|
Aktualności
|
|
Informacje
Numery
Numer 02/2005
Bezpieczeństwo teleinformatyczne. Na ryzyko - audyt
|
|
|
Bezpieczeństwo systemów teleinformatycznych w przedsiębiorstwach branży energetycznej jest elementem wpływającym na bezpieczeństwo energetyczne w ogólności. Energetyka, branża niezwykle chłonna na rozwiązania informatyczne, jest narażona na wszelkie zagrożenia związane z nowoczesnymi technikami przetwarzania informacji.
|
Zagrożenia i straty
Zagrożenia towarzyszące rozwojowi teleinformatyki to szerokie spektrum rozmaitych zdarzeń mogących poczynić ogromne szkody w systemie, utrudnić pracę przedsiębiorstwa i doprowadzić do znacznych szkód finansowych. Do najpopularniejszych rodzajów zagrożeń w sieci komputerowej należą wirusy (we wszelkich odmianach) i robaki pocztowe czy konie trojańskie umożliwiające śledzenie operacji wykonywanych przez zainfekowane maszyny lub przejęcie nad nimi zdalnej kontroli. Poważnym niebezpieczeństwem dla dużych jednostek intensywnie wykorzystujących możliwości Internetu są ataki prowadzące do sparaliżowania pracy serwerów firmowych (tzw. atak Denial of Service i ich modyfikacja - Distributed Denial of Service). Kolejne ryzyko utraty danych czy poniesienia innych strat wiąże się z włamaniami do sieci firmowych wykonywanymi współcześnie za pomocą rozmaitych wyrafinowanych technik często łączących się z innymi rodzajami ataków (jak wspomniane wyżej).
Trzeba pamiętać, że największe szkody może spowodować nie technika lecz człowiek - najsłabsze ogniwo tego systemu. Brak świadomości zagrożeń, brak wiedzy o właściwym zachowaniu, a często także zła wola użytkowników sieci sprawiają, że najgroźniejsze dla systemów teleinformatycznych są ataki od wewnątrz sieci. Potwierdzają to międzynarodowe badania “Bezpieczeństwo informacji 2004” opublikowane przez firmę doradczą Ernst&Young. Co gorsza, to właśnie w Polsce niezadowolony pracownik jest wrogiem “numer 1”, a na ogół powoduje nim chęć przejęcia poufnych informacji czy baz danych osobowych. Z czynnikiem ludzkim wiąże się strefa zagrożeń “fizycznych” (np. przeciwpożarowych czy kontroli dostępu do pomieszczeń), często lekceważonych. Jednak nawet najlepiej chroniony przed atakami z zewnątrz system będzie bezbronny wobec działań nieuczciwej osoby, szczególnie wtedy, gdy taka osoba ma odpowiednie uprawnienia dostępu.
Ataki sieciowe i inne rodzaje zagrożeń dla systemów teleinformatycznych mogą pociągnąć za sobą niewyobrażalne szkody. Rozwój technologii IT i konieczność ich stosowania idzie w parze z rozwojem technik hakerskich i wzrostem liczby niebezpieczeństw. Ryzyko wciąż rośnie. Wśród różnych możliwych szkód, do najbardziej dotkliwych należą przejęcia baz danych osobowych czy informacji poufnych przez osoby trzecie, utrata danych i sparaliżowanie lub zakłócenie pracy przedsiębiorstwa. Skutki są bolesne, bo obniżają efektywność działań firmowych, powodują poważne straty finansowe i komplikacje prawne, szczególnie w zakresie danych osobowych chronionych prawnie. Z tego powodu niezbędne jest odpowiednie przygotowanie przedsiębiorstwa do działań minimalizujących ryzyko. W branży energetycznej, chętnie korzystającej z komunikacji internetowej, operującej ogromnymi zbiorami danych osobowych, korzystającej ze sterowanej komputerowo automatyki i dysponującej informacjami poufnymi wszystkie zagrożenia muszą być traktowane poważnie.
