Problematika ochrany bezpečnosti informačních systémů a digitálních dat - elektronická bezpečnost, nebo také e-security, se dostává čím dál tím víc do popředí zájmu managementu společností i řadových zaměstnanců. Společnosti, které přešly od původních způsobů ukládání informací v tištěné podobě k digitálnímu zpracování, jsou si dnes již dobře vědomy, že i takto uložená data je třeba chránit a zabránit jejich prozrazení neoprávněným osobám, jejich neautorizované modifikaci a manipulaci.


Tento článek bude zaměřen na problematiku interní bezpečnosti - zejména ochrany interních dat společnosti, která jsou nezbytná pro provoz a správné fungování základních procesů, jako je účtování, řízení projektů, komunikace a další. Uvedeny budou největší hrozby, metody jak se účinně a efektivně bránit a také nástin současné situace zabezpečení z praxe firmy, ve které působím.

Fáze 1 - Co ochránit
Základem při návrhu zabezpečení elektronických dat je fáze identifikace dílčích prvků informačního systému společnosti a obchodních procesů, které tyto systémy realizují. Například interní informační systém společnosti obsahující informace o vydaných a přijatých fakturách, případně prostředky pro generování příkazů k úhradě nebo pro verifikaci plateb je jedním z prvků, které realizují obchodní proces nákupu a prodeje produktů nebo služeb.

Dočasné pozastavení tohoto obchodního procesu, například v důsledku výpadku síťového spojení mezi obchodním oddělením společnosti a serverem, kde je uložena účetní databáze, může mít podstatný dopad na fungování společnosti, počínaje škodou finanční a konče ztrátou dobrého obchodního jména, stálých zákazníků, pracně vybudovaných pozic na trhu.
 
Podobných obchodních procesů, jako byl zúčtovací, které jsou postaveny na korektní funkci prostředků IT a jejich nepřerušeném provozu, je v každé společnosti celá řada, počínaje komunikací s obchodními partnery a prací na vlastních projektech konče. Dobrá znalost těchto procesů je nezbytná pro zmapování potenciálních bezpečnostních rizik a také pro určení adekvátních bezpečnostních opatření. V ZOOM International se často setkáváme se situací, kdy vedení společnosti, případně odpovědné osoby za řízení IT, nedokáže vůbec odhadnout, které všechny procesy jsou postaveny na IT a jaká je závislost IT. Případně dopad na chod společnosti při výpadku serveru a jaká jsou bezpečnostní rizika spojená s uložením dat na souborovém serveru. Pečlivá analýza a zmapování systému je zde nezbytná.
 
Fáze 2 - Před čím ochránit
Samotná znalost komponent systému nestačí, vždy je nutné znát potenciální hrozby, které mohou ohrozit provoz těchto komponent. Teprve poté je možné vyčíslit bezpečnostní rizika dopadů konkrétních hrozeb na provoz společnosti

S rozvojem mobilních technologií dochází k postupnému stírání rozdílu mezi pojmy interní a externí v oblasti komunikace. Snižující se ceny poplatků za síťové připojení a rozvoj dalších technologií vedou k celosvětovému trendu nárusu počtu zaměstnanců, kteří pracují na projektech i z domova nebo komunikují a čtou doma firemní počtu. Tento trend bude v blízké budoucnosti narůstat i v České republice a spolu s ním bude nutné bránit interní systémy společnosti proti širšímu spektru hrozeb, než tomu bylo doposud.
 
Dříve byla interní síť společnosti považována za důvěryhodné místo, kde nehrozí žádné nebezpečí, případně jen s malou pravděpodobností. Podle stávajících statistik britského ministerstva průmyslu a obchodu byla přibližně třetina bezpečnostních incidentů v minulém roce způsobena interním pracovníkem. Zbývající dvě třetiny připadají na incidenty vyvolané externími útočníky. Dávno již tedy neplatí pravidlo, že 90 procent bezpečnostních hrozeb je interních a jen asi 10 procent externích. Moderní pohled na zabezpečení interní sítě vychází z předpokladu, že samotná interní síť je podobně jako internet nebezpečná a její citlivá místa by se měla také podobně chránit.

