IT je třeba chránit proti útokům zvenku i zevnitř

IT je třeba chránit proti útokům zvenku i zevnitř

Tlusté zdi, sledování kamerami a přísné kontroly vstupu – tak podniky střeží, s vynaložením značných nákladů, své zvláště citlivé úseky. Podobně pečlivě musí nyní podniky chránit i své datové sítě a infrastrukturu informačních systémů (Information Technology – IT), jež jsou vystaveny stále častěji útokům hackerů, pokusům o krádež dat a napadení nebezpečnými viry. Jak závažné následky mohou mít i malé mezery v bezpečnostních opatřeních, ukazuje studie časopisu Informationweek o bezpečnosti IT: zatímco v roce 2003 jenom asi každý třetí z dotázaných německých podniků nezaznamenal žádný výpadek svého informačního systému po útoku hackerů, plné dvě třetiny jich musely různě dlouhým výpadkům čelit. Na obr. 1 jsou zjištěné údaje porovnány s ještě daleko hrozivějším stavem v USA [1]. Velkým rizikem z hlediska bezpečnosti jsou především moderní, výkonné mobilní přístroje, jako jsou mobilní telefony, přenosné paměťové bloky a PDA, které nejenom otevírají nové cesty pro průnik virů a červů, ale usnadňují také nežádoucím vetřelcům hospodářskou špionáž a útoky na cenná data podniku. Přitom je třeba mít na zřeteli, že téměř celá polovina všech útoků na podnikové datové sítě je vedena zevnitř podniku. Je tomu tak často nikoliv ze zlého úmyslu, ale z nepozornosti a nedbalosti, ačkoliv nelze zcela vyloučit ani pomstu bývalých pracovníků podniku nebo nekalé záměry konkurence. Na obr. 2 je pro informaci uveden přehled hlavních původců napadení podnikových počítačových sítí podle průzkumu uskutečněného v roce 2002 v Německu [2]. Údaje na obr. 3 vyjadřují v procentech bezpečnostní problémy v oblasti IT, s nimiž se podniky v posledních dvanácti měsících nejčastěji setkávaly. Některé možnosti účinné ochrany podnikových dat ukázali odborníci z několika ústavů Fraunhoferovy společnosti na posledním veletrhu CeBIT.

Bezpečnostní systém COSEDA

Prostřednictvím již zmíněných mobilních nosičů dat (paměťové bloky, PDA apod.) se tajemství firmy může snadno dostat do cizích rukou. Stačí, když pracovník podniku na několik minut opustí své počítačové pracoviště, a již může nepovolaná osoba překopírovat 100 MB dat na svůj paměťový blok s rozhraním USB nebo svůj PDA (Personal Digital Assistant) synchronizovat s počítačem a tak získat důvěrné informace. Pro takové případy poskytuje spolehlivou ochranu bezpečnostní systém COSEDA (Comprehensive Security for Distributed Architectures), vyvinutý Fraunhoferovým ústavem IGD (Institut für Graphische Datenverarbeitung). Jde o systém automaticky kódující všechna data, která se ukládají do paměťového bloku nebo do paměti PDA. Nepovolané třetí osoby tak získají namísto dat jen nečitelnou směsici bitů. Data mohou bez problémů číst jen autorizované osoby, pro které je systém automaticky dekóduje. Bezpečnostní systém COSEDA nejenom zabraňuje krádeži dat, ale pomáhá i automaticky prosazovat na každém pracovišti bezpečnostní politiku podniku. V mnoha podnicích se totiž existující opatření na ochranu dat používají nedostatečně. Systém COSEDA je nástroj, který dodržování provozněbezpečnostních opatření důsledně vyžaduje.

Růst mobility s sebou přináší ještě další bezpečnostní rizika, např. nedostatečně chráněné bezdrátové komunikace. Bezdrátové místní sítě WLAN (Wireless Local Area Network) jsou oblíbeným místem vstupu: na letišti, v kavárně nebo na nádraží lze prostřednictvím mobilního telefonu, PDA nebo notebooku nejen „brouzdat„ po internetu, ale také vniknout do informačního systému podniku. Při bezdrátovém přenosu je „spolunaslouchání“ velmi snadné. Stačí anténa, vložená jako karta WLAN do laptopu nebo PDA, a lze začít se snímáním toku dat.

Zajistit důvěryhodnost a bezpečnost výměny dat je mimořádně důležité zejména v oblastech servisních služeb nebo práce v mobilní kanceláři. Nezbytně je zde požadováno nezpochybnitelné ověření totožnosti komunikujícího partnera, efektivně kódovaná důvěrná komunikace a ochrana soukromé sféry.

