![]() Specializovaný týdeník o výpočetní technice |
|
![]() |
Seriál o bezpečnosti a informačním soukromí |
Jak nejlépe zajistit bezpečnostVáclav Matyáš ml.
-- Analýzu hrozeb. V tomto bodě je potřeba zvážit, co všechno by mělo být chráněno, a především vyhodnotit, jaké hrozby hrozí ochraňovaným hodnotám. Tento krok je směrodatný pro další postup, často však nelze než vycházet z analýzy empirických poznatků o problémech v okolí, jiných útocích na podobné hodnoty atd. Chybně provedená analýza hrozeb má za důsledek téměř vždy chybně navržená bezpečnostní opatření. Hodnoty pak mohou být chráněny velmi nákladným, ale naprosto nesmyslným a neúčinným způsobem. -- Specifikaci bezpečnostní politiky a architektury. Bezpečnostní politika stanoví, co mají dosáhnout a zajistit ochranná opatření. Zahrnuje požadavky, pravidla a postupy, určující způsob ochrany a zacházení s ochraňovanými hodnotami. Architektura na vysoké úrovni popisuje strukturu celého komplexu opatření a jednotlivým částem přiřadí bezpečnostní funkce. -- Popis bezpečnostních mechanismů. Zde jsou rozepsány techniky pro implementaci bezpečnostních funkcí nebo jejích částí. Účinnost mechanismu musí být v souladu s bezpečnostní politikou a přiměřená odpovídajícím hrozbám. Náš král tedy zvážil, že je třeba ochránit princeznu, neboť jí jde již na patnáctý rok. Možnými hrozbami jsou lapkové a nevyzpytatelný čaroděj v okolí, jinak i většina poddaných mužského pohlaví a z králova pohledu i chudý kníže. Další možnou hrozbou je to, že se princezna neprovdá za žádného z princů, které by si král jako zetě přál. Podívejme se na některé základní prvky bezpečnostní politiky a jejich provázanost s bezpečnostní architekturou (ne vždy jsou potřebné všechny uvedené prvky). Pro počítačovou praxi si pak stačí místo princezny představit informace, místo prince uživatele, místo krále provozovatele systému a místo hradeb, stráží a dvorních dam bezpečnostní mechanismy. -- Důvěrnost. Král se bude snažit zabránit zjištění výskytu princezny nepovolanými osobami. Může se o to snažit obecně utajením existence princezny (značně obtížné) kontrolou přístupu do budov, kde se princezna nachází maskováním mezi jinými dámami nebo začarováním do jiné podoby, kterou nelze změnit bez znalosti patřičného zaklínadla. Je jasné, že stoprocentní ochrana v tomto směru je v našem případě nemožná a král se musí spokojit s určitým kompromisem. -- Integrita. Princezna bez povolení krále nesmí změnit svůj stav. Neměl by ji ani uhranout čaroděj, ani okouzlit chudý kníže nebo poddaný. Povšimněte si, že pokud bude na dobré úrovni zajištěná důvěrnost, pak je zajištění integrity snazší. -- Dostupnost. Při tom všem si král přeje, aby vhodní princové měli přístup k princezně co nejméně komplikovaný. Dobře uchráněná princezna, která králi zůstane na krku, nebude zájmům království (dobrý vztah s jinými královstvími, princi a králi) příliš platná. Princ, znechucený šacováním u každé dvorní brány, se může vždy sebrat a jít za jinou princeznou. -- Zodpovědnost. Za veškeré své činy a chování vůči princezně mají stráže, dvorní dámy, ale i princ, zodpovědnost vůči králi. Tato zodpovědnost nemusí být přímá (král nekontroluje každého strážného), ale v případě potřeby musí vždy existovat možnost zjistit, kde a s kým princezna v určitou dobu byla. Na základě toho král usoudil, že nejjistější bude ochrana silnými zdmi a částečným utajením pobytu, to vše doplněné o dvorní dámy v roli ochránkyň cti. Vybraní princové dostanou královo pozvání a průvodní list na cestu. Pokud král po setkání s nimi bude souhlasit, pak jim stráže dovolí se princezně dvořit -- ovšem za dohledu dvorních dam.
Nevhodnost doplňkové bezpečnosti Náš král se také neváhá poučit z chyb jiných králů. Jeden z jeho sousedů byl kdysi v podobné situaci a rozhodl se přestavět svůj zámeček (kde podobně, jako náš král, s dcerou od dětství pobýval), doplnit k němu silné hradby, zazdít mnohá okna a balkóny, nechat okolo hradeb vykopat vodní příkop a vystěhovat sousední vesnice tak, aby se k zámko-hradu nemohl nikdo přiblížit nepozorovaně. Takto triviálně popsaný postup se může zdát směšný, v reálném světě počítačů a informací se však jedná o postup velice běžný. Nejprve je vybudován rozsáhlý systém a teprve dodatečně se přichází na to, že bude potřeba "nějak" zajistit ochranu spravovaných informací. Tak se dodatečně vyčlení několik procent z rozpočtu a začne se doplňovat. Důsledky a výsledky jsou stejné, jako doplňování jedné z pozapomenutých stěžejních funkcí systému těsně před dodáním zákazníkovi. Doplňková bezpečnost (angl. add-on security) v naprosté většině případů neposkytuje stejnou míru ochrany jako bezpečnost budovaná pro začlenění v prvotní specifikaci systému. Důsledkem pozdního doplnění specifikace o zajištění bezpečnosti může být vybudování ochrany na nižší úrovni (než by za stejné peníze poskytla ochrana budovaná plánovitě) nebo překročení rozpočtu, mnohdy obojí.