Způsobů, pomocí kterých může zaměstnanec firmy narušit bezpečnost interních dat, případně paralyzovat činnost společnosti manipulací s IT, je celá řada. Obecně je nutno předpokládat, že znalosti a techniky interního škůdce se v ničem nemohou lišit od nejpokročilejších technik, které by použil hacker z internetu. V extrémním případě vnitropodnikových sabotáží a organizovaného zločinu pak interní zaměstnanec může delegovat přístup do vnitřní sítě externímu útočníkovi. Ať už instalací modemu nebo otevřením komunikačního kanálu skrze podnikový firewall, který pak může být využit i pro vytváření spojení směrem do interní sítě.
 
Vraťme se ale zpátky k procesu budování bezpečnosti, nyní již do fáze návrhu a implementace zabezpečení.

Fáze 3 - Jak ochránit
Realizaci zabezpečení sítě je nutno chápat jako nastartování nového procesu, který je vhodné začlenit mezi ostatní existující obchodní procesy, včetně jeho financování a řízení. Použijeme-li slova klasika, bezpečnost je třeba chápat jako proces, nikoliv jako jednorázově zakoupený produkt. Proces bezpečnosti je charakterizován překotným vývojem a neustálým koloběhem přizpůsobování se novým podmínkám. Součástí tohoto procesu jsou tři složky - ochrana, detekce a reakce.
 
Ochranná opatření jsou navrhována a implementována tak, aby efektivně a účinně eliminovala nebo zabránila vzniku bezpečnostního incidentu. Jsou navržena s ohledem na hodnotu chráněných subjektů - například databáze zákazníků, obchodních partnerů, a také s ohledem na potenciální hrozby, které mohou narušit bezpečnost těchto subjektů. Při stanovení adekvátních mechanismů se tedy přirozeně použijí poznatky získané v předcházejících etapách popsaných dříve.
 
Při implementaci ochranných opatření v ZOOM International používáme celou řadu mechanismů, z nichž každý má za úkol odvrátit odpovídající bezpečnostní hrozby a snížit riziko bezpečnostního narušení. V oblasti e-security a ochrany dat mohou být takovým opatřením například audity kódu aplikací pro zpracování dat, šifrovací akcelerátory pro vytváření zabezpečených kanálů, čipové karty pro aplikaci silných autentizačních mechanismů nebo třeba speciální šifrovací procesory, poskytující špičkovou ochranu dat.

Samotné ochranné mechanismy však nestačí - i v reálném světě jsou ploty a jiné zábrany doplněny alarmem, kamerovým systémem a také dispečinkem bezpečnostních agentur, které reagují na bezpečnostní incident při zjištění narušení. Důsledky absence monitorování a reakce při narušení bezpečnosti jsou zřejmé - pokud nemáme k dispozici podněty a informace o útoku, nemůžeme na něj nikterak reagovat. Monitorovací mechanismy a zařízení by tak neměly chybět v žádném návrhu komplexního zabezpečení informačních technologií. Součástí správně navržených monitorovacích prostředků jsou i korektní procedury pro jejich řízení a detailní procedury pro zpracování monitorovacích poplachů, a metod reakce. Bez reakce jsou detekční mechanismy k ničemu, a proto monitorování musí zahrnout jak detekci, tak reakci.
 
Dobré praktiky
Se znalostí základních principů se nyní podívejme na situaci z praxe. Klasickým případem organizací, které problematiku zajištění bezpečnosti přijaly za součást svých obchodních procesů a ve kterých je bezpečnost na špičkové nebo velmi dobré úrovni, jsou bankovní instituce, interní systémy státní správy, armády, policie, případně velkých průmyslových podniků, dominujících ve svém odvětví.

V těchto organizacích byla provedena analýza rizik jako nástroj pro získání informací o stávajících nebo potenciálních hrozbách, případně byl proveden hloubkový audit informačního systému. Tyto instituce mají dostatečné prostředky na zakoupení nejmodernějších bezpečnostních technologií a disponují také detailními havarijními plány, případně plány reakce při výskytu bezpečnostního incidentu.
 
Ačkoliv v této skupině organizací bylo věnováno velké úsilí a finanční prostředky na to, aby byla implementována odpovídající bezpečnostní opatření, i zde se můžeme setkat s určitými mezerami a skulinkami, které se čas od času objeví v českých médiích. Jako příklad z nedávné doby uveďme pracovníka GE Capital Bank, který zpronevěřil z účtů své banky milióny korun a v současnosti je jeho případ vyšetřován policií. Jeho chování odhalila až pravidelná interní kontrola, skutečnost, že k odhalení došlo až po čase ukazuje na existující problémy, které jsou charakteristické pro většinu odvětví.
 
