facebook
Tematické sekce
 
Branžové sekce
Přehledy
 
Tematické seriály
Nové!

GDPR

General Data Protection Regulation zásadně mění zpracování osobních údajů a zavádí nové povinnosti...

články >>

 
Nové!

Jak uřídit IT projekt a nezbláznit se

Užitečné tipy a nástroje pro řešení problémů řízení inovací a vývoje produktů...

články >>

 
Nové!

Industry 4.0

Průmysl 4.0

Jaký vliv bude mít čtvrtá průmyslová revoluce na výrobu a výrobní firmy?

články >>

 

Komplexní svět eIDAS

O nařízení eIDAS již bylo mnoho řečeno i napsáno. A proto jediné, o čem...

články >>

 

Trendy v CRM

Systémy pro řízení vztahů se zákazníky (CRM) prochází v posledních letech výraznou změnou. Zatímco dříve...

články >>

 

Příručka úspěšného IT manažera

Dnes je řada IT manažerů opomíjena. Úspěšní bývají brouci Pytlíci a Ferdové...

články >>

 

Pokročilá analýza provozu datových sítí

V tomto čtyřdílném seriálu vás seznámíme s různými metodami a přístupy...

1. až 4. díl >>

 

Cesta k efektivnímu identity managementu

Správa identit a přístupů (IAM) je klíčová oblast pro zaručení bezpečnosti...

1. až 9. díl >>

IT SYSTEMS 6/2017 , Virtualizace a cloud computing , IT Security

Nové principy a zásady ochrany IT infrastruktury

Michal Hebeda


SophosJedno staré české rčení praví: Chceš-li poznat současnost, hledej poznání v minulosti. Ani v oblasti IT bezpečnosti tomu nebude jinak, neboť mnoho věcí a postupů se opakuje. Vzpomeňme si, jak jsme pohlíželi na informační bezpečnost v dřevních dobách IT, jaké jsme vnímali hrozby a ze kterých směrů hrozily útoky. Vezměme jako příklad dobu před rozšířením internetu – ve skutečnosti to je pouhých cca 25 let zpět, kdy jako hlavní médium pro šíření nákaz sloužila klasická 3,5" disketa. Ani útočníci, ani bezpečnostní experti si neuměli představit příchod tak mocného media, jakým se stal internet. Podobných revolucí v historii proběhlo mnoho, namátkou jmenujme příchod cloudu a cloudových úložišť, nebo fenomén BYOD. Právě dnes se nalézáme v přelomové době, kdy se opět mění mnoho věcí v oblasti IT bezpečnosti a změnit musíme i náš pohled na možná rizika a jim odpovídající zabezpečení.

Soutěž - reproduktory Trust

Léty zažitá praxe oddělení relativně bezpečné zóny lokální sítě od zóny vnímané jako nebezpečné, tedy vnějšího světa internetu, bere velmi rychle za své. Dnes tedy rozhodně nestačí pořídit kvalitní firewall a věřit, že máme vše zabezpečeno. Díky stále více rostoucí oblibě cloudu v různých podobách, využívání mobilních zařízení nebo práci z domova či na cestách musíme definovat nové principy a zásady ochrany naší IT infrastruktury.

V první řadě si musíme určit, kde všude se nacházejí naše citlivá data. Tedy nejen, kde jsou uložena na diskových polích nebo v cloudovém úložišti, ale hlavně kde s nimi pracují uživatelé, jakými cestami se k uživatelům dostávají a kde mohou zůstat nechráněna. Většinou velmi rychle zjistíme, že zabezpečit všechny přenosové trasy a dočasná úložiště je nadlidský výkon. Proto bychom měli uvažovat o ochraně dat samotných, nejlépe kvalitním šifrováním. Ať již šifrováním celých disků například pro případ ztráty nebo krádeže notebooku nebo šifrováním jednotlivých souborů pro případ úmyslného či neúmyslného úniku dat. Ideálně obě metody kombinovat pro dosažení maximální ochrany a šifrovat data i během přenosů například e-mailem či cestou do cloudových úložišť. Mnoho uživatelů i administrátorů na šifrování pohlíží s nedůvěrou, neboť mají obavu, aby jim nebyl znemožněn přístup k těmto datům lidskou či jinou chybou. Asi není pro manažera horší představa, než že se nachází na služební cestě a před důležitou schůzkou zjistí, že pro obnovu hesla k zašifrovanému disku musí notebook fyzicky dostat ke svému adminovi. Proto je důležité vybírat kvalitní řešení, tedy taková, která mají i nástroje pro řešení mimořádných událostí, ale i taková, která jsou pro běžného uživatele naprosto transparentní a nepřidávají mu žádnou práci navíc. Většinou je uživatel tím nejslabším článkem řetězu a my musíme minimalizovat rizika jeho chybného rozhodnutí.

Pokud se rozhodneme pro šifrování jednotlivých souborů, mějme na paměti, že je nutno definovat, za jakých podmínek může dojít k dešifrování daného souboru do otevřené čitelné formy. Většinou to bude definice, zda daný uživatel je oprávněn takový soubor otevřít, dále zda proces, který se snaží soubor otevřít, je důvěryhodný. U dobrých řešení též můžeme definovat, zda se zařízení, na kterém se chystám soubor otevřít, nachází v dobrém stavu z pohledu bezpečnosti. Synchronizovaná bezpečnost je novou revoluční myšlenkou, jež je nám některými výrobci nabízena. Stejně jak je jednoduchá, tak je revoluční – představme si situaci, kdy dojde ke kompromitaci našeho počítače. V tu chvíli může nástroj endpointové ochrany uvědomit ostatní prvky zabezpečení o změně svého bezpečnostního statusu a tyto další prvky mohou provést automatizované kroky k zajištění vyšší bezpečnosti. V našem případě například odebrání šifrovacích klíčů na kompromitovaných zařízeních. I pokud by se útočník dostal k našim datům, budou v zašifrované formě, a únik informací tedy nehrozí.

