COMPUTERWORLD
Specializovaný týdeník o výpočetní technice

Seriál
o bezpečnosti
a informačním soukromí

Část 20 - CW 30/97

Oddělení povinností, zdvojená kontrola

Alena Hönigová, Vladimír Pračke

Motto: Příležitost dělá zloděje.

Dne 19. května 1997 byl Martin Janků krajským soudem v Plzni odsouzen na pět a půl roku do věznice s dozorem. Byl obžalován z podvodu a soud ho shledal vinným v případě neoprávněných manipulací v počítačovém systému sokolovské pobočky České spořitelny (jednalo se o částku ve výši 35 mil. Kč).

Základní podmínkou pro dosažení účinné bezpečnosti v organizaci, tj. zajištění důvěrnosti, integrity a dostupnosti, je existence bezpečnostní politiky a naplňování zásad v ní vyhlášených (viz 18. díl našeho seriálu). Mezi nejdůležitější zásady bezpečnostní politiky patří uplatňování principu oddělení povinností -- angl. "Segregation of Duties", "Separation of Duties" nebo "Division of Duties" -- a principu zdvojené kontroly -- angl. "Four Eyes (Two Person) Principle", něm. "Für Augen Prinzip". Smyslem těchto principů je omezovat příležitosti k neautorizované změně dat nebo zneužití dat nebo služeb, a to tak, že se oddělí některé správní nebo výkonné činnosti (či oblasti odpovědnosti).

Princip oddělení povinností

Praxe a zkušenosti ukazují, že je účelné vyvarovat se toho, aby následující funkce (případně oblasti činností) vykonávali stejní zaměstnanci: běžné použití systému (běžný uživatel), vstup dat, zajišťování chodu počítačů, správa sítě, administrace systému, vývoj a údržba systémů, řízení změn, bezpečnostní audit a kontrolní funkce obecně. U mnoha malých firem bude asi obtížné těmto požadavkům stoprocentně vyhovět; v takovém případě je však nezbytné o to více posílit kontrolní mechanismy. U organizací, provozujících na svých počítačích např. finanční aplikace, jsou však tato opatření nezbytná.

Nedodržení těchto zásad bylo jednou z hlavních příčin výše zmíněného případu podvodu v sokolovské pobočce České spořitelny: přístup programátora k provozované aplikaci a absence pravidelné kontroly.

Přístup k příliš mnoha funkcím systému umožňuje zaměstnancům provést jinak nedovolené činnosti a skrýt stopy své aktivity. V žádném případě nesmí vykonat všechny kroky citlivé obchodní transakce jeden zaměstnanec sám, i kdyby byl ředitelem organizace.

Důležitým aspektem jsou i příbuzenské vztahy mezi zaměstnanci. Obsazení kontrolní funkce příbuzným někoho, kdo má být kontrolován, představuje značné riziko. Principiálně není možné zabránit tomu, aby se dva lidé dohodli na podvodu; existence příbuzenských vztahů tam, kde může dojít k jejich zneužití, riziko podvodu výrazně zvyšuje. Zvlášť rizikové to může být v prostředí počítačů, jak ukázal případ počítačového podvodu v Komerční bance.

Každý zaměstnanec by měl přesně znát své povinnosti, odpovědnosti a pravomoci -- prostřednictvím určité firemní politiky, jednotlivých popisů práce, náplně pracovní činnosti apod. Pro organizaci není snadné následně obvinit zaměstnance z činností, kterých se měl zdržet nebo vyvarovat, jestliže nejsou v první řadě jasně definovány jeho povinnosti. V takovém případě lze jen těžko prosazovat bezpečnostní opatření typu oddělení povinností, principu čtyř očí (dvou osob), rotaci funkcí, politiku klíčových zaměstnanců.

Programátor by zásadně neměl mít přístup k provoznímu počítačovému systému, k produkčním datům, k provozovaným aplikacím. Operátoři by neměli současně působit jako programátoři. Bezpečnostní vlastnosti systému by měl implementovat a nastavovat někdo jiný než operátor nebo programátor. V prostředí tradičních sálových počítačů bylo implementování těchto zásad samozřejmostí; osobní počítače naopak předpokládají vykonávání řady funkcí jedinou osobou.

V mnoha systémech, typicky např. u OS Unix, má systémový administrátor veškerou kontrolu nad činností systému a jeho bezpečnostními funkcemi. U skutečně bezpečných systémů není taková koncentrace pravomocí přípustná. Je celkem jasné, že běžnému uživateli nemůže být povoleno vykonávat funkce související s bezpečností, s výjimkou některých funkcí ponechaných na uvážení uživatele, jako např. ochrana uživatelem vytvářených souborů (nastavení přístupových práv). Méně jasné už je, že bezpečnostní funkce by neměly být automaticky vykonávány systémovým administrátorem, který je odpovědný rovněž za jiné důležité činnosti systému.

