WSZYSTKO ZALEŻY OD PRACOWNIKA
Transmisja danych powinna być kodowana
SAMI PRZYCHODZĄ: Procedury bezpieczeństwa są przeważnie zdroworozsądkowe, jednak pomoc specjalistów jest tu bardzo przydatna. O świadczeniu takich usług raczej nie mówimy powszechnie, ale klienci sami do nas trafiają — mówi Emil Konarzewski, prezes firmy ATOM. fot. Borys Skrzyński
Zagrożenia dla firmowych sieci związane z Internetem są raczej wyolbrzymiane. Zaledwie 20 proc. odnotowanych nadużyć i przestępstw informatycznych dokonano z zewnątrz firmy. Z kolei 80 proc. sytuacji zagrażających zasobom informatycznym powstało z winy użytkowników. Skuteczna ochrona przed takimi przypadkami jest niestety bardzo kosztowna.
Im większego znaczenia dla funkcjonowania przedsiębiorstw nabiera informatyka, tym głośniej mówi się o zabezpieczeniu danych zgromadzonych w systemach komputerowych. Na rynku pojawiają się coraz to nowe firmy oferujące usługi w tym zakresie, a w działających od dawna firmach integratorskich i consultingowych wydziela się odrębne komórki do spraw bezpieczeństwa.
Informatyczne uzależnienie
— Działanie nowoczesnych instytucji opiera się w dużej mierze na niezawodnym działaniu infrastruktury teleinformatycznej. Najwyraźniej widać to na przykładzie firm uhonorowanych ostatnio tytułem Lidera Informatyki, wyróżnieniem nadawanym przez tygodnik „ComputerWorld”. Na liście laureatów znajdują się jedne z najlepiej prosperujących krajowych przedsiębiorstw. Dla nich sieć komputerowa jest szkieletem firmy — mówi Marek Markofel, konsultant w Oracle Polska.
Zmora menedżerów
Menedżerów i administratorów sieci o ból głowy przyprawia natomiast nowe medium, wdzierające się do sfery działalności przedsiębiorstw, czyli Internet. Ogromne możliwości, jakie niesie ze sobą globalna sieć komputerowa już teraz wykorzystuje duże grono firm. Wiele instytucji nadal broni się przed podłączeniem do sieci, lecz zwalczanie tego zjawiska przypomina walkę z wiatrakami.
— Administracyjne zakazywanie korzystania z Internetu musi spalić na panewce. Jeżeli firma nie jest podłączona do sieci łączem stałym, a chce ograniczać pracownikom dostęp do sieci przez modemy, to powinna się liczyć z porażką zarówno finansową, jak i psychologiczną. Pracowników nie sposób upilnować — twierdzi Andrzej Błaszczyk, administrator sieci w firmie providerskiej Supermedia.
Wielkie oczy
Wiele kontrowersji niesie ze sobą samo podejście do problemu rzeczywistych zagrożeń płynących z zaistnienia w Globalnej Pajęczynie.
— Kradzież danych, zawirusowanie systemu i inne zdarzenia tego typu nie są aż tak częstym zjawiskiem, jak by się to mogło wydawać. Na pewno Internet nie jest główną drogą, przez którą kradnie się dane z sieci korporacyjnych — stwierdza Emil Konarzewski, prezes firmy ATOM.
Specjaliści zwracają szczególną uwagę na specyfikę Internetu i jego społeczności.
— Zagrożenie atakiem złośliwego hakera można wydatnie zmniejszyć zachowując się bardzo ostrożnie w kontaktach z innymi internautami. Gdy obrazimy nie tego kogo powinniśmy, ściągamy na siebie kłopoty. W najgorszej sytuacji są niepopularne instytucje, takie jak NASK lub TP SA. One przyciągają największą ilość ataków — dodaje Andrzej Błaszczyk.
Całościowo politykować
Przed nieuprawnionym dostępem można się bronić na kilka sposobów, choć, jak mówią najbardziej zainteresowani, nie ma zabezpieczeń dających 100-procentową pewność. Z ogólnych szacunków wynika, że udaje się wykryć zaledwie 40 proc. przypadków nieautoryzowanej ingerencji w system.
— Niski, choć dla wielu zadowalający, poziom bezpieczeństwa można sobie zapewnić stosunkowo małymi nakładami. Niestety, bardzo dobre, kompleksowe zabezpieczenia to ogromny wydatek — uważa Emil Konarzewski.
Ze statystyk wynika, że zaledwie 20 proc. przypadków niepowołanego dostępu do systemów informatycznych następowało spoza instytucji. Pozostałe 80 proc. przestępstw było wynikiem dostępu wewnętrznego. Stąd narodziła się koncepcja budowania kompleksowej polityki bezpieczeństwa. Na politykę bezpieczeństwa składa się kilkanaście elementów, począwszy od fizycznej kontroli dostępu, ochrony serwerów i systemów identyfikacji użytkowników, a skończywszy na archiwizowaniu zdarzeń.
Najsłabsze ogniwo
— Najważniejszym elementem bezpieczeństwa są pracownicy danej firmy. Nawet najbardziej wyrafinowane systemy ochrony danych nie mają tak dużego wpływu na poziom bezpieczeństwa firmy jak właśnie jej pracownicy. Ich umiejętne przeszkolenie w zakresie poufności dysponowania informacjami jest niestety kosztowne i czasochłonne — twierdzi Andrzej Błaszczyk.
Wskazane jest również zhierarchizowanie praw dostępu w zależności od pełnionej funkcji. Eksperci zalecają również nieprewencyjne działanie administratora, polegające na szczegółowym archiwizowaniu wszystkich zdarzeń w sieci. Ma to swoje zastosowanie, gdy zachodzi konieczność pociągnięcia do odpowiedzialności osób, które zaniedbały swoje obowiązki lub przekroczyły dane im uprawnienia. Proces budowania polityki bezpieczeństwa można uznać za zakończony w momencie ustalenia regulaminu bezpieczeństwa pracy, z którym będą zaznajomieni wszyscy pracownicy. Pożądanym efektem jest stosowanie się do ustalonych procedur potwierdzane okresowymi audytami.
Kryptografia nadzieją
Następną kwestią jest obieg elektronicznych dokumentów w sieciach transmisji danych.
— Dostrzegamy fakt zaniedbania tak istotnego elementu, jak bezpieczeństwo składowanych i przesyłanych informacji. Stosunkowo dużo mówi się o poufności, lecz używa się niewystarczająco silnych szyfratorów. O uwierzytelnianiu źródła i odbiorcy danych mówi się bardzo mało. Dlatego postanowiliśmy wprowadzić na rynek swój produkt zmieniający ten stan rzeczy — deklaruje Zbigniew Durawa, szef działu bezpieczeństwa w warszawskiej spółce Comp.
Comp nie jest jedyną polską firmą, która pragnie zaistnieć na rynku urządzeń i aplikacji chroniących szeroko rozumiane bezpieczeństwo informacji. Prawdziwy wyścig ruszy prawdopodobnie w połowie przyszłego roku, kiedy to mają się upowszechnić usługi home-banking. Zapotrzebowanie na tego typu usługi wzrośnie również ze strony instytucji finansowych zajmujących się zreformowanym obszarem ubezpieczeń społecznych i zdrowotnych. Jak zapowiadają przedstawiciele Compu, cena urządzeń będzie przystępna, dzięki temu technologia trafi pod strzechy.