PODSTAWY INFORMATYKI

Transkrypt

1 PODSTAWY INFORMATYKI Legenda Społeczne problemy informatyki Zawodowe problemy informatyków 1

2 Społeczne problemy informatyki Społeczne problemy informatyki Nadmiar informacji Sprawcy zagrożeń informacyjnych Przestępstwa komputerowe Hacking a cracking Wybrane ataki komputerowe Przestoje w pracy i utrata danych Bezpieczeństwo systemu informacyjnego Statystyki Sektor IT w krajach UE Umiejętności związane z użytkowaniem komputera i internetu Co robimy w Sieci? 2

3 Dwa ważne stwierdzenia Randall L. Tobias: Postęp w dziedzinie technologii informacyjnej jest tak ogromny, że gdyby rozwój przemysłu samochodowego miał podobne tempo, można by już dziś kupić jaguara jeżdżącego z szybkością światła, który potrzebuje odrobiny paliwa na przejechanie 600 mil i kosztuje jedynie 2 dolary. Capers Jones: Gdybyśmy budowali domy tak jak budujemy systemy informatyczne, to nie potrafilibyśmy wybudować domu wyższego niż 50 pięter, zaś połowa wieżowców o wysokości większej niż 20 pięter, waliłaby się zaraz po zbudowaniu. Nadmiar informacji Coraz bardziej odczuwamy natłok docierających do nas informacji (potok słów i obrazów, Internet, TV, gazety, radio). Koncentracja uwagi jest potrzebna w procesie uczenia się. Najczęstszą przyczyną problemów ze skupieniem się u współczesnego dorosłego człowieka jest przemęczenie natłokiem informacji. Natłok informacji w rzeczywistości tłumi ich przyswajanie. Powstaje spirala prowadząca do totalnego ogłupiania. 3

4 Nadmiar informacji Pracownicy zasypywani elektroniczną korespondencją stają się mniej produktywni. Im więcej informacji dociera do pracownika, tym więcej czasu zajmuje mu znalezienie tego listu, który jest mu naprawdę potrzebny. Pracownicy często są odrywani od swoich zajęć przez przychodzące e, a gdy w ciągu kilkunastu minut nie wyślą odpowiedzi, wówczas często nadawca listu przeszkadza im telefonując. Ponowne wdrożenie się do pracy zajmuje pracownikowi od 10 do 20 razy więcej czasu, niż zużył on na odebranie i przeczytanie a. Nadmiar informacji jak sobie radzić? Ocenia się, że takie przerwy kosztują gospodarkę USA nawet 650 miliardów dolarów rocznie. Nadmiar informacji spowodował powstanie zawodu o nazwie broker informacji (infobroker) - osoba, która za opłatą wyszukuje i udostępnia informacje. Zawód narodził się niedawno w wyniku specjalizacji bibliotekoznawstwa i rozwoju technik transmisji informacji. W 1987 r. w USA powołano organizację The Association of Independent Information Professionals, która konsoliduje środowisko oraz ustala standardy. 4

5 Sprawcy zagrożeń Przestępstwa komputerowe Przestępstwem komputerowym nazywamy każde przestępstwo popełnione przy użyciu co najmniej jednego z następujących środków: komputera, sieci czy oprogramowania. Przestępstwa komputerowe przeciwko ochronie informacji. Przestępstwa przeciwko mieniu. Przestępstwa przeciwko bezpieczeństwu powszechnemu. Przestępstwa przeciwko Rzeczypospolitej Polskiej. Przestępstwa komputerowe przeciwko wiarygodności dokumentów. Inne rodzaje przestępstw komputerowych. 5

6 P. k. przeciwko ochronie informacji Hacking komputerowy - art KK. Nieuprawnione wejście do systemu komputerowego przez naruszenie zastosowanych zabezpieczeń. Manipulowanie w bazie danych jest także określane jako włamanie do komputera oraz kradzież danych. Zabronione jest niszczenie, uszkadzanie, usuwanie lub zmiana zapisu istotnej informacji. Nie jest karalne jedynie sprawdzenie jakości zabezpieczeń i możliwości ich przełamania. Istotą omawianego przestępstwa jest uzyskanie informacji przez hackera. P. k. przeciwko ochronie informacji Karalne jest także przekazywanie uzyskanych w ten sposób informacji innym osobom. Hackerowi grozi kara grzywny, ograniczenia wolności albo jej pozbawienia do lat 2. Wśród nielicznych krajów, które wprowadziły karalność hackingu w jawnej postaci warto wymienić: USA, Wielką Brytanię, Danię, Francję, Szwecję i Holandię. 6