Zabezpieczenia sieci teleinformatycznych
Zapobieganie niebezpieczeństwom i walka z zagrożeniami wymaga sporego zaangażowania sił i środków, jednak ten wysiłek to ułamek potencjalnych strat. W celach ochronnych stosuje się szeroki wachlarz rozwiązań. Na poziomie sprzętu i oprogramowania do najpowszechniejszych należy ochrona antywirusowa oparta o odpowiednie aplikacje i skanowanie zasobów. Ważną rolę pełni ochrona poczty elektronicznej, najczęściej (obok serwisów WWW) stosowana do internetowej komunikacji. Istotne jest filtrowanie korespondencji w celu eliminacji niepożądanych lub groźnych przesyłek. Do znanych rozwiązań należą tzw. firewalle (czyli zapory ogniowe) restrykcyjnie traktujące ruch w sieci i blokujące odpowiednie porty sprzętu komputerowego (poprzez porty udostępniane są wszelkie usługi sieciowe). Firewalle jednak nie wystarczają, gdyż nie umieją rozpoznać ataków wykorzystujących udostępnione usługi (np. firewall nie zabezpiecza przed wykonaniem złośliwego kodu w trakcie oglądania strony WWW). Dlatego kolejnym ważnym elementem są systemy ochrony przed atakami i wykrywania ataków - IPS (Intrusion Protection System) i IDS (Intrusion Detection System). Mają one za zadanie wykrywać podejrzany ruch w sieci, rozpoznawać zagrożenie i odpowiednio reagować, np. rozłączając połączenie.
Zabezpieczenia sieci teleinformatycznych to rynek rozwijający się bardzo dynamicznie, a napędzany nowymi osiągnięciami technologii i strony atakującej. To powoduje, że stosowane rozwiązania szybko się starzeją, przestają wystarczać i trzeba je wymieniać na nowe. Nawet jednak najnowsze produkty nie rozwiązują wszystkich problemów. Bardzo ważna jest rola człowieka, i to zarówno administratorów, jak i zwykłych użytkowników. Administratorzy m.in. analizują zapisy ruchu sieciowego (tzw. logi) czy czuwają nad właściwym zachowaniem użytkowników. Użytkownicy powinni być przeszkoleni i znać podstawowe zachowania minimalizujące niebezpieczeństwa. Istotną rolę odgrywają też mechanizmy dopuszczenia do dostępu czy do pewnych usług, a wraz z nimi weryfikacja osób uprawnionych. Na tym polu stosuje się kompleksowe rozwiązania, począwszy od przydzielania haseł dostępu, przez nadawanie różnym grupom różnych uprawnień w firmowej sieci, stosowanie zaszyfrowanych transmisji danych i zabezpieczonych połączeń, wprowadzanie podpisu cyfrowego, po procesorowe karty identyfikacyjne i rozwiązania biometryczne (np. detektory reagujące na odcisk palca).
Wszystkie powyższe metody i techniki postępowania stają się efektywne po wdrożeniu odpowiednich procedur postępowania znanych pod nazwą polityki bezpieczeństwa i zarządzania bezpieczeństwem informacji. Są to rozwiązania wymagane prawnie i szczegółowo opisane w odpowiednich rozporządzeniach. Zostały też zdefiniowane normy określające standardy bezpieczeństwa. Bez względu jednak na to, czy właściwe procedury są wdrożone czy dopiero będą przygotowywane, należy wiedzieć, jak kształtuje się poziom bezpieczeństwa w danym okresie. Do tego celu pomocny jest audyt bezpieczeństwa, najczęściej wykonywany przez wyspecjalizowane firmy zewnętrzne. Audyt może obejmować różne segmenty mające znaczenie dla bezpieczeństwa przedsiębiorstwa i w szerokim ujęciu łączy analizy systemów teleinformatycznych ze światem rzeczywistym (np. z analizami zabezpieczeń przed kradzieżami, pożarami czy działania ochrony obiektu). Dla tak dużych jednostek jak przedsiębiorstwa energetyczne szeroko zakrojony, solidny audyt bezpieczeństwa może oznaczać wydatki nawet rzędu miliona złotych, jednak jest to ledwie ułamek sumy potencjalnych strat.
