Pirátská strana
facebook LinkedIN LinkedIN - follow
Exkluzivní partner sekce
Tematické sekce
 
Branžové sekce
Přehledy
 
Tematické seriály
 

GDPR

General Data Protection Regulation zásadně mění zpracování osobních údajů a zavádí nové povinnosti...

články >>

 

Jak uřídit IT projekt a nezbláznit se

Užitečné tipy a nástroje pro řešení problémů řízení inovací a vývoje produktů...

články >>

 

Industry 4.0

Průmysl 4.0

Jaký vliv bude mít čtvrtá průmyslová revoluce na výrobu a výrobní firmy?

články >>

 

Komplexní svět eIDAS

O nařízení eIDAS již bylo mnoho řečeno i napsáno. A proto jediné, o čem...

články >>

 

Trendy v CRM

Systémy pro řízení vztahů se zákazníky (CRM) prochází v posledních letech výraznou změnou. Zatímco dříve...

články >>

 

Příručka úspěšného IT manažera

Dnes je řada IT manažerů opomíjena. Úspěšní bývají brouci Pytlíci a Ferdové...

články >>

 
Partneři webu
Dialog 3000Skylla
IT SYSTEMS 10/2006 , IT Security

Bezpečnost a instant messaging

Tomáš Přibyl


Okamžité zprávy (Instant Messaging, IM) jsou čím dál populárnější technologií, která si nesmírně dynamicky razí cestu světem. A to tak, že během několika let má velkou šanci z postu nejpopulárnějšího komunikačního prostředku vytlačit elektronickou poštu, jejíž pozice se ještě nedávno zdála totálně neotřesitelná.


Technologie Instant Messaging

Abychom celou otázku co nejlépe pochopili, pojďme se podívat na technologii IM. Je to druh elektronické komunikace, která vytváří spojení mezi komunikujícími stranami. Zprávy psané na klávesnici (event. může docházet k předávání i elektronických dat získaných jinak – zvuk, obraz, …) jsou při tomto způsobu komunikace prakticky okamžitě zasílané k příjemci.
V podstatě se jedná o kombinaci elektronické pošty a telefonátu, přičemž IM vybírá z obou forem to nejlepší. Okamžité zprávy jsou druhem komunikace, při níž můžete vidět, zda je druhá strana fyzicky přítomna u počítače (přesněji: zdali má na počítači zapnutého IM klienta, ale to zpravidla bývá totéž), což u telefonu nebo e-mailu nehrozí.
Díky IM je tak možné komunikovat okamžitě – ovšem s tím, že příjemce může reagovat ve chvíli, kdy má čas. Odpadá tak problém telefonů zvonících v nejméně vhodnou chvíli. Oproti telefonické komunikaci je IM navíc levnější – a zůstává po něm písemný záznam (uznáváme: v některých případech to může být nebezpečná věc, ale v drtivé většině případů se záznam naopak hodí).
Mimochodem, tyto písemné záznamy mají značnou hodnotu a třeba v bankovním sektoru v USA platí pro archivaci IM komunikace přísnější pravidla než třeba pro běžnou elektronickou poštu.
Pozor! V případě IM nejde o chatování [četování], i když některé společné znaky s touto formou komunikace bychom našli. Hlavním rozdílem ale je, že zatímco chatování zpravidla probíhá na neutrální půdě (specializovaná www stránka apod.), v případě okamžitých zpráv jde o přímé spojení mezi komunikujícími stranami. Z toho důvodu je možné IM považovat za spolehlivější, důvěrnější, bezpečnější a rychlejší.


Například v bankovním sektoru v USA platí pro archivaci IM komunikace přísnější pravidla než pro běžnou elektronickou poštu.


V zásadě bychom IM technologie mohli rozšířit na dva hlavní proudy. V první jsou veřejně rozšířená řešení jako AIM (AOL IM), Google Talk, ICQ, Jabber, Skype, Windows Messenger a Yahoo! Messenger. Většinou se vyznačují proprietární technologií, takže jsou vzájemně nekompatibilní (z významných programů je výjimkou jen Jabber, který je open-source). Druhým proudem IM jsou privátní řešení, která si mnohé organizace nechávají „ušít na míru“ pro své potřeby.

