Pobierz najnowszy numer

Newsletter

Zapisz się do naszego Newslettera, aby otrzymywać informacje o nowościach z branży!

Jesteś tutaj

Wprowadzenie do zagadnienia bezpieczeństwa oprogramowania i monitorowania IT

Printer Friendly and PDF

W ostatnim czasie bardzo głośny medialnie stał się temat monitorowania informatycznego. W publikacjach prasowych z codziennych gazet oraz w reportażach telewizyjnych tematyka monitorowania została przedstawiona powierzchownie, a największy nacisk położono jedynie na możliwość poznania przez pracodawcę treści korespondencji pracowników prowadzonej przy wykorzystaniu poczty elektronicznej. Monitorowanie zostało przedstawione jako inwigilacja oraz naruszanie prywatności pracowników przedsiębiorstw. Przeglądanie przez pracodawcę poczty elektronicznej, analiza stron WWW odwiedzanych przez pracowników w godzinach pracy, przeglądanie bilingów rozmów telefonicznych przeprowadzonych z telefonów służbowych potraktowano jako naruszanie prywatności zatrudnionego. Tak słowo „monitorowanie” kojarzy się wielu z nas, co jest jednak błędnym rozumieniem przedmiotu. Oczywiście istnieją narzędzia umożliwiające stosowanie tego rodzaju praktyk, jednak należy pamiętać o tym, iż każde narzędzie w rękach nieuprawnionego czy nieuczciwego człowieka może stanowić zagrożenie. Czyż nie ma tu analogii do sytuacji, w której pracownik firmy telekomunikacyjnej, wykorzystując służbowy sprzęt oraz możliwości, jakie daje mu pracodawca, może podsłuchiwać rozmowy prowadzone z naszego prywatnego telefonu? Podobnie jest w przypadku systemów monitorowania teleinformatycznego.

Właściciel każdego podmiotu, niezależnie od tego, czy jest to jednoosobowa firma, czy międzynarodowa korporacja, chcąc utrzymać się na rynku, musi dbać o zasoby, które wykorzystuje do codziennej pracy. Nie jest tajemnicą, że aktualnie największą wartością dla organizacji jest informacja, a ponieważ dzisiaj każda, nawet najmniejsza firma funkcjonuje wykorzystując nowoczesne techniki teleinformatyczne, naturalną konsekwencją jest konieczność ochrony tych zasobów. Zjawisko wywiadu gospodarczego nie jest już tworem rodem z powieści kryminalnych, lecz faktem, o którym co jakiś czas mamy okazję usłyszeć lub przeczytać w mediach. Każdy dba zarówno o sprzęt informatyczny będący na wyposażeniu firmy, jak i o informację przetwarzaną na tym sprzęcie, która w niepowołanych rękach mogłaby być przyczyną ogromnych strat. Strat tych nierzadko nie jesteśmy w stanie przeliczyć na pieniądze, dopóki chroniona informacja nie ujrzy światła dziennego.

W zależności od wielkości organizacji oraz specyfiki przetwarzanych informacji stosowane są różne rozwiązania w zakresie bezpieczeństwa informatycznego, mające na celu ochronę danych przed niepożądanym dostępem do nich z zewnątrz oraz wyciekiem z wewnątrz organizacji. Muszą być one jednak stosowane zgodnie ze sformalizowanymi zasadami bezpieczeństwa funkcjonującymi w danej organizacji, często nazywanymi „polityką bezpieczeństwa”. Dokument dotyczący polityki bezpieczeństwa, będący zbiorem praw i obowiązków każdego użytkownika systemu informatycznego w zakresie bezpieczeństwa, powinien funkcjonować w każdym szanującym się podmiocie. Musi on między innymi jasno opisywać reguły, do których stosowania zobligowani są wszyscy użytkownicy systemu informatycznego, a konsekwencją tego jest konieczność zapoznania każdego pracownika z zapisami polityki bezpieczeństwa. Zasady te powinny zawierać również informacje o możliwości stosowania przez pracodawcę mechanizmów monitorowania – jednego z elementów polityki bezpieczeństwa – jako profilaktyki zwiększającej poziom bezpieczeństwa chronionych zasobów.

