Bezpečnosť údajov v informačných službách

Informácie majú dnes takú hodnotu ako málokedy doteraz. Cez internet sa presúvajú od používateľa k používateľovi informácie verejné, dôverné, tajné. Informácie, ktoré majú cenu peňazí a dokonca aj samotné peniaze. Začala sa éra odborných a obchodných rešerší, informačného zabezpečenia výskumu, výroby a obchodu cez internet. Začala sa éra obchodovania a bankovníctva cez internet. To zvádza mnohých ľudí k tomu, aby sa k týmto informáciám dostali, aby ich kopírovali, kradli. Symbolom bankových lupičov v prvej polovici 20. storočia boli klobúky a revolvery alebo samopaly. Dnes sú to džínsy a počítače alebo počítačové programy. Novodobých lupičov zaujímajú čísla kont, kódy, heslá - ostatné už príde samo. Odhady v USA pred piatimi rokmi hovorili, že zatiaľ čo klasický „samopalový“ lupič sa zmocní v priemere 8-tisíc dolárov na jednu lúpež, „počítačový“ lupič už okolo 500-tisíc dolárov na jednu lúpež. Produktivita práce je tu očividná. Nič sa však dlho nehovorilo o tom, aká je produktivita takejto práce, ak lupičom je nejaká oficiálna štátna organizácia. Správy o údajnom zneužívaní internetu, ktoré nedávno prebehli európskymi médiami, otriasli mnohými málo informovanými ľuďmi. Ale otriasli aj mnohými informačnými odborníkmi. O internete sa veľa hovorilo a popísalo sa o ňom veľa papiera. Vie sa, že vyšiel z dielní Pentagónu, bol daný zadarmo do používania verejnosti. Ale je skutočne zadarmo? Skoro všetci si všímali len jeho prednosti. Ak sa však ozvali i kritické hlasy, zamerané na jeho nedostatky, okrem iného napríklad aj na bezpečnosť údajov, ktoré sa v ňom prenášajú, väčšinou si ich nikto ani nevšímal. Až teraz naraz správa o údajnom americkom odpočúvaní európskych spojencov aj cez internet v rámci programu Echolon otriasla mnohými, pretože je akoby vystrihnutá z Orwellovho románu „1984“. V rámci tohto amerického programu , ktorý má k dispozícii 120 monitorovacích staníc na celom svete, je možné zachytiť informácie prenášané satelitmi, mobilnými telefónmi a hlavne elektronickú poštu. Tieto správy sa potom filtrujú na základe kľúčových slov, vysielacích a prijímacích miest, prípadne mien firiem a mien osôb, vyhodnocujú v Národnej bezpečnostnej agentúre (NSA). Program Echolon funguje 24 hodín denne bez prestávky viac ako 50 rokov. Tento program sa používal okrem politického a vojenského sledovania aj na poli hospodárskej a priemyselnej špionáže. Pritom počítačové siete sú v súčasnosti životne dôležité pre ekonomiku krajín a ich bezpečnosť. Pri sprístupňovaní informácií v celosvetovej počítačovej sieti internet si musíme uvedomiť, že sa často vystavujú informácie, ktoré môžu mať pre niekoho veľmi veľkú cenu. Navyše obrovské množstvo údajov, ktoré sa spracúvajú, umožňujú vykonávať analýzy, o akých sa doteraz ani snívať nemohlo. Možno z nich usudzovať na plány spoločností, ich výskumné zameranie, dokonca analyzovať model spoločnosti vrátane celej štruktúry. A pretože vo výskume existuje vzájomná rivalita, je aj oficiálny štátny záujem o informácie o stave výskumu u konkurencie. To nehovoríme ani o strategickom vojenskom výskume v oblasti techniky, lekárskych vied, ale aj psychológie, pôsobenia farmák na človeka.