7 P. k. przeciwko ochronie informacji Podsłuch komputerowy (nieuprawnione przechwycenie informacji) - art KK. wejście w posiadanie informacji przez zakładanie urządzeń podsłuchowych, wizualnych lub innych urządzeń specjalnych. Również nie jest istotny cel wejścia do sieci lub systemu komputerowego. Powyższy przepis obejmuje także uzyskanie danych stanowiących tajemnicę państwową lub służbową. Sankcje karne dla tego typu sprawców są takie same, jak za hacking. P. k. przeciwko ochronie informacji Bezprawne niszczenie informacji - art KK Kara przewidziana jest bez względu na sposób niszczenia zapisu informacji (np. w bazie danych, w trakcie przetwarzania informacji, przez wprowadzenie do programu czy sieci wirusa, hasła lub jego zmianę albo jakiekolwiek inne utrudnienie dostępu do informacji upoważnionej osobie). Dotyczy także spowodowania zakłóceń w telekomunikacji, o ile do tej sieci podłączono urządzenia pozwalające na przetwarzanie lub rejestrowanie danych. 7

8 P. k. przeciwko ochronie informacji Karalne jest także modyfikowanie danych lub programów komputerowych. Od niszczenia różni się ono tym, że sprawca dokonuje nieuprawnionej ingerencji w treść danych, np. przez dopisanie nowych danych lub zmianę istniejącego zapisu. Przestępstwo podlega karze pobawienia wolności od 3 miesięcy do lat 5. P. k. przeciwko ochronie informacji Sabotaż komputerowy - art i 2 KK. Przestępstwo to polega na zakłócaniu lub paraliżowaniu funkcjonowania systemów informatycznych o istotnym znaczeniu dla bezpieczeństwa państwa i jego obywateli. Sabotaż komputerowy może wystąpić również w formie niszczenia lub wymiany nośnika informacji, niszczenia albo uszkodzenia urządzeń służących do automatycznego przetwarzania, gromadzenia bądź przesyłania informacji. Czyny te zagrożone są karą pozbawienia wolności od 6 miesięcy do lat 8. 8

9 Przestępstwa przeciwko mieniu Nielegalne uzyskanie programu komputerowego art KK. Karalne jest uzyskanie (kradzież) cudzego programu komputerowego w celu osiągnięcia korzyści majątkowej. Kara pozbawienia wolności od 3 m-cy do lat 5. Jeżeli nielegalne uzyskanie programów komputerowych dotyczy mienia znacznej wartości, to zgodnie z art KK sprawca dopuszcza się przestępstwa kwalifikowanego i czyn ten jest zagrożony karą pozbawienia wolności od roku do lat 10. Przestępstwa przeciwko mieniu Paserstwo programu komputerowego - art KK. Karalne jest nabycie, pomoc w zbyciu, przyjęcie lub pomoc w ukryciu pirackiej kopii programu komputerowego w celu osiągnięcia korzyści majątkowej. Przepis ten przewiduje karę pozbawienia wolności od 3 miesięcy do lat 5. W wypadku mniejszej wagi (bez osiągnięcia korzyści majątkowej, program zainstalowany jedynie we własnym komputerze), sprawca podlega karze grzywny, karze ograniczenia wolności albo jej pozbawienia do jednego roku. 9

10 Przestępstwa przeciwko mieniu Oszustwo komputerowe - art KK. Przestępstwo polega na osiągnięciu korzyści majątkowej lub wyrządzeniu innej szkody przez wpływ na automatyczne przetwarzanie, gromadzenie albo przesyłanie informacji. Formy działania mogą być zróżnicowane i polegać mogą na zmianie, usunięciu lub na wprowadzeniu nowego zapisu na komputerowym nośniku informacji. Zagrożone karą pozbawienia wolności od 3 m-cy do lat 5. Przestępstwa przeciwko mieniu Oszustwo telekomunikacyjne - art KK. Karalne jest włączenie się do urządzenia telekomunikacyjnego i uruchamianie na cudzy rachunek impulsów telefonicznych. Straty, które ponoszą zachodnie firmy telekomunikacyjne, z tego powodu, sięgają setek milionów dolarów rocznie. Sprawca oszustwa telekomunikacyjnego podlega karze pozbawienia wolności do lat 3. 10