Skąd się wziął pomysł na monitorowanie? Główną ideą, która przyświecała i przyświeca twórcom systemów monitorowania, jest dążenie do stałego podnoszenia poziomu bezpieczeństwa organizacji, w której systemy monitorowania są stosowane, a także do ograniczenia kosztów zarządzania obszarem objętym monitorowaniem. W bezpieczeństwie stosowana jest zawsze zasada ograniczonego zaufania, która odnosi się nie tylko do współpracowników zewnętrznych, ale również do własnej kadry pracowniczej. Stąd monitorowaniu informatycznemu podlega zewnętrzny styk organizacji ze światem, a w sieci wewnętrznej prowadzone są badania stanu bezpieczeństwa. W zależności od wielkości i specyfiki funkcjonowania danej organizacji wykorzystywane są różne narzędzia i metody monitorowania, jednak wspólną ich cechą zawsze powinno być ograniczenie możliwości przedostania się chronionej informacji w niepowołane ręce oraz – w przypadku wystąpienia tego typu zdarzenia – możliwość wskazania odpowiedzialnego za zaistniałą sytuację.

W niewielkich firmach jako minimum stosuje się przede wszystkim oprogramowanie antywirusowe oraz firewalle programowe lub sprzętowe, mające za zadanie ochronę zasobów przed włamaniami z zewnątrz. Dla tych rozwiązań najważniejszym parametrem umożliwiającym pełne wykorzystanie ich funkcjonalności jest ich bieżąca aktualizacja, a monitorowanie wiąże się jedynie z dbałością o jej systematyczne przeprowadzanie. Dotyczy to również systemów operacyjnych zainstalowanych na wszystkich komputerach funkcjonujących w danej sieci. Odkąd komputery zaczęły się ze sobą komunikować pracując w środowisku sieciowym, rozpoczął się nieustanny wyścig twórców systemów operacyjnych i oprogramowania zabezpieczającego komputery oraz hakerów, którzy działają pojedynczo jako „wolni strzelcy” lub coraz częściej organizują się w grupy, wyszukując luki w systemach. Cel tych działań bywa różny. Niektórzy informują o ujawnieniu luki, nazywanej również „podatnością”, autorów oprogramowania, inni publikują ujawnione podatności w Internecie, a jeszcze inni zatrzymują wiedzę wyłącznie dla siebie w celu jej późniejszego wykorzystania. Kiedyś „złośliwe” oprogramowanie miało za zadanie jedynie unieruchomienie komputera lub zniszczenie znajdujących się na dyskach danych. Współczesne złośliwe oprogramowanie to skomplikowane i bardzo zaawansowane programy, mające na celu przejęcie kontroli nad zaatakowanym komputerem oraz pełną inwigilację przetwarzanych na komputerze zasobów i informacji. Wyścig ten jest na tyle szybki, że aktualności systemów nie bada się już jak niegdyś w tygodniach, lecz dniach. W przypadku aktualizacji krytycznych mówi się natomiast już o godzinach. Należy tutaj również dodać, iż konieczne jest stosowanie jedynie legalnego oprogramowania, pochodzącego z zaufanego źródła – nie tylko dlatego, że grożą nam przykre konsekwencje prawne w przypadku wykrycia wykorzystywania nielegalnego oprogramowania, ale również dlatego, że tylko takie narzędzia mogą korzystać z możliwości pełnej aktualizacji. Zasadne jest również ostrożne stosowanie różnego rodzaju oprogramowania w wersji freeware oraz shareware (szczególnie pochodzącego z wątpliwych źródeł), które kusi tym, iż jest darmowe, lecz niejednokrotnie ma dodatkowe – niewidoczne dla przeciętnego użytkownika – funkcje, umożliwiające nieautoryzowany dostęp do sieci lub niekontrolowany wypływ informacji na zewnątrz.

