Bezpečnosť informačného systému podniku

Bezpečnosť informačného systému podniku, to nie je len bezpečnosť systému samotného. Týka sa aj vzťahov na pracovisku, organizácie práce, interných smerníc tej-ktorej spoločnosti. V slovenských firmách a organizáciách je táto oblasť ešte stále podceňovaná a zanedbávaná. Bezpečnosť firemného systému je často zúžená len na heslo k vstupu doň. No napriek tomu sa veľmi často stretávame s praktikami aj tento najzákladnejší atribút bezpečnosti zjednodušiť na kratučké a ľahko zapamätateľné slovo, ktoré navyše používateľ prezradí všetkým svojim kolegom a známym. Deravá autorizácia je len jedným zo základných nedostatkov v bezpečnosti systémov. Prevádzka akéhokoľvek informačného systému podniku prináša množstvo bezpečnostných rizík hroziacich únikom či zničením dôverných informácií.

Ak pominieme riziká straty či úplného zničenia informácií a ich nosičov pôsobením živelnej či inej katastrofy, môžeme za hlavné riziká považovať akékoľvek možnosti vzniku chyby v údajoch, ich straty či zneužitia spôsobené osobou alebo technickým nedostatkom systému. Takéto riziká môžeme rozdeliť na niekoľko základných oblastí:

Riziká narušenia systému zvonku - externé riziká

Externé riziká zahŕňajú najmä všetky možnosti neautorizovaného prieniku alebo deštruktívneho útoku na systém zvonku. Patria sem klasické riziká nepovoleného prieniku do systému cez jeho časť pripojenú do niektorej verejnej siete (najčastejšie internet alebo VTS). Pri takýchto útokoch útočník využíva chyby v častiach systému na rozhraní privátnej a verejnej siete alebo zneužije bezpečnostné informácie získané iným spôsobom (zneužije prístupové práva autorizovaného používateľa). Takéto riziká sa dajú výrazne znížiť dôslednou údržbou systémov, ich priebežnou aktualizáciou, správnou a bezpečnou konfiguráciou. Inou možnosťou je využiť špecializované systémy kontrolujúce prístupy a pohyb údajov cez rozhranie medzi privátnym systémom a verejnou sieťou - tzv. firewally. Nemenej významným rizikom je aj nebezpečenstvo infekcie systému počítačovým vírusom. Najčastejším spôsobom infekcie systému je v súčasnosti prenos vírusov systémom elektronickej pošty z verejnej siete. Preto musí bezpečnostné rozhranie na hranici privátnej a verejnej siete zahŕňať aj antivírovú ochranu.

Riziká narušenia systému zvnútra - interné riziká

Riziká úniku, zničenia či zneužitia citlivých informácií zvnútra organizácie sú o to výraznejšie, čím viac sú prehliadané a bagatelizované. Vnútorná bezpečnosť systému sa musí riadiť dvoma základnými pravidlami - 1. systém je produkčným a komunikačným prostriedkom určeným primárne na činnosť, na ktorú bol navrhnutý - na prácu a 2. každý používateľ a každá súčasť systému musí mať práva na vykonávanie len tých činností, ktoré nevyhnutne potrebuje k svojej práci.

Azda najdôležitejším aspektom internej bezpečnosti systému je kvalitne navrhnutá a dôkladne implementovaná politika správy používateľských účtov a práv. Skupiny používateľov a ich práva musia byť navrhnuté tak, aby používatelia mohli plnohodnotne pracovať s tými časťami systému, s ktorými potrebujú a zároveň bola správa ich používateľských oprávnení transparentná. Oprávnenia používateľov musia mať horizontálnu štruktúru - ich prideľovanie musí byť podriadené len potrebám ich práce, bežní používatelia nesmú mať práva spravovať iné používateľské účty a ani nastavovať akékoľvek bezpečnostné parametre. Vertikálnu štruktúru práv musia predstavovať vhodne zvolené skupiny používateľských účtov s právami na správu niektorých častí systému (napríklad správcovia tlačiarní, správcovia faxových služieb, správcovia pracovných skupín) a jediný účet s absolútnymi právami (administrátor, admin, root, supervisor). Dôležitou zásadou je používať účty s vyššími oprávneniami len na správu systému, nie na bežnú prácu.

V opačnom prípade môže dôjsť k náhodnému prepísaniu alebo zničeniu údajov.

Jednotlivé používateľské účty musia byť pridelené vždy konkrétnej fyzickej osobe, nikdy nie skupine osôb. Spoločné účty typu „uctovnicka“ sú otvorenou bránou do systému. Heslo k týmto účtom (ak existuje) pozná niekoľko ľudí a sú preto prakticky anonymné. V prípade narušenia systému pod týmto účtom nie je možné nájsť vinníka.

Heslá k používateľským účtom musia byť dostatočne robustné. Nesmú byť triviálne uhádnuteľné, ani príliš krátke. Žiaľ, v praxi sa veľmi často stretávame s úplne triviálnymi heslami typu „janko”, „marienka“ a podobne. Správne zvolené heslo by nemalo byť slovo s konkrétnym významom. Mal by to byť reťazec rozličných znakov, ktorý obsahuje rôzne typy znakov (malé, veľké písmená, číslice, znamienka...). Takéto heslo nie je uhádnuteľné ani človekom, ani automatizovaným systémom, ktorý pracuje metódou skúšania slov z rozsiahlych slovníkov. Iný spôsob je takzvaná metóda brutálnej sily, pri ktorej sa pokúša počítačový systém nájsť heslo prostým skúšaním všetkých kombinácií znakov. Proti takýmto systémom je možné heslo uchrániť jedine jeho dostatočnou dĺžkou. Bezpečné heslo musí mať dĺžku minimálne 8 znakov. V prípade účtov s vysokými oprávneniami minimálne 10 a viac znakov.

Interná bezpečnosť systému sa však netýka len nastavení, práva a technických opatrení na systéme samom, je to i komplex organizačných opatrení a opatrení fyzického zabezpečenia systému. Zneužité môžu byť nielen údaje uložené v systéme v elektronickej forme. Rovnako citlivé sú i údaje vytlačené v papierovej forme. Ani ten technicky najdokonalejšie zabezpečený informačný systém nedokáže eliminovať riziko úniku alebo straty informácií krádežou, prístupom cudzej osoby na pracovisko, požiarom, technickým zlyhaním, zneužitím údajov oprávneným zamestnancom a podobne. Bezpečnosť informačného systému je preto nevyhnutné posudzovať ako komplexnú problematiku zahŕňajúcej všetky aspekty fungovania organizácie - celú jej organizačnú štruktúru, vnútorné predpisy, technické zabezpečenie i riadenie.

Odborníci zo spoločnosti Tronet, a. s., majú už dlhoročné skúsenosti v oblasti zabezpečenia systému firmy. Spoločnosť ponúka svojim zákazníkom komplexný balík služieb v oblasti efektívneho zabezpečenia sietí, ktorý zahŕňa vstupný audit, bezpečnostnú štúdiu a na základe toho odporúčanie a nasadenie prostriedkov ochrany dátovej siete.

Richard Minarových