Výskum a obchod sa stáva prvoradým cieľom medzinárodnej špionáže. Z toho dôvodu sa ochrane údajov venuje aj pozornosť na úrovni, ktorá je daná ich dôležitosťou alebo výnosnosťou. Ak si navyše uvedomíme, že medzi prevádzkovateľov mnohých informačných služieb patria čoraz viac a viac aj štátne orgány a finančné orgány, napr. vnútro, armáda, ministerstvo financií, banky, obchodné firmy, organizácie, ktoré majú rôzne databázy, napr. o obyvateľstve, o firmách, daniach, platbách, bezpečnosti, stave financií atď., potom otázka ochrany týchto údajov pred zneužitím nepovolanými osobami nie je druhoradá. Ako aj otázka zneužitia prístupu do databázy nepovolanými osobami s cieľom zničenia či prepisu niektorých údajov. Aj práve preto je potrebné venovať otázkam ochrany veľkú pozornosť.

Informačné služby bývajú poskytované prezenčne alebo absenčne, v súčasnosti však najčastejšie cez sieť. Rovnako cez sieť je zasielaná čoraz viac a viac pošta, ktorá môže mať dôverný alebo tajný charakter. Rozvoj internetu veľkou mierou mení a zlepšuje kvalitu poskytovaných služieb. Ale prináša aj niektoré riziká a negatíva z hľadiska ochrany údajov pred ich zneužitím nepovolanými osobami či zneužitím prístupu nepovolaných osôb do databázy.

Nepovolané osoby môžu získavať informácie:

a) priamo zo zdroja, t. j. z databázy, fyzickým vstupom na pracovisku informačnej služby,

b) priamo zo zdroja, t. j. z databázy, vstupom cez sieť,

c) priamo zo zdroja odoslaním spracovanej správy či úlohy programom, tajne zabudovaným v hardvéri počítača alebo v operačnom systéme (supervajce),

d) priamo zo zdroja odoslaním spracovanej správy či úlohy programom tajne zabudovaným do rutinného spracovateľského programu (vajíčka),

e) pri práci v sieti kopírovaním zo serverov,

f) pri práci v sieti elektronickým odpočúvaním siete.

Navyše sem môžeme pridať ešte zmiznutie dokumentov počas cesty od odosielateľa k adresátovi počas putovania po internete (strata dokumentu).

Nepovolané osoby môžu vybrať, zničiť alebo prepísať, presunúť údaje v databázach pri vstupoch uvedených v bodoch a) a b). K tomuto problému existuje veľmi veľké množstvo publikovaných článkov, hlavne o prípadoch presunov financií na vlastné kontá niektorých pracovníkov bánk, poisťovní či na iné fiktívne kontá, ktoré si vytvárali v bankovníctve, poisťovníctve. Aj napriek tomu, že bankové ústavy sa snažia aféry, ktoré sa ich týkajú, utajovať, je zrejmé, že to nie je až také ťažké. Hladiny ochrany a opatrenia proti tomu sú rôzne. Sú dané spôsobom a miestom získavania informácií, krajinou, dostupnou technikou či softvérom, organizáciou pracoviska. Rovnako aj legislatívou tej-ktorej krajiny. Napríklad k uvedeným prístupom sú nasledujúce:

ad a) organizačne, softvérovo a hardvérovo, bezpečnosť pracoviska je daná fyzickými kontrolami a kontrolami cez kľúče, karty osôb, ktoré majú prístup k počítačom a serverom na pracovisku, k počítaču administrátora alebo ku klientskej stanici. Navyše, na pracovisku nesmie byť pracovník v žiadnom okamihu sám, jeho práca bude kontrolovateľná,

ad b) bezpečnosť operačného systému, dodržiavanie zavedených štandardov, ktoré určujú stupne bezpečnosti a ochranné pravidlá pre bezpečnosť operačných systémov a prácu v sieti vrátane zavedenia firewallu až po fyzické odpojenie od siete.

ad a), b) ak ide o pracovníkov organizácie, potom zavedením štandardu práce, aby jeden pracovník nemohol mať v ruke naraz všetky informácie potrebné k realizácii finančnej transakcie. Navyše sú stanovené zákonné sankcie za nedodržanie týchto pravidiel,

ad e) použitím kryptovacieho systému (šifrovanie, kódovanie),

ad f) použitím kryptovacieho systému (šifrovanie, kódovanie) a optických káblov.

