KONFERENCJA. Bezpieczeństwo systemów informatycznych

Transkrypt

1 KONFERENCJA Bezpieczeństwo systemów informatycznych

2 Co to jest bezpieczeństwo? DEFINICJA: System informatyczny jest bezpieczny, jeśli jego użytkownik może na nim polegać, a zainstalowane oprogramowanie działa zgodnie ze swoją specyfikacją. Simson Garfinkel, Gene Spafford Practical Unix and Internet Security

3 Co to jest bezpieczeństwo? Możemy mówić, że system jest bezpieczny, jeśli: zawsze można od niego oczekiwać, że wprowadzone dziś na stałe dane będą w nim jeszcze za tydzień, nie ulegną zniekształceniu i nie zostaną odczytane przez nikogo nieuprawnionego ufamy, że system będzie przechowywał i chronił dane.

4 Bezpieczeństwo = wiarygodność System wiarygodny = dyspozycyjny (available) = dostępny na bieżąco niezawodny (reliable) = odporny na awarie bezpieczny (safe) = bezpieczny dla otoczenia bezpieczny (secure) = zapewniający ochronę danych.

5 Bezpieczeństwo = wiarygodność Bezpieczeństwo informacyjne jest rozumiane zwykle jako stan zaufania (poparty odpowiednimi analizami, procesem myślowym) jednostki, grupy społecznej, całego społeczeństwa co do dostępności i jakości pozyskiwanej, przechowywanej, wykorzystywanej i przekazywanej informacji. Podmiotem bezpieczeństwa informacyjnego jest zatem pośrednio (w przypadku systemów sterowania) lub bezpośrednio człowiek, którego potrzeba (dostępu do informacji) może być w takim przypadku spełniona.

6 Bezpieczeństwo Bezpieczeństwo systemów informatycznych można ująć w ramach trzech głównych domen: Bezpieczeństwa fizycznego, Bezpieczeństwa logicznego oraz Bezpieczeństwa prawnego.

7 Bezpieczeństwo Fizyczne wiąże się z zapewnieniem bezpieczeństwa całej infrastruktury, dokumentów, informacji oraz personelu przed bezpośrednim dostępem osób nieuprawnionych, zniszczeniem, uszkodzeniem, zranieniem. Zapewnienie bezpieczeństwa fizycznego wymaga zastosowania środków przeciwdziałających zagrożeniom związanym z: działaniem czynników środowiskowych, terroryzmem, zapewnieniem dostaw mediów, niewłaściwym użytkowaniem infrastruktury, dostępem do infrastruktury osób nieuprawnionych.

8 Bezpieczeństwo Logiczne wiąże się z zapewnieniem zabezpieczenia systemu informatycznego przed nieautoryzowanym dostępem osób nieuprawnionych i wykorzystaniem go do ujawnienia, zniekształcenia lub zniszczenia informacji znajdujących się w tym systemie przy wykorzystaniu narzędzi technicznych, w tym informatycznych. Dostęp logiczny powinien zawsze opierać się na zasadzie wiedzieć tylko to,co konieczne. Przyznanie niewłaściwych praw dostępu oznacza ryzyko wystąpienia wielu zagrożeń i może być wykorzystany w celu: sabotażu, szpiegostwa, szantażu oraz osiągnięcia bezpośrednich lub pośrednich korzyści finansowych.

9 Bezpieczeństwo Prawne związane jest ze zgodnym z prawem funkcjonowaniem systemu informatycznego. Bezpieczeństwo prawne systemów informatycznych rozpatrywać można w aspektach: legalności stosowanego oprogramowania, zgodności z prawem w zakresie przetwarzania danych. Bezpieczeństwo prawne jest często sprowadzane do pierwszego elementu zapewnienialegalności stosowanego oprogramowania. Wiele firm oferujących audyty informatyczne w rzeczywistości oferuje wyłącznie inwentaryzację oprogramowania. Legalność używanego oprogramowania jest zagadnieniem bardzo ważnym, ale jest jedynie cząstką bezpieczeństwa prawnego. Problem legalności oprogramowania spowodowany może być nie tylko zamierzoną kradzieżą własności intelektualnej, lecz również niewłaściwym zarządzaniem licencjami.

