15.01.2007
15.01.2007, „Teleinfo”, Bezpieczeństwo odśrodkowe
Mimo pojawiania się wciąż nowych technicznych sposobów przełamywania zabezpieczeń systemów IT, od kilku lat niezmienny pozostaje jeden trend: przejście od spektakularnego wandalizmu do cichej i bardzo szkodliwej przestępczości. Coraz częściej źródło zagrożenia znajduje się wewnątrz firmy.
Mimo pojawiania się wciąż nowych technicznych sposobów przełamywania zabezpieczeń systemów IT, od kilku lat niezmienny pozostaje jeden trend: przejście od spektakularnego wandalizmu do cichej i bardzo szkodliwej przestępczości. Coraz częściej źródło zagrożenia znajduje się wewnątrz firmy.
Główną przyczyną tego trendu jest coraz częstsze postrzeganie IT jako potencjalnego źródła wymiernych korzyści, a nie jedynie niewątpliwej, choć anonimowej sławy. Od strony technologicznej wewnętrzne systemy IT są słabiej bronione. – Mało kto zdaje sobie sprawę, że systemy wewnętrzne są o dwa rzędy wielkości bardziej złożone od bramki internetowej, na której zazwyczaj skupia się zainteresowanie bezpieczeństwem IT – twierdzi Michał Jarski z IBM Polska. – Działa tu więcej zróżnicowanych aplikacji, często pisanych na zamówienie, a nawet dwie teoretycznie identyczne instancje tego samego systemu ERP mogą się od siebie różnić. Mogą używać różnych schematów komunikacji, różnych portów komunikacyjnych. Zapanowanie nad nimi przy pomocy sztywnych reguł często jest niemożliwe. Dostawcy rozwiązań security są zgodni co do tego, że punkt ciężkości zagrożeń przesuwa się. – Nie wszystkie ataki sieciowe mogą być wykryte przez systemy IDS czy IPS – uważa Agnieszka Szczęśniak, account manager sektora publicznego w Cisco Systems. – Część z nich nie jest wykrywana ze względu na to, że są ukryte w tunelu szyfrowanym (np. SSL, SSH). Inne po prostu nie są atakami z perspektywy sieci, a zagrożenie dotyczy jedynie systemów końcowych.
Lista zagrożeń stale się wydłuża – obok całkowicie automatycznych programów typu spyware, koni trojańskich i wirusów atakujących stacje robocze firmy są atakowane przy użyciu socjotechnik.
– Pomimo licznych ostrzeżeń i szeroko pojętej polityki informacyjnej, zagrożenia oparte o socjotechniki nadal zbierają spore żniwo – przestrzega Łukasz Bieńko, dyrektor techniczny Embedos.
– Element ludzki stanowi bardzo często najsłabsze ogniwo systemu bezpieczeństwa firmy.
Zarówno złośliwy kod, jak i ataki oparte o socjotechnikę mogą stanowić część szpiegostwa przemysłowego lub innej działalności zmierzającej do kradzieży, modyfikacji lub zniszczenia danych. Łatwość dostępu i kopiowania informacji zwiększa też zagrożenie wynoszeniem danych na mobilnych nośnikach pamięci masowej. Jak przewiduje Gartner, do końca 2007 r. 75 proc. firm padnie ofiarą cichego, niewykrytego ataku zorientowanego na uzyskanie korzyści finansowych, polegającego na użyciu złośliwego oprogramowania przeciwko słabiej bronionym elementom infrastruktury. Dotyczy to zwłaszcza tych elementów, dla których zaniedbano rozwój systemów ochronnych i pozostały one w tyle za zagrożeniami. Zdaniem Michała Jarskiego taką pułapką mogą być tradycyjne programy antywirusowe, które nie radzą sobie często z malware samomodyfikujacym swój kod.
Świadoma lub nieświadoma działalność użytkowników może szkodzić firmie w inny sposób – od instalacji pirackich kopii programów użytkowych po instalację programów peer-to-peer, które posłużą do nielegalnego kopiowania software i mediów, aż po pozostające poza kontrolą oprogramowanie komunikacyjne, przez które również z firmy mogą wyciec dane. Uważać należy również na wychodzące z firmy maile – może się zdarzyć, że pragnący zmienić pracę pracownik wyśle istotne dane z firmy przyszłemu pracodawcy.
