Problemy wdraŝania bezpiecznych systemów informatycznych



Podobne dokumenty
Audyty bezpieczeństwa dla samorządów i firm. Gerard Frankowski, Zespół Bezpieczeństwa PCSS

Nowoczesny Bank Spółdzielczy to bezpieczny bank. Aleksander Czarnowski AVET Information and Network Security Sp. z o.o.

Zarządzanie informacją i wiedzą w usługach o podwyŝszonym poziomie bezpieczeństwa. Maciej Stroiński stroins@man.poznan.pl

Jak moŝna wspierać innowacyjność sektora publicznego w Polsce. Gerard Frankowski, Norbert Meyer PCSS

STRATEGICZNE ZARZĄDZANIE KOSZTAMI

RACHUNKOWOŚĆ ZARZĄDCZA

Instrukcja warunkowa i złoŝona.

Konfiguracja programu pocztowego Outlook Express i toŝsamości.

Zewnętrzne audyty bezpieczeństwa

ZAKRES NAUCZANIA INFORMATYKI EKONOMICZNEJ NA STUDIACH EKONOMICZNYCH I INFORMATYCZNYCH

OPIS i SPECYFIKACJA TECHNICZNA

Koniec problemów z zarządzaniem stacjami roboczymi BigFix. Włodzimierz Dymaczewski, IBM

Ochrona biznesu w cyfrowej transformacji

Bezpieczeństwo danych i systemów informatycznych. Wykład 1

Procedura zarządzania ryzykiem w Państwowej WyŜszej Szkole Zawodowej w Elblągu

Komputeryzować czy nie?

SZCZEGÓŁOWY OPIS PRZEDMIOTU ZAMÓWIENIA

Przegląd przykładowych rozwiązań technicznych stosowanych przez pracodawców do inwigilacji pracowników. Jakub Bojanowski Partner

UREALNIENIE ROZKŁADÓW. wyniki prac zespołu ds. rozkładów jazdy

ZagroŜenia w sieciach komputerowych

Systemy liczenia. 333= 3*100+3*10+3*1

L. dz. OZ/321/63/o/10 Lublin, dnia r.

Portal Informacji Produkcyjnej dla Elektrociepłowni

opracowanych przy wsparciu Komisji, duŝych projektach pilotaŝowych oraz projektach badawczych w tej dziedzinie.

Zadania PCSS w Polskiej Platformie Bezpieczeństwa Wewnętrznego

Internetowy moduł prezentacji ofert pracy do wykorzystania na stronie WWW lub panelu elektronicznym. Wstęp

I. O P I S S Z K O L E N I A

Powiązania norm ISO z Krajowymi Ramami Interoperacyjności i kontrolą zarządczą

Projektowanie zorientowane na uŝytkownika

Zarządzanie informacją i wiedzą w usługach o podwyŝszonym poziomie bezpieczeństwa. Poznań,

KOMPUTEROWE WSPOMAGANIE ZARZĄDZANIA PROJEKTAMI W PRZEDSIĘBIORSTWIE

Projektowanie systemu sprzedaŝy ubezpieczeń dla T. U. Generali zgodnie z metodyką User-Centered Design

Tadeusz Markowski. Koncepcja systemu instrumentów kształtowania i ochrony przestrzeni publicznej

DROGA DO SUKCESU ZARZĄDZANIA ZARZĄDZANIE JAKOŚCIĄ, WYBRANE ELEMENTY

POLITYKA BEZPIECZEŃSTWA INFORMACJI

Bezpieczeństwo projektów - aspekt HR

Aviation Cyber Security. Cyberbezpieczeństwo w lotnictwie Szkolenie Międzynarodowego Stowarzyszenia Przewoźników Lotniczych IATA

Krzysztof Tomkiewicz Bydgoszcz, 26 października 2009 r.

Procesowa specyfikacja systemów IT

No N r o b r er e t r t Mey e er e,, PCSS 1

IV.3.b. Potrafisz samodzielnie dokonać podstawowej konfiguracji sieci komputerowej

Skończmy z róŝnicą w wynagrodzeniu dla kobiet i męŝczyzn.

ZagroŜenia w sieciach teleinformatycznych. Sposoby zabezpieczeń.

Zarządzanie konfiguracją produktu w całym cyklu Ŝycia. Aleksandra Grzywak-Gawryś Warsztaty Rola IRIS w branŝy kolejowej

ZagroŜenia w sieciach teleinformatycznych. Sposoby zabezpieczeń.