Audyt bezpieczeństwa
Audyt bezpieczeństwa informacji ma być niezależną i wiarygodną oceną stanu bezpieczeństwa wszystkich obszarów działalności przedsiębiorstwa, a dokładniej oceną ich zgodności z dokumentami normalizującymi. Istnieją różne metodologie przeprowadzania audytu, natomiast najczęściej podstawą jest zgodność z normą PN-ISO/IEC 17799:2003. W wyniku prac audytorów (często zajmujących sporo czasu) powstaje raport oceną stanu bezpieczeństwa informacji. W wielu przypadkach towarzyszą mu wytyczne wskazujące działania do wykonania w celu osiągnięcia odpowiedniego poziomu bezpieczeństwa. Niestety, osiągnięcie tego poziomu nie zwalnia od dalszej pracy - działania na rzecz ochrony przed zagrożeniami muszą być ciągłe. W trakcie audytu dokonuje się dokładnego przeglądu zabezpieczeń systemów informatycznych i pozainformatycznych wszędzie tam, gdzie przechowuje się i przetwarza informacje (nie tylko metodami komputerowymi). Zbierane informacje mogą posłużyć do identyfikacji zagrożeń i przeprowadzenia analizy ryzyka - kolejnego etapu działań na rzecz bezpieczeństwa. Zbiera się też informacje o podatności na zagrożenie w różnych obszarach i ocenia możliwe szkody. Poza osiągnięciem zgodności z normą, audyt powinien być podstawowym etapem prac poprzedzających przygotowanie polityki bezpieczeństwa i systemu zarządzania bezpieczeństwem informacji.
W typowym audycie bezpieczeństwa w zakresie sieci i systemów teleinformatycznych prowadzi się szereg działań i zbiera informacje na temat zarządzania tymi systemami i ich użytkowania. W trakcie prac następuje przegląd takich kwestii jak np. ochrona przed niepożądanym i złośliwym oprogramowaniem, zarządzanie systemem informatycznym, archiwizację i tworzenie kopii zapasowych, sposoby wymiany informacji na różnych poziomach itp. Audytorzy analizują usługi, logiczną budowę sieci, bezpieczeństwo aplikacji i baz danych czy podatność na różne rodzaje ataków. Ogólnie biorąc są to skomplikowane procedury obejmujące często kilkadziesiąt różnych zagadnień. Dodatkowym elementem audytu może być też test penetracyjny, czyli rodzaj próby włamania na zamówienie. W tym przypadku poza konkretnymi procedurami ważną rolę odgrywa fachowość, umiejętności i pomysłowość osób testujących.
Korzyści
Audyt bezpieczeństwa to proces drogi i skomplikowany, przynosi jednak (albo przynajmniej powinien) konkretne korzyści. Przede wszystkim daje dogłębną ocenę stanu bezpieczeństwa (w wynikach można np. podać porównanie do wzorca różnych obszarów istotnych ze względu na bezpieczeństwo, np. stan ochrony elektronicznej, zagrożeń technicznych czy firmowej automatyki) i wyznacza konkretne cele dla zarządzania bezpieczeństwem informacji. Pozwala także określić gdzie spoczywa odpowiedzialność za dane elementy wpływające na poziom bezpieczeństwa i ułatwia wdrożenie polityki bezpieczeństwa. To z kolei powoduje nie tylko wzrost poziomu bezpieczeństwa, ale także ogranicza ryzyko. np. utraty czy uszkodzenia danych. Dalsze efekty to podniesienie efektywności przepływu informacji i zwiększenie elastyczności działania przedsiębiorstwa (lepsza organizacja jego struktury)…
Dokończenie znajdziesz w wydaniu papierowym. Zamów prenumeratę miesięcznika ENERGIA GIGAWAT w cenie 108 zł za cały rok, 54 zł - za pół roku lub 27 zł - za kwartał. Możesz skorzystać z formularza, który znajdziesz tutaj
Zamów prenumeratę
|
|
|
|