Im większa organizacja, tym więcej użytkowników, urządzeń sieciowych oraz przetwarzanych danych, a tym samym większe nakłady, jakie należy ponieść na zapewnienie bezpieczeństwa. W takich miejscach „ręczne” prowadzenie aktualizacji systemów antywirusowych byłoby nieefektywne, dlatego stosowane są rozwiązania automatyzujące tę czynność. Przy dużych wdrożeniach wykorzystywane są różnego rodzaju rozwiązania umożliwiające aktualizację systemów operacyjnych oraz oprogramowania antywirusowego przy wykorzystaniu zadanych harmonogramów pracy. Wykorzystuje się je po to, by z jednej strony jak najczęściej przeszukiwać strony producenta oprogramowania w poszukiwaniu nowych aktualizacji, a jednocześnie zminimalizować ryzyko nadmiernego obciążenia sieci w przypadku pojawienia się nowej „paczki” z definicjami wirusów czy nowej „łaty” dla systemu operacyjnego lub innego oprogramowania stosowanego w firmie. W dużych organizacjach kładziony jest większy nacisk na bezpieczeństwo przetwarzanych informacji, zatem poza systemami antywirusowymi i zaporami ogniowymi wykorzystywane są inne systemy monitorowania. Jedne z nich (zarówno programowe jak i sprzętowe) umożliwiają badanie podatności systemów i urządzeń na ataki prowadzone z sieci wewnętrznej, a w przypadku ich wykrycia wskazują, jakie kroki zaradcze należy podjąć, by zminimalizować ryzyko wystąpienia niebezpieczeństwa nieautoryzowanego dostępu do systemów. Inne umożliwiają ograniczenie dostępu użytkowników do zasobów internetowych. Dzięki temu zminimalizowane jest ryzyko zakażenia sieci wewnętrznej złośliwym oprogramowaniem pobranym ze spreparowanych stron WWW. Najczęściej tego typu programy umieszczane są na stronach, których przeglądanie ma niewiele wspólnego z zakresem zadań służbowych danego pracownika. Jeszcze inne wykrywają uruchomienie na danej stacji roboczej oprogramowania niezgodnego z wykazem zaakceptowanych w organizacji aplikacji (o ile taki jest opracowany). Powoduje to ograniczenie możliwości zarażenia zasobów różnego rodzaju wirusami. Użytkownicy często nieświadomie wprowadzają do sieci firmowej złośliwe oprogramowanie, uruchamiając na służbowym sprzęcie aplikacje zapisane na własnych nośnikach zewnętrznych. Takie aplikacje niejednokrotnie w szybki sposób rozprzestrzeniają się w obrębie sieci „zarażając” inne komputery lub mają ukryte dodatkowe właściwości, powodujące wysyłanie informacji znajdujących się w danej stacji roboczej na zewnątrz.

W jednym artykule nie sposób opisać wszystkich rozwiązań i możliwości, jakie dają systemy monitorowania bezpieczeństwa informatycznego. Można jedynie zasygnalizować złożoność tego zagadnienia. Należy jednak pamiętać, iż niezależnie od ilości i jakości stosowanych systemów monitorowania każdy z nich powinien być wykorzystywany zgodnie ze swoim przeznaczeniem oraz ogólnie przyjętą polityką bezpieczeństwa, gdyż w przeciwnym razie osoba z niego korzystająca może narazić się na przykre i dotkliwe konsekwencje wynikające z przepisów prawa.

Krzysztof Białek
 
Zabezpieczenia 1/2008

Wszelkie prawa zastrzeżone. Kopiowanie tekstów bez zgody redakcji zabronione / Zasady użytkowania strony