Czytasz dzięki

Zdefiniowanie zagrożenia to najważniejszy problem firm

Kamil Kosiński
opublikowano: 12-12-2002, 00:00

Potencjalni włamywacze najczęściej próbują się podszyć pod legalnego użytkownika systemu IT. Aby tego uniknąć, szeregowi użytkownicy powinni chronić swoje indywidualne hasła przed dostępem osób trzecich, a informatycy bez wyraźnej potrzeby nie powinni korzystać z kont superużytkowników.

Z analiz IDC wynika, że największymi odbiorcami rozwiązań z zakresu bezpieczeństwa IT są w Polsce instytucje i firmy, których działalność wiąże się z ustawą o ochronie danych osobowych i ustawą o ochronie informacji niejawnych. Te dwie ustawy nie tylko bezpośrednio napędzają rynek, ale pełnią też ważną rolę edukacyjną. Tam gdzie nie ma choćby obowiązku zapoznania się ze wspomnianymi ustawami, bezpieczeństwo kojarzy się ze wszystkim i niczym.

— Dla pewnej grupy podmiotów ustawy wyraźnie określają sens działań w zakresie bezpieczeństwa. Jeżeli chodzi o podmioty, które wspomnianym ustawom nie podlegają, to kierują się one własną oceną sytuacji i szacunkami ewentualnych strat, które mogą wyniknąć z braku właściwych zabezpieczeń. Są przy tym coraz bardziej świadome ewentualnych zagrożeń. Coraz więcej się o tych problemach mówi, a dostawcy rozwiązań z zakresu bezpieczeństwa IT pomagają potencjalnym klientom wyliczyć straty związane z ewentualnymi sytuacjami kryzysowymi. Jakość tych wyliczeń to zupełnie inna sprawa — tłumaczy Andrzej Jarosz, dyrektor ds. badań polskiego biura IDC.

Problemy z jakością wyliczeń nie oznaczają jednak złej woli dostawców. Straty poniesione w wyniku włamania do systemu informatycznego przedsiębiorstwa po prostu trudno wyliczyć. Spektakularne kradzieże pieniędzy związane z włamaniami do systemów bankowych zdarzają się bardzo rzadko. Dużo częściej włamywaczom chodzi tylko o sprawdzenie swoich umiejętności, czy tylko bezinteresowną złośliwość. Firma nie ponosi wtedy start rozumianych jako dosłowna kradzież. Jak więc wiarygodnie oszacować wartość strat związanych ze skasowaniem danych, odtwarzaniem kopii zapasowej czy ponowną instalacją jakiegoś oprogramowania. Ponadto, włamywacze chętniej kradną informacje niż pieniądze i jeśli są naprawdę dobrze do tego przygotowani, nie zostawiają po sobie śladów. Dlatego może zdarzyć się, że firma nigdy nie zorientuje się, że dokonano włamania lub nie będzie w stanie określić, kiedy to nastąpiło, a wartość straty związanej z utratą informacji jest już zupełnie niewymierna i zależy naprawdę od wielu czynników.

Tymczasem zagrożenie czyha na każdym kroku, a zabezpieczenie się przed nim przynajmniej w podstawowym stopniu wcale nie jest bardzo skomplikowane. Niezależnie od motywów, potencjalni włamywacze posługują się bowiem podobnymi metodami. Najczęściej próbują się podszyć pod legalnego użytkownika systemu. Jest to o tyle proste, że wyśledzenie samej nazwy użytkownika nie stanowi wielkiego problemu. Wystarczy jedna przypadkowa wizyta w siedzibie potencjalnej ofiary, aby uzyskać wiele cennych danych. Przeglądarki internetowe domyślnie pamiętają informacje wprowadzane do ankiet, a większość systemów logowania pamięta ostatniego prawidłowo zalogowanego użytkownika. Wyśledzenie hasła to niby trudniejsze zadanie. Czasami wystarczy jednak zajrzeć pod klawiaturę lub rozejrzeć się wokół komputera. W wielu firmach świadomość potencjalnego zagrożenia jest bowiem tak niska, że bezpośrednio przy komputerze znajdują się karteczki z zapisanymi na nich nazwami użytkowników i odpowiadającymi im hasłami.

W większych przedsiębiorstwach, w których pracownicy są bardziej anonimowi, włamywacz może też zagrać va banque i zadzwonić do przypadkowego pracownika z informacją, że w jego komputerze pojawią się np. problemy z pocztą elektroniczną, chyba że ten poda mu własne hasło, dzięki czemu będzie możliwe natychmiastowe usunięcie usterki. Podobny telefon może odebrać i administrator. Prośba od roztargnionego pracownika o przypomnienie „swojego” hasła lub hasła nieobecnego „kolegi” z reguły nie pozostanie bez odpowiedzi, a nie zawsze informatyk zada sobie trud choćby pobieżnej weryfikacji tożsamości dzwoniącego. Innym problemem związanym z pracą informatyków, jest ich nadmierna skłonność do używania konta uprzywilejowanego lub przypisywanie informatykom o dość wąskiej specjalizacji uprawnień pozwalających na dostęp do każdego elementu systemu informatycznego firmy.