11 Przestępstwa przeciwko mieniu Kradzież karty uprawniającej do podjęcia pieniędzy z automatu bankowego - art KK. Sprawca tego przestępstwa odpowiada jak za kradzież cudzej rzeczy ruchomej. Czyn ten zagrożony jest karą pozbawienia wolności od 3 m-cy do lat 5. P. przeciwko bezp. powszechnemu Sprowadzenie niebezpieczeństwa dla życia lub zdrowia wielu osób albo mienia w znacznych rozmiarach - art ust. 4. Przestępstwo to polega na zakłócaniu, uniemożliwianiu lub wpływaniu w inny sposób na automatyczne przetwarzanie, gromadzenie albo przesyłanie informacji. Czyn taki zagrożony jest karą pozbawienia wolności od 6 miesięcy do lat 8. 11

12 P. przeciwko bezp. powszechnemu Z tego przepisu może odpowiadać sprawca, który zagroził bezpieczeństwu powszechnemu związanemu z funkcjonowaniem lotniska, stacji kolejowej, urządzeń dostarczających wodę, gaz, energię dla ludności, monitorowaniem danych na oddziale intensywnej terapii, chronionych obiektów bankowych, wojskowych itp., np., przez wprowadzenie wirusa do programu komputerowego sterującego powyższymi czynnościami. Jeżeli następstwem działania sprawcy jest śmierć człowieka lub ciężki uszczerbek na zdrowiu wielu osób, sprawca może być skazany na karę pozbawienia wolności od 2 do lat 12. P. przeciwko bezp. powszechnemu Nieumyślne zakłócenie automatycznego przetwarzania informacji związane ze sprowadzeniem niebezpieczeństwa powszechnego - art KK. Działanie z winy nieumyślnej zagrożone jest pozbawieniem wolności do lat 3. Jednakże, jeżeli działanie takie spowoduje śmierć człowieka lub ciężki uszczerbek na zdrowiu wielu osób, wobec sprawcy może być orzeczona kara pozbawienia wolności od 6 miesięcy do lat 8. 12

13 Przestępstwa przeciwko RP Szpiegostwo komputerowe albo wywiad komputerowy - art i 3 KK. Istotą tego przestępstwa jest tzw. uprzywilejowana postać szpiegostwa, polegająca np. na włączeniu się do sieci komputerowej w celu uzyskania wiadomości o charakterze tajemnicy państwowej lub służbowej, których udzielanie obcemu wywiadowi może wyrządzić szkodę RP. Kara pozbawienia wolności powyżej lat 3. P. przeciwko wiarygodności dokumentów Fałszerstwo komputerowe - art KK. Przestępstwo to polega na przerabianiu lub podrabianiu dokumentów w formie zapisu elektromagnetycznego (tj. czytelnego) przez wyspecjalizowane urządzenia. Kara grzywny, kara ograniczenia wolności albo jej pozbawienia od 3 m-cy do lat 5. 13

14 Inne rodzaje przestępstw Nielegalne kopiowanie, rozpowszechnianie lub publikowanie prawnie chronionego programu komputerowego art. 1 ust. 2 p. 1 ustawy z 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych (Dz.U. nr 24, poz. 83), art Kara grzywny, ograniczenia wolności lub pozbawienia wolności do lat 5, a jeżeli sprawcy czynili z tego stałe źródło dochodu - do lat 7. Nielegalne kopiowanie układów scalonych jest zabronione zgodnie z art. 42 ustawy z 30 października 1992 r. o ochronie topografii układów scalonych (Dz.U. nr 100, poz. 498). Cracking Hacking a cracking Dokonywany zawsze z naruszeniem praw autorskich, a tym samym nielegalnie. Sieciowy łamanie zabezpieczeń serwerów w sieciach komputerowych, Oprogramowania neutralizacja zabezpieczeń ustanowionych przed nieuprawnionym użytkowaniem programów. Hacking etyka hackerów: 1. Nigdy nie uszkadzaj systemu, do którego się włamujesz. 2. Nigdy nie zmieniaj plików systemowych, oprócz tych, które powinieneś zabezpieczyć, aby nie zostać wykrytym i tych, które sam zabezpieczyłeś, aby zyskać bezpieczny dostęp w przyszłości. 3. Nigdy nie zmieniaj haseł na czyimś koncie, bo mogą zajść podejrzenia i długo nie nacieszysz się tym kontem. 14