DOKUMENTY POD KLUCZEM
Firma ArchiDoc zajmuje się przetwarzaniem i archiwizowaniem dokumentów dla potrzeb biznesu. Adam Gawłowski, dyrektor IT w Archidoc, wymienia dwa główne obszary zainteresowania polityki bezpieczeństwa: – Jest to przede wszystkim ochrona zgromadzonych u nas danych osobowych przed dostępem nieuprawnionych osób oraz zapewnienie ciągłości usług archiwizacji danych – mówi Gawłowski.
– W drugim obszarze stosujemy wszystkie te środki, jakich wy-maga działalność korporacyjna, m.in. backup poza firmą, klastry serwerów, nadmiarowe łącza i zasilanie, dyski RAID, hot-swap zasilaczy i dysków. W przypadku zabezpieczenia danych osobowych stosujemy ochronę bardziej restrykcyjną, niż wymaga tego ustawa o ochronie tych danych.
Do najmocniejszych zabezpieczeń należy całkowita fizyczna separacja wymiany danych biznesowych z klientem. Odbywa się ona poprzez zestawienie osobnych łączy telekomunikacyjnych między wewnętrzną siecią ArchiDoc z odseparowaną od Internetu siecią klienta. W części sieci mającej styk z publicznym Internetem i zewnętrznym intranetem każde wyjście "w świat" jest monitorowane poprzez sprzętowe firewalle czołowych producentów. Wszystkie połączenia internetowe i intranetowe oparte są albo na dedykowanej sieci VPN, albo szyfrowane przy użyciu protokołu SSL. Jakakolwiek komunikacja "otwartym tekstem" jest wykluczona. Architektura stosowanych aplikacji również uwzględnia potrzeby bezpieczeństwa. Ścieżki obiegu dokumentów są monitorowane, a pracownicy rozliczani z dokumentów przechodzących przez ich ręce – wiadomo, u kogo i kiedy dokumenty się znajdowały i komu zostały przekazane. Dostęp do danych osobowych jest ograniczony do absolutnego minimum.
– W przetwarzaniu dokumentów stosujemy kody paskowe wszędzie tam, gdzie jest to możliwe – mówi Adam Gawłowski. Stacje robocze nie są wyposażone w żadne wymienne nośniki pamięci, nie można też wykonać na nich zrzutu ekranu.
Polityka bezpieczeństwa w firmie nie ogranicza się do technologii. Pomieszczenia są monitorowane kamerami, przestrzeń robocza to open space, w której nie jest możliwe skryte wykonanie podejrzanych czynności. Osoby mające styczność z dokumentami nawet nie mogą korzystać z telefonów komórkowych, bo coraz częściej są one wyposażone w aparaty fotograficzne.
URZĄD MNIEJ RESTRYKCYJNY
By zapewnić sobie bezpieczeństwo na poziomie odpowiednim do posiadanych zasobów i zagrożeń, nie potrzeba wcale bardzo restrykcyjnych środków i dedykowanej technologii. Przykładem może być Urząd Dzielnicy Bielany w Warszawie. Zdaniem Krzysztofa Kędzierskiego z urzędu dzielnicy, część potrzeb działu IT związanego z bezpieczeństwem IT urzędu zaspokaja komponent pakietu Novella ZENworks – Asset Management.
– Wiemy bezzwłocznie o wszystkich zmianach w konfiguracji stacji roboczych – zainstalowanym oprogramowaniu czy sprzęcie. Możemy w razie potrzeby natychmiast reagować – mówi Kędzierski. Oprogramowanie do inwentaryzacji zasobów może dostarczyć informacji np. o podpięciu do komputera pendrive’a lub innego urządzenia przenośnego, na które mogą być skopiowane dokumenty lub przyniesiony program P2P zawierający malware. Drugim komponentem ZENworks wdrażanym obecnie w Urzędzie Bielany jest moduł Desktop Management. Umożliwia on opisanie regułami miejsca pracy w taki sposób, by na danym stanowisku można było używać tylko potrzebnych mu aplikacji.