Navyše býva ochrana v bodoch c), d) , e), f) ošetrená aj v legislatívnej rovine. Bezpečnostné softvérové a hardvérové produkty samy osebe nechránia v súčasnosti údaje dostatočne. Sú však základným prvkom ochrany. Patria sem rôzne vstupné kódové kľúče či vstup do počítača cez zámok s čipovou kartou, firewally, kryptovacie systémy.

Firewall je technologický prostriedok, ktorý softvérovo alebo hardvérovo, resp. v kombinácii oddelí tzv. nebezpečnú (vonkajšiu) sieť od bezpečnej (vnútornej). Softvérovo sa problém riešil aj tvorbou kľúčov. Komplikovanosť kľúča a pravdepodobnosť prelomenia závisí od dĺžky použitého reťazca, koincidenčných pravidiel, resp. dovoleného časového intervalu, resp. množstva povolených opakovaní. Firewally pracujú v niekoľkých rovinách. Napr. umožňujú obojstranný email, ftp, telnet. Požadujú autentifikáciu, iba oprávnený používateľ sa dostane cez firewall. Audítorské funkcie zaznamenávajú a archivujú všetky prístupy na sieť, vyhodnocujú ich, všetky neoprávnené prístupy sa detekujú a skenujú. Sieťové prepínače a smerovače umožňujú zistiť, odkiaľ prišiel signál hackera - počítačového piráta, umožňujú ho vystopovať a usvedčiť. Firewally pôsobia asi ako kamera v banke. Tiež môžu filtrovať pakety a podobne.

Pri prenose informácií v sieti je dôležitý kryptovací systém. Medzi prvé kryptovacie systémy, s ktorými sa stretávame pri práci s počítačmi, môžeme zaradiť kódy písmen a znakov. Snahou každého tvorcu kryptosystému je s minimom použitého priestoru čo najdômyselnejšie zakódovať informáciu. Nástup nových kódovaní v nových kryptovacích systémoch je daný masívnym nástupom matematiky. Jedným z prvých praktických veľkých systémov bol šifrovací systém RSA z roku 1977 autorov Rivesta, Shamira a Adlemana z počítačových laboratórií v Massachusetts Institute of Technology. Je neoficiálnym svetovým priemyslovým štandardom. Ako každý asymetrický systém má verejný kľúč na šifrovanie správy a tajný kľúč na dešifrovanie. RSA odolával rozlúšteniu viac ako 21 rokov, navyše počet bitov používaného verejného modulu rástol a s tým rástla zložitosť dešifrovania. Najzaujímavejšie na tom všetkom však je, že sa teraz ukazuje, že americká tajná služba NSA (National Security Agency) objavila princíp verejnej kryptografie už v rokoch 1961 až 1969, ale ho prísne tajila ako mocnú zbraň. NSA teda mala prístup do všetkých takto kódovaných správ od samého začiatku používania systému. V súčasnosti existuje veľa odvodených konkrétnych praktických kryptovacích systémov. Doteraz existujúci a široko používaný kódovací systém SSL (Secure Sockets Layer) je vďaka veľkej pozornosti, ktorú mu hackeri venovali, veľmi zraniteľný. Používa sa na mnohých webbovských serveroch, napr. aj na ochranu údajov o číslach kreditných kariet, ako aj iných osobných informácií pri ich prenose v internete. U nás sa značne využíva CS (Cramer - Shoupov) kryptosystém od firmy IBM, ktorý na rozdiel od SSL dvojnásobne kóduje informácie vysielané z webbovského servera. Zakóduje nielen samotné zasielané informácie, ale aj ohlasy počítačového servera na nesprávny odkaz, ohlasy, ktoré doteraz využívali hackeri.