Vysoce bezpečné systémy obvykle vyžadují až tři rozdílné, navzájem se doplňující administrativní funkce (nebo role): systémový administrátor, bezpečnostní administrátor a operátor. Funkce systémového administrátora typicky zahrnují instalování systémového SW, spouštění a vypínání systému, zavádění a rušení uživatelů, zálohování a obnovu dat, manipulaci s disky, páskami a tiskárnami. Rutinní povinnosti systémového administrátora jako manipulaci s médii, zálohování, řízení tisku apod. většinou vykonává operátor. Funkce bezpečnostního administrátora typicky zahrnují nastavení bezpečnostních oprávnění, počátečního hesla a dalších bezpečnostních charakteristik nových uživatelů, změny bezpečnostních profilů existujících uživatelů, nastavení nebo změnu bezpečnostního návěští souboru, nastavení bezpečnostních charakteristik zařízení a komunikačních kanálů, vyhodnocování auditních záznamů.

Tyto funkce nemusí nutně vykonávat různí pracovníci, ale musejí být jasně odděleny jejich jednotlivé role. Chce-li např. systémový administrátor vykonat určitou bezpečnostní funkci (spustit auditní program), musí změnit určitým způsobem, který je definován systémem, svou identitu v systému (aby byl schopen spustit auditní program). Aktivity administrátora v obou rolích systém umožňuje monitorovat a zajistit tak jednoznačnou odpovědnost.

Vnitřní audit musí být nezávislý na kontrolovaných subjektech a musí mít pravomoce prověřovat systémy kontrol a kvalitu činností. Konflikt zájmů může ovšem nastat v situacích, kdy audit ve své výsledné zprávě kritizuje určitá řešení bezpečnosti, která např. implementoval útvar podřízený stejnému řediteli.

Princip čtyř očí

Dávno před zavedením počítačů jsme si zvykli na to, že kontrolu důležitých dokladů v platebním styku vždy provádí druhá osoba a že např. šek na určitou částku musí být opatřen dvěma podpisy. Smyslem tohoto principu je omezit příležitosti k narušení bezpečnosti. Odpovědnosti a povinnosti, které by vedly k neomezenému přístupu k systému, by neměly být vykonávány jedinou osobou, stejně jako klíčové kontrolní činnosti. Například velké západní banky v praxi realizují opatření, kdy do místností s centrálními počítači nesmí vstoupit nikdo sám -- musí zde být vždy přítomny nejméně dvě osoby.

Rotace funkcí

Zaměstnanci by neměli zůstávat příliš dlouho v jedné funkci, zvláště je-li spojena s určitou odpovědností za bezpečnost nebo s příležitostí k nečestnému jednání. Rotace může také přispět k odstranění chyb plynoucích z určitého znudění stejnou prací a vytvoření příliš familiárních vztahů. Časově omezuje případné podvodné činnosti. Obdobný smysl má povinnost vybrat si každý rok minimálně dva po sobě následující týdny dovolené; během nepřítomnosti pracovníka může být odhalena jeho případná podvodná činnost, kterou jinak může neustále zakrývat.

Politika klíčových pracovníků ("Key Man")

Organizace by se měla vyhnout situacím, kdy se některý z jejích pracovníků stane těžko nahraditelným. Je výhodné identifikovat oblasti činností, kde by k tomu mohlo dojít, a pokusit se najít vhodné náhrady za tyto klíčové pracovníky. Je-li to nemožné, určitým řešením může být pojištění případných ztrát způsobených např. úmrtím pracovníka.

Tato politika se týká i skupin klíčových pracovníků uvnitř organizace; např. celé vedení firmy by nemělo cestovat společně jedním letadlem -- v případě havárie letadla by se firma ocitla nepochybně ve značných nesnázích.

Na rozdíl od jiných sofistikovaných bezpečnostních mechanismů a technik jsou výše uvedené principy často méně nákladné. Zdánlivá triviálnost těchto principů však může vést k jejich podcenění a zanedbání.


Vážení čtenáři,

děkujeme vám za vaši přízeň našemu seriálu. Podle dosavadních výsledků průzkumu i podle přímé odezvy se zdá, že vás seriál zaujal. A to nás velice těší.

Nemáme bohužel dostatek sil na to, abychom splnili každé vaše přání nebo realizovali každý váš návrh. V případě dotazů se snažíme vyhovět vašim potřebám a doufáme, že k vaší spokojenosti. Seriál o bezpečnosti a informačním soukromí vznikl spíše z fandovství a jako určitá služba obecné počítačové veřejnosti. Chceme, aby se tento obor u nás vyvíjel na základě zdravých kořenů a ne jen prostřednictvím "rádobyodborných" prodejních akcí. Práci na seriálu sice můžeme věnovat jen omezené úsilí a čas, ale přesto bychom rádi seriál "doladili" podle vašich potřeb a představ.

Myslíte, že je seriál psán příliš obecně nebo naopak řeší příliš často problémy, se kterými se ve vaší praxi nikdy nesetkáte? Které díly se vám líbily a které ne? Které díly byste rádi viděli v podrobnějším zpracování do více částí? Má smysl vydat speciální přílohu se seznamem literatury a internetových zdrojů?

Pokud se vám bude jen trochu chtít, zašlete mail na <matyas@fi.muni.cz>.

S díky za autorský kolektiv
Václav Matyáš


| COMPUTERWORLD - seriál o bezpečnosti | COMPUTERWORLD | IDG CZ homepage |