Konfigurowanie konta pocztowego w programie Netscape (wersja 7.2)

Case study: Mobilny serwis WWW dla Kolporter

Czy nie ma bata na cyberatak?

11. PROFESJONALNE ZABEZPIECZENIE HASŁEM

bo od managera wymaga się perfekcji

XII. Warunek wielokrotnego wyboru switch... case

A. Instalacja serwera www

Centra Informacji i Planowania Kariery Zawodowej Wojewódzkiego Urzędu Pracy w Krakowie w Krakowie, Nowym Sączu i Tarnowie

PL Zjednoczona w róŝnorodności PL A8-0238/1. Poprawka. Klaus Buchner w imieniu grupy Verts/ALE

WIEDZA INNOWACJE TRANSFER TECHNOLOGII EFEKTYWNE WYKORZYSTANIE ŚRODKÓW UE

OPROGRAMOWANIE WSPOMAGAJĄCE ZARZĄDZANIE PROJEKTAMI. PLANOWANIE ZADAŃ I HARMONOGRAMÓW. WYKRESY GANTTA

Bezpieczeństwo IT w środowisku uczelni

Zagrożenia bezpieczeństwa informacji. dr inż. Wojciech Winogrodzki T-Matic Grupa Computer Plus Sp. z o.o.

Innowacyjne usługi szerokopasmowe - telepraca, e-learning

Spis treści. I. Czym jest Indeks Haseł 3 II. Wyszukiwanie hasła 4. 1) Alfabetyczna lista haseł 4 2) Wyszukiwarka haseł 4 3) Grupy haseł 6

PLAN ZARZĄDZANIA WYMAGANIAMI PROJEKT <NAZWA PROJEKTU> WERSJA <NUMER WERSJI DOKUMENTU>

dla Banków Spółdzielczych

OBIEG INFORMACJI I WSPOMAGANIE DECYZJI W SYTUACJACH KRYZYSOWYCH

Plusy i minusy unijnej pomocy

Wnioskodawca Treść wniosku Realizacja

zmiany w aplikacji abcpanel MoŜliwość wysyłania informacji podatkowych SMS-em.

technologii informacyjnych kształtowanie , procesów informacyjnych kreowanie metod dostosowania odpowiednich do tego celu środków technicznych.

Logika projektu EFS w odniesieniu do nowej wersji Generatora Wniosków Aplikacyjnych.

Internetowy moduł prezentacji WIZYT KLIENTA PUP do wykorzystania np. na stronie WWW. Wstęp

Systemowy model pracy dynamizującoterapeutycznej. życia, przejawiającymi różnorodne opóźnienia i deficyty rozwojowe

Polityka bezpieczeństwa

usługi informatyczne dla firm

Projekt: Współpraca i dialog. Opis szkoleń językowych planowanych do realizacji w ramach projektu

Oprogramowanie dla biznesu Numer 11 (69) Listopad 2009 JAK SZYBKO I SKUTECZNIE ZAMKNĄĆ ROK?

PROFIL STANOWISKA PRACY (THOMAS JOB) Księgowa/Księgowy ANALIZA PROFILU OSOBOWEGO Pani XY oraz Pani YZ PRZYKŁADOWY RAPORT PORÓWNAWCZY:

ZMIANA WARTY W TECHNIKACH SPRZEDAŻY

Źródło finansowania projektów innowacyjnych. Gdańsk, 2011

Logotyp webowy (72 dpi)

Dotacje vs. instrumenty zwrotne w obszarze wsparcia dla przedsiębiorstw w nowej perspektywie finansowej

WSPARCIE FIRM TYPU START-UP I FIRM TYPU SPIN-OFF

Efektywny back-office. Warszawa, r.

Zarządzanie ryzykiem braku zgodności w banku spółdzielczym

Założenia modelu dostarczenia wartości z budowy inteligentnego miasta

Szczegóły Generatora Wniosków Aplikacyjnych w wersji 7.5. Na co powinni zwrócić uwagę autorzy projektów?

Prowadzący Andrzej Kurek

2.4.2 Zdefiniowanie procesów krok 2

Cel i podstawa prowadzenia wyodrębnionej księgowości projektu w prawie unijnym i polskim

Temat: Transfer technologii z nauki do biznesu.

Nie dotyczy działania 1.1 i 1.2. Strona 1 z 11

ISO w Banku Spółdzielczym - od decyzji do realizacji

Informatyzacja Polskiego Związku Jeździeckiego. Informatyzacja Polskiego Związku Jeździeckiego. Informatyzacja Polskiego Związku Jeździeckiego

PISMO OKÓLNE. Nr 8/2013. Rektora Uniwersytetu Marii Curie-Skłodowskiej w Lublinie. z dnia 30 sierpnia 2013 r.