Často si tiež kladieme otázku, aké šifrovanie je dostatočné ako ochrana pre prenos údajov a informácií v sieti. Pretože bezpečnosť je jedným zo základných kameňov širokého využitia internetu ako celosvetovej siete, je problému šifrovania venovaná veľká pozornosť, na výskum sa vydáva veľa energie a hlavne peňazí. Najďalej boli a sú v USA, kde tento problém kontroluje dokonca vláda. Z dôvodu ohrozenia bezpečnosti USA obmedzila americká vláda vývoz kryptovacích technológií za svoje hranice. Aj keď je známe, že neexistuje dokonalé šifrovanie, t. j. také, ktoré by sa nedalo dešifrovať, predsa ten, kto má najdokonalejšie šifrovanie, je vpredu, má náskok. Firma RSA, ktorá sama vyvíja šifrovacie metódy, vypisuje dokonca súťaže na prelomenie svojich systémov. A bola veľmi sklamaná, keď sa nedávno podarilo prelomiť jej druhý stupeň ochrany pomocou blokového šifrovania, ktorý bol označený RC5. Používali sa dva kódy. Prvý kód bol 40-bitový a za 3,5 hodiny ho prelomil študent univerzity z Berkeley. Prelomenie druhého kódu, ktorý bol 48-bitový, nebolo jednoduché. Odborníci vymysleli stratégiu postupu, na celom svete sa do akcie zapojilo 3500 počítačov a po 331 hodinách práce sa im podarilo kód rozšifrovať. Je zrejmé, že s každým rozšírením kódu o jeden bit narastá náročnosť jeho dešifrovania. Keď si uvedomíme, že v USA existuje 128-bitový kód, jeho rozšifrovanie nie je v reálnom čase možné. Zatiaľ sa prakticky používa len 48-bitový kód, vo výnimočných prípadoch 56-bitový kód. Vláda USA si kladie vždy jednu tvrdú podmienku, že všetky používané kódy v USA musia vláde umožňovať kedykoľvek podľa potreby ich rozkódovať pomocou generálneho kľúča, ktorý pozná len ona. Používanie iných kódovaní je zakázané. Znamená to vlastne štátny dozor nad kódmi. Rovnaký postup je teraz pripravovaný v legislatíve Veľkej Británie.

Aj v prípade elektronickej pošty je možné využívať kryptovanie správ, resp. je možné správy podpisovať cez password. V Netscape vo Windows je možné zadať spôsob kódovania a tiež zadať podpis cez certifikáciu na konkrétny počítač. Podotýkame, že získaná certifikácia platí len na konkrétny počítač a ak sa posiela, resp. prijíma pošta na inom počítači, nie je možné ju kódovať, podpisovať, resp. dekódovať alebo prijať, ak je viazaná na podpis. Je zaujímavé, že vo Windows sú používatelia elektronickej pošty priamo upozornení v ikone Security, že ak poslali, resp. dostali nekódovanú správu, znamená to, že si ju mohol prečítať aj niekto druhý okrem nich. Resp., že ak správa nebola podpísaná, nie je možné verifikovať, že pochádza skutočne od odosielateľa, ktorý je na správe uvedený. Pretože aj password je možné „odchytiť“, problém sa často rieši hardvérom a softvérom, ktorý umožňuje identifikovať používateľa napr. cez odtlačky prstov, priestorovú snímku jeho oka, cez hlas, prípadne cez iné prvky biologickej identifikácie, ktoré sú človeku dané natrvalo. Podrobnejšie informácie o slabinách ochranných systémoch, najmä o slabinách Windows v tejto oblasti, je možné zistiť na hackerovských stránkach internetu, napr. na stránke úspešných nemeckých hackerov www.ccc.de. Je tu možné sa napr. naučiť odchytiť a dešifrovať password niekoho vo vašom okolí. Naša skúška ukázala, že to až také prosté nie je, ale po dostatočne dlhom čase sa to dá zvládnuť.

Prípady zabudovaných programov sa ťažko dokazujú. Program môže byť zabudovaný v počítači hardvérovo alebo softvérovo. Bežný používateľ nemôže a ani nevie kontrolovať napr. jadro operačného systému alebo operačný systém počítača ako taký. Napokon ťažko môže kontrolovať aj obslužné programy a aplikačné programy. Takýto zabudovaný program môže byť ako spiaci program a po zadaní signálu ako postupnosti príkazov sa iniciuje, spakuje údaje a odošle ich na zadanú adresu. Niekedy je iniciovaný sám na konci programu, do ktorého je zabudovaný - v prípade napr. programu Musics Box posielal výrobcovi údaje o svojom používateľovi.