Spolehlivá ochrana prostřednictvím komunikačních uzlů

V současné době pravděpodobně neexistuje podnik, který by se mohl vzdát možnosti přístupu k internetu a webu. Síť mu umožňuje, aby se prezentoval v celém světě, vstupoval do přímých kontaktů a uzavíral obchody se subdodavateli a partnery i popř. zaměstnával pracovníky na odloučených pracovištích. Problém je ale v tom, že digitální sítě jsou snadno napadnutelné hackery, špiony, viry apod. Jenom v minulém roce způsobily počítačové viry podle odhadu firmy Trend Micro, zabývající se bezpečností IT, v podnicích v celém světě škody za téměř 55 miliard dolarů [1]. Proto je třeba při připojení podnikové počítačové sítě k internetu respektovat funkční i bezpečnostní hlediska, zvláště je-li síť rozprostřena mezi několika detašovanými pracovišti podniku. Velmi dobrou ochranu poskytuje koncepce komunikačních uzlů zajišťujících bezpečnou komunikaci mezi odloučenými pracovišti.

Systém navržený odborníky Fraunhoferova ústavu IITB (Institut für Informations- und Datenverarbeitung) podle koncepce komunikačních uzlů se skládá ze směrovače (router) jako vnějšího rozhraní k internetu, z hardwarového systému typu firewall a dvou komunikačních serverů. Firewall plní, obrazně řečeno, funkci městských hradeb. Předem se totiž stanoví, které „zboží“, resp. která data lze propouštět městskou bránou dovnitř a která ven, a firewall předem zachytí útoky hackerů, viry, červy atd. Ve struktuře systému firewall komunikačního uzlu jsou definovány čtyři bezpečnostní úrovně. Čím hlouběji do nitra podniku se proniká, tím nepropustnější je ochranná stěna. Internet je úroveň vnější, nejméně bezpečná, ve které se vyskytují jen data určená k volném použití. Od webového serveru podniku lze naproti tomu získat jen explicitně uvolněné informace. Do vnitřku podnikového systému není z internetu vůbec přístup. Nejbezpečnější zónou je oblast správy podniku, do níž mají přístup jenom osoby se zvláštním oprávněním. Tento bezpečnostní koncept se již úspěšně používá ve všech ústavech Fraunhoferova institutu. Umožňuje ústředí a jednotlivým ústavům mezi sebou bezpečně komunikovat prostřednictvím internetu. Podle bezpečnostních expertů je koncepce komunikačních uzlů zajímavá především pro středně velké podniky s mnoha dislokovanými pracovišti.

Elektronická inspekce bezpečnosti

Zatím chrání většina podniků své datové sítě prostřednictvím systému firewall a vhodného skeneru virů. Ale kdo kontroluje, zda jsou všechny existující bezpečnostní systémy v podniku skutečně zapnuty? Pro ochranu dat v podniku před lidským selháním vyvinuli odborníci Fraunhoferova ústavu SIT (Institut für Sichere Telekooperation) systém elektronické inspekce bezpečnosti eSI (elektronischer Sicherheitsinspektor). Jedná se o program, který automaticky kontroluje, zda jsou všechna bezpečnostní opatření existující v podniku aktivní. Dosud se bezpečnostní opatření pro ochranu IT kontrolovala jen občas a namátkově. Jestliže však administrátor sítě změní mezi těmito dvěma kontrolami nastavení serveru pro účely testování a zapomene je vrátit zpět, může na týdny vzniknout mezera v bezpečnostních opatřeních. Právě takové výpadky vylučuje elektronický bezpečnostní inspektor. Trvale kontroluje všechny bezpečnostní systémy a ihned zjistí, když správně nepracují např. antivirové programy. Která bezpečnostní opatření budou sledována, určí správce sítě podle právě aktuální bezpečnostní politiky podniku v kontrolním protokolu. Jakmile je systém eSI jednou nastaven, zná strukturu počítačové sítě podniku a nepřetržitě sleduje všechna bezpečnostní opatření.

Závěr

Zejména velké podniky a instituce začaly v několika posledních letech výrazně víc investovat do ochrany svých informačních systémů. Potvrzuje to i nedávná studie prognostické společnosti International Data Corporation, ve které se předpovídá, že celkový roční obrat na světovém trhu s hardwarem a softwarem pro zajištění bezpečnosti IT vzroste ze 17 mld. USD v roce 2001 na více než 45 mld. USD v roce 2006, tj. o asi 164 %. Větší angažovanost podniků v oblasti bezpečnosti IT je nezbytná, protože četné výpadky informačních systémů po útocích zvenčí i zevnitř ukazují, že v mnoha podnicích jsou stále ještě v přijatých bezpečnostních opatřeních mezery, které je nutné co nejdříve účinně vyplnit.

Kab.