Potrzebna jest polityka ochrony

Mariusz Wawer
10-05-2004, 00:00

Nawet najdroższe zabezpieczenia sprzętowe i programowe nie wystarczą, jeśli zawodzi człowiek.

W oprogramowaniu wspierającym zarządzanie dużo miejsca poświęca się aspektom bezpieczeństwa sieci komputerowych. Zainteresowanie to ma prowadzić do scentralizowanego zarządzania bezpieczeństwem. Poza standardowymi rozwiązaniami, jak kontrola dostępu, zarządzanie hasłami i uprawnieniami, samo oprogramowanie znacznie usprawnia pracę administratorów. Zbiera ono informacje z różnych elementów systemu i wybierając tylko istotne grupuje i odpowiednio rozpoznaje zagrożenie.

Ponadto taki system nie tylko informuje o zagrożeniach, ale szybko lokalizuje ich źródło i automatycznie podejmuje niezbędne kroki związane z ochroną.

Rodzaje zagrożeń

Ostatnie doniesienia o wirusach czy atakach na sieci firmowe nie napawają optymizmem. Okazuje się, że wiele firm nie jest odpowiednio przygotowanych na atak — nie tylko ze strony hakerów, ale i krążących w internecie wirusów.

Z naszych badań wynika jednak, że ponad 30 proc. firm reaguje na wirusy czy inne tego typu zagrożenia za późno. Dopiero dodatkowe czynniki, jak nagłośnienie w mediach ataku groźnego wirusa czy rzeczywisty atak na sieć firmy, mobilizuje do podjęcia konkretnych działań. Ale sama polityka bezpieczeństwa prowadzona przez wiele firm ma dużo braków. Spotykamy się z myśleniem, że wystarczy na przykład raz na tydzień przeskanować programem antywirusowym system, aby czuć się bezpiecznie. Dodatkowo dla zmniejszenia kosztów pobiera się z sieci darmowe, często mało funkcjonalne aplikacje antywirusowe wyposażone w mocno zdezaktualizowane bazy wirusów — opowiada Piotr Skowroński, kierownik PogotoVia AntyVirusowego Panda Software Polska.

Słuszne jest oczywiście zabezpieczanie na poziomie technicznym, ale to nie jedyny słaby punkt.

— Bezpieczeństwo sieci pojmowane jedynie jako ochrona przed atakami z zewnątrz jest niepełne. Ostatnie statystyki podane przez FBI mówią, że aż 85 proc. ataków nie pochodzi z zewnątrz, ale właśnie z wewnątrz sieci. Często zresztą nie musi to być nawet zaplanowany sabotaż. W końcu nieraz zdarza się, że ktoś drukuje sobie na spotkanie „supertajne” dane i zapomni ich potem zabrać z sali konferencyjnej.

Co, jak i za ile chronić?

Firmy, które zajmują się opracowywaniem systemów zabezpieczeń, muszą najpierw przeprowadzić u klienta audyt. Pozwala on dokładnie określić, gdzie są najsłabsze punkty sieci — potencjalne furtki dla włamywaczy.

W czasie audytu trzeba też poznać wagę danych i ich wartość. Po pierwsze, żeby ustalić, jakie dane należy chronić najbardziej, po drugie — jakie nakłady można ponieść na zabezpieczenia, aby miało ono finansowe uzasadnienie.

Określenie opłacalności inwestycji w zabezpieczenia jest tym ważniejsze, że coraz więcej firm inwestuje w ochronę wielowarstwową. Stosuje się na przykład dwa kordony bezpieczeństwa, każdy wykorzystujący inny system zabezpieczeń, zarówno jeśli chodzi o sposób ochrony, jak i producenta.

Zewnętrzny audytor

Optymalny audyt powinien być przeprowadzony przez niezależnego audytora, a zakres i szczegółowość badania mogą być bardzo różne. Audyt można podzielić na dwa podstawowe etapy: zewnętrzny i wewnętrzny. Wewnętrzny test penetracyjny polega na sprawdzeniu zabezpieczeń sieci przed nieuprawnionym dostępem z zewnątrz. Wewnętrzny test pokazuje zagrożenie od wewnątrz firmy.

Trzeba dodać, że w obydwu testach sprawdzane jest zarówno oprogramowanie, technologie, jak i obsługujący je ludzie. Pozwala to sprawdzić, czy są oni w stanie zareagować w odpowiedni sposób w razie niebezpieczeństwa dla sieci firmy. Optymalny audyt powinien być wykonany bez wcześniejszego ostrzeżenia szeregowych pracowników działu IT, ażeby sprawdzić ich możliwości i szybkość reagowania.

Pracownik, najsłabsze ogniwo

Ważne jest, by podczas tworzenia systemów ochrony sieci komputerowych w firmie nie mnożyć systemów ochrony, należy raczej stworzyć kompleksową politykę ochrony, obejmującą zarówno systemy sprzętowo-programowe, jak również procedury dotyczące pracowników. Jak zgodnie twierdzi większość specjalistów, bardzo często najsłabszym ogniwem jest nie technologia, lecz człowiek.

Dlatego tak ważne jest nie tylko opracowanie odpowiednich procedur, ale i skuteczne szkolenia mające uświadomić i przestrzec pracowników przed zagrożeniami włamań. Jak mówią specjaliści, trzeba stale dostosowywać system do nowych zagrożeń z zewnątrz, jak nowe wirusy, a także do zmieniających się warunków w samej firmie, np. zmiana struktury zatrudnienia czy nowe systemy dostępu do sieci dla partnerów.

— W przypadku ataków wirusów czy koni trojańskich okazuje się, jak ważnym i niestety słabym ogniwem polityki bezpieczeństwa jest człowiek. Może świadczyć o tym fakt, że 40 proc. infekcji spowodowanych jest stosowaniem przez autorów wirusów inżynierii społecznej. Główny wniosek, jaki się nasuwa, to ten, że dużej części zagrożeń można uniknąć, jeśli tylko pracownicy będą myśleć o konsekwencjach swoich działań przy komputerze! Wszystkie ostatnio najpopularniejsze wirusy nie są w stanie infekować samoczynnie. Zazwyczaj musi je rozpakować i uruchomić użytkownik. Polskie firmy są atakowane głównie przez wirusy przychodzące jako załączniki do wiadomości e-mail — przestrzega Piotr Skowroński.

© ℗
Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami „Regulaminu korzystania z artykułów prasowych” i po wcześniejszym uiszczeniu należności, zgodnie z cennikiem.

Podpis: Mariusz Wawer

Polecane

Inspiracje Pulsu Biznesu

Puls Biznesu

Kariera / / Potrzebna jest polityka ochrony