╚ßst 13 - CW 23/97

D∙v∞rnost informacφ

Motto: Dochßzφ-li ve vaÜφ organizaci k nevysv∞tlenΘmu ·niku informacφ, ov∞°te si, zda pracovnφci vykonßvajφcφ ·klidovΘ prßce, fyzickou ostrahu a dalÜφ vybranΘ funkce, nebyli v minulosti vyÜkoleni jako agenti.

Pot°eba uchovat urΦitΘ skuteΦnosti v tajnosti nenφ novß: slavnß Caesarova Üifra m∞la za cφl bezpeΦn∞ dopravit Caesarovy milostnΘ dopisy Kleopat°e ji₧ padesßt let p°ed Kristem. Utajenφ vojensk²ch informacφ neztratilo nic na svΘm v²znamu ani v modernφ vßlce v PerskΘm zßlivu. V²robnφ nebo obchodnφ spoleΦnost mß prioritnφ zßjem, aby nedoÜlo k vyzrazenφ nßvrhu novΘho v²robku nebo marketingovΘ strategie. D∙v∞rnost dat je p°irozen²m po₧adavkem obΦana v dalÜφch oblastech, a¥ ji₧ jsme majiteli akciφ z procesu privatizace, pohybujeme se ve sv∞t∞ sßzek nebo se ·Φastnφme demokratick²ch voleb.

Prßvo na soukromφ je v modernφm sv∞t∞ chßpßno jako zßkonnΘ prßvo ka₧dΘho obΦana a ka₧d² pokus sv∞tov²ch vlßd naruÜit toto soukromφ je od dob slavnΘho Orwellova romßnu 1984 vnφmßn jako mo₧nΘ napln∞nφ vize policejnφho stßtu, kdy oko VelkΘho Bratra dokß₧e sledovat dokonce i nevyslovenou myÜlenku. O aktußlnosti problΘmu sv∞dΦφ americk² rozpor mezi po₧adavkem jednotlivc∙ a spoleΦnosti na ochranu informacφ a po₧adavkem vlßdy monitorovat tok informacφ v pr∙b∞hu jejich elektronickΘho p°enosu. Zatφmco jednotlivci a spoleΦnost vy₧adujφ volnΘ pou₧φvßnφ bezpeΦnostnφch technik (zejmΘna siln²ch kryptografick²ch algoritm∙), vlßda ve jmΘnu boje proti organizovanΘmu zloΦinu a Üφ°enφ drog prosazuje kontrolu.

Definice d∙v∞rnosti

Klasickß definice bezpeΦnosti, uvßd∞nß Φasto zkratkou CIA, uvßdφ d∙v∞rnost (confidentiality) na prvnφm mφst∞. D∙v∞rnost je p°itom definovßna jako vlastnost, kdy informace nem∙₧e b²t odhalena nebo zneu₧ita neautorizovanou osobou. Priorita d∙v∞rnosti v definici bezpeΦnosti vychßzφ z vojenskΘho pojetφ bezpeΦnosti, a¥ u₧ je aplikovßna u vojensk²ch sil, diplomatick²ch slo₧ek, zpravodajsk²ch slu₧eb nebo prßvnφch institucφ. I kdy₧ komerΦnφ pojetφ bezpeΦnosti klade obvykle v∞tÜφ d∙raz na integritu a dostupnost informacφ, existujφ aplikace, kde d∙v∞rnost dat hraje prioritnφ roli. Tento problΘm jsme podrobn∞ji diskutovali ve 3. dφlu naÜeho serißlu.

Ztrßta d∙v∞rnosti

V²znam d∙v∞rnosti v konkrΘtnφ aplikaci a po₧adovanou ·rove≥ ochrany si obvykle uv∞domφme a₧ p°i anal²ze rizik. M∞li bychom odpov∞d∞t nap°. na tyto otßzky:

JakΘ nßsledky pro organizaci m∙₧e mφt neautorizovanΘ zve°ejn∞nφ citliv²ch dat, ulo₧en²ch v IS?

M∙₧e ztrßta d∙v∞rnosti dat ulo₧en²ch v IS mφt za nßsledek oslabenφ konkurenΦnφ pozice firmy?

Zpochybnφ zve°ejn∞nφ d∙v∞rn²ch dat zachovßnφ slu₧ebnφho tajemstvφ?

