COMPUTERWORLD - BezpeΦnost pro vÜechny, soukromφ pro ka₧dΘho

Specializovan² t²denφk o v²poΦetnφ technice

Serißl
o bezpeΦnosti
a informaΦnφm soukromφ

╚ßst 2 - CW 11/97

Jak nejlΘpe zajistit bezpeΦnost

Vßclav MatyßÜ ml.

P°φpadovΘ studie z praxe budou Φast²m pr∙vodcem naÜeho serißlu, pro zaΦßtek jsem vÜak zvolil lehΦφ -- pohßdkovΘ -- tΘma. Namφsto chrßn∞n²ch informacφ si p°edstavme dospφvajφcφ princeznu, kterou jejφ otec musφ chrßnit a ·sp∞Ün∞ (vhodn∞) provdat. Krßl tedy musφ provΘst:

-- Anal²zu hrozeb. V tomto bod∞ je pot°eba zvß₧it, co vÜechno by m∞lo b²t chrßn∞no, a p°edevÜφm vyhodnotit, jakΘ hrozby hrozφ ochra≥ovan²m hodnotßm. Tento krok je sm∞rodatn² pro dalÜφ postup, Φasto vÜak nelze ne₧ vychßzet z anal²zy empirick²ch poznatk∙ o problΘmech v okolφ, jin²ch ·tocφch na podobnΘ hodnoty atd. Chybn∞ provedenß anal²za hrozeb mß za d∙sledek tΘm∞° v₧dy chybn∞ navr₧enß bezpeΦnostnφ opat°enφ. Hodnoty pak mohou b²t chrßn∞ny velmi nßkladn²m, ale naprosto nesmysln²m a ne·Φinn²m zp∙sobem.

-- Specifikaci bezpeΦnostnφ politiky a architektury. BezpeΦnostnφ politika stanovφ, co majφ dosßhnout a zajistit ochrannß opat°enφ. Zahrnuje po₧adavky, pravidla a postupy, urΦujφcφ zp∙sob ochrany a zachßzenφ s ochra≥ovan²mi hodnotami. Architektura na vysokΘ ·rovni popisuje strukturu celΘho komplexu opat°enφ a jednotliv²m Φßstem p°i°adφ bezpeΦnostnφ funkce.

-- Popis bezpeΦnostnφch mechanism∙. Zde jsou rozepsßny techniky pro implementaci bezpeΦnostnφch funkcφ nebo jejφch Φßstφ. ┌Φinnost mechanismu musφ b²t v souladu s bezpeΦnostnφ politikou a p°im∞°enß odpovφdajφcφm hrozbßm.

NßÜ krßl tedy zvß₧il, ₧e je t°eba ochrßnit princeznu, nebo¥ jφ jde ji₧ na patnßct² rok. Mo₧n²mi hrozbami jsou lapkovΘ a nevyzpytateln² Φarod∞j v okolφ, jinak i v∞tÜina poddan²ch mu₧skΘho pohlavφ a z krßlova pohledu i chud² knφ₧e. DalÜφ mo₧nou hrozbou je to, ₧e se princezna neprovdß za ₧ßdnΘho z princ∙, kterΘ by si krßl jako zet∞ p°ßl.

Podφvejme se na n∞kterΘ zßkladnφ prvky bezpeΦnostnφ politiky a jejich provßzanost s bezpeΦnostnφ architekturou (ne v₧dy jsou pot°ebnΘ vÜechny uvedenΘ prvky). Pro poΦφtaΦovou praxi si pak staΦφ mφsto princezny p°edstavit informace, mφsto prince u₧ivatele, mφsto krßle provozovatele systΘmu a mφsto hradeb, strß₧φ a dvornφch dam bezpeΦnostnφ mechanismy.