Urząd ostrożnie wdraża inne rozwiązania związane z bezpieczeństwem. Nie ma planów wdrożenia oprogramowania monitorującego korespondencję czy czynności pracowników. Nawet filtry antyspamowe są wdrażane bardzo ostrożnie.
– Filtry antyspamowe bywają nadgorliwe, a my jako urząd nie możemy pozwolić, żeby e-mail od mieszkańca do nas nie dotarł – wyjaśnia Krzysztof Kędzierski.
NIEOGRANICZONE MOŻLIWOŚCI
Możliwości przeciwdziałania niepożądanym zachowaniom użytkowników firmowego IT są ogromne. Wymuszanie i zamrożenie konfiguracji, blokowanie wyjścia w świat, ograniczenie dostępnych aplikacji – to najprostsze z dostępnych środków.
W arsenale zarządu i szefa IT pozostają takie środki, jak filtry webowe i pocztowe. Filtr pocztowy monitorujący treść może używać podobnych technologii klasyfikacji treści co filtr antyspamowy. Dodatkowo może sprawdzać załączniki pod kątem istnienia w dokumentach cyfrowych sygnatur oznaczających dokumenty poufne i tajne. Pojawienie się takiej wychodzącej przesyłki nie musi oznaczać automatycznego ukarania wysyłającego, a np. może spowodować uruchomienie "miękkiego" systemu wtórnej autoryzacji. Filtr webowy może odcinać ściąganie stron zawierających złośliwe oprogramowanie, stron umożliwiających poszukiwanie pracy czy wysyłanie poczty elektronicznej. Utrudnia więc obejście filtra pocztowego. Filtr webowy może być scentralizowany – łatwiej jest nim zarządzać. Rozproszenie filtrów webowych na poszczególne stanowiska utrudnia zarządzanie, ale i zmniejsza możliwości obejścia. Korzysta on wtedy zazwyczaj z centralnej bazy stron klasyfikującej URL-e pod kątem zawartości.
Nad złożonością środowiska IT pomagają zapanować Anomaly Detection Systems. Systemy tego typu dysponują dynamicznym lub statystycznym modelem zachowań użytkowników. – Np. w momencie przyjścia do pracy następuje masowe logowanie, w momencie wyjścia na lunch – brak aktywności, księgowa korzysta głównie z aplikacji finansowych – wyjaśnia Michał Jarski. – Jeśli jednak księgowa usiłuje się dostać do aplikacji działu badań i rozwoju, to system to sygnalizuje, a oficer bezpieczeństwa ma podstawę do zainteresowania się tym przypadkiem i przyjrzenia się, z czego wynika ta aktywność i czy nie towarzyszą jej inne podejrzane działania.
Możliwości takie posiada m.in. Cisco Security Agent. Umie wykryć skanowanie portów, blokować uruchomienie i instalację niepożądanej aplikacji chronić przed zapisaniem niepożądanych plików. Posiada też zdolność do ochrony plików binarnych systemu operacyjnego oraz krytycznych plików. Dzięki analizie behawioralnej może monitorować stację użytkownika w oparciu o analizę zachowania poszczególnych aplikacji.
W ofercie Novella ZENworks jest również oprogramowanie o nazwie Sentinel, które jest pakietem do audytu i kontroli zgodności z przepisami bazującymi na regułach. Nie tylko rejestruje on zdarzenia, ale jest w stanie podjąć też natychmiastowe przeciwdziałanie i zaalarmować odpowiednie osoby – np. wylogować użytkownika kopiującego masowo pliki.
Mniejsze firmy mają możliwość zakupu all-in-one w postaci dedykowanego urządzenia. Takim urządzeniem jest np. Panda Gate Integraf. Zawiera filtr zawartości. Kontroluje informacje wysyłane poza sieć. Umożliwia ochronę najczęściej używanych protokołów i filtrowanie informacji zawartych w wychodzących wiadomościach e-mail (SMTP, IMAP4, POP3, NNTP) oraz plikach (FTP/HTTP). Administrator może dokonać filtrowania z wykorzystaniem reguł oraz określić działania podejmowane wobec potencjalnie groźnych elementów np. według typu rozszerzenia. Rozwiązanie tej klasy oferuje również polska firma Embedos – jej ethernus ma wbudowane mechanizmy kontroli poczty elektronicznej – pozwala określić, na jakie adresy poczta nie może być wysyłana, jakie adresy mają być monitorowane przez pracodawcę (np. adresy z domeny konkurencji) lub jakie załączniki nie mogą znaleźć się w korespondencji.