15 Etyka hackerów 4. Prawdziwy hacker jest bardzo cierpliwy. Poświęci dużo czasu, aby złamać chociaż jedno zakichane" konto (hasło). 5. Nie czytaj czyjejś poczty, a jeżeli masz już taką potrzebę to co najmniej zostaw ją na serwerze, aby właściciel konta też mógł ją przeczytać. 6. Nie mów nikomu o swoich czynach, nawet kumplom, którym ufasz. Kiedyś mogą cię zdradzić. 7. Nie ufaj nikomu!!! Możesz zaufać tylko sobie. 8. Nigdy nie używaj prawdziwych imion, nazwiska, numeru telefonu (należy szczególnie uważać na telefon, jeżeli ktoś go zdobędzie, wie już o tobie wszystko). Najlepiej używać imion kobiecych, są mniej podejrzane. 9. Nie mów o swoich planach przez telefon domowy, ktoś na centrali może cię podsłuchać. 10. Zostaw system w takim stanie, w jakim go zastałeś. 11. Bądź przezorny, aż do przesady, trzymaj wszystkie materiały w bezpiecznym miejscu. 12. Zabezpieczaj się przed przyjściem policji. Nic trzymaj nigdy ważnych informacji na twardzielu". 13. Aby stać się prawdziwym hackerem musisz hackować, a nie siedzieć i tylko czytać, albo przywłaszczać sobie czyjeś osiągnięcia. Wybrane ataki komputerowe Atak słownikowy Bomba dekompresyjna Cross-site scripting (XSS) DoS (ang. Denial of Service odmowa usługi) DDoS (ang. Distributed Denial of Service) Atak DNS Amplification DRDoS (ang. Distributed Reflection Denial of Service) spoofing Phishing Pharming Fałszywy alarm wirusowy SQL Injection Inne (Przekroczenie zakresu liczb całkowitych, Przepełnienie bufora, SMiShing) 15

16 Ataki komputerowe Atak słownikowy (ang. "dictionary attack") - technika używana do siłowego odgadywania kluczy kryptograficznych i haseł do systemów (podobna do metody brute force). Różnica polega na sposobie dobierania haseł: W ataku brute force bada się kolejno wszystkie dopuszczalne kombinacje klucza w celu odnalezienia właściwego wzoru; Ataki słownikowe bazują tylko na sprawdzeniu niewielkiego podzbioru możliwych wartości, co do którego wiadomo, że jest niewspółmiernie często stosowany przy doborze haseł - na przykład listy słów występujących w danym języku, albo historycznej bazy popularnych haseł. Ataki komputerowe Bomba dekompresyjna (ang. decompression bomb) określenie tak spreparowanego archiwum (np. ZIP), które: albo wprowadza program rozpakowujący w błąd tak, że produkowany jest nieskończenie duży plik wynikowy, albo ma nietypowo wysoki stopień kompresji (np. 0,001%), przez co wypakowany plik również jest bardzo duży. Cross-site scripting (XSS) sposób ataku na serwis WWW polegający na osadzeniu w treści atakowanej strony kodu (zazwyczaj JavaScript), który wyświetlony innym użytkownikom może doprowadzić do wykonania przez nich niepożądanych akcji. 16

17 Ataki komputerowe DoS (ang. Denial of Service odmowa usługi) atak na system komputerowy lub usługę sieciową w celu uniemożliwienia działania. Polega na: przeciążeniu aplikacji serwującej określone dane czy obsługującej danych klientów, zapełnienie całego systemu plików tak, by dogrywanie kolejnych informacji nie było możliwe (w szczególności serwery FTP). zalewanie sieci komputerowej (ang. flooding) nadmiarową ilością danych mających na celu wysycenie dostępnego pasma, którym dysponuje atakowany host. Odmianą ataku DoS jest DDoS (Distributed Denial of Service), a także DRDoS (Distributed Reflection Denial of Service). Ataki komputerowe DDoS (ang. Distributed Denial of Service) - atak na system komputerowy lub usługę sieciową w celu uniemożliwienia działania poprzez zajęcie wszystkich wolnych zasobów, przeprowadzany równocześnie z wielu komputerów (np. zombie). Groźba ataku DDoS bywa czasami używana do szantażowania firm, np. serwisów aukcyjnych, firm brokerskich i podobnych, gdzie przerwa w działaniu systemu transakcyjnego przekłada się na bezpośrednie straty finansowe firmy i jej klientów. W takich przypadkach osoby stojące za atakiem żądają okupu za odstąpienie od ataku lub jego przerwanie. Szantaż taki jest przestępstwem. 17

