COMPUTERWORLD
Specializovaný týdeník o výpočetní technice
o Internetu
(CW 12/97)

Není bezpečnost jako bezpečnost

Václav Matyáš ml.

Bezpečnost nemusí pro každého znamenat to samé. Bude jiná pro armádu, jiná pro banky a nemocnice a jiná pro správce rubrik "hezké chvíle" v inzertních časopisech.

Jsou dvě zásadní sféry aplikací bezpečnosti. Ta prapůvodní je vojenská, kde se např. kryptografické techniky (tedy bezpečnostní mechanismy) uplatňují již po tisíciletí, v současné době však začíná nabývat na významu sféra obchodní či komerční. Požadavky obou se často významně liší a přestože vojenské aplikace daly oboru bezpečnosti IT první uplatnění, dnes se musí i vojenští činitelé často přizpůsobit. Velká přeorganizovanost armády (v určitém smyslu ústící do nepřehlednosti) vytváří potřebu zajistit určitý systém ve zpracování a využití informací. Ten v zásadě spočívá v

-- zajištění vlastní informační dominance -- je třeba mít správné informace na správném místě ve správný čas,

-- minimalizaci nepřátelské informační dominance -- omezit šíření vlastních informací k nepříteli, případně dokonce zajistit dodání špatných (klamavých) informací.

Hierarchické členění informací

V přeorganizovaných strukturách není systematizace jednoduchou záležitostí; částečné řešení přináší hierarchická klasifikace informací. Pro minimalizaci nepřátelské informační dominance je důležité svěřovat pracovníkům jen nejpotřebnější informace (a taky tyto pracovníky předem i průběžně prověřovat). Pak je nasnadě, že důvěrnost je zásadním požadavkem v obdobných systémech. Hierarchické členění (viz obr. 1) je jednoduchým modelem vhodným pro tento účel. Počet úrovní a klasifikace informací na určitou úroveň záleží na požadavcích organizace. Tomuto tématu budou později věnovány asi dva díly, nyní jen zjednodušeně -- uživatel prověřený pro určitou úroveň má obvykle možnost prohlížet informace na úrovni své a všech nižších. Jedna z nejčastěji aplikovaných bezpečnostních politik je založena na modelu Bell-LaPadula.

1. Procesy nesmějí číst data na vyšší úrovni (tzv. jednoduchá bezpečnostní vlastnost, též NRU -- no read up).

2. Procesy nesmějí zapisovat data do nižší úrovně (tzv. *--vlastnost, též NWD -- no write down).

Tyto dvě základní vlastnosti a formální aparát pro sledování stavu bezpečnosti stroje tvoří podklad pro budování víceúrovňových systémů. Model má drobné nedostatky, přesto je důležitým mezníkem v oboru bezpečnosti.

Dnes je na základě tohoto horizontálního pohledu hodnocena úroveň bezpečnostních technik a aplikací, celý obor bezpečnosti je tímto pohledem do značné míry ovlivněn.

Řešení je ale opravdu jen částečné, poněvadž je umělé a neodráží skutečnou situaci. I v armádě se řeší problémy s ohledem na původ protivníka, druh krizové situace apod., nikoliv s ohledem na začlenění informací o protivníkovi do určité kategorie. Např. americká armáda má dnes "nastavenou" úroveň přísně tajné rozšířenou o oborové podúrovně, jako třeba přísně tajné nukleární, přísně tajné chemické, přísně tajné kryptografické atd.

Další problémy mohou souviset se způsobem prosazování takovéto bezpečnostní politiky. To, že nelze zapisovat data do nižší úrovně, je např. u tajných služeb dosti ošemetné -- část zpravodajské sítě může padnout díky zrádci na vyšší úrovni, o jehož přístupu k materiálům na nižší úrovni nejsou správci těchto materiálů informováni. Kdyby se údaje o přístupu (požadavek zodpovědnosti) zapisovaly, pak lze srovnáním těchto údajů u "odstraněných" agentů zjistit, kdo si jejich materiály prohlížel. V praxi se na tyto souvislosti přichází obvykle jen náhodou.