Zamedzenie straty dokumentov a prenášaných dokladov v internete by malo zabezpečiť opatrenie, na ktorom sa pracuje v systéme EDI (Electronic Data Interchange) - elektronická výmena dokumentov. Má to byť okrem iného aj organizačné opatrenie, tzv. VAN operátor. VAN operátor je nezávislá organizácia, nezainteresovaná na obchodných transakciách, ktorá zodpovedá za to, že dokument sa dostane od odosielateľa k adresátovi a nedôjde k jeho strate. Okrem toho má VAN operátor v systéme aj ďalšie dôležité funkcie pre bezpečnosť a spoľahlivosť prenosu.

Hackeri mali ako svoju obľúbenú zábavku najčastejšie vstupy do prísne strážených báz napr. armády a polície. Ako dôkaz o vstupe často zanechávajú rôzne odkazy, prípadne krikľavým spôsobom prepisujú bázu, resp. prepisujú webbovskú stránku. Posledným prípadom, ktorý mal veľký svetový ohlas, bol v decembri 1998 uskutočnený prepis www stránky Čínskej ľudovej republiky o ľudských právach, ktorým niektorí hackeri vyhlásili Čínskej ľudovej republike totálnu vojnu práve za nedodržiavanie ľudských práv, tzv. cyberwar. Ani Slovensko nie je ušetrené vstupu hackerov na www. stránky. Veľkú pozornosť vzbudil vstup slovenských hackerov na www stránku HZDS počas volieb, keď ju prepísali. V súčasnosti je táto stránka tiež permanentne napadaná. V menšej miere boli registrované pokusy o vstupy aj do iných slovenských stránok. Okrem iného boli napr. zaregistrované pokusy zmeniť vystavené poradie prijímacích pohovorov na niektoré školy. Že hackeri dokážu veľa, ukazuje napríklad demonštrácia prieniku hackerov z nemeckého klubu hackerov, ktorí dokázali so súhlasom a pod kontrolou firmy Intuit preniknúť cez ochranu finančného softvéru Quicken tejto spoločnosti a neautorizovaným spôsobom presunúť bez znalosti passwordu bankovej karty veľké finančné sumy z účtu jedného klienta na účet iného klienta, vo všeobecnosti na iné konto. Údajne je možné preniknúť aj cez ochranu iných firiem. Spoločnosť Intuit si z toho vzala ponaučenie a databázu údajov začala navyše kódovať.

Žiaľ, prístup firiem k utajovaniu údajov vlastných alebo ich klientov nie je dobrý. Takto sa dá aj bez hackerovských skúseností a postupov dostať napríklad k údajom o kreditných kartách, pretože v mnohých inštitúciách nie sú tieto údaje chránené ani heslom. Navyše mnohé servery sú nedostatočne zaistené.

Získavanie a zneužívanie informácií v databázových systémoch a v sieti nepovolanými osobami či inštitúciami vrátane vládnych tvoria kriminálnu činnosť. Hranice štátov netvoria hranice pre nepovolené vstupy, táto činnosť má často nadnárodný charakter, dokonca je organizovaná a má všetky črty medzinárodného zločinu. Počítače a siete otvárajú kriminalite nové cesty. Boju proti tejto kriminalite treba venovať pozornosť na úrovni pracovísk. Ale aj na medzinárodnej úrovni. V roku 1998 prijali krajiny G7 plus Rusko prvé koordinované opatrenia. Ministri vnútra a spravodlivosti týchto krajín podpísali desaťbodový program, ktorý by mal zmenšiť náskok kriminálnych živlov v tejto oblasti. Aké budú výsledky v praxi, ukáže až čas. Poučenie pre nás v oblasti bezpečnosti údajov je, že neexistujú stopercentne bezpečné systémy, od hackerov sa dá v tejto oblasti veľa naučiť, najväčšie riziko pri ochrane údajov predstavuje ľudský faktor, a treba si dať pozor aj na niektoré štátne inštitúcie. S Orwellom môžeme povedať, že veľký brat načúva. My však pridáme, že malý brat je v strehu.

Doc. RNDr. Ing. Jozef Lipták, CSc.