Zatímco ochranná opatření, která tyto společnosti implementují, jsou špičková, prostředky kontroly a reakce při výskytu nepovolené události jsou někdy nedostačující. Většina společností své systémy monitoruje pouze základně nebo v pravidelných intervalech. Při monitorování v reálném čase se klade důraz spíše na okamžité zjištění poruchy nebo dysfunkce hardware, software nebo ztráty dostupnosti. Rozsah systémů, které jsou monitorovány je často taktéž omezen jen na několik klíčových serverů, útok vedený na záložní nebo vývojový server pak může být odhalen pozdě nebo vůbec.
 
Z celkového pohledu je ale bezpečnostní situace podniků v této skupině dobrá a její řízení je založeno na extenzivních analýzách a vyčíslení případných finančních dopadů bezpečnostního incidentu, umožňující tak finanční kompenzaci těchto dopadů.

Nesprávný přístup
Na druhé straně jsou zde společnosti, které si plně problematiku informační bezpečnosti neuvědomují, včetně případných dopadů a důsledků na fungování samotné společnosti. U řady společností se lze setkat s názorem, že chránit interní systémy před vlastními pracovníky je zbytečné, případně to není na pořadu dne.
 
Mnohdy ani neexistuje povědomí o případných ztrátách nebo dopadech, které může vyvolat nekontrolovatelné jednání pracovníka, počínaje smazáním důležitých souborů, odcizením dat a jejich prozrazením konče.

Informační systémy těchto společností jsou svěřeny do rukou administrátorů, kteří mají plná práva na provádění změn v rámci těchto systémů a sami mají také často monopol na monitorování své vlastní činnosti. Zejména nemožnost sledovat konání pracovníka a zasáhnout v případech, kdy překračuje rámec svých pravomocí, je limitujícím faktorem informační bezpečnosti nejen v menších, ale i ve velikých společnostech.

Primárním nedostatkem, od kterého se odvíjí problémy, je neexistence nebo špatné provedení návrhu zabezpečení. Nedostatky při návrhu pak již přímo prolínají do dalších fází, počínaje návrhem vlastních systémů, jejich implementací, testováním a finální realizací.
 
Výsledné schéma zabezpečení pak může trpět řadou neduhů, problémů a nedostatků, které lze zkráceně shrnout jako:

. nedostatečná opatření, která nechrání před všemi specifickými bezpečnostními problémy dané společnosti,
. předimenzovaná a finančně náročná řešení, která v závěru nejsou plně využívána, případně nemají adekvátní uplatnění,
. neexistence zabezpečení těch komponent systému, které unikly pozornosti,
. nedostatečné bezpečnostní povědomí mezi zaměstnanci o správné práci s IT.

Předimenzovaná řešení nebývají v českých podmínkách výjimkou. Často se stane, že společnost utratí mnoho finančních prostředků na zajištění bezpečnosti svého IT za dedikovaný systém, jehož možnosti a vlastnosti pak zůstávají nevyužity.

V neposlední řadě jsou zde také nedostatky procedurálního charakteru, tzn. v metodách, pomocí kterých je nakládáno s informacemi a pravomocemi ze strany samotných pracovníků. Známý hacker K. Mitnick před Senátem USA vypověděl, že většinu průniku do sítí společností realizoval za využití sociálního inženýrství. Nejčastěji postupoval telefonickou cestou, někdy přišel na místo i osobně a většinou se vydával za někoho, o kom věděl, že v dané společnosti pracuje. Případně se vydával za pracovníka servisní organizace. Často se tak dostal k informacím, které mu posloužily pro provedení pozdějšího útoku, hesly počínaje a návrhem sítě konče.

Marcus Ranum, spoluautor komerčně úspěšného aplikační firewallu TIS FWTK k tomu poznamenal: "You can't solve social problems with software". Nutnost odpovídajícího vzdělávání vlastních uživatelů, případně politiky přístupu k interním informacím s vyjádřením odpovídajících penalizací a postihů při jejich porušení je tedy nezbytná, bez ní bude řada bezpečnostních mechanismů i nadále k ničemu.

