Ochrona sprzętu i danych

Termin „ochrona komputerów” wywołuje w umysłach niektórych ludzi obrazy odpowied-niejsze dla filmu science-fiction niż dla standardowego pomieszczenia komputerowego. Ochro-na sprzętu i danych to coś, co każdy użytkownik komputera powinien mieć Ochro-na uwadze, bez względu na to, czy urządzenie, jakiego używa, jest małym „pecetem”, czy też dużym kompu-terem typu mainframe.

Ochrona danych jest obowiązkowa w przedsiębiorstwach, gdzie komputery używane są do przechowywania rejestrów finansowych lub do przeprowadzania operacji finansowych.

Jest to nie tylko powierniczy obowiązek ochrony rejestrów i aktywów przedsiębiorstwa, ale i obowiązek prawny. Przepisy nałożone przez Służbę ds. Dochodów Wewnętrznych [Internal Revenue Service, odpowiednik Głównego Urzędu Skarbowego – przyp. tłum.], Komisję ds.

Papierów Wartościowych i Walut [Securities and Exchange Commission] i inne agencje fede-ralne (oraz ich stanowe odpowiedniki) nakazują ochronę pewnych rodzajów akt

przedsiębior-„Robactwo” komputerowe i ochrona danych

97

stwa. Jedna z możliwych interpretacji Federalnej Ustawy dotyczącej Zagranicznych Praktyk Korupcyjnych [Federal Foreign Corrupt Practices Act] z roku 1977 czyni wszystkie osoby zarządzające i kierujące przedsiębiorstwem osobiście odpowiedzialnymi za ochronę akt przedsiębiorstwa, znajdujących się pod ich pieczą, nawet jeśli dane przedsiębiorstwo nie jest zaangażowane w praktyki zagraniczne lub korupcyjne. Jeśli akta te przechowywane są w systemie komputerowym, muszą być one chronione przy użyciu odpowiednich zabezpie-czeń ograniczających dostęp do danych i zapewniających im bezpiezabezpie-czeństwo. Utrata lub zmiana danych mogłaby postawić w stan odpowiedzialności karnej zarówno ofiary, jak i sprawców czynu!

Celem zabezpieczenia jest ochrona wartościowych pozycji. Może to się odnosić do sprzę-tu, do użytkowania tego sprzęsprzę-tu, do czasu zaangażowanego w używanie i obsługę sprzętu lub do danych przechowywanych w systemie. Ochrona komputerów odnosi się do wszystkich wymienionych powyżej pozycji. Procedura, jaką kierujemy się dla ochrony sprzętu i danych, to zidentyfikowanie istniejących zagrożeń i ryzyka dla naszej inwestycji i dla operacji kom-puterowych oraz zabezpieczenia przed możliwymi stratami.

2.1. Definicja ochrony

Ogólnie rzecz biorąc, kiedy mówimy o logicznej ochronie jako przeciwieństwie fizycznej ochrony (uniemożliwiającej komuś wyniesienie komputera), myślimy o pięciu różnych ro-dzajach zabezpieczeń. Pierwszy z nich dotyczy prywatności lub poufności. Chcemy być pew-ni, że dane w naszych komputerach pozostają tajne i że nikt bez odpowiedniej autoryzacji nie będzie mógł dotrzeć do tych informacji. Jest to tradycyjne spojrzenie na zabezpieczenie da-nych.

Drugim ważnym aspektem zabezpieczenia danych jest ich nienaruszalność – musimy mieć gwarancję, że dane i programy znajdujące się w naszym systemie nie zostaną w żaden sposób zmienione przez nikogo, kto nie posiada uprawnień do tego rodzaju działań.

Trzeci cel dotyczy niezawodności usług świadczonych nam przez komputer. Chcemy wie-dzieć, że są one w pełni dostępne, kiedy ich potrzebujemy, i że komputer nie wykonuje nieod-powiedniej lub niepotrzebnej pracy. Uniemożliwienie dostępu do usług komputera jest znane jako atak polegający na odmowie wykonania usługi. Główna trudność związana z progra-mami w rodzaju worms czy bacteria polega na tym, że w zarażonych systemach powodują one odmowę wykonania usługi przez komputer lub pogarszają jej jakość.

Czwarty rodzaj ochrony dotyczy stałości – zapewnienia, że dane i działania, z jakimi mamy do czynienia dzisiaj, będą takie same jutro. Oznacza to często ochronę systemu przed jego własną populacją użytkowników. Użytkownicy mogą przypadkowo wymazać ważne pliki, a personel opiekujący się systemem może zainstalować nowe wersje komend z niezgodnymi opcjami i cechami operacyjnymi, chyba że będą oni kontrolowani w określony sposób.

