COMPUTERWORLD
Specializovaný týdeník o výpočetní technice

Seriál
o bezpečnosti
a informačním soukromí

Část 1 - CW 10/97

Václav Matyáš ml.

Na abiturientském večírku začne známý kolotoč výměn adres a sepisování seznamu. Bývalý spolužák, který pracuje u policie, přítomné "uklidní" ujištěním, že seznam adres "vytáhne" z počítače a rozešle. Je to v pořádku?

V pátek vpodvečer si z bankomatu vyberete peníze na víkend. Po obdržení měsíčního výpisu však zjistíte, že v pátek i v sobotu byl z účtu odepsán stejný obnos. Dotazem u banky nepochodíte, ale známý, pracující v bance, vám zjistí, že právě po výběru peněz nastal výpadek bankomatu, který po obnově činnosti znovu zaslal zprávu o transakci. Takových případů je prý do měsíce několik desítek, ale banka je přiznat nemůže (ztratila by důvěru klientů) a známý vám raději onu sumu dá ze svého, než by svědčil ve váš prospěch (ztratil by místo). Důvěra za důvěru?

Chtěl-li někdo dříve znát stav vašeho konta nebo zdravotní stav, musel se nějak dostat k lidem pracujícím v místní pobočce banky nebo zdravotním středisku. Dnes stačí znát kohokoliv s oprávněním k přístupu k informačnímu systému banky nebo zdravotní pojišťovny. V Británii tak dnes specializované "firmy" zprostředkují informaci o stavu účtu za asi 100 liber, o zdravotním stavu pak za 150-200. Bude u nás situace jiná?

Koupíte si nový softwarový balík od renomované světové firmy. Při instalaci dojde k výpadku proudu a po novém rozběhnutí počítače software nejen že nefunguje, ale navíc nelze ani dokončit instalaci ani provést návrat do původního stavu. Zamlouvá se Vám nový software?

Jeden z bankomatů, nasazených v Británii, reagoval na určitou testovací sekvenci zadanou na klávesnici bankomatu tak, že vydal několik desetilibrových bankovek. Tato část programu byla používána pro testování mechanismu pro výdej bankovek, ale nebyla při uvedení do provozu odstraněna, navíc byla sekvence vytištěna v operačním manuálu. Náprava byla sjednána poté, co po třech letech došlo k záhadným "ztrátám" bankovek dané hodnoty.

Kde je problém?

Je celá řada dalších příkladů, které hovoří o tom, že zavedením prostředků informačních technologií (IT) nemusí vždy dojít ke zlepšení úrovně ochrany informací a jiných hodnot často tomu bývá právě opačně. První problémy znají "pamětníci" z dob, kdy se výplaty začaly počítat na počítači výplaty byly spočítány daleko rychleji a za menšího úsilí, ale případné opravy a nedostatky se také najednou řešily mnohem déle. Často to byla řešení typu "my to nemůžeme opravit, dáme ti chybějící peníze příští měsíc v odměnách". Je tomu dnes jinak? Jaké další problémy lze očekávat? Které z nich se dotknou "jen" firem a vládních organizací a které mohou bolet nás jako soukromé osoby? K jakým nedopatřením při nasazení prostředků IT došlo a dochází, čeho se lze vyvarovat a jak?

Co je DES a jak pracuje? K čemu je digitální podpis a jak se dělá havarijní plán? Co je PGP a k čemu jej lze použít? Lze zajistit bezpečné obchodování na Internetu a jak? Jak fungují firewally, jak jsou bezpečné čipové karty? Proč se může vymstít neopatrné sdělování rodného čísla a proč si někteří pracovníci policie myslí, že rodné číslo, několik posledních adres pobytu apod. nejsou osobními údaji? Může se v budoucnu stát, že se budete bát svěřit některé údaje o zdravotních problémech svému lékaři?

Seriál o bezpečnosti a informačním soukromí

Prostřednictvím seriálu "Bezpečnost pro všechny, soukromí pro každého" se pokusíme zodpovědět co nejvíce otázek, a také ujasnit pojmy a techniky, které jsou často zmiňovány povrchně a bez náležitého vysvětlení a uvedení souvislostí. Se seriálem se budete setkávat na této straně každý týden po dobu více než jednoho roku. Ke spolupráci jsme sestavili tým odborníků, kteří se prací v oblasti bezpečnosti a právních aspektů věnují už delší dobu. Našim primárním cílem nebude popis všech detailů některých algoritmů nebo představování výhod a funkcí produktů, na jejichž vývoji jsme se někdy podíleli. Především se budeme snažit o jasné vysvětlení principu používaných postupů, možností využití dostupných řešení a vztahů mezi používanými technikami a účelem jejich použití.