10 Normy i zalecenia zarządzania bezpieczeństwem ISO/IEC TR 13335, zwana skrótowo GMITS (Guidelines for the Management of IT Security) raport techniczny o istotnym znaczeniu dla funkcjonowania Systemu Zarządzania Bezpieczeństwem Informacji. Raport ten składa się z pięciu części: ISO/IEC TR (PN-I :1999) zawiera wytyczne zarządzania bezpieczeństwem systemów informatycznych. Omawia terminologię, związki między pojęciami oraz podstawowe modele. ISO/IEC TR (PN-I :2003) stanowi szczegółowy opis planowania i zarządzania bezpieczeństwem systemów informatycznych. Część ta omawia zagadnienia dotyczące: określenia celów, strategii i polityki bezpieczeństwa; określenia wymagań w zakresie bezpieczeństwa; różnych podejść do przeprowadzania analizy ryzyka; omówienia różnego rodzaju planów zabezpieczeń; sposobów organizacji służb bezpieczeństwa; znaczenia szkoleń i działań uświadamiających; wykrywania i reagowania na incydenty.

11 Normy i zalecenia zarządzania bezpieczeństwem ISO/IEC TR jest opisem technik zarządzania bezpieczeństwem systemów informatycznych. Zawiera szczegółowe informacje dotyczące trójpoziomowej polityki bezpieczeństwa, omówienie metod analizy ryzyka, implementacji zabezpieczeń oraz sposobów reagowania na różne incydenty zagrażające bezpieczeństwu informacji. ISO/IEC TR przedstawia zagadnienia związane z wyborem właściwych zabezpieczeń. Omówiono tu klasyfikacje i charakterystykę różnych form zabezpieczeń, sposoby doboru zabezpieczeń ze względu na rodzaj zagrożenia lub systemu, a także szczegółowe zalecenia wynikające z innych norm (m.in. BS 7799) oraz branżowych opracowań. ISO/IEC TR ostatnia część normy charakteryzuje metody zabezpieczeń dla połączeń z sieciami zewnętrznymi. Omówiono w niej metody zabezpieczenia połączenia sieci wewnętrznej z zewnętrzną.

12 Ustawy, normy i zalecenia w Polsce PN-ISO/IEC 17799:2003 (British Standard 7799 z 1995 r.) Technika informatyczna. Praktyczne zasady zarządzania bezpieczeństwem informacji PN-I :2005 (British Standard z 2002 r.) Systemy zarządzania bezpieczeństwem informacji. Część 2: Specyfikacja i wytyczne stosowania ISO Guide 73:2002 Zarządzanie ryzykiem Ustawa o ochronie danych osobowych z (z poprawkami ) Ustawa o ochronie informacji niejawnych z (z poprawkami ) Rozporządzenie MSWiA z w sprawie warunków technicznych i organizacyjnych... przetwarzania danych osobowych

13 Przestępstwa komputerowe Włamanie do systemu komputerowego Nieuprawnione pozyskanie informacji Destrukcja danych i programów Sabotaż (sparaliżowanie pracy) systemu Piractwo komputerowe, kradzież oprogramowania Oszustwo komputerowe i fałszerstwo komputerowe Szpiegostwo komputerowe

14 Przestępstwa komputerowe Praktycznie wszystkie przypadki naruszające bezpieczeństwo w sieci Internet wyczerpują znamiona przestępstw określonych w obowiązującym prawie RP: W szczególności mają tu zastosowanie: artykuły KK artykuł 287 Kodeksu Karnego Zazwyczaj przestępstwa te nie są ścigane z oskarżenia publicznego, lecz na wniosek pokrzywdzonego.

15 Przestępstwa komputerowe Rozdział XXXIII Przestępstwa przeciwko ochronie informacji Art Kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej, otwierając zamknięte pismo, podłączając się do sieci telekomunikacyjnej lub przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat Tej samej karze podlega, kto bez uprawnienia uzyskuje dostęp do całości lub części systemu informatycznego. 3. Tej samej karze podlega, kto w celu uzyskania informacji, do której nie jest uprawniony, zakłada lub posługuje się urządzeniem podsłuchowym, wizualnym albo innym urządzeniem lub oprogramowaniem. 4. Tej samej karze podlega, kto informację uzyskaną w sposób określony w 1-3 ujawnia innej osobie. 5. Ściganie przestępstwa określonego w 1-4 następuje na wniosek pokrzywdzonego.

16 Przestępstwa komputerowe Oszustwo komputerowe (art. 287) Art Kto, w celu osiągnięcia korzyści majątkowej lub wyrządzenia innej osobie szkody, bez upoważnienia, wpływa na automatyczne przetwarzanie, gromadzenie lub przekazywanie danych informatycznych lub zmienia, usuwa albo wprowadza nowy zapis danych informatycznych, podlega karze pozbawienia wolności od 3 miesięcy do lat W wypadku mniejszej wagi, sprawca podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. 3. Jeżeli oszustwo popełniono na szkodę osoby najbliższej, ściganie następuje na wniosek pokrzywdzonego.