18 Ataki komputerowe DRDoS (ang. Distributed Reflection Denial of Service) - jedna z nowszych odmian ataku odmowy dostępu DoS. Polega na generowaniu specjalnych pakietów SYN, których adres źródłowy jest fałszywy - jest nim adres ofiary. Następnie duża liczba takich pakietów jest wysyłana do sieci. Komputery, do których one docierają, odpowiadają pakietami SYN/ACK kierowanymi na adres pochodzący z fałszywego nagłówka. W wyniku tego ofiara jest zalewana olbrzymią ilością pakietów z wielu hostów. W porównaniu do tradycyjnego ataku typu DDoS utrudnia to wykrycie rzeczywistegoźródła ataku. Ataki komputerowe Atak DNS Amplification - odmiana ataku DDoS, Polega na wysłaniu zapytań do serwerów DNS ze sfałszowanym adresem zwrotnym (spoofing). Serwery DNS, w odpowiedzi na dziesiątki lub nawet setki tysięcy zapytań kierowanych z komputerów agresora, wysyłają odpowiedzi na jeden komputer (cel ataku włamywacza), zapychając jego łącze i pamięć. Atakowany ma małe możliwości obrony przed takim atakiem, gdyż odfiltrowanie odpowiedzi od DNS na odpowiedzi na zadane i na niezadane pytanie jest praktycznie niemożliwe. 18

19 Ataki komputerowe spoofing (ang. spoof - naciąganie, szachrajstwo) nazwa określająca działania polegające na wysyłaniu i, których dane nagłówkowe (głównie dot. nazwy i adresu nadawcy) zostały zmodyfikowane tak, by wyglądały na pochodzące z innegoźródła. spoofing jest najczęściej wykorzystywany do rozsyłania spamu oraz przy próbach wyłudzenia poufnych danych (np. danych dostępowych do kont bankowości elektronicznej phishing) Ataki komputerowe Phishing wyłudzanie poufnych informacji osobistych (np. haseł lub szczegółów karty kredytowej) przez podszywanie się pod godną zaufania osobę lub instytucję, której te informacje są pilnie potrzebne. Popularnym celem są banki czy aukcje internetowe. Phisher wysyła zazwyczaj spam do wielkiej liczby potencjalnych ofiar, kierując je na stronę w sieci, która udaje rzeczywisty bank internetowy, a w rzeczywistości przechwytuje wpisywane tam przez ofiary ataku informacje. Typowym sposobem jest informacja o rzekomym zdezaktywowaniu konta i konieczności ponownego reaktywowania, z podaniem wszelkich poufnych informacji (PIN, hasło, numer karty, itp.) 19

20 Ataki komputerowe Pharming bardziej niebezpieczna oraz trudniejsza do wykrycia forma phishingu. Charakterystyczne jest to, że nawet po wpisaniu prawidłowego adresu strony www, ofiara zostanie przekierowana na fałszywą (choć mogącą wyglądać tak samo) stronę www. Aby właściwy adres URL prowadził do fałszywej strony www, konieczne jest przeprowadzenie dodatkowego ataku (najczęściej jedna z dwóch wersji): Atak polegający na zatruciu globalnego serwera DNS, w celu skojarzenia prawdziwego adresu URL z serwerem zawierającym stronę WWW wykradającą poufne dane. Atak z wykorzystaniem trojanów, modyfikujących lokalne pliki w systemie użytkownika, odpowiedzialne za wstępne tłumaczenie nazw URL na fałszywy adres IP. Ataki komputerowe Fałszywy alarm wirusowy jedna z odmian złośliwych łańcuszków internetowych rozsyłanych pocztą i skierowanych do odbiorców słabo zorientowanych w użytkowanym przez nich sprzęcie i oprogramowaniu. Rozsyłana wiadomość zawiera ostrzeżenie przed nowym niezwykle groźnym wirusem i zachęca do przekazania ostrzeżenia niezwłocznie wszystkim korespondentom z własnej książki adresowej. W dalszej części wiadomości jest dokładna instrukcja w jaki sposób zapobiec rzekomemu zakażeniu (np. poprzez sprawdzenie czy istnieje i namówienie do wykasowania ważnego pliku systemowego). 20