Usprawnienie procesu zarządzania konfiguracją. Marcin Piebiak Solution Architect Linux Polska Sp. z o.o.

Rachunek prawdopodobieństwa projekt Ilustracja metody Monte Carlo obliczania całek oznaczonych

Firmowe media społecznościowe dla pracowników

XV. Wskaźniki Odczytywanie adresu pamięci istniejących zmiennych Wskaźniki pierwsze spojrzenie.

BDG.V IM Warszawa, dnia r.

Koncepcja cyfrowej transformacji sieci organizacji publicznych

Architektura bezpieczeństwa informacji w ochronie zdrowia. Warszawa, 29 listopada 2011

Bezpieczeństwo bankowości internetowej

Transkrypt:

Problemy wdraŝania bezpiecznych systemów informatycznych Gerard Frankowski Poznańskie Centrum Superkomputerowo - Sieciowe Polski Program Narodowych Badań Nad Bezpieczeństwem Warszawa, 28-29.11.2006 r. 1 Witam Państwa. Nazywam się Gerard Frankowski - pracuję w Poznańskim Centrum Superkomputerowo - Sieciowym. Przedstawię Państwu krótkie wystąpienie pt. Problemy wdraŝania bezpiecznych systemów informatycznych. Polski Program Narodowych Badań Nad Bezpieczeństwem - Warszawa, 28-29.11.06 1

Agenda Waga kwestii bezpieczeństwa [teleinformatycznego] Kilka cech bezpieczeństwa Ekonomia ataku Podejmowanie środków zaradczych Podsumowanie, pytania, dyskusja... 2 Ramy czasowe prezentacji pozwalają jedynie na zasygnalizowanie pewnych spraw. PowyŜsza agenda stanowi tak naprawdę jedynie spis tematów, którymi warto zająć się dogłębniej. Proszę zwrócić uwagę, Ŝe mówiąc bezpieczeństwo podczas tej prezentacji będziemy mieli na myśli bezpieczeństwo szeroko rozumianych infrastruktur informatycznych - bezpieczeństwo teleinformatyczne. Polski Program Narodowych Badań Nad Bezpieczeństwem - Warszawa, 28-29.11.06 2

Waga bezpieczeństwa nieustannie wzrasta Techniki informatyczne są coraz bardziej wszechobecne Waga przesyłanych danych staje się większa Skutki naruszeń bezpieczeństwa mogą być zatem coraz powaŝniejsze Rośnie takŝe ich koszt 3 Najogólniej rzecz biorąc, znajdujemy się tutaj wszyscy dlatego, Ŝe bezpieczeństwo komputerowe jest coraz bardziej istotne. Dzieje się tak, poniewaŝ na naszych oczach dokonuje się nieustanny postęp techniki, a komputeryzacja dotyka coraz to nowych dziedzin naszego Ŝycia. Systemy komputerowe zaczynają przechowywać coraz większe ilości danych osobowych, biznesowych, informacji operacyjnych słuŝb bezpieczeństwa publicznego itd. Skutki wycieku lub utraty informacji z takich systemów mogą być bardzo duŝe - podobnie jak wynikające z nich straty czysto pienięŝne. Polski Program Narodowych Badań Nad Bezpieczeństwem - Warszawa, 28-29.11.06 3