— Administrator powinien korzystać ze swoich uprawnień „superużytkownika” jedynie w ściśle określonych przypadkach, np. kiedy zmienia konfigurację sieci bądź dodaje do niej nowych użytkowników. W przypadku przejęcia kontroli nad komputerem administratora można bowiem spowodować załamanie się całego sytemu informatycznego firmy, np. poprzez zmianę konfiguracji sieci — wyjaśnia Andrzej Kontkiewicz, inżynier systemowy w Symantec (Polska).

— Jeśli chodzi o zarządzanie systemem operacyjnym to konto administratorskie może po prostu wszystko. W przypadku firewalla, można już jednak założyć konto z pełnymi uprawnieniami oraz takie, które pozwala tylko na przeglądanie wielu logo. Generalnie jednak najważniejsze jest, aby administrator dwa razy pomyślał, zanim coś zrobi — dodaje Piotr Stępniak, konsultant ds. bezpieczeństwa w polskim oddziale firmy Check Point.

Nie można jednak mieć złudzeń. Firmowi informatycy nie stanowią największego zagrożenia. Ich świadomość potencjalnych zagrożeń jest z reguły wyższa niż przeciętna. Problemem są raczej samozwańczy administratorzy, którymi stają się niektórzy pracownicy. Potrafią oni bez żadnych konsultacji wyłączyć oprogramowanie antywirusowe, gdyż komputer, z którym jest ono powiązane, jest ich zdaniem zbyt wolny, lub zainstalować na firmowych maszynach sobie tylko znane programy. Mogą się one okazać tzw. koniami trojańskimi. W przeciwieństwie do wirusów nie powielają się one samodzielnie. Poza tym nie niszczą danych, ale działając na zasadzie klient-serwer pozwalają włamywaczowi na czytanie i kasowanie dowolnych plików na komputerze innego użytkownika.

— Trudno powiedzieć, czy bardziej szkodliwe są trojany czy wirusy. Każdy przypadek trzeba przeanalizować indywidualnie. Generalnie zaś trzeba robić wszystko, aby do sieci firmowej nie przedostawały się ani jedne ani drugie — komentuje Piotr Stępniak.

Wymuszanie częstych zmian hasła, ustalenie minimalnej jego długości, pamiętanie historii haseł czy blokowanie kont po kilku nieudanych próbach autoryzacji to całkiem dobre pomysły na podstawowe zabezpieczenie sieci firmowej przed włamaniem. Niektórzy sugerują też, że ograniczenie wielkości wysyłanych i odbieranych maili może w pewnych okolicznościach nie dopuścić do wniknięcia do sieci firmowej części wirusów i trojanów tylko ze względu na ich wielkość. Ma to być o tyle istotne, że bazy programów antywirusowych są uaktualniane co jakiś czas i mogą w kryzysowym momencie nie zawierać jeszcze blokady przed określonym szkodliwym programem. Przedstawiciele firm specjalizujących się w dostarczaniu rozwiązań z zakresu bezpieczeństwa IT podważają jednak sens takiego rozumowania.

— Wirusy i trojany są na tyle małe, że ograniczanie wielkości przesyłek, aby ich uniknąć, nic nie daje. Skutecznie uniemożliwia zaś wysyłanie jakichkolwiek załączników, w tym dokumentów stworzonych w edytorach tekstów i prezentacji, które są po prostu niezbędne w prowadzeniu biznesu — podkreśla Piotr Stępniak.

Nie warto też prowadzić stałego monitoringu informacji przesyłanych przez pracowników pocztą elektroniczną. Nie chodzi przy tym o to, aby administrator czytał każdego wychodzącego maila, gdyż byłoby to już zupełnym absurdem, ale o blokowanie za pomocą specjalnego oprogramowania wychodzących na zewnątrz listów zawierających określone wyrazy czy zwroty lub przynajmniej rejestrowanie ich wysyłki. Równie dobrze można bowiem wynieść cenne informacje w kieszeni czy teczce, zarówno w formie papierowej, jak i np. na dyskietce.

© ℗
Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami „Regulaminu korzystania z artykułów prasowych” i po wcześniejszym uiszczeniu należności, zgodnie z cennikiem.

Podpis: Kamil Kosiński

Polecane