CZARNE STRONY
Stosując nowinki technologiczne monitorujące, trzeba uważać, by nie wylać dziecka z kąpielą. Według badań przeprowadzonych na Uniwersytecie Toronto, stosowanie elektronicznego monitoringu może prowadzić do spadku zainteresowania podjęciem pracy w firmie wdrażającej zbyt restrykcyjny reżim. Zdaniem autora pracy, Davida Zweiga, menedżerowie mają też skłonność do utożsamiania obecności na stanowisku pracy z wydajnością, co niekoniecznie musi być prawdą.
W Polsce na razie nie przeprowadzono spektakularnych badań nad psychologicznymi skutkami ścisłego elektronicznego monitoringu w miejscu pracy – prawdopodobnie ze względu na niewielką skalę jego zastosowania. Stosując tego rodzaju mechanizmy, firmy powinny więc pokusić się o rzetelną ocenę zysków i strat.
Maciej Koziński
Adam Gawłowski
dyrektor IT ArchiDoc
W celu zwiększenia bezpieczeństwa i niezawodności na potrzeby naszego biznesu tworzymy oprogramowanie w oparciu o model warstwowy. Rozdzielamy warstwy dostępu do danych, dostępu do repozytorium elektronicznego, logiki biznesowej i połączeń klienckich. Dzięki temu możemy zminimalizować kontakt pracowników z wrażliwą informacją.
KRZYSZTOF KĘDZIERSKI
Urząd Dzielnicy Bielany Warszawa
W momencie gdy zaczynaliśmy myśleć o ZENworks, nasze myślenie było ukierunkowane na usprawnienie pracy administratorów IT i helpdesku w obliczu kilku rozproszonych lokalizacji oraz zabezpieczenie systemu przed instalowaniem niepożądanego oprogramowania przez użytkowników. Nie planujemy kontroli czy podglądania użytkowników, a interwencja zdalna na czyimś stanowisku pracy następuje w ściśle określonych sytuacjach. Każdy z pracowników zna swój zakres obowiązków, prawa i regulamin użytkowania sieci. Jeśli będziemy zbierać statystyczne dane o wykorzystaniu aplikacji, to tylko dla lepszego wykorzystania zasobów IT. Duża część informacji znajdujących się w zasobach urzędu jest jawna, natomiast informacje, które podlegają ustawowej ochronie, chronione są innymi wielostopniowymi systemami zabezpieczeń.
dr Dorota Merecz
Zakład Psychologii Pracy Instytut Medycyny Pracy w Łodzi
Każde naruszenie granic osobistych lub stała obserwacja jest dużym obciążeniem psychicznym. Być może dla osób młodszych, oswojonych z nowoczesną technologią, nie stanowi to tak dużego problemu, tym niemniej dla wielu osób przejście od wolności do restrykcji jest dokuczliwe.
Postulując wprowadzenie ścisłego monitorowania pracowników, należy zastanowić się, czy rzeczywiście podnosi to efektywność pracy, zaangażowanie i lojalność. Czy chodzi o to, by mieć zunifikowany i przestraszony zespół, którym łatwiej jest zarządzać? Być może można odwołać się do innych metod zachęcania własnej kadry do lojalności, bo przecież zaangażowanie i uczciwość pracownika nie jest kwestią niezawodności kagańca, jaki się na niego nakłada.
Osobiście uważam, że z więźnia nigdy nie uczyni się dobrego pracownika. Ponadto pamiętajmy, że inteligencja ludzka zwykle o krok wyprzedza technologię. Dlatego warto rozważyć zyski i straty ze stosowania nowoczesnych technologii zabezpieczających i wziąć cenną lekcję z innej historii, jaką był i jest wyścig zbrojeń.