwarz, technický riaditeľ spoločnosti Softip

"Veľakrát útok neprichádza z internetu - zvonka, ale priamo zvnútra firmy. Môže k tomu dôjsť, ak zamestnanec niekomu prezradí svoje používateľské meno a heslo, a ten sa potom dostane k databáze, ktorú potrebuje," - tvrdí Ján Schwarz.

Aby firmy vyriešili tento problém, implementuje sa dodatočná autentifikácia, teda nepoužíva sa len meno a heslo, ale aj platný certifikát. Riešenie to postavené na PKI infraštruktúre - čiže na certifikátoch. Ak niekto pristupuje k interným informáciám, musí mať aj platný certifikát, ktorý má časovo obmedzenú platnosť a musí sa obnovovať. Ak sa aj niekto dozvie meno a heslo, nemá platný certifikát a do systému firmy sa nedostane. Toto riešenie je postavené na certifikačnej autorite Microsoft. Autentifikácia ide cez Microsoft Active Directory. Administrátor rozdáva digitálne certifikáty jednotlivým používateľom a prideľuje im práva, kde môžu pristupovať. V snahe o ďalšie zvýšenie bezpečnosti môžu firmy rozšíriť toto riešenie o secure ID karty alebo odtlačky prstov. Tento dizajn prináša znížený komfort, pretože používatelia musia mať aspoň čiastočnú znalosť IT, aby si vedeli naimportovať certifikát, kontrolovať jeho platnosť a pod. Okrem toho musí firma okrem samotného pripojenia v podobe dial up prístup zabezpečiť aj šifrovaný kanál do vnútra firmy. Pohodlnejším riešením je preto využiť ISA Server 2004, ktorý sa stará o prístup, monitoring, vydávanie certifikátov, nastavenie prístupových práv a teda o celú bezpečnosť firemných informácií.

Dizajn postavený na ISA Server 2004 je implementovaný napr. v spoločnostiach Neuman Aluminium (hlinikáreň so sídlom v Žarnovici) a Antalis (bývalý závod Smoza, veľkoobchod s papierom). Na jednom z celoeurópskych mítingov spoločnosti Antalis bol tento dizajn zabezpečenia vo vnútri firmy prezentovaný ostatným pobočkám v Európe. Všetky pobočky tejto firmy budú naň v blízkej dobe migrovať. "Nie je to preto, že by toto riešenie bolo pekné, ale preto, že práve slovenská pobočka nemala od leta 2003 problémy s bezpečnosťou ani s komfortom používateľov - zamestnancov pri zabezpečenom prístupe k firemnému systému. Ďalej bolo toto riešenie pripravené na požiadavky, ktoré vznikli v priebehu rokov 2003 až 2005," uvádza Schwarz.