Idealnym stanem byłoby bezpieczeństwo całkowite Niestety takie bezpieczeństwo w praktyce nie istnieje Stopień skomplikowania współczesnych systemów: Wersja popularnego OS sprzed kilku lat: 30 mln linii kodu = ok. 1 mln błędów ok. 5% z nich to błędy bezpieczeństwa = 50 000 błędów ok. 1% pozwala przejąć kontrolę nad systeme = 500 błędów wystarczy znaleźć: 1 błąd 4 Najlepszym środkiem do zastosowania w obliczu zagroŝeń byłoby posiadanie systemu całkowicie bezpiecznego. To z gruntu dobre załoŝenie ma podstawową wadę - w rzeczywistych zastosowaniach takie systemy po prostu nie istnieją. Przyczyną tego stanu rzeczy jest stopień skomplikowania dzisiejszego oprogramowania. Kod jednego z popularnych systemów operacyjnych sprzed kilku lat to około 30 mln linii. Statystycznie w takim kodzie spotyka się 1 błąd na 30 linii kodu (w sumie mamy więc około miliona błędów). Oczywiście przewaŝająca większość z nich to drobne, niekiedy niezauwaŝalne usterki - rozsądnie jest powiedzieć, Ŝe tylko kilka - np. 5% - to błędy związane z moŝliwymi naruszeniami bezpieczeństwa. To wciąŝ pozostawia liczbę 50 tysięcy błędów. Do zaatakowania systemu potrzeba jeszcze, aby taki błąd moŝna było wykorzystać i to w sposób umoŝliwiający (najlepiej zdalną) kontrolę nad systemem. Niech tylko 1% błędów bezpieczeństwa ma takie cechy - pozostawia to nadal liczbę 500 krytycznych luk. Wystarczy, aby napastnik znalazł tylko jedną z nich, a jest w stanie zaatakować system. Oczywiście producenci oprogramowania naprawiają luki - wrócimy jeszcze do tego później. Dodatkowo naleŝy uwzględnić wpływ interfejsów między róŝnymi modułami pracującymi w systemie komputerowym, czy teŝ wnoszący zupełnie inne rodzaje zagroŝeń czynnik ludzki. Między innymi przez niego nie moŝemy wyłączyć spod naszych rozwaŝań wydzielonych, niepublicznych sieci komputerowych (mogą wystąpić - świadome bądź nie - ataki od wewnątrz sieci). Polski Program Narodowych Badań Nad Bezpieczeństwem - Warszawa, 28-29.11.06 4

Niestety, moŝemy tylko (?) utrudniać atak Dlaczego nawet to moŝe być trudne? Bezpieczeństwo: nie jest wbudowane (w poŝądanym stopniu) jest skomplikowane (skuteczna obrona jest trudna) jest kosztowne 5 JeŜeli nie jest moŝliwe bezpieczeństwo całkowite, pozostaje dąŝenie do osiągnięcia moŝliwie wysokiego poziomu bezpieczeństwa. Naturalnie, poziom bezpieczeństwa dobiera się odpowiednio do potrzeb - nie trzeba chronić komputera domowego aŝ tak dokładnie, jak np. serwera pocztowego obsługującego 3000 uŝytkowników. TakŜe ten proces moŝe nie być łatwy - wynika to z niektórych cech bezpieczeństwa, o których dowiemy się za chwilę. Bezpieczeństwo na poŝądanym poziomie nie jest wbudowane w produkt, osiąganie tego poziomu moŝe być skomplikowane, a ponadto często wymaga sporych nakładów finansowych (równieŝ zaleŝą one od wagi chronionych danych). Polski Program Narodowych Badań Nad Bezpieczeństwem - Warszawa, 28-29.11.06 5

Dlaczego bezpieczeństwo wbudowane nie wystarcza? Czynniki ściśle ekonomiczne Bezpieczeństwa nie widać - jak odróŝnić bezpieczny produkt? Wpływ środowiska działania produktu W konkurencji rynkowej liczy się przede wszystkim czas Kwestia wygody uŝytkowników 6 Dlaczego bezpieczeństwa systemu nie otrzymujemy po prostu go kupując (ewentualnie bezpieczeństwo to nie jest na poŝądanym poziomie)? Decydują o tym czynniki ściśle ekonomiczne (i trzeba powiedzieć, Ŝe z tego punktu widzenia dobrze uzasadnione). I tak - bezpieczeństwo produktu nie jest, niestety, jego widoczną na pierwszy rzut oka cechą - odmiennie niŝ np. szybsze działanie czy nowa funkcjonalność. Klient ma problem z odróŝnieniem produktu bezpiecznego od bardziej naraŝonego na atak. Istotny wpływ ma szeroko rozumiane środowisko, w jakim ma działać system. JeŜeli uŝytkownicy systemu nie mają motywacji do stosowania go w sposób bezpieczny, brak jest dodatkowego nacisku na producenta w celu przygotowania systemów z mniejszą liczbą luk. Przeprowadzono badania na temat bezpieczeństwa systemów bankowych w USA i Europie (m. in. Francja, Wlk. Brytania). W USA, jeŝeli bank nie udowodnił klientowi, Ŝe to jego błąd spowodował udany atak (np. nieautoryzowany dostęp do konta) - to właśnie bank ponosił jego koszty. W Europie to klient musiał udowadniać, Ŝe padł ofiarą ataku - jeśli się to nie udało, tracił swoje środki. Stwierdzono, Ŝe systemy bankowe w USA były daleko bezpieczniejsze. Bankowcom zaleŝało na bezpiecznym produkcie i unikaniu strat. To, co liczy się na rynku (szczególnie kiedy mamy do czynienia z ostrą konkurencją), to przede wszystkim czas. Opóźnienie, które wynika z dodatkowych prac nad bezpieczeństwem, moŝe kosztować wyprzedzenie przez konkurencję. Prace te odkłada się na później lub jedynie reaguje na wykryte luki. Istotną przeszkodą jest takŝe kwestia przetargu bezpieczeństwo / wygoda - praktycznie zawsze trudniej uŝywać bezpieczniejszego systemu. Cechuje się on takŝe wyŝszym stopniem skomplikowania. Polski Program Narodowych Badań Nad Bezpieczeństwem - Warszawa, 28-29.11.06 6