Dilema: ano či ne?

Rozhodování mezi tím, zdali IM nasadit, nebo nikoliv, je mnohem těžší, než by se na první pohled mohlo zdát. Proč?
Uvědomme si, že pro IM nejsou k dispozici prakticky žádné ochranné a bezpečnostní programy. Na druhé straně musíme ale jedním dechem dodat, že k ochraně běžného počítače stačí obvyklý antivirový program a dodržování několika jednoduchých pravidel. Jenomže to, co s vysokou mírou jistoty ochrání domácí stanici, je pochopitelně nedostatečné v případě organizace, jejíž existence stojí či padá se schopností zajistit ochranu elektronických dat (bankovní sektor, lékařství apod.).
Spoléhání na bezvýhradné dodržování pravidel všemi uživateli a za všech okolností si totiž do bezpečnostní směrnice netroufne napsat ani milovník adrenalinových sportů. A pochopitelně, něco podobného nemůže projít přes první bezpečnostní audit.


Pro instant messaging nejsou k dispozici prakticky žádné specializované ochranné a bezpečnostní programy.


Takže z výše uvedeného vyplývá, že IM není úplně jednoduché korektně zasadit do prostředí vnitropodnikové sítě. V praxi se to pak řeší jedním ze dvou jednoduchých způsobů. Jednak mnohde IM rovnou zakazují (to znamená, že se používá partyzánsky, neboť kdo k němu jednou přilnul, těžko už si odvyká) – a jednak jej tiše tolerují.
Nicméně faktem zůstává, že dříve či později většina zaměstnanců IM začne používat. (A první je zpravidla IT oddělení, které by mělo být „hlídacím psem“ dodržování případného zákazu této technologie.) Ostatně, i kdyby se za cenu nelidských represí podařilo zákaz IM skutečně prosadit, tak na tom nejvíce bude bita vlastní organizace. Ztratí totiž obrovskou konkurenční výhodu...
Proto se jako nejlepší řešení jeví IM překážkám navzdory povolit a kontrolovat – neboť největší nebezpečí představuje aplikace nekontrolovaná.


Spoléhání se na bezvýhradné dodržování pravidel všemi uživateli si do bezpečnostní směrnice netroufne napsat ani milovník adrenalinových sportů.


Nebezpečí a chyby

Dobře, a jaká nebezpečí na uživatele okamžitých zpráv číhají, že je nutno uvažovat o zákazu, pokud se technologii nepodaří narovnat do linie vnitropodnikové směrnice? V prvé řadě je problém v tom, že většina produktů IM používá vlastní proprietární řešení, nebo dokonce šifrování. Vytváří tak vlastně ve firewallu i dalších bezpečnostních systémech „tunel“, kterým může útočník vstoupit až do počítače – aniž by ho bezpečnostní mechanismy zastavily. Prostě jimi v komunikaci, která se tváří jako regulérní, projde... (Toto je ostatně problém i VoIP, ale o tom zase někdy jindy.)


Většina produktů IM používá vlastní proprietární řešení, nebo dokonce šifrování. Vytváří tak vlastně ve firewallu i dalších bezpečnostních systémech „tunel“.


