Nebezpečí hrozí především zevnitř

Závažným hrozivým faktem, který není rozumné přehlížet, je skutečnost že více než čtyři pětiny útoků na informační systémy a data v nich uložená jsou klasifikovány jako vnitřní útoky. Ne všechny jsou vědomě cílené přímo zaměstnanci - jejich část je sice zapříčiněna nedbalostí či neúmyslnou pomocí. Bez ohledu na úmysl jejich důsledky bývají obvykle stejně hrozivé. Dalším nezanedbatelným problémem je vynášení informací. A to ať již za úplatu konkurenci či spojené s odchodem zaměstnanců. Typický český odcházející obchodník si sebou neopomene vzít databázi obchodních partnerů firmy.

Vlastní krádež dat může mít i zcela nevinnou podobu pár vytištěných papírů s citlivými informacemi (majícími charakter obchodního tajemství). Avšak s rostoucím objemem elektronicky uchovávaných dat především se jedná o hrozící problém vynášení dat v elektronické podobě. Například zdrojové kódy www obchodu či portálu lze bez problémů odnést na jednom ZIP médiu. Přitom tyto data mají hodnotu v řádech statisíců či milionů korun. Zálohu rozsáhlejší databáze lze bez problémů odnést na pár CD médiích. A v případě rozsáhlých databází se hodnota dat může vyšplhat do řádů desítek milionů.

Samozřejmě výměnná média nejsou jediným způsobem jak lze data odnést. Skrze elektronickou poštu sice nelze sice nepozorovaně najednou posílat desítky či stovky megabajtů, ale rozhodně není vhodné tento kanál podceňovat. FTP přenosy lze hlídat ještě snadněji jak elektronickou poštu, ale také je třeba mít se na pozoru. Další potenciální hrozbou jsou různé PDA zařízení a elektronické organizéry s možností připojení k počítači. A to i s ohledem na fakt, kdy se jejich současná kapacita paměťového prostoru pohybuje v rámci jednotek či desítek megabajtů.

Jak funguje Firemní plot

Logika funkce Firemního plotu je postavena na základě privilegovaných aplikací, které mají oprávnění s diskrétními daty uloženými v chráněných oblastech pracovat. Data v chráněných oblastech jsou na pevném, výměnném síťovém… disku uložena v šifrované podobě. K dešifrované podobě dat může získat přístup pouze privilegovaná aplikace. Ta nemůže data ani jejich část uložit, exportovat nebo přenést do jiné než chráněné oblasti. Data pak nelze z privilegovaných aplikací žádným způsobem v elektronické podobě přenést do neprivilegovaných aplikací. Jsou-li data uložena v chráněné oblasti mimo lokální disk, po síti se přenáší v zašifrované podobě a k dešifrování dochází až v paměti lokální stanice.

Jak se zbavit problému?

Jedno z možných řešení popisovaných problémů bylo představeno na veletrhu informačních technologií Invex 2000. Jedná se o bezpečnostní systém AreaGuard FirmWall. Je určen pro operační systémy Windows NT, 2000, XP. Systém nabízí možnost použití symetrických šifer 3DES, IDEA, RC4 a AES (Rijndael). Při použití šifrovacích klíčů délek 128 (či 112 v případě 3DES) resp. 256 bitů lze tyto šifry považovat za výpočetně bezpečné.

Bezpečnostní systém je integrován přímo v jádře operačního systému a je aktivován dříve než ovladače pro souborový systém. Jde o plnou integraci do systému a uživatel o existenci šifrování či privilegovaných aplikací vůbec nemusí žádným způsobem starat - pouze pracuje v důvěrně známém prostředí a nepozoruje žádné změny.

S problematikou firemní hierarchie se systém vyrovnává možností existence hlavního klíče MEK (pozn. aut. - Master Encription Key), kterým jsou šifrovány všechny uživatelské nastavení systému (šifrovací klíče, seznam chráněných oblastí a privilegovaných aplikací). Šifrovací klíče lze v rámci bezpečnosti ukládat na čipové karty případně tokeny iKey, mimo vlastní počítač. S investicí v rámci desítek tisíc korun lze chránit i milionové hodnoty.

Stáhněte si:
TRIAL verzi systému AreaGuard® Notes (link na sekci "TRIAL verze")

Návod k instalaci AreaGuard® Notes v PDF-Formátu (297 kB)
Datasheet k progranu AreaGuard® v PDF-Formátu (544 kB)
Manuál k progranu AreaGuard® Server v PDF-Formátu (167 kB)