Budeme se snažit seriál koncipovat tak, aby čtenář, náhodně zabloudivší k dílu 31, nemusel zpětně procházet všechny předcházející díly. Důsledné sledování seriálu se však určitě vyplatí pro pochopení všech podrobností a souvislostí. V každém případě budou všechny díly dostupné na WWW stránkách Computerworldu na adrese http://www.idg.cz/computerworld/bvsk/index.html.

Rádi bychom vás také vyzvali k zasílání připomínek a podnětů buď na adresu matyas@fi.muni.cz nebo na adresy autorů jednotlivých dílů seriálu.

V prvních deseti dílech se budeme věnovat globálnímu pohledu na problémy bezpečnosti, vysvětlíme, jak se liší např. vojenský a obchodní pohled na ochranu informací. Důležitý je i postup návrhu ochranných opatření v praxi se často setkáváme s řešením naprosto nesprávného problému na úkor problémů zcela zásadních, ale málo zřejmých. Také si ukážeme potřebu aplikace ochranných opatření v oblastech, jako je bankovnictví a zdravotnictví, politické a legislativní návaznosti ve světě a u nás, stejně jako problémy spojené s ochranou informačního soukromí.

V dalších dílech se podíváme podrobněji na jednotlivé funkce prosazující bezpečnost, problémy související s virovou problematikou, zálohováním dat a klasifikace informací. Také si jednoduchou formou vysvětlíme základní pojmy a postupy z oblasti kryptologie a jejich jednoduchých aplikacích.

Zásadní pozornost budeme věnovat ochraně dat v sítích, zvláště s přihlédnutím k Internetu a elektronickému obchodování seznámíme vás například s pojmy jako PGP, SSL, SET, EDI, atd. Právě s rozvojem Internetu a s příchodem komerce na Internet se objevuje výrazná potřeba chránit přenášené informace na úrovni, která dostatečně uspokojí nejen klienty a partnery firem, ale i vrcholové vedení. Následovat bude podrobnější exkurze k principům kryptografie i k základním kryptografickým algoritmům, jako je DES, IDEA a asymetrické algoritmy.

V závěru se pak zaměříme na některé aplikace, jako jsou čipové karty, GSM a další zajímavá témata. Samozřejmě, že vás také budeme informovat o zásadních novinkách, které přijdou na světlo světa v průběhu seriálu.

Bezpečnost a informační soukromí

Bezpečnost (angl. Security) je vlastnost prvku (např. IS), který je na určité úrovni chráněn proti ztrátám nebo také stav ochrany (na určité úrovni) proti ztrátám. V bezpečnosti IT zahrnuje ochranu činností zpracování, úschovy, distribuce a prezentace informací. Pojmem bezpečnost budeme nadále rozumět jen bezpečnost jako "Security", pokud nebude stanoveno jinak.

Stejný český termín bezpečnost označuje totiž i anglické "Safety", což je spíše předpoklad, že při specifikovaných podmínkách nedojde ke stavu ohrožení lidského života, zdraví, hodnot a prostředí.

Soukromí (angl. privacy) je v obecném pojetí charakteristikou života jedince a jeho práva a možnosti kontroly informací o sobě a o své činnosti, spolu s ochranou proti nežádoucímu rušení. Informační soukromí se vztahuje především na zmíněnou možnost kontroly informací osobních dat a jiných relevantních citlivých informací. Tento termín se váže na jiná práva jedince, a tak je přesná definice obtížná. Proto se také termín informační soukromí používá spíše pro neformální motivaci k zajištění ochrany osobních informací, pravidel pro jejich kontrolu a poskytování jiným subjektům atd. Příklady relevantních bezpečnostních funkcí mohou být anonymita, pseudonymita, nespojitelnost a nepozorovatelnost.

Ochrana informačního soukromí nebo jen osobních dat může být důvodem pro zajištění bezpečnosti, stejně jako třeba ochrana firemních dat nebo informací vojenské rozvědky. V žádném případě nelze pojmy bezpečnost a informační soukromí volně zaměňovat, ale ani oddělovat.

Vysvětlení těchto dvou pojmů jsem si na závěr nemohl odpustit. Ale slibuji, že vám popis pojmů a postupů pro příště zpestřím neboť jest škola hrou...


| COMPUTERWORLD - seriál o bezpečnosti | COMPUTERWORLD | IDG CZ homepage |