21 Ataki komputerowe SQL Injection (z ang. dosłownie zastrzyk SQL) luka w zabezpieczeniach aplikacji internetowych polegająca na nieodpowiednim filtrowaniu lub niedostatecznym typowaniu i późniejszym wykonaniu danych przesyłanych w postaci zapytań SQL do bazy danych. Podatne są na niego systemy złożone z warstwy programistycznej (przykładowo skrypt w PHP, ASP, JSP itp.) dynamicznie generującej zapytania do bazy danych (MySQL, PostgreSQL itp.). Wynika on zwykle z braku doświadczenia lub wyobraźni programisty. Ataki komputerowe Przekroczenie zakresu liczb całkowitych (ang. integer overflow) błąd programistyczny, spowodowany nieprawidłowym oszacowaniem zakresu wartości, które może przyjąć zmienna w trakcie pracy programu. konsekwencją błędu tego typu jest nadpisanie pamięci poprzedzającej bufor lub przepełnienie bufora, co w konsekwencji może prowadzić do przejęcia kontroli nad podatną aplikacją przez osobę trzecią. 21

22 Ataki komputerowe Przepełnienie bufora (ang. buffer overflow) błąd programistyczny polegający na pobraniu do wyznaczonego obszaru pamięci (bufora) większej ilości danych, niż zarezerwował na ten cel programista. taka sytuacja prowadzi do zamazania danych znajdujących się w pamięci bezpośrednio za buforem, a w rezultacie do błędnego działania programu. przyczyną powstawania takich błędów jest najczęściej brak odpowiedniej wiedzy lub należytej staranności ze strony autora oprogramowania. Ataki komputerowe SMiShing (SMS phishing - phishing sms-owy) - atak socjotechniczny podobny do phishingu polegający na rozsyłaniu SMS-ów, które mają skłonić ofiarę do podjęcia określonego działania. Pierwsze ofiary smishingu w Islandii i Australii otrzymywały SMS-y z potwierdzeniem rzekomego członkostwa w serwisie randkowym oraz informacją o związanej z tym opłacie w wysokości 2 dolarów dziennie. Opłaty można było rzekomo uniknąć anulując członkostwo na wskazanej stronie internetowej jej otwarcie powodowało zainstalowanie na komputerze ofiary trojana otwierającego tylne wejście do komputera. 22

23 Klasyfikacja poziomów bezpieczeństwa Klasyfikacja Poziomów Bezpieczeństwa Baza bezpieczeństwa komputerowego (Trusted Computer Base TCB) zespół wszystkich systemów ochronnych w systemie komputerowym (sprzęt, oprogramowanie, oprogramowanie układowe), które we właściwy sposób wymuszają zasady bezpieczeństwa. Ministerstwo Obrony USA wyróżniło cztery działy bezpieczeństwa systemów komputerowych: A, B, C i D. 23

24 Klasyfikacja Poziomów Bezpieczeństwa Dział D minimum bezpieczeństwa; systemy nie spełniające wymagań żadnej z innych klas, np. MS- DOS, Windows 3.1. Dział C wyższy stopień bezpieczeństwa: Klasa C1 systemy, które zawierają środki kontroli dostępu, możliwość określenia praw dostępu do obiektów; wymaga uwierzytelniania. Klasa C2 posiada indywidualny poziom kontroli dostępu, administrator może śledzić wybiórczo działania dowolnego użytkownika lub grupy. Klasyfikacja Poziomów Bezpieczeństwa Dział B wszystkie właściwości klasy C2, ponadto każdy obiekt może posiadać własną kategorię uwrażliwienia: Klasa B1 dla każdego obiektu w systemie określa się kategorię bezpieczeństwa, przynajmniej dwa hierarchiczne poziomy bezpieczeństwa z wyższych poziomów jest dostęp do niższych, odwrotnie nie. Klasa B2 kategorie uwrażliwienia przypisywane są wszystkim zasobom, urządzeniom fizycznym przypisuje się minimalne i maksymalne poziomy bezpieczeństwa, udostępnia tajne kanały i umożliwiaśledzenie zdarzeń. Klasa B3 możliwość tworzenia wykazów kontroli dostępów zabraniających dostępu do poszczególnych obiektów użytkownikom i grupom. 24

25 Klasyfikacja Poziomów Bezpieczeństwa Dział A najwyższy poziom bezpieczeństwa: Klasa A1 funkcjonalnie równoważna klasie B3, ale używa formalnej specyfikacji projektu oraz technik weryfikacji gwarantujących, że baza bezpieczeństwa zostanie zaimplementowana poprawnie. System wykraczający poza klasę A1 może być projektowany i realizowany w warunkach gwarantujących bezpieczeństwo i przez zaufany personel. Warunki bezp. systemu informacyjnego Poufność - informacja nie jest udostępniana lub jest udostępniana nieuprawnionemu odbiorcy (osobom, podmiotom, procesom). Integralność - ochrona przed modyfikacją lub zniekształcaniem aktywów informacyjnych przez nieuprawnioną osobę. Rozliczalność określenie i weryfikowanie odpowiedzialności za działanie, usługi i funkcje realizowane za pośrednictwem systemu informacyjnego. 25