Piąty rodzaj ochrony dotyczy kontrolowania dostępu do zasobów – zapewnienia, że nasze zasoby nie są wykorzystywane przez nikogo, kto nie jest do tego uprawniony. Mimo że może się wydawać, iż punkt ten pokrywa się z innymi formami ochrony, stanowi on odrębną kwe-stię. Nawet jeśli ktoś nie może odczytywać i zmieniać informacji zawartej w naszym systemie ani zmieniać zachowania któregokolwiek z naszych programów i nie może uniemożliwiać nam korzystania z systemu, wciąż możemy życzyć sobie odmówienia tej osobie dostępu do którejkolwiek z usług.

98

Zarówno z teoretycznego, jak i z praktycznego punktu widzenia istnieją ograniczenia do-tyczące naszych możliwości w zakresie ochrony posiadanych przez nas zasobów. Bez wzglę-du na to, jak bardzo utrudnimy penetrację zabezpieczeń naszego systemu, zawsze znajdzie się na to sposób dla kogoś, kto będzie wystarczająco zdeterminowany, posiadający odpowiedni sprzęt i odpowiednio dużo czasu. Analogicznie, nie istnieje doskonale bezpieczny skarbiec bankowy. Ktoś, kto posiada szczegółowy plan, odpowiedni sprzęt i wystarczającą ilość czasu, energii i motywacji, aby włamać się do bankowego skarbca, odniesie w końcu sukces. Celem ludzi projektujących skarbce bankowe jest uczynienie włamania do nich tak kosztownym w kategoriach czasu i wysiłku, ażeby możliwe do uzyskania korzyści nie były warte zachodu.

Te same cele przyświecają ochronie danych komputerowych. Musimy określić ilość cza-su, pieniędzy oraz energii, jakie należy wydatkować w celu uniemożliwienia komukolwiek narażenia naszego systemu na szwank. Dla osiągnięcia prawdziwego zabezpieczenia musieli-byśmy zrezygnować z wszelkiego dzielenia się danymi, a być może nawet z używania kom-putera – jedynie bowiem system wyłączony jest naprawdę bezpieczny. Ochrona danych komputerowych sprowadza się do serii kompromisów – znajdowania właściwej równowagi między wartością elementów, jakie chcemy chronić, a ilością środków, które chcemy zainwe-stować w ochronę tych zasobów.

2.3. Ocena ryzyka

W celu stworzenia strategii ochrony danych – szerokiego zespołu procedur i mechani-zmów służących do ochrony naszych informacji – musimy dokonać oceny ryzyka. Ocena ryzyka to proces określania potencjalnych strat, wysokości tych strat, prawdopodobieństwa ich wystąpienia oraz kosztów, jakie muszą zostać poniesione w celu zapobiegania tym stra-tom. Przykładem może być ryzyko pożaru w pomieszczeniu, gdzie stoją nasze komputery;

pożar mógłby zniszczyć wszystkie dane w naszym systemie, jak również cały system. Musi-my oszacować, ile wyniosłyby straty, gdyby doszło do takiego pożaru. Z pewnością należy uwzględnić utratę komputera, lecz wystąpiłoby tu również wiele przypadkowych strat. Mia-łaby miejsce strata związana z fizycznymi szkodami w danym pomieszczeniu, strata związana z wymianą sprzętu komputerowego, jak również utrata danych. Mógłby ucierpieć na tym także nasz biznes w okresie, gdy nie mielibyśmy dostępu do komputera i zawartych w nim danych. Biorąc pod uwagę wszystkie te straty, możemy oszacować sumę kosztu czy ryzyka.