-- D∙v∞rnost. Krßl se bude sna₧it zabrßnit zjiÜt∞nφ v²skytu princezny nepovolan²mi osobami. M∙₧e se o to sna₧it obecn∞ utajenφm existence princezny (znaΦn∞ obtφ₧nΘ) kontrolou p°φstupu do budov, kde se princezna nachßzφ maskovßnφm mezi jin²mi dßmami nebo zaΦarovßnφm do jinΘ podoby, kterou nelze zm∞nit bez znalosti pat°iΦnΘho zaklφnadla. Je jasnΘ, ₧e stoprocentnφ ochrana v tomto sm∞ru je v naÜem p°φpad∞ nemo₧nß a krßl se musφ spokojit s urΦit²m kompromisem.

-- Integrita. Princezna bez povolenφ krßle nesmφ zm∞nit sv∙j stav. Nem∞l by ji ani uhranout Φarod∞j, ani okouzlit chud² knφ₧e nebo poddan². PovÜimn∞te si, ₧e pokud bude na dobrΘ ·rovni zajiÜt∞nß d∙v∞rnost, pak je zajiÜt∞nφ integrity snazÜφ.

-- Dostupnost. P°i tom vÜem si krßl p°eje, aby vhodnφ princovΘ m∞li p°φstup k princezn∞ co nejmΘn∞ komplikovan². Dob°e uchrßn∞nß princezna, kterß krßli z∙stane na krku, nebude zßjm∙m krßlovstvφ (dobr² vztah s jin²mi krßlovstvφmi, princi a krßli) p°φliÜ platnß. Princ, znechucen² Üacovßnφm u ka₧dΘ dvornφ brßny, se m∙₧e v₧dy sebrat a jφt za jinou princeznou.

-- Zodpov∞dnost. Za veÜkerΘ svΘ Φiny a chovßnφ v∙Φi princezn∞ majφ strß₧e, dvornφ dßmy, ale i princ, zodpov∞dnost v∙Φi krßli. Tato zodpov∞dnost nemusφ b²t p°φmß (krßl nekontroluje ka₧dΘho strß₧nΘho), ale v p°φpad∞ pot°eby musφ v₧dy existovat mo₧nost zjistit, kde a s k²m princezna v urΦitou dobu byla.

Na zßklad∞ toho krßl usoudil, ₧e nejjist∞jÜφ bude ochrana siln²mi zdmi a ΦßsteΦn²m utajenφm pobytu, to vÜe dopln∞nΘ o dvornφ dßmy v roli ochrßnky≥ cti. Vybranφ princovΘ dostanou krßlovo pozvßnφ a pr∙vodnφ list na cestu. Pokud krßl po setkßnφ s nimi bude souhlasit, pak jim strß₧e dovolφ

se princezn∞ dvo°it -- ovÜem za dohledu dvornφch dam.

Nevhodnost dopl≥kovΘ bezpeΦnosti

NßÜ krßl se takΘ nevßhß pouΦit z chyb jin²ch krßl∙. Jeden z jeho soused∙ byl kdysi v podobnΘ situaci a rozhodl se p°estav∞t sv∙j zßmeΦek (kde podobn∞, jako nßÜ krßl, s dcerou od d∞tstvφ pob²val), doplnit k n∞mu silnΘ hradby, zazdφt mnohß okna a balk≤ny, nechat okolo hradeb vykopat vodnφ p°φkop a vyst∞hovat sousednφ vesnice tak, aby se k zßmko-hradu nemohl nikdo p°iblφ₧it nepozorovan∞.

Takto trivißln∞ popsan² postup se m∙₧e zdßt sm∞Ün², v reßlnΘm sv∞t∞ poΦφtaΦ∙ a informacφ se vÜak jednß o postup velice b∞₧n². Nejprve je vybudovßn rozsßhl² systΘm a teprve dodateΦn∞ se p°ichßzφ na to, ₧e bude pot°eba "n∞jak" zajistit ochranu spravovan²ch informacφ. Tak se dodateΦn∞ vyΦlenφ n∞kolik procent z rozpoΦtu a zaΦne se dopl≥ovat. D∙sledky a v²sledky jsou stejnΘ, jako dopl≥ovßnφ jednΘ z pozapomenut²ch st∞₧ejnφch funkcφ systΘmu t∞sn∞ p°ed dodßnφm zßkaznφkovi.