Co všechno může být bezpečnost Náš (moudrý) král se proto rozhodl s princeznou přesídlit ze zámečku v Do(k)sech a koupil pustý hrad (nekonfigurovaný systém). Hrad bude nutno na mnoha místech poopravit, a tak díry v hradbách zatím hlídají stráže, stromy rostoucí nebezpečně blízko hradeb je třeba vykácet a zajistit bezpečnou cestu princi. V království je třeba zajistit všeobecný pořádek, aby se lapkové nerozmáhali (když už je nelze úplně vyhubit), aby poslové byli chráněni na cestách k princům a zpět a aby princové byli co nejlépe chráněni, ne však zbytečně zdržováni. Také je potřeba mít neustále v patrnosti čaroděje pobývajícího ve vzdálených horách. Ale ani po zajištění výše uvedených opatření král rozhodně nebude mít "padla". Bezpečnost totiž nespočívá jen v pořízení a nainstalování ochran do systému. I v počítačových systémech hraje významnou roku fyzická bezpečnost -- jde o to zjistit, kdo má fyzický přístup k prvkům systému (bez ohledu na hardwarovou či softwarovou ochranu) nebo jaký může být dopad přírodních katastrof. Dokonalá ochrana uživatelských stanic je mnohdy k ničemu, pokud je k systému připojena konzola, ze které operátor může neoprávněně (a nepozorovaně) sledovat informace na uživatelských obrazovkách. A dokonale šifrovaná data na serveru, z něhož někdo bez problémů ukradl celý pevný disk, řešení podnikové strategie již asi také nepomohou. Tady přicházíme k dalšímu aspektu -- bezpečnosti personální -- která je jedním z pilířů dobré ochrany. K ochraně princezny nemusí být příliš platná dokonalá výzbroj stráží a pevnost hradeb, pokud velitel stráže vezme do služby zvrhlíky nebo pokud král svěří výchovu dceři dvorním dámám á la Valmont. Při návrhu bezpečnostní politiky je třeba si uvědomit, že mnohé hrozby nelze přímo odvrátit, ale buď jen snížit pravděpodobnost jejich "úspěšné" realizace nebo s minimálními ztrátami (zdržením) zajistit následnou nápravu. Informace je možné (na rozdíl od princezen) lehce duplikovat a záložní kopie bezpečně ukládat na vzdáleném místě. Ani král nemůže zabránit šíření moru a virů, může však udělat hodně pro to, aby nedošlo k nákaze princezny. Zajištění bezpečnosti nikdy neznamená zajištění úplné ochrany, nýbrž minimalizaci rizik na tolerovatelnou úroveň.
Ne všechno je pohádka Nelze všechno líčit jako v pohádkách, pojďme se proto podívat na skutečný případ budování bezpečnosti v celostátní počítačové síti Národního zdravotního systému (NHS) v Anglii. Předběžný odhad nákladů -- pouze na zavedení šifrovacích služeb pro zajištění důvěrnosti dat -- je téměř 20 milionů liber, na roční údržbu a provoz padnou zhruba 3 miliony liber. Podle názoru mnohých expertů budou skutečné náklady několikanásobně vyšší, i když se opominou investice na zajištění jiných, pro medicínskou praxi životně důležitých, funkcí spolehlivé počítačové sítě. S budováním systému se ještě nezačalo, zatím probíhají případové testy. Dvě zásadní předpokládané hrozby jsou:
-- možnost neautorizovaného připojení jedinců (hackerů) k síti a Kritiku tohoto přístupu lze shrnout uvedením dvou údajů: -- podle posledních údajů z nezávislého auditu Národního zdravotního systému je jen 6 % případů narušení bezpečnosti způsobeno zvenčí, -- podle slov vedoucího oddělení UNIRAS, která je zodpovědná za vyhodnocování incidentů v oblasti bezpečnosti IT v celé vládě, byla v letech 1994/95 jen 2 % případů narušení bezpečnosti způsobena zvenčí. Zkuste se na základě těchto údajů zamyslet nad tím, zda zajištění důvěrnosti je opravdu stěžejním problémem, případně které jiné hrozby nebyly zohledněny a o jaké prvky by měla být doplněna bezpečnostní politika takové rozsáhlé sítě. Problematickým je do značné míry i přístup vedení NHS, které vše vyvíjí do značné míry "pod pokličkou" a jen nerado slyší praktické připomínky, požadavky i dotazy budoucích uživatelů sítě - lékařů a zdravotnických pracovníků. Bezpečnosti IT v medicíně se budeme věnovat v jednom z příštích dílů, k síti NHS velmi zajímavou poznámku: British Medical Association doporučila nepřipojovat k síti NHS žádné počítače a zařízení, které zpracovávají klinické nebo i citlivé administrativní informace, síť NHS se tak stává velmi nákladným zařízením, kterým putují jen úřednická memoranda a oběžníky.
| COMPUTERWORLD - seriál o bezpečnosti | COMPUTERWORLD | IDG CZ homepage | |