17 Przestępstwa komputerowe

18 Zarządzanie ryzykiem w sytuacji utraty bezpieczeństwa informacji Postępowanie z ryzykiem to ogół działań ukierunkowanych na obniżenie jego poziomu do wartości tolerowanej. Ich dobór jest nieprzypadkowy i powinien być konsekwencją pozostałych procesów składających się na zarządzanie ryzykiem przedsięwzięcia. Można zatem mówić przede wszystkim o unikaniu ryzyka. Jednym z ważnych uregulowań proceduralnych w obszarze stosowania informatycznych technologii zarządzania jest przygotowanie i wdrażanie planów ciągłości działania IT, a w tym: Planów zapewnienia ciągłości działania (BCP), które powinny zawierać kompleksowe założenia w zakresie zarządzania ciągłością działania w skali stanowiska, zespołu, organizacji czy całej korporacji. Planów reagowania na incydenty cybernetyczne (CIRP), w których ustanawia się procedury dotyczące działania w przypadku ataku na system informatyczny organizacji, a zwłaszcza działania związane z nieautoryzowanym dostępem do danych (poufność), odmowy dostępu do danych lub usług informacyjnych (dostępność), nieuprawnionej ingerencji w sprzęt, oprogramowanie, dane systemu (integralność) np. poprzez wykorzystanie szkodliwego oprogramowania jak wirusy, robaki czy konie trojańskie

19 Zarządzanie ryzykiem w sytuacji utraty bezpieczeństwa informacji Planów odtwarzania funkcji systemów po katastrofie (DRP), które dotyczą bezpieczeństwa systemów informatycznych, przywracania ich zdolności w odniesieniu do aplikacji oraz sprzętu w zapasowej lokalizacji. Ich tematyka często pokrywa się z planami zapewnienia ciągłości działania systemów IT. Planów zapewnienia ciągłości działania systemów IT (ISCP), które powinny umożliwiać ocenę oraz sposoby przywracania zdolności systemu wraz ze zdefiniowaniem ról i odpowiedzialności, spisem inwentaryzacyjnym, procedurami oceny, szczegółowymi procedurami odtwarzania i testowania systemu. Planu (krajowego) ochrony infrastruktury krytycznej (CIP), który jest opracowywany na szczeblu krajowym (RCB) i dotyczy ochrony infrastruktury krytycznej kraju. Określa się tutaj zasady ochrony elementów kluczowych dla zachowania ciągłości działania państwa, jego instytucji oraz przedsiębiorstw o znaczeniu strategicznym. Zawarte w tym planie wytyczne mają wpływ na działanie organizacji/ podmiotu dysponującego elementami infrastruktury krytycznej państwa.

20 Zarządzanie ryzykiem - WNIOSKI Na podstawie schematu przedstawiającego relacje między elementami biorącymi udział w procesie analizy poziomu bezpieczeństwa, widać że kluczowym elementem jest analiza ryzyka. Na podstawie jej wyników, zaakceptowania pewnego poziomu ryzyka szczątkowego można określić wymagania w zakresie ochrony

21 Niebezpieczeństwo w systemach VPN Testy penetracyjne przeprowadzone przez firmę NTA Monitor pokazują, iż bezpieczeństwosystemów VPN wykorzystywanych przez brytyjskie firmy wciąż pozostawia wiele do życzenia. Wykazały one, iż w zabezpieczeniach VPN-ów wszystkich badanych firm znajdują się mniej lub bardziej poważne luki 16. Firma NTA zbadała poziom zabezpieczenia firmowych VPN-ów. Luki znaleziono, w każdej z badanych firm, a średnia ich liczba wzrosła o prawie 20%. Co ciekawe, mimo że te statystyki nie wyglądają najlepiej, to przedstawiciele NTA mówią o pewnej poprawie. Chodzi o to, iż tym razem żadna ze znalezionych dziur nie była krytyczna. Najwyższy status znalezionej luki to poważna takie błędy znaleziono w 73% sprawdzonych systemów VPN. Najlepiej zabezpieczone okazały się firmy działające w sektorze finansowym. W ich systemach VPN znajdowano zwykle najwyżej jedną poważną lukę. Najgorzej wypadły przedsiębiorstwa z branży farmaceutycznej oraz instytucje rządowe.