26 Warunki bezp. systemu informacyjnego Niezawodność - gwarancja odpowiedniego zachowania się systemu informacyjnego i otrzymanych wyników. Dostępność - gwarancja uprawnionego dostępu do informacji przy zachowaniu określonych rygorów czasowych. Autentyczność - weryfikacja tożsamości podmiotów lub prawdziwości aktywów systemu informacyjnego. a Przestoje w pracy i utrata danych 26

27 Sektor IT w krajach UE 27

28 a Dostępność usług administracji publicznej online w Europie 28

29 Zawodowe problemy informatyków Zawodowe problemy informatyków Zanikające specjalności Poszukiwane specjalności Przyszłościowe zawody Ryzyko przedsięwzięć informatycznych Ochrona prawna własności intelektualnej Informatyk na rynku pracy Przykład skutecznego planowania czasu Typowe problemy w średnich i dużych przedsiębiorstwach 29

30 Zanikające specjalności Programiści prostych baz danych kończy się zapotrzebowanie na programistów prostych baz danych rozwój technologii bazodanowych spowodował zapotrzebowanie na specjalistów systemów baz: Oracle, Sybase, itp. Spece od wszystkiego Twórcy prostych stron internetowych obserwowany jest spadek zapotrzebowania na webmasterów tworzących proste strony przyczyną tego jest m.in. ogromna podaż ofert ludzi chętnych do wykonywania takiej pracy powstało wiele firm specjalizujących się w tego rodzaju usługach z zapewnieniem integracji z bazami danych. Poszukiwane specjalności Dyrektorzy ds. e-commerce ich zadaniem jest koordynacja działalności przedsiębiorstwa w zakresie gospodarki elektronicznej. kluczowym wymaganiem jest znajomość technologii internetowych oraz dogłębna znajomość procesów biznesowych przedsiębiorstwa. Kierownicy projektów wymagana jest umiejętność skutecznego połączenia znajomości technologii i zarządzania zespołami oraz stosowne doświadczenie często etatowych menedżerów zastępują osoby wynajmowane tylko na czas realizacji projektu. Konsultanci zarządzania wiedzą ocenia się, że problematyka zarządzania wiedzą stanie się jednym z kluczowych źródeł przewagi konkurencyjnej na rynku. 30

31 Poszukiwane specjalności Programiści technologii internetowych Java, XML, ASP, Specjaliści CRM zarządzanie relacjami z klientami (CRM - Customer Relations Management) jest jedną z poszukiwanych specjalności informatyki korporacyjnej. Specjaliści ds. bezpieczeństwa w konsekwencji rozwoju Internetu występuje zapotrzebowanie na specjalistów zapewniających bezpieczeństwo systemów informatycznych, w tym wymiany danych. Programiści języki obiektowe języki opisu sprzętu Zawody przyszłościowe Analityk nowych miar analizuje raporty dotyczące ruchu na stronie internetowej określa na podstawie liczby użytkowników i czasu wizyty na stronie odpowiednią strategię rozwoju. Analityk systemów komputerowych projektowanie konkretnych zastosowań umożliwiających przetwarzanie danych i rozwiązywanie problemów użytkownika, przygotowywanie koncepcji systemu. Content manager organizacja i sposób prezentacji zawartości strony internetowej. Współpracuje ze specjalistami ze wszystkich działów wnoszących wkład w budowę serwisu. 31

32 Zawody przyszłościowe Dydaktyk medialny doskonała znajomość komputera i technologii multimedialnych, umiejętność programowania, wiedza z zakresu pedagogiki. Etyczny hacker wyszukiwanie słabych punktów sieci i proponowanie bezpieczniejszych rozwiązań. bardzo dobra znajomość systemów operacyjnych, aplikacji, protokoły sieciowe, oprogramowania zabezpieczające. Infobroker Zawody przyszłościowe wyszukuje informacje korzystając ze specjalistycznego oprogramowania i zaawansowanych procedur wyszukiwania. Inżynier rzeczywistości wirtualnej specjalistyczne wykorzystanie symulacji komputerowych dla innych dziedzin wiedzy - np. badania nad lekami, chemia czy budowa maszyn. symulacje komputerowe zastąpiły drogie badania próbne w przemyśle i sektorze usług (np. badanie rynku). 32