Pod pojmem „útočník“ si přitom představme nejen skutečného hackera z masa a kostí, ale především viry a další škodlivé kódy. V oblasti ochrany IM a osvěty uživatelů jsme navíc tam, kde byla elektronická pošta před nějakými sedmi lety – v době, kdy e-mailové viry začínaly. Prostě mnoho uživatelů žije ve světě, kde se „viry pomocí IM nešíří“ – a absence IM antivirových programů je v tomto přesvědčení jen utvrzuje.
Navíc bezpečnostních chyb v IM (a je jich stejně jako v jakémkoliv jiném softwaru!) mohou útočníci využít k přístupu do sítě. Napadení IM přináší stejnou výhodu, jakou jsme zmínili výše – agresor je přímo v srdci sítě, nikoliv na její periferii. Právě obešel vaši Maginotovu linii...
A pak tu máme ještě nebezpečí nevyžádaných zpráv – obdoby spamu v elektronické poště. Spam v IM se nazývá SPIM, SPam in Instant Messaging. Naštěstí se právě v této oblasti projevuje kladně jinak poměrně velký nedostatek IM řešení – využívání proprietárních protokolů. Spammeři (či spíše spimmeři) se na ně špatně navěšují – a naopak lehce odstraňují...

Kroky k bezpečnému IM

Je mnoho uživatelů, kteří už opustili klasickou elektronickou poštu a rozhodli se ji nahradit právě IM. A do stejného kroku tlačí i své okolí. Jedním z jejich hlavních argumentů je i vyšší bezpečnost. Bohužel to ale není pravda.
Především si dávejte v IM pozor na zasílané přílohy! Jsou stejně (ne-li více!) nebezpečné jako přílohy v elektronické poště. Pokud si nejste stoprocentně jisti jejich odesílatelem nebo důvodem zaslání, tak je raději neotevírejte. Eventuálně vzneste kratičký doplňující dotaz – využijete tak výhod IM. Těch pár vteřin práce navíc se vám bohatě vyplatí eliminací nepříjemných zkušeností s odvirováváním počítače a obnovou dat ze (zpravidla neúplných) záloh.


Především si dávejte v IM pozor na zasílané přílohy! Jsou stejně nebezpečné jako přílohy v elektronické poště.


Na firemní úrovni pak můžete používat třeba filtr, který sleduje využití sítě a který dokáže detekovat neautorizované IM. Neboť i když tuto technologii povolíte, vždy se najdou nespokojenci, kteří budou chtít/mít software „lepšího“ výrobce apod. To pochopitelně nesmíte dopustit! Ne proto, abyste neztratili tvář – ale prostě se jedná o software v podnikové síti, nad nímž nemáte kontrolu!
I z tohoto důvodu je dobré v IM používat logování – a audit. K výraznému zlepšení kázně uživatelů přispívá už jen vědomí, že mohou být monitorováni. Stejně jako se v call-centrech osvědčilo nahrávání telefonátů.
Technologie IM zvyšuje produktivitu, ale v žádném případě se právě zvýšení produktivity nesmí stát zástěrkou pro vytváření bezpečnostních potíží! Zvýšit produktivitu (tedy používat IM) lze i v mantinelech bezpečnostních pravidel.
Potíž s absencí pravidel a zvyklostí pro používání IM názorně dokresluje následující případ svědčící o tom, že obecně uznávaná pravidla prostě zatím nebyla vytvořena. Používat či nepoužívat šifrování? Jeden bezpečnostní auditor vám je nařídí (zvýšení bezpečnosti komunikace), druhý vám je zakáže (nemožnost kontrolovat komunikaci právě z bezpečnostního hlediska). Jak vidno, technologie IM je opravdu mladá a musí „krapet dozrát“.

Závěr? Technologie Instant Messaging není implicitně bezpečná nebo nebezpečná. Bude přesně taková, jakou si ji uděláte. Tedy bezpečnou nebo nebezpečnou. Je to šalamounské? Ne, v daném případě velmi pravdivé. Je to opravdu jen na vás.
Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.

Inzerce

Zabijáci produktivity

IT Systems 9/2020V aktuálním vydání IT Systems se poněkud kriticky podíváme na home office, který byl u nás dříve využíván jen sporadicky. S příchodem března jsme se ovšem stali účastníky nechtěného experimentu. Na home office přešli téměř všichni, kterým to povaha práce dovolovala. Internet se brzy plnil články o vysoké efektivitě při práci z domova a starosti nám dělalo jen zabezpečení.