Další samostatnou kapitolou v otázce zabezpečení dat našich uživatelů jsou mobilní zařízení. Tento fenomén je dá se říci všudypřítomný a málokterý uživatel se dnes smíří s tím, že firemní data nebude mít na svém mobilním zařízení dostupná. Tlak doby je takový, že uživatelé chtějí ke svým datům přistupovat kdykoliv a odkudkoliv. Naším úkolem zůstává data zabezpečit i v takovýchto situacích. Musíme si definovat podmínky, za jakých jsme ochotni citlivá data na mobilní zařízení synchronizovat. Máme-li takovou definici, pak musíme použít technické nástroje, jak tyto podmínky vynutit. Málokdy se můžeme spolehnout pouze na vydání nařízení, například že mobilní telefon, kam je synchronizována firemní e-mailová komunikace, musí být chráněn kódem PIN. Nařízení, které nejsme schopni efektivně kontrolovat a případně vynutit, postrádají svůj smysl. Vybírejme proto taková řešení pro správu mobilních zařízení, která umožní nejen definovat podmínky, kdy považujeme taková zařízení za bezpečná, ale také umožní definovat, co nastane po porušení těchto podmínek. Tím může být automatická reakce sahající od odebrání citlivých dat (např. e-maily) až po smazání celého zařízení.

V posledních letech se jako lavina šíří používání vlastních mobilních zařízení zaměstnanci, ono populární BYOD. Zdánlivě je tato situace výhodná pro obě strany, tedy jak pro zaměstnance, který může používat zařízení, na které je zvyklý, tak pro zaměstnavatele, který ví, že k vlastnímu mobilu se bude zaměstnanec chovat lépe než k firemnímu. Z našeho pohledu, tedy pohledu toho, kdo musí tato zařízení zabezpečit, se jedná o další poměrně závažnou komplikaci. Nejen že se nám tím může znásobit variabilita použitých mobilních zařízení, ale hlavně se k takovému zařízení musíme chovat zcela jiným způsobem. Musíme si být vědomi, že na takovém zařízení se může a bude nacházet mix firemních a soukromých dat i aplikací. Budeme tedy nuceni najít nástroje, jak tyto dvě skupiny dat oddělit a firemní data zabezpečit. Ideálním prostředkem se v takové situaci jeví použití šifrovaných kontejnerů pro firemní data, jako jsou e-maily, kontakty nebo dokumenty. Tím jsme schopni docílit toho, že firemní data budou bezpečná jak před jinými aplikacemi (jde přece o zařízení zaměstnance a on si může nainstalovat i neprověřenou aplikaci), tak před uživateli, kterým můžeme vynutit další ověření nebo omezení v případě přístupu k firemním datům. Například chránit tento přístup ještě dodatečným heslem, nebo limitovat jej na určité časové úseky. Pokud navíc námi vybrané řešení spolupracuje s nástroji na šifrování souborů, které jsme zmiňovali výše, pak se jedná, dá se říci, o ideální stav.

Značnou komplikací je v případě BYOD zařízení možná přítomnost soukromých dat. Tím nám zcela odpadá možnost celé zařízení vymazat bez souhlasu zaměstnance, oprávněně by se mohl domáhat náhrady škody za ztrátu těchto soukromých dat. Potřebná situace může nastat nejen při ztrátě a odcizení zařízení, ale též například při ukončení pracovního poměru zaměstnance. Tím, že se jedná o jeho zařízení, IT administrátor jej již nemusí vidět či mít v ruce. Zde opět mohou přijít ke slovu šifrované kontejnery, kde pouhým zneplatněním použitých certifikátů znemožníme přístup k citlivým datům uvnitř těchto kontejnerů.

Tyto příklady mimo jiné ukazují na komplexnost problematiky zabezpečení v dnešní době cloudů, mobilních zařízení a uživatelů. Pochopitelně bychom nalezli celou řadu dalších problémů, které musíme řešit, chceme-li mít zabezpečení kvalitní. Hlavně je nutné změnit tradiční přístup našeho uvažování, dobře si popsat hrozící rizika a definovat, co a kde přesně chceme chránit. Dalším krokem je pak výběr nástrojů, které pro náš účel použijeme. Naštěstí jsou na trhu řešení, která nám takovýto komplexní přístup umožní a podpoří. Je dobré se zamyslet, zda zvolit kombinaci řešení od různých výrobců pro různé oblasti zabezpečení, nebo více či méně komplexní řešení od výrobce jediného. Druhý přístup nám může usnadnit nasazení a správu jednotnou administrací, a navíc může přinést benefity ve formě synchronizace jednotlivých prvků systému.

Michal Hebeda Michal Hebeda
Autor článku je Sales Engineer ve společnosti SOPHOS. Michal je zkušený IT profesionál s více než 15letou zkušeností z oblasti IT bezpečnosti.
Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.