M∙₧e zve°ejn∞nφ dat zp∙sobit politickΘ nebo socißlnφ problΘmy?

Jestli₧e odpov∞∩ na n∞kterou z otßzek je kladnß, je nezbytnΘ ohodnotit dosah a v²Üi mo₧nΘ Ükody. Ztrßta d∙v∞rnosti m∙₧e znamenat zßkladnφ poruÜenφ zßkona, ztrßtu dobrΘho jmΘna nebo vysokou finanΦnφ Ükodu. Potom je pro organizaci prvo°adΘ prozkoumat hloub∞ji mo₧nΘ hrozby poruÜenφ d∙v∞rnosti systΘmu a p°ijmout vhodnß protiopat°enφ.

Hrozby poruÜenφ d∙v∞rnosti

V p°φpad∞, ₧e je d∙v∞rnost zajiÜt∞na zabrßn∞nφm p°φstupu k informacφm, m∙₧e dojφt k pr∙niku do p°φsluÜnΘho p°φstupovΘho mechanismu, jako je vyu₧itφ slab²ch mφst ve fyzickΘ ochran∞ kanßl∙, k vydßvßnφ se za n∞koho jinΘho (masquerading) nebo k nesprßvnΘmu pou₧itφ certifikßt∙. Jinou mo₧nostφ je vyu₧itφ slabostφ v implementaci ochrannΘho mechanismu (nap°. urΦitΘmu u₧ivateli je po jeho ₧ßdosti o p°φstup k urΦitΘmu souboru p°φstup ud∞len, ale u₧ivatel zm∞nφ jmΘno danΘho souboru a poda°φ se mu zφskat p°φstup k nov∞ oznaΦenΘmu souboru), nebo vlo₧enφ trojskΘho kon∞ do d∙v∞ryhodnΘho softwaru. DalÜφ hrozbou je proniknutφ do slu₧eb, na kterΘ bezpeΦnostnφ mechanismus spolΘhß (nap°. nesprßvnΘ pou₧itφ certifikßt∙ nebo proniknutφ do mechanismu integrity, pou₧itΘho k ochran∞ certifikßt∙, nebo vydßvßnφ se za n∞koho jinΘho), dßle vyu₧itφ systΘmov²ch utilit, kterΘ mohou p°φmo nebo nep°φmo zp°φstupnit informace o systΘmu, nebo existence skryt²ch kanßl∙. Jestli₧e je d∙v∞rnost zajiÜt∞na urΦitou transformacφ nebo ukrytφm informace, hrozbou je proniknutφ do kryptografickΘho mechanismu (kryptoanal²zou, ·tokem vybran²m nezaÜifrovan²m textem, pomocφ ukraden²ch klφΦ∙), anal²za provozu, anal²za zßhlavφ datovΘ jednotky protokolu (PDU), nebo existence skryt²ch kanßl∙.

┌toky proti d∙v∞rnosti

Mezi typickΘ ·toky proti d∙v∞rnosti pasivnφho typu pat°φ odposlech, zachycenφ dat, anal²za provozu, kryptoanal²za, anal²za zßhlavφ PDU pro nelegitimnφ ·Φely nebo kopφrovßnφ dat PDU do jin²ch systΘm∙, ne₧ bylo p∙vodn∞ urΦeno.

P°φkladem ·toku aktivnφho typu je proniknutφ do mechanism∙, podporujφcφch d∙v∞rnost , a¥ u₧ jde o autentizaΦnφ mechanismy (nap°. vydßvßnφ se za autorizovanΘho u₧ivatele), proniknutφ do mechanism∙ na °φzenφ p°φstupu, nebo zachycenφ klφΦ∙. DalÜφm typem tohoto typu ·toku je trojsk² k∙≥, existence skryt²ch kanßl∙ nebo podvr₧enΘ uplatn∞nφ kryptografick²ch mechanism∙.