Dlaczego skuteczna obrona moŝe być trudna? Liczba potencjalnych słabych punktów obrońcy muszą zabezpieczyć wszystkie nie zawsze posiadają wystarczające zasoby napastnik musi znaleźć tylko jeden, który nie jest broniony Grafika: http://sale.nf.pl Najgroźniejsi napastnicy są świetnie przygotowani Ci mniej groźni mają łatwo dostępne narzędzia 7 Dlaczego jest trudno osiągnąć dobry poziom bezpieczeństwa? Powracając do rozwaŝań dotyczących liczby krytycznych luk bezpieczeństwa w kodzie systemu operacyjnego, zauwaŝmy, Ŝe tak naprawdę naleŝałoby uszczelnić je wszystkie. W praktyce nigdy nie ma wystarczających zasobów do tego celu. Być moŝe uda uszczelnić się 50%, 70% czy nawet 90% luk, ale pozostanie jeszcze 10%. Szansa, Ŝe napastnik znajdzie jedną, jedyną lukę, która została przeoczona przez osoby zabezpieczające system, jest duŝa - nawet jeŝeli atakujący dysponuje wielokrotnie mniejszymi zasobami. Obrona musi działać wszędzie, napastnik moŝe zaatakować jeden dowolny punkt. Nie naleŝy zapominać, Ŝe najgroźniejsi napastnicy są bardzo dobrze przygotowani do swoich zadań. O czymś świadczy fakt, Ŝe wiele osób odsiadujących wyroki za szkody spowodowane przestępczością komputerową niemal natychmiast po opuszczeniu więzienia znajduje pracę w renomowanych firmach sektora IT bądź zakłada własne przedsięwzięcia działające w sektorze zabezpieczeń. Z kolei napastnicy o mniejszych czy nawet szczątkowych umiejętnościach (których jest duŝo więcej) mogą w łatwy sposób uzyskać dostęp do skryptów i narzędzi pozwalających na przeprowadzanie zautomatyzowanych ataków. Na szczęście narzędzia takie (jak i sposoby ochrony przed nimi) są dobrze znane równieŝ specjalistom zajmującym się zabezpieczeniami - w pewnych sytuacjach automatyczne ataki mogą jednak okazać się prawdziwym utrapieniem. Polski Program Narodowych Badań Nad Bezpieczeństwem - Warszawa, 28-29.11.06 7

Dlaczego bezpieczeństwo jest drogie? Jak juŝ wiadomo, trudno się dobrze bronić... Bezpieczeństwo jest procesem W powaŝnych zastosowaniach wymagana jest dogłębna i specjalistyczna wiedza nieustanne kształcenie, pogoń za nowinkami dostęp do najnowszych technik i narzędzi odpowiedzialność, dyspozycyjność,... Ilość kompetentnych specjalistów nie wystarcza na zaspokojenie popytu 8 Kolejną kwestią związaną z osiągnięciem odpowiedniego poziomu zabezpieczeń jest ich cena (załóŝmy, Ŝe rozpatrujemy system teleinformatyczny przechowujący dane o istotnym znaczeniu). Jest ona wysoka dlatego, Ŝe - jak widzieliśmy - jest trudno dobrze się bronić. Bezpieczeństwo nie jest towarem, który łatwo wyprodukować. Bezpieczeństwo nie jest takŝe stanem, tylko procesem - odpowiedni poziom musi być utrzymany w obliczu ciągle zmieniającego się otoczenia (nowe wersje oprogramowania, nowatorskie techniki ataków itp.). W przypadku systemów przechowujących istotne dane poziom ochrony musi być szczególnie wysoki. Wymaga to zatrudnienia (albo wynajęcia) świetnie wykwalifikowanych specjalistów, którzy po prostu kosztują. Muszą poświęcać wiele czasu na prowadzenie nieustannego wyścigu z napastnikami (nie wystarczy tylko dotrzymywać im kroku, trzeba wyprzedzać techniki i miejsca ataku, jakie mogą dopiero być wykorzystane). Do tego potrzeba najnowszych narzędzi, pomocy naukowych, sprzętu i oprogramowania. W krytycznych sytuacjach specjaliści od zabezpieczeń mogą być zobligowani do pracy nonstop o róŝnych porach doby. Osób takich jest po prostu relatywnie niewiele i z tym wiąŝe się kolejny problem - mogą one nie zaspokoić zwiększającego się z powodu rosnącej liczby systemów do zabezpieczenia popytu na ich usługi. Polski Program Narodowych Badań Nad Bezpieczeństwem - Warszawa, 28-29.11.06 8