Případ od případu

V komerční sféře je běžné, že práce se člení podle obchodních případů, rozmístění poboček atd. Často sice záleží na utajení informací (před konkurencí), nejdůležitějším požadavkem je však integrita dat. Nemusí se vždy jednat o integritu ve striktním pojetí, ale o smysluplnost a správnost využívaných informací. Modelem, který je nejčastěji citován pro komerční bezpečnost, je model Clark-Wilson, který formalizuje stoleté zkušenosti z obchodování a účetnictví. Model formalizuje pohled na data a operace nad daty při zachování integrity, ale i pojmy jako auditní záznam a řízení přístupu.

To, že se v komerční sféře řeší problémy s ohledem na "téma" (obchodní partner či případ apod.), vede k odlišnému přístupu ke zpracování informací. Svou roli samozřejmě hraje i menší rozsah drtivé většiny firem a potřeba pružného jednání. Pokud komerční pohled hodně zjednodušíme, pak jej lze shrnout do vertikálního modelu členění informací (viz obr. 2).

Hrozby vojenským systémům pocházejí primárně od vnějších činitelů, kdežto komerčním systémům hrozí větší nebezpečí od vlastních pracovníků. Vždyť i celý systém podvojného účetnictví je kontrolním systémem proti neúmyslným a často i proti úmyslným chybám (pokud knihu zápisu pro kreditní a debetní pohyby vedly dvě různé osoby/skupiny).

Zaměstnanci mohou, kromě zadávání nesmyslných informací do firemních IS, také informace roznášet "po hospodách" i konkurenci. Tady je pak nasnadě zájem firem, aby zaměstnanci nevěděli více, než je pro jejich práci nezbytně nutné. Informace jsou pro armádu velmi důležité, pro komerční organizace však naprosto nezbytné. Také interakce pracovníků armády s okolním světem je podstatně menší než u pracovníků komerční organizace. Důležitým aspektem pro úschovu a zpracování informací v komerční sféře jsou právní závazky a do značné míry i podpora zákazníka.

K výše uvedenému přistupuje potřeba zajištění bezpečnosti při plně elektronickém obchodování. Téměř vždy je třeba zajistit integritu dat, často i ve spojení se zajištěním důvěrnosti. A to jsme se ještě nedostali k autentizaci (ověření původu) dat, zajištění nepopiratelnosti původu zprávy nebo jejího přijetí atd.

Zkuste si představit, jak byste např. přes Internet realizovali "jen" váš běžný styk s bankou, s poštou, stručné dotazy lékařům či právníkům, nákup akcií, objednávání dovolené a lístků na autobusy atd. Zkuste popřemýšlet, které z vašich činností by bylo možno realizovat podobným způsobem a jaká bezpečnostní opatření byste při realizaci očekávali nebo přímo požadovali. Bylo by případné zjištění nebo dokonce pozměnění přenášených dat k něčemu dobré zaměstnavateli, sousedu Karlovi, hackerovi z Trnavy nebo zlodějské bandě z okolí? A co byste dělali, kdyby banka odečetla z účtu 16 000 Kč poté, co jste zaplatili 160 Kč za rezervaci lístků do divadla?

Nelze vše zjednodušovat

Uvedené zjednodušení vojenského a komerčního pohledu na využívané informace může být v některých ohledech násilné, pro popsání rozdílu v pohledech na různé aspekty bezpečnosti je však výstižné. Svět není černobílý, ale výše popsané rozdíly mohou být pro pochopení mnohých otázek v dalších dílech seriálu užitečné. Je důležité si uvědomit, že "bezpečnost" nemusí pro každého znamenat to samé. Bude jiná pro generála, jiná pro šéfa pobočky banky a jiná pro správce databáze Annonce, např. rubriky "hezké chvíle". Tady se pak dostáváme k novince posledního desetiletí -- soukromé bezpečnosti. Není to sice úplně novinka (už Caesar si dopisoval s Kleopatrou šifrovaně), ale je zřejmé, že význam nabývá právě s dostupností počítačů i pro osobní potřebu. Pak lze příliš vtíravému pronikání do osobního života účinně bránit často právě zase počítačem.


| <<< | CW o Internetu | COMPUTERWORLD | IDG CZ homepage |