33 IT detektyw Zawody przyszłościowe odkrywa bezprawne użytkowanie telewizji, czy sieci komputerowych, ściga nielegalne kopiowanie filmów, programów, muzyki czy oszustwa bankowe. Traffic manager zajmuje się śledzeniem ruchu na witrynie internetowej, przygotowywaniem raportów i statystyk dotyczących np. oglądalności serwisu dla różnych działów firm, klientów zewnętrznych. Ryzyko przedsięwzięć informatycznych Profesjonalna analiza przedwdrożeniowa warunkiem koniecznym powodzenia projektu. Działania zwiększające szanse na efektywne wdrożenie systemu informatycznego: Zaangażowanie użytkowników Poprawne zidentyfikowanie użytkowników produktu Nie oddawanie decyzji w ręce użytkowników Nie oddawanie decyzji w ręce programistów Określenie celów biznesowych projektu Nie uznawanie wszystkich funkcji za równie istotne 33

34 Ryzyko przedsięwzięć informatycznych Nie pozwolenia na grupowe decyzje (tzw. zgniły kompromis) Stosowanie przypadków użycia i prototypów Nie oszczędzanie na analizie wymagań Nie pozwalanie na wpływ polityki Formalne zatwierdzenie ustalonego zakresu Proces zarządzania ryzykiem 34

35 Ochrona prawna własności intelektualnej Autorskie prawa osobiste Autorskie prawa majątkowe Ochrona prawna własności intelektualnej Autorskie prawa osobiste zespół uprawnień, jakie przysługują twórcy utworu. chronią intelektualny związek twórcy z jego dziełem. w prawie polskim pojęcie autorskich praw osobistych reguluje art. 16 "Ustawy o prawie autorskim i prawach pokrewnych" (Dz. U. z 2000 r. Nr 80, poz. 904). rodzaj szczególnej więzi niezbywalnej i nie podlegającej zrzeczeniu się, łączącej twórcę z jego utworem, a wyrażającej się w prawie: autorstwa utworu, oznaczenia utworu swoim nazwiskiem lub pseudonimem albo do udostępniania go anonimowo. 35

36 Ochrona prawna własności intelektualnej Autorskie prawa majątkowe zespół uprawnień, jakie przysługują twórcy utworu, ze szczególnym uwzględnieniem kwestii ekonomicznych tych uprawnień. w prawie polskim pojęcie autorskich praw majątkowych reguluje art. 17 (i dalsze) "Ustawy o prawie autorskim i prawach pokrewnych" (tekst jednolity Dz. U. z 2006 r. Nr 90, poz. 631 z późn. zm.): twórcy przysługuje wyłączne prawo do korzystania z utworu i rozporządzania nim na wszystkich polach eksploatacji oraz do wynagrodzenia za korzystanie z utworu. najistotniejszą częścią autorskich praw majątkowych jest tzw. prawo do korzystania i rozporządzania utworem na wszystkich polach eksploatacji (tzw. monopol autorski). Informatyk na rynku pracy Planowanie zadań Zasada Pareto: 20% nakładu czasu przynosi aż 80% efektów, 80% nakładów czasu daje tylko 20% efektów. Należy skupiać się na działaniach, które przynoszą największe efekty. Prawo Parkinsona: praca wypełnia cały czas przeznaczony na jej wykonanie, im mniej czasu przeznaczymy na kolejne zadania, tym szybciej będziemy musieli je wykonać, czego skutkiem jest zwiększona efektywność. Zasada Eisenhowera: wyróżnia się 4 klasy zadań: zadania ważne i pilne wykonanie natychmiastowe zadania ważne ale niezbyt pilne planowanie terminu wykonania zadania niezbyt ważne lecz pilne realizacja na końcu zadania niezbyt ważne i niezbyt pilne nie warto poświęcać czas 36

37 Przykład skutecznego planowania czasu Kurs dla 12. szefów wielkich koncernów amerykańskich. Dzban (kamienie,żwir, piasek, woda) Co pokazuje doświadczenie? Student: jeśli kalendarz jest pełen, to jeśli naprawdę chcemy, możemy dorzucić kilka spotkań Profesor: NIE! Jeśli nie włożymy kamieni, jako pierwszych do dzbana, później nie będzie to możliwe. Najważniejsze, to włożyć swoje kamienie!!! 37