Ekonomia ataku Wzrost znaczenia ekonomicznych aspektów bezpieczeństwa napastnik: dopuszczalny koszt ataku obrońca: wartość posiadanych danych / wielkość strat Infrastruktura jest zagroŝona, gdy: Koszt ataku <= wartość danych Maksymalizując stopień bezpieczeństwa, zwiększamy koszt ataku np. więcej zasobów / dłuŝszy czas potrzebny na złamanie haseł 9 Ostatnimi czasy coraz więcej osób zwraca uwagę na fakt, Ŝe takŝe ekonomiczne (oprócz technicznych) aspekty bezpieczeństwa odgrywają bardzo istotną rolę. Z pewnością takŝe działania po obu stronach barykady są determinowane przez bodźce ekonomiczne. Ze strony napastnika istnieje pewien dopuszczalny limit kosztów, jakie mogą być przeznaczone na przeprowadzenie ataku (zaleŝny np. od wielkości posiadanych zasobów, od kwoty zaoferowanej mu za złamanie zabezpieczeń itp.). ZauwaŜmy, Ŝe moŝe zadziałać tu czynnik niematerialny (napastnik kogoś nie lubi, chce się zemścić lub pokazać ) - jednak obecnie większość ataków ma podłoŝe finansowe. Właściciele systemu muszą sobie odpowiedzieć na pytanie - ile są warte przechowywane przezeń dane, lub teŝ - jak wysokie straty wystąpią, jeśli system zostanie zniszczony? W zaleŝności od odpowiedzi naleŝy przeznaczyć na zabezpieczenie systemu odpowiednio wysokie środki (i co nie mniej waŝne - wykorzystać je w efektywny sposób). Często spotkać moŝna prostą definicję bezpiecznego systemu - jest to taki system, którego koszt pomyślnego zaatakowania jest większy od wartości zgromadzonych na nim danych. Sama definicja jest prosta i skuteczna - choć pozostaje problem oceny wielkości stojących po obu stronach równania. W kaŝdym razie strona zabezpieczająca system, stawiając napastnikowi na drodze do pokonania kolejne przeszkody, zwiększa jego koszty ataku (np. wymuszenie stosowania trudnych haseł w systemie powoduje, Ŝe napastnik potrzebuje więcej czasu lub szybszego komputera do ich złamania). Tym samym rośnie szansa, Ŝe powyŝsza nierówność przyjmie postać niekorzystną dla napastnika i zrezygnuje on z ataków. Polski Program Narodowych Badań Nad Bezpieczeństwem - Warszawa, 28-29.11.06 9