P°φklady ·tok∙ proti d∙v∞rnosti

Ve Üpatn∞ zabezpeΦen²ch systΘmech je malΘ riziko zjiÜt∞nφ, ₧e doÜlo k zachycenφ dat. ┌toΦnφk obvykle zva₧uje, zda touto cestou zφskanß informace stojφ za v²daje spojenΘ se zachycenφm dat, a za riziko, ₧e bude dopaden. Tzv. "sniffers", ΦmuchalovΘ, mohou ukrßst ID a hesla, posφlanß sφtφ v nezaÜifrovanΘm tvaru. PokroΦilejÜφ z nich mohou ukrßst celΘ zprßvy, jako nap°. e-mail nebo transakceWeb). NepouΦen² u₧ivatel chybn∞ p°edpoklßdß, ₧e nap°. zprßvy, odesφlanΘ elektronickou poÜtou bez adekvßtnφ ochrany, jsou ekvivalentem klasick²ch dopis∙. Vhodn∞jÜφ je v tomto p°φpad∞ porovnßnφ s pohledem, kter² je takΘ p°ed dodßnφm otev°en a kter² si tudφ₧ mohou p°eΦφst poÜtovnφ zam∞stnanci.

Modifikovan² program pro p°ihlßÜenφ (login) m∙₧e obsahovat trojskΘho kon∞, kter² m∙₧e po₧ßdat o jmΘno a heslo u₧ivatele s cφlem navßzat na zprßvu login incorrect a vyvolat sprßvn² program login. Vlo₧enß data mohou b²t vyu₧ita k r∙znΘmu ·Φelu. Jestli₧e ·toΦnφk bude mφt p°φstup ke kompilßtoru, pou₧itΘmu pro program login, bude samoz°ejm∞ slo₧it∞jÜφ takovou modifikaci zjistit.

Ochrana d∙v∞rnosti

Informace m∙₧e b²t chrßn∞na p°ed prozrazenφm bu∩ tak, ₧e zajistφme p°φstup pouze autorizovan²m osobßm, nebo prezentacφ dat v takovΘ podob∞, ₧e jejich sΘmantika je p°φstupnß jen osobßm, vlastnφcφm urΦitΘ kritickΘ informace.

B∞₧n∞ pou₧φvanou technikou je Üifrovßnφ, p°φpadn∞ dopl≥ovßnφ dat. ┌Φinnß ochrana d∙v∞rnosti p°itom vy₧aduje ochranu d∙le₧it²ch kontrolnφch informacφ (nap°. kryptografick²ch klφΦ∙), kterß m∙₧e b²t zajiÜt∞na i jin²mi mechanismy, ne₧ kterΘ byly pou₧ity k ochran∞ dat (kryptografickΘ klφΦe mohou b²t chrßn∞ny fyzicky).

Vojenskß bezpeΦnostnφ politika

Jak bylo zmφn∞no ji₧ v d°φv∞jÜφ Φßsti serißlu, vojenskß bezpeΦnostnφ politika, reprezentovanß americkou vlßdou a americk²m ministerstvem obrany, je zalo₧ena na dvou principech: principu vφce·rov≥ovΘ bezpeΦnosti (MLS) a principu "need to know". P°i MLS je informace klasifikovßna dle set°φd∞nΘho souboru ·rovnφ citlivosti a jednotlivci jsou prov∞°eni na stejnΘ ·rovni. Prov∞°enφ oznaΦuje odhad schopnosti jednotlivce uchovat tajemstvφ. Je zalo₧eno na funkci dotyΦnΘ osoby v organizaci, na v²sledcφch uplatn∞nφ n∞kter²ch nßstroj∙ souΦasnΘ psychologie, jako jsou osobnostnφ profily nebo psychotechnickΘ anal²zy a techniky. Osoby prov∞°enΘ pro urΦitou klasifikaΦnφ ·rove≥ nemajφ oprßvn∞nφ pro Φtenφ informace klasifikovanΘ vyÜÜφm stupn∞m. Krom∞ toho mß p°φsluÜnß osoba povolen p°φstup k informacφm pouze p°i uplatn∞nφ principu "need to know", tzn. je-li po₧adovanß informace nezbytnß pro funkci, kterou zmφn∞nß osoba v organizaci zastßvß. Tato vojenskß bezpeΦnostnφ politika je zßkladem modelu Bell La Padula (1973).

DalÜφ souvislosti budou uvedeny v Φßsti serißlu zab²vajφcφ se klasifikacφ informacφ.

Serißl je rovn∞₧ dostupn² na www.idg.cz/computerworld/bvsk/