Jeden rodzaj strat, na który nie możemy sobie pozwolić, niezależnie od kosztów, to straty związane z katastrofami lub zagrożeniem ludzkiego życia. Ryzyko takiej straty, nawet jeśli jest ona mało prawdopodobna, musi być traktowane jako poważne, z uwagi na ogrom szkód, jakie mogłyby wystąpić. Inne rodzaje ryzyka są o wiele mniejsze, na przykład przerwa w do-pływie prądu, która trwa kilka sekund. Kiedy szacujemy ryzyko strat na skutek wirusów kom-puterowych i innych zaprogramowanych zagrożeń, musimy brać pod uwagę różne koszty, takie jak: koszty archiwizacji, koszty oprogramowania służącego do ponownego kompilowa-nia, koszty czasu trwania awarii, koszty osobowe, koszty sądowe (jeśli takie mają miejsce) oraz koszty odwirusowania systemu. Występują również koszty pośrednie w postaci zaostrzo-nych środków bezpieczeństwa, które zazwyczaj zostają wprowadzone w następstwie takich wypadków. Gdy ustaliliśmy już wszystkie rodzaje ryzyka, musimy oszacować

prawdopodo-„Robactwo” komputerowe i ochrona danych

99

bieństwo ich wystąpienia oraz potencjalne straty w przypadku każdego z nich. Następnie musimy zbadać metody mające służyć zapobieganiu lub zmniejszaniu występujących strat, oszacować koszt każdej z tych metod oraz zdecydować, ile chcemy wydać na zapobieganie stratom. Pozwoli nam to wybrać odpowiedni sposób ochrony i mechanizmy kontroli, jak rów-nież sposób ich wprowadzenia.

Większość sposobów ochrony wiąże się zarówno z kosztami jednorazowymi, jak i ciągły-mi; oba te rodzaje kosztów muszą być rozważane podczas dokonywania oceny różnych moż-liwości ochrony. Koszty jednorazowe mogą obejmować pierwotny zakup i instalację, koszty nowych wersji i renowacje. Koszty ciągłe obejmują konserwację, szkolenie itd. Ubezpiecze-nie jest formą zabezpieczenia na wypadek straty i stanowi zazwyczaj zarówno początkowy, jak i ciągły koszt związany z możliwością wystąpienia szkody. Ochrona może być rozważana jako forma ubezpieczenia; uruchamia ona mechanizmy mające na celu zredukowanie możli-wości wystąpienia straty i jest w efekcie inwestycją mającą na celu zapobieganie przyszłym stratom.

Jednym z elementów, jakie należy brać pod uwagę, dokonując oceny ryzyka, jest różnica między kosztami naprawy a kosztami zapobiegania. W wielu sytuacjach mniej kosztownym może być pozwolenie na wystąpienie zidentyfikowanej przez nas uprzednio straty, a następ-nie zapłacenastęp-nie za naprawę szkody, niż próba zapobiegania szkodzie. Dla przykładu, w wielu środowiskach preferuje się resetowanie urządzeń po wystąpieniu wyłączenia prądu zamiast kupowania i utrzymywania zasilacza awaryjnego (tzw. UPS). Kluczem do oszacowania ryzy-ka związanego z naszym systemem komputerowym jest rozumienie, że dane stanowią aktywa przedsiębiorstwa. Dane osobowe, rejestry sprzedaży i księgowość mogą być przechowywane w komputerze. Produkcja i zapasy mogą być kontrolowane przez komputery przedsiębior-stwa. Dane przechowywane w komputerach przedsiębiorstwa mogą nie istnieć w formie innej niż zapis magnetyczny na dysku lub taśmie. Jest więc ważne, aby zarząd przedsiębiorstwa doceniał znaczenie swoich komputerowych zasobów podczas tworzenia strategii obniżania ryzyka.

2.4. Kilka ogólnych sugestii

Prezentacja procedur przeprowadzania pełnej kontroli zabezpieczeń, to znaczy szacowa-nie ryzyka lub ustaleszacowa-nie strategii ochrony i procedur już stosowanych, ich efektywności, wad oraz sposobu zwiększenia tej ochrony, nie mieści się w ramach tego opracowania. To, co tu prezentujemy, to pewne ogólne wskazówki dotyczące zwiększenia bezpieczeństwa systemów komputerowych – łącznie z twoim „pecetem”, gdzie ochrona może okazać się najsłabsza, a możliwość pojawienia się wirusów komputerowych jest największa. Proszę brać pod uwagę te wskazówki. Mogą one pomóc w identyfikacji pewnych słabych miejsc w istniejących za-bezpieczeniach i zasugerować sposoby podjęcia prostych działań korekcyjnych. Sugestie te nie zostały przedstawione w żadnym szczególnym porządku – wszystkie one są ważne i wszyst-kie posiadają zastosowanie w określonych dziedzinach.

2.4.1. Edukacja

Być może najbardziej wartościowym krokiem, jaki może być podjęty w celu zwiększenia ochrony sprzętu i danych, jest szkolenie użytkowników – szkolenie ich na temat

niebezpie-100