22 CRASH SYSTEM ODPORNOŚCIOWY Program CRASH (ang. CleanSlate Design of Resilent, Adaptative, Secure Hoss)17 powołany przez agencję DARPA (ang. Defense Advanced Research Project Agency) ma umożliwić projektowanie w przyszłości bezpieczniejszych sieci i systemów komputerowych poprzez próbę zastosowania w nich mechanizmów analogicznych do systemów odpornościowych organizmu ludzkiego. Zakłada m.in. przeniesienie zasad działania systemów odpornościowych człowieka w dziedzinę IT. W ludzkim systemie immunologicznym wiele niezależnych mechanizmów stale monitoruje nasz organizm pod kątem patogenów. Nawet na poziomie komórki funkcjonuje wiele redundantnych mechanizmów monitorujących i naprawiających strukturę DNA. Konsumują one dużo zasobów, ale pozwalają organizmowi na funkcjonowanie oraz naprawianie uszkodzeń spowodowanych przez patogeny.

23 CRASH SYSTEM ODPORNOŚCIOWY Analogia do naturalnego systemu odpornościowego w obszarze systemów komputerowych ma obejmować elementy sprzętowe i programowe, które stale będą monitorować podstawowe procesy związane z bezpiecznym wprowadzaniem danych, integralnością pamięci operacyjnej, rozróżnianiem danych i kodu, przepływem informacji i ograniczeniami w ramach kontroli dostępu. Taki podsystem ma rozpoznawać potencjalne ataki na podstawie luk wynikających z naruszania podstawowych własności. Analogicznie jak w systemach biologicznych, do tych zadań powinny być przydzielane znaczące zasoby. Ponieważ te sprzętowe są obecnie olbrzymie, rozsądne będzie ich używanie tam, gdzie zapewni to pełne egzekwowanie zasad oraz lepszą wydajność. System CRASH ma wykorzystywać ścisłą integrację sprzętu, systemów i języków programowania oraz środowisk projektowych. Często dokonanie niewielkiej zmiany w jednej z tych domen może w znacznym stopniu ułatwić zadanie innej. Na przykład zapewnienie jednolitego systemu programowania, wspierającego zarządzanie pamięcią operacyjną, może zmniejszyć zakres zadań związanych z analizowaniem bezpieczeństwa pamięci.

24 CRASH SYSTEM ODPORNOŚCIOWY W ramach projektu CRASH, DARPA planuje się przebadanie następujących obszarów w zakresie technik IT: architektura procesora, systemy operacyjne, mechanizmy adaptacyjne, diagnostyki, odtwarzania i naprawiania, języki i środowiska programowania, metody formalne oraz dynamiczną dywersyfikację. Potrzeba opracowania tak zaawansowanych systemów jest oczywista, ponieważ obecne systemy komputerowe nie są odporne na ataki. Brak im środków do odtwarzania po atakach bądź poprzez znalezienie alternatywnych metod, bądź przez naprawę zasobów zniszczonych w wyniku ataku. Brak im też zazwyczaj zdolności do diagnozowania przyczyn problemów oraz środków do usuwania luk umożliwiających ataki. W razie uszkodzenia maszyny, konieczna jest ręczna naprawa przez wyspecjalizowany personel, gdy informacja śledcza, niezbędna do efektywnej naprawy, jest zazwyczaj niedostępna.

25 Zagadnienie Bezpieczeństwa - Podsumowanie Zagadnienie bezpieczeństwa informacji to obszerna dziedzina, czego dowodzi ilość organizacji, stowarzyszeń polskich i międzynarodowych zajmujących się tematyką bezpieczeństwa. Zwykle kiedy mówimy o bezpieczeństwie systemów informatycznych myślimy o bezpieczeństwie fizycznym, zabezpieczeniach sieci. Dowodzi to faktu, jak rzadko zdajemy sobie sprawę z tego co naprawdę powinno być chronione. Podstawą skutecznego wdrożenia bezpieczeństwa systemów informatycznych musi być ścisła integracja z polityką bezpieczeństwa organizacji. Kluczowym elementem w każdej polityce bezpieczeństwa, jest zrozumienie wymagań stojących przed systemem bezpieczeństwa. Bez dogłębnego zrozumienia zagrożeń charakterystycznych dla danej organizacji i znalezienia odpowiedzi na nasuwające się pytania co i dlaczego powinniśmy chronić, może okazać się, że zastosowane rozwiązania nie są odpowiednie dla naszych potrzeb.

26 DZIĘKUJĘ ZA UWAGĘ BIBLIOGRAFIA: Polaczek T., Audyt bezpieczeństwa informacji w praktyce, Wydawnictwo Helion, Gliwice 2006, s Białas A., Bezpieczeństwo informacji i usług w nowoczesnej instytucji i firmie, Wydawnictwa Naukowo-Techniczne, Warszawa