Dopl≥kovß bezpeΦnost (angl. add-on security) v naprostΘ v∞tÜin∞ p°φpad∙ neposkytuje stejnou mφru ochrany jako bezpeΦnost budovanß pro zaΦlen∞nφ v prvotnφ specifikaci systΘmu. D∙sledkem pozdnφho dopln∞nφ specifikace o zajiÜt∞nφ bezpeΦnosti m∙₧e b²t vybudovßnφ ochrany na ni₧Üφ ·rovni (ne₧ by za stejnΘ penφze poskytla ochrana budovanß plßnovit∞)

nebo p°ekroΦenφ rozpoΦtu, mnohdy obojφ.

Co vÜechno m∙₧e b²t bezpeΦnost

NßÜ (moudr²) krßl se proto rozhodl s princeznou p°esφdlit ze zßmeΦku v Do(k)sech a koupil pust² hrad (nekonfigurovan² systΘm). Hrad bude nutno na mnoha mφstech poopravit, a tak dφry v hradbßch zatφm hlφdajφ strß₧e, stromy rostoucφ nebezpeΦn∞ blφzko hradeb je t°eba vykßcet a zajistit bezpeΦnou cestu princi. V krßlovstvφ je t°eba zajistit vÜeobecn² po°ßdek, aby se lapkovΘ nerozmßhali (kdy₧ u₧ je nelze ·pln∞ vyhubit), aby poslovΘ byli chrßn∞ni na cestßch k princ∙m a zp∞t a aby princovΘ byli co nejlΘpe chrßn∞ni, ne vÜak zbyteΦn∞ zdr₧ovßni. TakΘ je pot°eba mφt neustßle v patrnosti Φarod∞je pob²vajφcφho ve vzdßlen²ch horßch.

Ale ani po zajiÜt∞nφ v²Üe uveden²ch opat°enφ krßl rozhodn∞ nebude mφt "padla". BezpeΦnost toti₧ nespoΦφvß jen v po°φzenφ a nainstalovßnφ ochran do systΘmu. I v poΦφtaΦov²ch systΘmech hraje v²znamnou roku fyzickß bezpeΦnost -- jde o to zjistit, kdo mß fyzick² p°φstup k prvk∙m systΘmu (bez ohledu na hardwarovou Φi softwarovou ochranu) nebo jak² m∙₧e b²t dopad p°φrodnφch katastrof. Dokonalß ochrana u₧ivatelsk²ch stanic je mnohdy k niΦemu, pokud je k systΘmu p°ipojena konzola, ze kterΘ operßtor m∙₧e neoprßvn∞n∞ (a nepozorovan∞) sledovat informace na u₧ivatelsk²ch obrazovkßch. A dokonale Üifrovanß data na serveru, z n∞ho₧ n∞kdo bez problΘm∙ ukradl cel² pevn² disk, °eÜenφ podnikovΘ strategie ji₧ asi takΘ nepomohou.

Tady p°ichßzφme k dalÜφmu aspektu -- bezpeΦnosti personßlnφ -- kterß je jednφm z pilφ°∙ dobrΘ ochrany. K ochran∞ princezny nemusφ b²t p°φliÜ platnß dokonalß v²zbroj strß₧φ a pevnost hradeb, pokud velitel strß₧e vezme do slu₧by zvrhlφky nebo pokud krßl sv∞°φ v²chovu dce°i dvornφm dßmßm ß la Valmont.

P°i nßvrhu bezpeΦnostnφ politiky je t°eba si uv∞domit, ₧e mnohΘ hrozby nelze p°φmo odvrßtit, ale bu∩ jen snφ₧it pravd∞podobnost jejich "·sp∞ÜnΘ" realizace nebo s minimßlnφmi ztrßtami (zdr₧enφm) zajistit nßslednou nßpravu. Informace je mo₧nΘ (na rozdφl od princezen) lehce duplikovat a zßlo₧nφ kopie bezpeΦn∞ uklßdat na vzdßlenΘm mφst∞. Ani krßl nem∙₧e zabrßnit Üφ°enφ moru a vir∙, m∙₧e vÜak ud∞lat hodn∞ pro to, aby nedoÜlo k nßkaze princezny. ZajiÜt∞nφ bezpeΦnosti nikdy neznamenß zajiÜt∞nφ ·plnΘ ochrany, n²br₧ minimalizaci rizik na tolerovatelnou ·rove≥.