Podejmujemy środki zaradcze Aspekty techniczne współpraca uŝytkowników i specjalistów świadomość uŝytkowników wypracowanie odpowiednich rozwiązań IT Aspekty ekonomiczne świadomość (decydenci) wypracowanie odpowiedniego modelu środowiska dla tworzonych systemów efektywne wykorzystanie środków 10 NaleŜy postawić pytanie, jakie środki zaradcze naleŝy przedsięwziąć, aby zmienić sytuację rysowaną przewaŝnie w ciemnych barwach. Działania prowadzić trzeba zarówno od strony technicznej, jak i uwzględniając czynniki ekonomiczne. Specjaliści bezpieczeństwa muszą podnosić świadomość uŝytkowników i nakłonić ich do współdziałania, poniewaŝ wysokiego poziomu bezpieczeństwa nie da się osiągnąć środkami Ŝadnej z tych grup osobno. UŜytkownicy teŝ są specjalistami, ale w zakresie swoich dziedzin i nie są w stanie wytworzyć rozwiązań bezpieczeństwa (mogą za to podpowiedzieć, jakiej funkcjonalności związanej z bezpieczeństwem potrzebują). Z kolei specjaliści nie napiszą programu, który ochroni system np. przed atakiem socjotechnika. Muszą oni wskazać uŝytkownikom potrzebę i łatwy sposób stosowania rozwiązań bezpieczeństwa. Wreszcie do zadań specjalistów naleŝy opracowanie tychŝe rozwiązań. W aspekcie ekonomicznym świadomość jest równie waŝna, choć tu powinna być raczej skierowana do osób mających wpływ na podejmowane przez firmę czy organizację wdraŝającą system decyzje. Decydenci muszą dogłębnie rozumieć potrzebę wdroŝenia bezpieczeństwa na odpowiednio wysokim poziomie oraz poznać sposoby na efektywne wykorzystanie przeznaczonych na ten cel środków. Z drugiej strony, powinno zostać wypracowane takie otoczenie systemów informatycznych, które będzie promowało stosowanie produktów charakteryzujących się wysokim poziomem bezpieczeństwa. Polski Program Narodowych Badań Nad Bezpieczeństwem - Warszawa, 28-29.11.06 10

PPBW - jak specjaliści mogą wspierać uŝytkowników Polska Platforma Bezpieczeństwa Wewnętrznego zintegrowany zestaw narzędzi słuŝących poprawie funkcjonowania instytucji bezpieczeństwa publicznego PCSS: takŝe komponenty bezpieczeństwa Idea PPBW: jest zgodna z tematyką niniejszej konferencji, a takŝe z wytycznymi Komisji Europejskiej w zakresie badań nad bezpieczeństwem pozwala zmniejszyć koszt osiągnięcia wymaganego poziomu bezpieczeństwa dla uŝytkowników docelowych 11 Przykładem dobrej współpracy specjalistów z uŝytkownikami (w tym przypadku z przewagą kontekstu technicznego) moŝe być przedsięwzięcie pod nazwą Polska Platforma Bezpieczeństwa Wewnętrznego. Bierze w nim udział konsorcjum uczelni, firm komercyjnych i organizacji zajmujących się ochroną bezpieczeństwa i porządku publicznego w Polsce: Policji, Sądów czy Prokuratur. Zadaniem jest wytworzenie zintegrowanego zestawu narzędzi, który posłuŝy ułatwieniu funkcjonowania organów ścigania i wymiaru sprawiedliwości. PCSS zgłasza jako jedno ze swoich zadań w ramach prac konsorcjum badania nad komponentami bezpieczeństwa (system detekcji intruzów ze wsparciem mechanizmów automatycznego wnioskowania i bazy wiedzy). Idea Platformy świetnie wpisuje się w nurt tworzenia narodowych programów badań nad bezpieczeństwem. Zakłada się, Ŝe jej wyniki oprócz ściśle funkcjonalnej uŝyteczności zaowocują takŝe przeprowadzeniem szeregu nowatorskich badań badawczo - rozwojowych w sektorze IT. TakŜe Unia Europejska mocno podkreśla konieczność rozwoju narodowych programów badawczych związanych z bezpieczeństwem, postulując ich komplementarność (ale nie duplikację) z analogicznym programem unijnym. WdroŜenie PPBW pomoŝe wspomnianym grupom uŝytkowników docelowych na zmniejszenie kosztu osiągnięcia poziomu bezpieczeństwa wymaganego przez charakter danych, jakie są przechowywane w ich systemach. W tym wypadku poziom ten musi być szczególnie wysoki. Dzięki współpracy na niwie PPBW wzrośnie równieŝ świadomość bezpieczeństwa (zarówno wśród uŝytkowników, jak i decydentów), a takŝe zaistnieje moŝliwość naleŝytego kształtowania środowiska, w którym pracują systemy teleinformatyczne (np. poprzez opracowanie i wdroŝenie odpowiednich rozwiązań prawnych). Polski Program Narodowych Badań Nad Bezpieczeństwem - Warszawa, 28-29.11.06 11