Řešení
O tom jak přesvědčit management o nutnosti investic do bezpečnosti snad nejlépe vypovídají statistiky. Před nedávnem byla vydána brožura Information Security Breaches Survey 2002 o průzkumu stavu bezpečnosti ve Velké Británii provedeném PriceWaterhouseCoopers pod hlavičkou britského ministerstva průmyslu a obchodu. Obsahuje celou řadu srovnání, tabulek a grafů, které lze s výhodou použít při argumentaci. V českých podmínkách byl proveden průzkum s podobnou tématikou, ale v menší míře v minulém roce prostřednictvím PriceWaterhouseCoopers a časopisu Data Security Management. Tyto průzkumy lze s výhodou využít v přípravné fázi při navrhování zabezpečení jako zdroj argumentů, které budou předloženy managementu.

Ve fázi návrhu bezpečnostního řešení se také vyplatí kontaktovat společnosti, které se problematikou informační bezpečnosti přímo zabývají a které by byly případně kandidáty na realizaci zabezpečení. Informace od nich získané mohou posloužit při rozhodování a mohou dát kvalitnější obraz o realizaci zabezpečení a odhadu finanční náročnosti.

Ve fázi implementační lze pak přenechat břemeno a odpovědnost na těchto společnostech, u kterých je podmínka kvalitní a dobře odvedené práce jejich nutnou podmínkou existence na trhu. V další fázi je nutno nastartovat proces monitorování a řízení vytvořené bezpečnostní infrastruktury. Jako výhodný krok, se kterým je rozumné počítat již ve fázi první, je verifikace a audit nového řešení třetím nezávislým subjektem.
 
Při rozhodování o metodách realizace jednotlivých fází je pak vhodné myslet na to, že i informační bezpečnost je silně specializovaná jak na technologie, tak principy a řešení. Oblast IT bezpečnosti se vyvíjí stejně tak rychle jako celé odvětví informačních a komunikačních technologií. Udržet své znalosti na výši není snadné bez vyvinutí dostatečného úsilí a lidských zdrojů. Proto neváhejte a obraťte se na odborníky v tomto oboru, ať už s žádostí o konzultaci nebo o vytvoření celého řešení.

Pozn. red.: Autor článku pracuje jako bezpečnostní konzultant ve společnosti ZOOM International, která vyvíjí telekomunikační aplikace (ICT) a realizuje analýzy a implementace bezpečnostního softwaru.

Hodnocení zranitelnosti - bezpečnostní audity
Hodnocení zranitelnosti si dává za cíl prozkoumat a identifikovat bezpečnostní slabiny v síti a rozsah, v jakém by mohly neautorizované osoby těchto chyb využít. Toto hodnocení dává organizaci rychlý a detailní přehled o momentálním stavu bezpečnosti v prostředí IT.

Za použití speciálních programů (známých jako detektory zranitelnosti) a technik bezpečností odborníci detekují možné slabiny v konfiguracích firewallů, aplikačních serverů, včetně vlastních aplikací.

Hodnocení zranitelnosti je založené na testovacích metodách, které mohou být prováděny jak zevnitř (local penetration testing), tak i zvenčí (remote penetration testing). Tato penetrační testování mohou být prováděna mnoha způsoby. Celkově je však můžeme rozdělit na aktivní a pasivní.

Pasivní penetrační testování (PPT) se snaží nalézt co nejvíce informací o zkoumaném zařízení, aniž by toto testování mělo jakýkoliv dopad na přerušení funkčnosti dané síťové architektury. Takto získané informace by však mohly sloužit útočníkům k neautorizovanému přístupu k systémům.

Metody k realizaci PPT zahrnují běžné "hackerské", praktiky jako je skenování portů a pokusy o zjištění používaných verzí (jež se pak dají srovnat s dostupnými databázemi známých bezpečnostních děr). Také je k dispozici několik nástrojů, které pomohou vytvořit výslednou zprávu. Jedná se např. o Nmap Port Scanner by Fyodor, p0f od Michala Zalewskiho, jež umožňuje detekovat operační systém a jeho verzi, nebo Nessus Security Scanner se svojí řadou nástrojů, jež umožňují detekovat konfigurace systémů. Pasivní penetrační testy však pouze naznačí, kde by se slabé místo sítě mohlo nalézat. K jeho potvrzení pak mohou sloužit techniky, které se vyskytují v aktivním penetračním testování.

Aktivní penetrační testování (APT) se pokouší realizovat opravdový průnikový útok za použití známých či vytvořených nástrojů a programů. Cílem APT je skutečně prolomit bezpečnostní ochranu počítačové sítě, k čemuž velmi často používá úpravě výsledky PPT. APT používá pokročilejších metod nežli PPT.

www.zoom-int.cz