Ne vÜechno je pohßdka

Nelze vÜechno lφΦit jako v pohßdkßch, poj∩me se proto podφvat na skuteΦn² p°φpad budovßnφ bezpeΦnosti v celostßtnφ poΦφtaΦovΘ sφti Nßrodnφho zdravotnφho systΘmu (NHS) v Anglii. P°edb∞₧n² odhad nßklad∙ -- pouze na zavedenφ Üifrovacφch slu₧eb pro zajiÜt∞nφ d∙v∞rnosti dat -- je tΘm∞° 20 milion∙ liber, na roΦnφ ·dr₧bu a provoz padnou zhruba 3 miliony liber. Podle nßzoru mnoh²ch expert∙ budou skuteΦnΘ nßklady n∞kolikanßsobn∞ vyÜÜφ, i kdy₧ se opominou investice na zajiÜt∞nφ jin²ch, pro medicφnskou praxi ₧ivotn∞ d∙le₧it²ch, funkcφ spolehlivΘ poΦφtaΦovΘ sφt∞. S budovßnφm systΘmu se jeÜt∞ nezaΦalo, zatφm probφhajφ p°φpadovΘ testy. Dv∞ zßsadnφ p°edpoklßdanΘ hrozby jsou:

-- mo₧nost neautorizovanΘho p°ipojenφ jedinc∙ (hacker∙) k sφti a
-- mo₧nost odposlechu zasφlan²ch informacφ.

Kritiku tohoto p°φstupu lze shrnout uvedenφm dvou ·daj∙:

-- podle poslednφch ·daj∙ z nezßvislΘho auditu Nßrodnφho zdravotnφho systΘmu je jen 6 % p°φpad∙ naruÜenφ bezpeΦnosti zp∙sobeno zvenΦφ,

-- podle slov vedoucφho odd∞lenφ UNIRAS, kterß je zodpov∞dnß za vyhodnocovßnφ incident∙ v oblasti bezpeΦnosti IT v celΘ vlßd∞, byla v letech 1994/95 jen 2 % p°φpad∙ naruÜenφ bezpeΦnosti zp∙sobena zvenΦφ.

Zkuste se na zßklad∞ t∞chto ·daj∙ zamyslet nad tφm, zda zajiÜt∞nφ d∙v∞rnosti je opravdu st∞₧ejnφm problΘmem, p°φpadn∞ kterΘ jinΘ hrozby nebyly zohledn∞ny a o jakΘ prvky by m∞la b²t dopln∞na bezpeΦnostnφ politika takovΘ rozsßhlΘ sφt∞.

Problematick²m je do znaΦnΘ mφry i p°φstup vedenφ NHS, kterΘ vÜe vyvφjφ do znaΦnΘ mφry "pod pokliΦkou" a jen nerado slyÜφ praktickΘ p°ipomφnky, po₧adavky i dotazy budoucφch u₧ivatel∙ sφt∞ - lΘka°∙ a zdravotnick²ch pracovnφk∙. BezpeΦnosti IT v medicφn∞ se budeme v∞novat v jednom z p°φÜtφch dφl∙, k sφti NHS velmi zajφmavou poznßmku: British Medical Association doporuΦila nep°ipojovat k sφti NHS ₧ßdnΘ poΦφtaΦe a za°φzenφ, kterΘ zpracovßvajφ klinickΘ nebo i citlivΘ administrativnφ informace, sφ¥ NHS se tak stßvß velmi nßkladn²m za°φzenφm, kter²m putujφ jen ·°ednickß memoranda a ob∞₧nφky.

Jak nejlΘpe zajistit bezpeΦnost

| COMPUTERWORLD - serißl o bezpeΦnosti | COMPUTERWORLD | IDG CZ homepage |