Podsumowanie Bezpieczeństwo we wszystkich istotnych zastosowaniach jest waŝne......ale w niektórych waŝniejsze zaleŝy to od wartości posiadanych danych Wprawdzie nie moŝna mówić o bezpieczeństwie całkowitym, ale moŝemy tak utrudnić atak, Ŝe nie ma on sensu Bezpieczeństwo jest ciągłym procesem Ekonomiczne aspekty bezpieczeństwa zasługują na wyraźną uwagę Mimo to nie wolno zaniedbać aspektów technicznych bezpieczeństwa (pomoc specjalistów) 12 Krótko podsumowując wystąpienie, naleŝy stwierdzić, Ŝe o bezpieczeństwie nie naleŝy zapominać w Ŝadnym systemie realnie zastosowanym. Istotność bezpieczeństwa jest co prawda odmienna w zaleŝności od przeznaczenia systemu i tego, jakie dane są w nim przechowywane. I choć praktyczne osiągnięcie bezpieczeństwa całkowitego nie jest realne - nie naleŝy się zniechęcać. MoŜna bowiem tak podnieść poprzeczkę napastnikowi, aby środki, jakie musiałby uŝyć na pokonanie zabezpieczeń, były tak duŝe, Ŝe aŝ nieadekwatne do moŝliwych do osiągnięcia korzyści. Trzeba jeszcze przy tym pamiętać, Ŝe raz osiągnięte bezpieczeństwo nie jest niestety stanem permanentnym - zmieniające się otoczenie powoduje konieczność ciągłego weryfikowania szczelności zabezpieczeń. Choć ekonomiczne aspekty bezpieczeństwa zyskały sobie w ostatnich latach sporą uwagę, nie naleŝy takŝe zapominać o kwestiach ściśle technicznych, a takŝe tych leŝących gdzieś pośrodku. Podejmując temat tylko z jednej strony, moŝna wystawić się na atak napastnika, który mógł podejść do tematu bardziej wszechstronnie i znaleźć słaby punkt systemu właśnie w miejscu nie uwzględnionym po drugiej stronie barykady. Polski Program Narodowych Badań Nad Bezpieczeństwem - Warszawa, 28-29.11.06 12

Więcej informacji Gerard Frankowski, PCSS: gerard@man.poznan.pl PCSS: http://www.man.poznan.pl Zespół Bezpieczeństwa PCSS: http://security.psnc.pl PPBW: http://www.ppbw.pl Economics and Security Resource Page: http://www.cl.cam.ac.uk/~rja14/econsec.html 13 PowyŜsze dane kontaktowe pozwalają na dostęp do następujących informacji: gerard@man.poznan.pl - adres e-mailowy autora prezentacji. Postaram się odpowiedzieć na wszystkie pytania lub przekaŝę je do osoby odpowiedzialnej w ramach PCSS za poruszone przez pytającego zagadnienie, http://www.man.poznan.pl strona internetowa Poznańskiego Centrum Superkomputerowo Sieciowego i jednocześnie poznańskiej sieci miejskiej (POZMAN). Zapraszamy do zapoznania się z zakresem prac prowadzonym w PCSS oraz z oferowanymi przezeń moŝliwościami związanymi z dostępem do światowej pajęczyny, http://security.psnc.pl strona internetowa Zespołu Bezpieczeństwa PCSS. Zespół zajmuje się między innymi doradztwem w zakresie zabezpieczeń sieci komputerowych oraz sprawdzaniem stanu zabezpieczeń istniejącej infrastruktury informatycznej. Zakres dostępnych materiałów jest sukcesywnie zwiększany, http://www.ppbw.pl - strona internetowa Polskiej Platformy Bezpieczeństwa Wewnętrznego. MoŜna znaleźć tam informacje o idei leŝącej u podstaw PPBW, opis konsorcjum, historię działań Platformy czy wreszcie wykaz załoŝeń badawczych, jakich realizacja jest planowana w ramach powiązanych projektów. http://www.cl.cam.ac.uk/~rja14/econsec.html - strona internetowa zawierająca pokaźny zbiór dokumentów dotyczących ekonomicznych aspektów bezpieczeństwa. Do autorów opracowań naleŝą między innymi Ross Anderson, Andrew Odlyzko, Tyler Moore. Strona i materiały w języku angielskim. Polski Program Narodowych Badań Nad Bezpieczeństwem - Warszawa, 28-29.11.06 13

Dyskusja Dziękuję za uwagę! :-) 14 Dziękuję za zapoznanie się z przedstawionym materiałem. Mam nadzieję, Ŝe udało mi się przybliŝyć kilka interesujących zagadnień, które - po niezbędnym poszerzeniu wiedzy na ich temat - pomogą Państwu w wyborze, projektowaniu czy uŝywaniu odpowiednio bezpiecznych systemów. Polski Program Narodowych Badań Nad Bezpieczeństwem - Warszawa, 28-29.11.06 14

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres