1. Struktura środowiska informatycznego

1. Struktura środowiska informatycznego Rezultatem postępu, jaki w ciągu ostatnich 20 lat nastąpił w technice komputerowej, jest fakt, że dzisiejsza dostępność i moc obliczeniowa komputerów oraz związanego z nimi oprogramowania jest wykorzystywana zarówno w sektorze publicznym, jak i prywatnym. Fakt znaczącej roli, jaką komputery odgrywają w przetwarzaniu danych, podejmowaniu decyzji, utrzymywaniu kontaktów z klientami, rodzi pytanie, czy środowisko informatyczne reprezentowane przez zintegrowany system informatyczny, jest odpowiednio zorganizowane i kontrolowane, zarówno pod względem bezpieczeństwa, jak i efektywności funkcjonowania. Właściwe pojmowanie środowiska informatycznego, wszelkich aspektów z nim związanych, tj. uwarunkowań prawnych, kwestii technologicznych, relacji właścicielskich oraz pozostałych problemów związanych z poszczególnymi jego elementami, jest niezbędne do podejmowania trafnych i przemyślanych decyzji oraz do realizowania zamierzonych celów. W ramach wiedzy o tym środowisku wymagane jest odpowiednie zrozumienie relacji zasobów i procesów, stanowiących dwa główne elementy tego środowiska, oraz zagrożeń z nimi związanych. Zasoby informatyczne można podzielić na pięć głównych grup 1 : dane, systemy aplikacyjne, technologię, infrastrukturę oraz ludzi. Podział ten, przedstawiono na rysunku 1. Rysunek 1. Zasoby środowiska informatycznego Źródło: Opracowanie własne na podstawie M.Forystek, Audyt informatyczny, InfoAudit, Warszawa 2005, s.35. 1 Forystek M. op.cit., s. 35 za COBIT Management Guidelines, ISACA [cit.2005-10-20], http://www.isaca.org. Mariusz Zarzycki, mariusz_zarzycki@wsinf.edu.pl 1

Wymienione na rysunku 18 zasoby poddawane są klasyfikacji ze względu na znaczenie, jakie mają one dla jednostki gospodarczej. W zależności od wagi(znaczenia) określonego zasobu dla organizacji, inny będzie proces zarządzania ryzykiem związanym z tym zasobem. G.Idzikowska 2 proponuje wydzielenie czterech grup zasobów: najwyższej wagi(vital), tzn. takich, które są niezastępowalne i jednocześnie niezbędne w każdej chwili, aby jednostka mogła funkcjonować; podstawowe(essential), czyli takie, których strata mogłaby przerwać działanie jednostki; mimo, że jednostka przetrwa, znacznie obniży się poziom jej produktywności; ważne(important), których utrata może spowodować niewygodę, a tylko czasem przerwę w funkcjonowaniu; użyteczne(useful), tzn. takie, które dobrze jest mieć, ale których brak nie stwarza problemów. Z każdym z zasobów środowiska informatycznego wiążą się określone zagrożenia. W kontekście systemów informatycznych zagrożeniami mogą być awarie zasilania, źle nadane uprawnienia do programów i danych, rozprzestrzeniające się wirusy komputerowe, awarie sprzętu, siły natury oraz działania ludzkie. Zależnie od celowości działań zagrożenia kwalifikuje się jako przypadkowe lub celowe. Zagrożenie jest przypadkowe, jeżeli powstało samoczynnie (np. awaria sprzętu) lub nieumyślnie (błąd ludzki, np. roztargnienie, posiadanie niewystarczającej na dany temat wiedzy). Zagrożenia celowe są świadomymi ingerencjami ludzi w sprzęt i/lub oprogramowanie, mającymi na celu zniszczenie, przechwycenie bądź modyfikację systemu informatycznego. Należy tutaj uwzględnić również wszelkie oszustwa komputerowe 3. Z uwagi na źródło zagrożenia wyróżnić można zagrożenia: 4 zewnętrzne występujące ze strony osób nieuprawnionych do dostępu lub używania systemu informatycznego jako skutek niedoskonałości systemu zabezpieczeń zewnętrznych; ze strony środowiska naturalnego(trzęsienia ziemi, wyładowania 2 R.P. Fisher., Information Systems Security, Prentice-Hall, Inc., Englewood Cliffs 1983, s. 13-14 w Idzikowska G., op.cit., s. 165. 3 Oszustwa oraz inne akty bezprawne zostaną opisane w dalszej części pracy. 4 Grzywacz J.[red], Bezpieczeństwo systemów informatycznych w bankach w Polsce, SGH, Warszawa 2003, s. 13. Mariusz Zarzycki, mariusz_zarzycki@wsinf.edu.pl 2

atmosferyczne itp.) lub jako niebezpieczeństwa związane z otoczeniem, w którym znajduje się komputer(kurz, wilgoć, ogień itp.), wewnętrzne będące wynikiem działania użytkowników uprawnionych do korzystania z systemu. Biorąc za kryterium rodzaj zagrożenia można wskazać zagrożenia sprzętowe oraz programowe. Przykładową statystykę zagrożeń dla systemów komputerowych przedstawiono na wykresie 1. Wykres 1. Zagrożenia w systemach komputerowych 10% 9% 4% 3% pomyłki ludzi problemy fizyczne 54% nieuczciwy personel 20% niezadowolny personel wirusy ataki z zewnątrz. Źródło: Grzywacz J. [red], Bezpieczeństwo systemów informatycznych w bankach w Polsce, SGH, Warszawa 2003, s. 14. Wobec przedstawionych ogólnie zagrożeń kluczową rolę odgrywa bezpieczeństwo zasobów tworzących model środowiska informatycznego. Pod pojęciem bezpieczeństwa zasobów informatycznych kryje się wiele pojęć, które różnią się pod względem semantycznym i co do których znaczenia odmienne są poglądy różnych autorów 5. G.Idzikowska 6 definiuje bezpieczeństwo zasobów jako grupę zadań kierownictwa podmiotu obejmującą dbałość o dokładność i nienaruszalność danych i informacji niezbędnych do zarządzania jednostką, o poufność, tajność i niedostępność danych dla osób nieupoważnionych, o zabezpieczenie zasobów informatycznych przed wypadkami losowymi lub niewłaściwym użyciem, o ustrzeżenie pracowników przed pokusą, a kierownictwa przed nieprzezornością. Drugim, obok zasobów elementem wchodzącym w skład struktury środowiska informatycznego są procesy informatyczne, których zadaniem jest zarządzanie złożonym 5 Idzikowska G., Wiarygodność danych a bezpieczeństwo zasobów w środowisku informatycznym rachunkowości, Wyd. UŁ. Łódź 2002, s.150. Autorka dokonuje szczegółowego przeglądu pojęć związanych z bezpieczeństwem zasobów informatycznych, tj. bezpieczeństwa danych, ochrony danych, zabezpieczenia danych. 6 Idzikowska G., op.cit., s. 152. Mariusz Zarzycki, mariusz_zarzycki@wsinf.edu.pl 3

zbiorem zasobów tego środowiska. Wśród procesów można wydzielić cztery ich główne rodzaje związane z 7 : monitorowaniem funkcjonowania infrastruktury informatycznej, planowaniem i organizowaniem struktur i procesów informatycznych, wdrażaniem nowych rozwiązań i wprowadzaniem zmian do istniejących systemów, zapewnieniem efektywnego działania eksploatowanych systemów. Koniecznym pozostaje scharakteryzowanie głównych zasobów wchodzących w skład środowiska informatycznego wraz ze powiązanymi z nimi zagrożeniami. Uwagę należy również zwrócić na proces zarządzania ryzykiem jako mechanizm monitorujący zagrożenia i ich ewentualne skutki. Audytor informatyczny powinien posiadać, co najmniej ogólną wiedzę na temat zasobów informatycznych. Powinien znać zasady współpracy poszczególnych zasobów oraz znać charakterystyki i kluczowe mechanizmy kontrolne w nich wykorzystywane, tak aby być przygotowanym do realizacji zadań audytowych, w tym prowadzenia testów dowodowych 8. 1.1. Zasoby środowiska informatycznego, zagrożenia i mechanizmy je kontrolujące 1.1.1. Fizyczne i logiczne bezpieczeństwo danych Dane, zdefiniowane w rozdziale pierwszym, krytyczny zasób organizacji, niezbędny dla zapewnienia kontynuacji prowadzonej działalności. Szeroko rozumiana jakość danych, oceniana w aspekcie trafności prezentowanych informacji czy ich bezpieczeństwa określa często jakość całego systemu informatycznego w całości. Kwestia trafności prezentowanych przez systemy informacji różni się w zależności od osób z niej korzystających. Spotyka się określenie, że dane o organizacji stanowią odzwierciedlenie jej przeszłości, teraźniejszości oraz przyszłości. Ich utrata często oznacza koniec działalności danej organizacji. Utrata danych może na przykład nastąpić na skutek luk bądź niedociągnięć w nieprzestrzeganiu podstawowych zasad związanych z wykonywaniem kopii zapasowych gromadzonych danych. Nieprofesjonalne wykonywanie kopii zapasowych, sabotaż bądź inne katastrofy naturalne, jak 7 Forystek M., op.cit., s. 35. 8 Forystek M., op.cit., s. 34. Mariusz Zarzycki, mariusz_zarzycki@wsinf.edu.pl 4

powódź czy pożar mogą w rezultacie doprowadzić do niemożności odzyskania danych, a co za tym idzie, do uniemożliwienia organizacji wykonywania jej podstawowych operacji w ramach prowadzonej działalności. Podejmowanie poprawnych decyzji zależy w znacznej mierze od jakości danych i ewentualnie jakości metod decyzyjnych zawartych w systemach informatycznych. Ważną kwestią jest również nadużycie komputera przez niepowołane do tego osoby. Parker 9 definiuje nadużycie komputera jako incydent związany z technologią informatyczną, w której ofiara doznała bądź mogłaby doznać utraty lub zakłamania w danych na skutek działalności przestępczej innej osoby. Należy jednak dodać, iż nadużycie nie zawsze musi oznaczać popełnienie przestępstwa 10. Znaczenie danych ze względu na ich poufność, integralność, dostępność czy zgodność z prawem decyduje o poziomie ochrony całego systemu informatycznego. Charakterystyka wybranych aspektów bezpieczeństwa systemów informatycznych z punktu widzenia wrażliwości danych znajduje się w tabeli 8. Tabela 1. Charakterystyka wybranych aspektów bezpieczeństwa systemu informatycznego Aspekt bezpieczeństwa Utrata integralności(rozumiana jako dokładność, kompletność oraz prawdziwość(ważność)) Utrata dostępności(w kontekście dostępności informacji; dotyczy także ochrony niezbędnych zasobów i ich możliwości) Utrata poufności( ochrona ważnych informacji przed nieuprawnionym ujawnieniem) Opis Integralność danych i systemu traktowana jest jako wymóg, jaki narzuca na system ochrona informacji przed niedozwolonymi modyfikacjami. Utrata integralności występuje, jeżeli nieautoryzowane zmiany są dokonywane na danych bądź innych elementach systemu informatycznego. Utrata integralności zmniejsza pewność informacji zawartych w systemie, czego rezultatem mogą być błędnie podejmowane decyzje. Niedostępność systemu informatycznego, krytycznego z punktu widzenia użytkowników końcowych, skutkuje utratą mocy produkcyjnej organizacji. Zapewnienie poufności danych zawartych w systemie odnosi się do zapewnienia ochrony informacji przed nieautoryzowanym dostępem. Utrata poufności informacji zawartych w systemie może w najgorszym przypadku prowadzić do roszczeń prawnych wobec organizacji, utraty poszanowania i zaufania publicznego. Źródło: Opracowanie własne na podstawie Stonebumer G., Goguen A., Feringa A., Risk Management Guide for Information Technology Systems, National Institute of Standards and Technology, Październik 2001, s. 22. 9 Parker, Donn B., Crime by Computer, New York: Charles Scibner s Sons, s. 12. 10 Trudno byłoby nazywać przestępstwem wydrukowanie prywatnej korespondencji z użyciem służbowego komputera i podłączonej do niego drukarki. Mariusz Zarzycki, mariusz_zarzycki@wsinf.edu.pl 5

Dziś, w dobie uzależnienia się przedsiębiorstw od informacji, zachowanie bezpieczeństwa zarówno fizycznego, jak i logicznego danych jest sprawą kluczową. Fizyczny dostęp 11 do danych oznacza fizyczną możliwość uzyskania nośnika, na którym zapisane są dane, tj. dysków, dyskietek, bibliotek taśmowych, wydruków. G.Idzikowska 12 definiuje fizyczne środki ochrony jako sposoby zabezpieczenia przed nieupoważnionym dostępem do materialnych zasobów środowiska informatycznego. Do środków tych zalicza się wszelkie mechanizmy kontrolne, jak: drzwi z zamkami cyfrowymi, czytniki biometryczne czy urządzenia kontrolujące. Ograniczenie dostępu fizycznego do zasobów informatycznych uzyskuje się stosując tradycyjną koncepcję fortecy 13. Ogólny zamysł polega na wyodrębnianiu specjalnych stref w technologii informatycznej, zwanych strefami zdemilitaryzowanymi, DMZ(ang. Demilitarized Zone 14 ), w których stosuje się różnorodne mechanizmy zabezpieczające przejście pomiędzy jedną strefą a drugą. Ograniczenie dostępu do systemu komputerowego przedstawiono na rysunku 2. Rysunek 2. Ograniczenie dostępu do systemu komputerowego KONTROLE DOSTĘPU DO SYSTEMU KOMPUTEROWEGO PRÓBA DOSTĘPU KONTROLE DOSTĘPU DO BUDYNKU KONTROLE OTOCZENIA SIEDZIBY JEDNOSTKI GOSPODARCZEJ Źródło: Gelinas U.J., Oram A.E., Wiggins W.P., Accounting Information Systems, PWS Kent Publishing Company, Boston 1990, s. 175 w Idzikowska G., Wiarygodność danych a bezpieczeństwo zasobów w środowisku informatycznym rachunkowości, Wyd. UŁ. Łódź 2002, s. 156. Jak widać na powyższym rysunku, aby uzyskać fizyczny dostęp do systemu komputerowego należy odpowiednio otrzymać zezwolenie do przekroczenia wcześniejszych stref: siedziby jednostki gospodarczej oraz budynku. 11 Yusufali F.Musaji, Auditing and Security, AS/400, NT, Unix, Networks and Disaster Recovery Plans, John Wile & Sons, Nowy Jork 2001, s. 41. 12 Idzikowska G., op.cit., s. 154. 13 Smith M., Commonsense Computer Security, Mc Graw-Hill International, Cambridge 1993, s. 81 w Idzikowska G., op.cit., s. 155 Smith M., Commonsense Computer Security, Mc Graw-Hill International, Cambridge 1993, s. 81. 14 http://www.wikipedia.org [cit. 2005-09-20], Strefa zdemilitaryzowana, DMZ (ang. Demilitarized Zone) - w informatyce, strefą zdemilitaryzowaną nazywa się też półżartobliwie wydzielony obszar graniczny sieci lokalnej, w którym znajdują się firewall-e i serwery proxy. Oddziela ona sieć wewnętrzną od zewnętrznych. Podstawową zasadą jest brak bezpośredniej komunikacji między siecią wewnętrzną a zewnętrzną w celu zapewnienia wysokiego poziomu bezpieczeństwa. Mariusz Zarzycki, mariusz_zarzycki@wsinf.edu.pl 6

Lista zagrożeń w zakresie technik i sposobów przełamywania mechanizmów logicznego dostępu do systemów komputerowych powiększa się z dnia na dzień, co uniemożliwia pełne odzwierciedlenie rzeczywistej listy tych zagrożeń. Najczęściej spotykane mechanizmy przełamywania logicznego dostępu do danych wraz z ich charakterystyką pokazuje tabela 2. Tabela 2. Mechanizmy przełamywania logicznego dostępu do danych Rodzaj zagrożenia Charakterystyka zagrożenia Wirusy(ang. viruses) Robaki(ang. worms) Bomby logiczne(ang. logical bombs) Tylne furtki(ang. trap doors) Konie trojańskie(ang. Trojan horses) Wypływ danych(ang. data leakage) Programy, które dołączają się same do plików wykonywalnych, obszarów systemowych, plików danych, zawierające makra, które powodują zakłócenie operacji komputerowych bądź utratę danych. Programy o zwykle destruktywnym charakterze, które rozprzestrzeniają się pomiędzy komputerami z wykorzystaniem usług sieciowych; nie potrafią, jak wirusy, infekować innych programów, ale mogą się przenosić pomiędzy komputerami przez sieć; kod robaka może być rozlokowany na wielu maszynach i służyć np. do wykonania ataków blokowania usług. Programy, które aktywują się w określonych warunkach(np. w określonym momencie w przyszłości); nie roznoszą się, ale mają zwykle destruktywny charakter(np. programista tworzy program, który uaktywniony wywoła zniszczenie danych w przyszłości; jeśli programista zostanie zwolniony, to w przyszłości jego firma może mieć problemy). Mechanizmy programowe, które pozwalają na ominięcie autoryzacji, np. naciśnięcie określonej kombinacji klawiszy powoduje przejście w tryb administratora. Użyteczne programy, które niejako przy okazji wykonują ukryte funkcje ( np. wygaszacze ekranu). Dane mogą być skopiowane na różne nośniki; do tego celu mogą być wykorzystane funkcje systemu, ale także np. kopiowanie danych poprzez schowek. Podsłuch(ang. wire-taping) Podłączenie się do linii transmisyjnej w celu podsłuchania przepływających przez nią danych; w sieciach typu Ethernet podsłuchiwanie nie wymaga żadnych dodatkowych zabiegów poza zwykłym podłączeniem do sieci(w przypadku przełączników też jest to możliwe, ale trudniejsze). Blokowanie usług(ang. denial-of-service attack) Podszywanie się, kradzież Atak DoS 15 (ang. Denial of Service Attack) - rodzaj ataku, polegający na wysłaniu jednocześnie bardzo dużej liczby zapytań do serwera, co powoduje jego przeciążenie, zablokowanie, czasem nawet poważniejsze awarie. Do ataków takich wykorzystuje się często komputery zombie. Ataki typu DoS stały się głośne po roku 2000, zwłaszcza w okresie znanej kontrowersji wokół prawa własności do systemu operacyjnego Linux, gdy serwery niektórych firm były celowo blokowane przez ich przeciwników 16. Polega on na tworzeniu przez spamerów oszukańczych wiadomości e-mail 15 Lam K., LeBlanc D.,Smith B, Ocena bezpieczeństwa sieciowego, APN Promise, Warszawa 2005, s. 224-227. 16 http://helionica.pl/index.php/atak_dos [cit. 2005-09-20]. Mariusz Zarzycki, mariusz_zarzycki@wsinf.edu.pl 7

tożsamości(ang. Phishing, Masquerading,Email Spoofing) i witryn WWW, które wyglądają identycznie jak serwisy internetowe firm o znanej marce, aby skłonić klientów indywidualnych do podania numeru karty kredytowej lub informacji o koncie bankowym 17. Źródło: Opracowanie własne na podstawie Forystek M., Audyt informatyczny, InfoAudit, Warszawa 2005 s.3.9 Z luk w mechanizmach dostępu logicznego mogą korzystać zarówno pracownicy organizacji, jak i osoby zewnętrzne. Ich wykaz został zaprezentowany w tabeli 3. Tabela 3. Zagrożenia komputerowe ze strony ludzi na skutek luk w mechanizmach dostępu logicznego Zagrożenia z zewnątrz organizacji Konkurencja Celem działań jest zdobycie informacji o konkurencji oraz szpiegostwo ekonomiczne, osiągnięcie bezpośrednich bądź pośrednich korzyści majątkowych, sabotaż. W znacznym stopniu wykorzystywana jest tutaj socjotechnika 18 (ang. Social engineering). Przedstawiciele przestępczości zorganizowanej Zagrożenia z wewnątrz organizacji. Pracownicy Statystycznie pracownicy popełniają najwięcej przestępstw związanych z przełamywaniem mechanizmów dostępu logicznego lub wykorzystywaniem zbyt wysokiego ich poziomu, do celów nie związanych z czynnościami służbowymi. Personel IT Celem działań jest szantaż, destrukcja, wyzysk, zemsta. Hakerzy Specjaliści z dziedziny bezpieczeństwa, którzy posiadając wiedzę o lukach w mechanizmach dostępu logicznego przejmują nad nimi częściową lub całkowitą kontrolę. Hakerów można podzielić na crackerów opłacanych hakerów działających na rzecz strony trzeciej, srcipt-kidies osoby, które korzystają z gotowych programów i skryptów same nie posiadając wystarczającej wiedzy i doświadczenia do przełamywania mechanizmów kontroli dostępu oraz hack activists osoby, które dokonują włamań z pobudek światopoglądowych. Byli pracownicy Szczególna grupa pracowników w aspekcie systemów informatycznych, gdyż posiada najszerszy zakres uprawnień dostępu logicznego, co umożliwia trudno wykrywalny dostęp do danych. Ignoranci Poprzez błędnie nadane uprawnienia przewyższające ich rzeczywiste potrzeby mogą mieć dewastacyjny wpływ na środowisko informatyczne. Dostawcy i konsultanci IT Posiadają zwykle szeroką wiedzę na temat systemów i mogą ją wykorzystać dla własnych celów. Personel zatrudniony czasowo Posiada zwykle dostęp podobny do zwykłych pracowników, a ze względu na rotację może wykorzystać nabytą podczas pracy wiedzę do realizacji nielegalnych działań. 17 Symantec Corporation [cit. 2005-10-12], https://www.symantec.com. 18 Wikipedia, http://pl.wikipedia.org/ - Social engineering - tłumaczone zamiennie jako inżynieria socjalna lub socjotechnika (błędnie jako inżynieria społeczna!). Za jej twórcę uważa się Kevina Mitnicka. Socjotechnika to pozyskiwanie informacji poprzez odpowiednie chwyty psychologiczne i manipulacje na ludziach, którzy mają dostęp do tych informacji. Metoda ta jest także bardzo często wykorzystywana przez prywatnych detektywów i tak zwanych handlarzy informacją. Inżynieria socjalna jest najczęściej wykorzystywana do okradania wielkich korporacji z poufnych danych (np. planów technologicznych). Do ataków najczęściej wykorzystywany jest telefon. Socjotechnika opiera się na utwierdzaniu ofiary w przekonaniu, że napastnik jest uprawniony do poznania danej informacji. Mariusz Zarzycki, mariusz_zarzycki@wsinf.edu.pl 8

Zwykle posiadają dużą wiedzę o organizacji i z zastosowaniem metod socjotechnicznych mogą wykonać operacje podobne jak pracownicy. Źródło: Opracowanie własne na podstawie Stonebumer G., Goguen A., Feringa A., Risk Management Guide for Information Technology Systems, National Institute of Standards and Technology, Październik 2001, s. 14 oraz Forystek M., Audyt informatyczny, InfoAudit, Warszawa 2005 s. 38. W ograniczeniu dostępu logicznego do szczególnych danych krytycznych z punktu widzenia organizacji stosuje się wiele mechanizmów podwyższających ich bezpieczeństwo. Do mechanizmów tych zalicza się m.in. identyfikację, szyfrowanie, podpisy cyfrowe infrastrukturę klucza publicznego oraz ściany ogniowe(ang. firewalls 19 ). Identyfikacja(uwierzytelnianie) użytkowników stanowi jeden z bazowych logicznych środków ochrony dostępu do danych. Jest to proces weryfikacji tożsamości(identyfikacji) polegający na wymianie tajnej informacji między użytkownikiem a komputerem. Użytkownik jest przy tym rozumiany szeroko, ponieważ może nim być nie tylko konkretna osoba, lecz także terminal czy nadawca zaszyfrowanego pakietu danych w sieci komputerowej. Różne też mogą być metody uwierzytelniania, w zależności od tego, co użytkownik zna(hasło, algorytm, odpowiedzi na pytanie czy prywatny klucz przy elektronicznym podpisie) i w zależności od potrzeb (np. uwierzytelnienie jedno- lub dwukierunkowe). Identyfikacja użytkowników odbywa się najczęściej: z wykorzystaniem unikatowego identyfikatora oraz hasła; z wykorzystaniem danych biometrycznych, jak: tęczówka oka, dno oka, linie papilarne, kształt dłoni, trójwymiarowa geometria dłoni, cechy charakterystyczne podpisu, rozpoznawanie głosu, kształt twarzy; z wykorzystaniem kart, żetonów bądź innych fizycznych identyfikatorów przechowujących certyfikaty. Logiczny dostęp do danych oznacza możliwość ich odczytania, modyfikacji lub usunięcia z wykorzystaniem m.in. narzędzi informatycznych. Logiczny dostęp do danych w środowisku informatycznym odbywa się praktycznie zawsze z wykorzystaniem mechanizmów dostępu logicznego na różnych poziomach modelu technologicznego na poziomie systemu operacyjnego, oprogramowania, elementów infrastrukturalnych 20. Szyfrowanie jest znanym od czasów Cesarstwa Rzymskiego sposobem ochrony danych. Głównym celem szyfrowania jest zapewnienie przesyłania informacji w taki sposób, 19 Soo Hoo K.J., How Much Is Enough? A Risk Management Approach to Computer Security, Consortium for Research on Information Security and Policy(CRISP), Lipiec 2000, s. 37. 20 Forystek.M., op.cit., s. 37. Mariusz Zarzycki, mariusz_zarzycki@wsinf.edu.pl 9

aby odczytać mógł je jedynie określony adresat i nikt inny. M.Forystek21 definiuje szyfrowanie jako proces, który polega na zamianie jawnego tekstu przesyłki na bezpiecznie zakodowaną formę tekstu zwaną szyfrem, która nie może być odczytana(zrozumiała) bez odszyfrowania zamiany szyfru na jawny tekst. Proces ten jest realizowany z wykorzystaniem funkcji matematycznych oraz specjalnego hasła(zwanego kluczem) używanego do szyfrowania i odszyfrowania. Ze względu na wagę problemu wykształciła się odrębna dyscyplina nauki, zwana kryptografią(ang.cryptography)22. Szyfrowanie służy nie tylko ograniczeniu dostępu do treści danych. Jest ono wykorzystywane także do zapewnienia integralności danych(ang. integrity) w czasie ich przesyłania(np. przez łącza teleinformatyczne, w których możliwy jest podsłuch) oraz do zagwarantowania wiarygodności i jednoznaczności co do nadawcy przesyłki. Do najczęściej stosowanych form systemów kryptograficznych zalicza się szyfrowanie z kluczem prywatnym, szyfrowanie z kluczem publicznym, szyfrowanie z użyciem krzywych eliptycznych oraz szyfrowanie kwantowe. Najpowszechniejszymi rodzajami szyfrów są szyfry RSA, DES, IDEA. Kolejnym elementem kontrolującym logiczny dostęp, występujący oddzielnie bądź wraz z mechanizmami szyfrowania, jest podpis cyfrowy, którego wykorzystanie w Polsce reguluje Ustawa o podpisie elektronicznym. Podpis cyfrowy jest szyfrogramem dokumentu sporządzonym z wykorzystaniem algorytmu niesymetrycznego i klucza prywatnego nadawcy. Taki szyfrogram może być odczytany wyłącznie za pomocą klucza publicznego nadawcy, więc każdy może sprawdzić, kto wysłał daną wiadomość. Najczęściej podpisy cyfrowe wykorzystywane są w23: potwierdzaniu autentyczności nadawcy, weryfikacji integralności przesyłki, zapewnieniu niezaprzeczalności. W związku z koniecznością upubliczniania 24 klucza publicznego oraz utajnienia klucza prywatnego stworzono infrastrukturę klucza publicznego PKI(ang.Public Key Infrastructure). Rozwiązanie to uwzględnia istnienie specjalnie powołanego organu (ang. Certificate Authority), stanowiącego urząd zaufania publicznego, kreującego i utrzymującego klucze publiczne. Jego główne zadanie polega na wystawianiu certyfikatów elektronicznych 25 21 Forystek.M., op.cit., s. 41. 22 Wykaz najczęściej stosowanych szyfrów - http://pl.wikipedia.org/wiki/kryptografia oraz Forystek.M., op.cit., s. 41-46. 23 Forystek M., op.cit., s. 46. 24 Upublicznianie polega na umożliwieniu pobrania klucza publicznego zainteresowanemu nawet bez znajomości właściciela klucza. 25 Certyfikat elektroniczny DC(ang. Digital Certificate) elektroniczny wyznacznik, składający się z danych właściciela certyfikatu oraz jego klucza publicznego. Przykładem mogą być certyfikaty pocztowe, stron www itp. Mariusz Zarzycki, mariusz_zarzycki@wsinf.edu.pl 10

każdemu, kto złoży na nie zapotrzebowanie. W praktyce urzędy certyfikacji tworzą strukturę drzewiastą, złożoną z głównych urzędów CA oraz urzędów niższego rzędu RA(ang. Registration Authority) 26 realizujących część zadań CA 27. Fakt dość wysokich kosztów uzyskania certyfikatów od światowych liderów w tej dziedzinie, jak VeriSign jest powodem, iż organizacje decydują się na posiadanie lokalnych urzędów certyfikacji świadczących usługi zgodnie z ich potrzebami. Obecne technologie informatyczne, uwzględniające zarówno rozwiązania sprzętowe, jak i programowe oferują mechanizmy kontrolujące(filtrujące) ruch sieciowy, tzw. ściany ogniowe. Ich zadanie polega na akceptowaniu bądź odrzucaniu pakietów pochodzących od określonych nadawców bądź z określonych podsieci lokalnych(stref) wraz z pełnym monitoringiem zdarzeń naruszających określone reguły bezpieczeństwa. Elementem umożliwiającym kontrolę oraz analizę uzyskanego dostępu logicznego są także dzienniki systemowe, zapisujące szczegółowe dane dotyczące obiektów(np. użytkowników), które uzyskały dostęp do określonego zasoby wchodzącego w skład środowiska informatycznego. 1.1.2. Architektura oraz mechanizmy kontrolne w programach użytkowych Kontrola programów użytkowych jako zasobu środowiska informatycznego jest bardzo ważnym aspektem kontroli środowiska informatycznego. Zgodnie z wcześniejszą definicją program użytkowy(aplikacja) to rodzaj programu komputerowego. Do najczęściej spotykanych typów programów komputerowych zalicza się aplikacje jednostanowiskowe(jednoużytkowe), wieloużytkowe, klient-serwer, korzystające z baz danych i pracujące w sieci(sieciowe). Problemem związanym z aplikacjami jednoużytkowymi jest zachowanie jednakowej parametryzacji wszystkich stanowisk w ramach całej organizacji. W przypadku aplikacji wieloużytkowych należy zadbać o zachowanie szyfrowanej komunikacji oraz zapewnić wystarczające moce sprzętowe maszyn obsługujących sam program, jak i profilowane środowiska każdego z użytkowników. W przypadku aplikacji typu klient-serwer, oprócz problemów charakterystycznych dla programów jedno i wieloużytkowych, pojawić się mogą problemy związane z siecią 26 Czasami urzędy typu RA w ujęciu systemów informatycznych nazywane są SA(Subordinate Authority). 27 Do zadań tych można zaliczyć np. wystawianie, utrzymywanie i zarządzanie certyfikatami, zaświadczenie o posiadaniu certyfikatu przez daną osobę. Mariusz Zarzycki, mariusz_zarzycki@wsinf.edu.pl 11

teleinformatyczną oraz zachowaniem poufności i integralności danych. Kwestią kluczową jest tutaj zachowanie szyfrowanych sesji pomiędzy klientem a serwerem, aby wyeliminować możliwość podłączania się intruzów pod już otwartą sesję. Do najczęściej spotykanych mechanizmów kontrolnych w aplikacjach należą mechanizmy kontrolujące proces wprowadzania danych, przetwarzania danych, generowania informacji wynikowych oraz mechanizmy zabezpieczające pliki źródłowych aplikacji 28. Kontrolując aplikacje należy poświęcić uwagę całemu procesowi przepływu danych realizowanemu w danym programie komputerowym. Stosowanie mechanizmów jedynie kontrolujących samą aplikację powoduje, iż w rzeczywistości cały system informatyczny można uznać za niechroniony. Aby przystąpić do wprowadzania danych użytkownik musi zostać jednoznacznie zidentyfikowany przez aplikację. Weryfikacja tożsamości odbywa się z użyciem wielu metod, do których zaliczyć można tradycyjne: identyfikator i hasło, kontrolę na poziomie systemu operacyjnego, systemu zarządzania bazą danych, samej aplikacji 29. Obecna technologia udostępnia kompleksowe rozwiązania umożliwiające na podstawie pojedynczej identyfikacji poruszanie się po wielu systemach fizycznie odseparowanych 30. Z punktu widzenia bezpieczeństwa praktykuje się jednak stosowanie oddzielnych mechanizmów dostępu do aplikacji w celu uniemożliwienia korzystania z nich w momencie zdobycia bazowego hasła dostępu. W zależności od sposobu wprowadzania danych do systemu, tj. wsadowego bądź bieżącego stosuje się różne mechanizmy kontrolne. Do mechanizmy kontrolnych zapewniających integralność danych na etapie wprowadzania można zaliczyć 31 : weryfikację podpisów cyfrowych - każda wprowadzana paczka danych może być podpisana; dzięki temu możliwe jest wykrycie utraty integralności i potwierdzenie wiarygodności tożsamości; proces weryfikacji może odbywać się całkowicie automatycznie, kontrolę wartości (ang. total monetary amount) - weryfikacja, czy wartość wprowadzonych dokumentów jest zgodna z wartością wykazaną w innym systemie lub przez innego użytkownika(np. wprowadza się wsadowo faktury zakupu, weryfikację sum kontrolnych(ang. hash totals) - sprawdza się, czy sumy określonych pól dla całości pliku lub jego konkretnych części(np. sumy na klientach lub 28 Chambers A.D., Court J.M., Computer Auditing Third Edition, Pittman Publishing London 1991, s. 157. 29 Patrz mechanizmy kontroli dostępu logicznego w przypadku danych. 30 Przykładem może być usługa katalogowa firmy Microsoft wykorzystująca Kerberos a. 31 Forystek M., op.cit., s. 54-56. Mariusz Zarzycki, mariusz_zarzycki@wsinf.edu.pl 12

określonych towarach) są zgodne z zamierzeniami. Suma kontrolna (ang. checksum, control total) jest liczbą (często 16-bitową) uzyskaną w wyniku sumowania przesyłanych danych, służącą do sprawdzania poprawności przetwarzanych danych. Jest ona dołączana do danych wysyłanych. Zanim komputer wyśle dane, liczy sumę kontrolną i dołącza ją do pakietu danych. Komputer odbierający dane liczy również sumę kontrolną z odebranych danych i sprawdza, czy suma przez niego obliczona zgadza się z sumą wysłaną z pakietem danych. Jeśli nie, to znaczy, że dane uległy przekłamaniu. W rachunkowości odpowiednikiem sum kontrolnych są sumy obrotów Winien lub Ma. kontrolę kolejności(ang. sequence check) - sprawdza się, czy nie ma dziur w numeracji dokumentów. W zależności od wykrytych przez przedstawione mechanizmy kontrolne nieprawidłowości należy podjąć odpowiednią akcję: odrzucić wprowadzane dane(paczkę danych), wstrzymać dalsze przetwarzanie do wyjaśnienia powodów zaistniałej sytuacji, odrzucić to, co nie jest zgodne i kontynuować, odpowiednio zaznaczyć błędy w celu późniejszej ich korekty. Problem zagrożeń związanych z aplikacjami tkwi nie tylko w samym wprowadzaniu danych, choć wymienione mechanizmy kontrolne znajdują szczególne zastosowanie właśnie podczas tego etapu. Uwagę należy również poświęcić etapom rzeczywistego przetwarzania danych oraz generowania wyników. Większość metod wykorzystywanych na etapie wprowadzania danych stosuje się również i w tym przypadku. Dodatkowo w przypadku przetwarzania danych spotyka się 32 : weryfikację na drugą rękę rozpoczęcie przetwarzania wymaga niezależnego potwierdzenia przez dwie osoby; weryfikacja tego typu jest silnym mechanizmem pod warunkiem, że do jej wykonania nie wystarczy naciśnięcie jednego klawisza w takim przypadku po pewnym czasie staje się rutyną i jej jakość silnie zależy od cech osobowości użytkownika, powtórną autoryzację np. do wykonania przelewu w systemie internetowym może być wymagane podanie dodatkowego hasła lub skorzystanie z karty procesorowej 33, 32 Forystek M., op.cit., s. 56. 33 Przykładem może być lista haseł jednorazowych potrzebną do potwierdzenia każdej operacji na stronach mbanku http://www.mbank.pl. Mariusz Zarzycki, mariusz_zarzycki@wsinf.edu.pl 13

przeliczanie manualne(ang.manual recalculation) niektóre dane powinny być przeliczane ręcznie; wybór danych do przeliczenia może opierać się na metodach statystycznych. Generowanie wyników, raportów końcowych musi podlegać identycznej kontroli jak etap wprowadzania danych. Ewidencjonowaniu powinien podlegać każdorazowo wygenerowany raport w celu umożliwienia kontroli kto, kiedy i czy w uzasadnionym celu dokonał przeglądu danych. Szczególną uwagę należy poświęcić również uprawnieniom nadawanym w danej aplikacji, tj. czy generować raporty mogą jedynie użytkownicy posiadający odpowiednia prawa 34. Aplikacje webowe często wykorzystują pliki tymczasowe. Istotnym zagadnieniem z punktu widzenia bezpieczeństwa jest wykluczenie lokalnego przechowywanie tych plików na komputerach użytkowników. W przeciwnym razie na ich podstawie można przeglądać zawartości stron, obejrzanych wcześniej i zbuforowanych lokalnie na dysku przez osoby, które nie powinny mieć do tego uprawnień. 1.1.3. Bezpieczeństwo sieci teleinformatycznych 35 Sieci teleinformatyczne stanowią istotny element środowiska informatycznego. Rzadko można dziś spotkać przedsiębiorstwa, w których wymiana informacji opiera się na rozwiązaniach nie wykorzystujących sieci jako medium transmisyjnego 36. Zaprezentowaną wcześniej klasyfikację zagrożeń można nieco zmodyfikować w aspekcie sieci teleinformatycznych. W tym celu można posłużyć się klasyfikacją Howarda i Longstaffa 37 wykorzystywaną przez polski oddział CERT 38 (ang.computer Emergency Response Team) przy klasyfikacji incydentów naruszających bezpieczeństwo teleinformatyczne. Klasyfikacja ta wyznacza trzy typy zagrożeń: fizyczne (ang. Physical Threats), niezamierzone (ang. Unintentional Threats), z użyciem złośliwego oprogramowania(ang. Malicious Software). 34 Problem ten ma szersze znaczenie, gdyż w starszych aplikacjach generowanie raportów polegało na tworzeniu zestawień w postaci plików przechowywanych lokalnie na dysku. Takie rozwiązanie oznacza, iż użytkownicy, którzy fizycznie nie mieli możliwości generowania raportów poprzez aplikację, mogli przeglądać ich zawartość na skutek zbyt szerokich uprawnień do lokalizacji, w której było one przechowywane. Możliwym rozwiązaniem tego problemu jest odpowiednie nadanie uprawnień na poziomie systemu operacyjnego do katalogu przechowującego generowane zestawienia. 35 Zobacz A.Lockhart, Network Security Hacks, O Reilly Media, s. 31-53. Ze względu na fakt, iż tematyka mediów transmisyjnych, protokołów sieciowych, rodzajów połączeń, rodzajów sieci oraz sprzętu sieciowego jest szeroko opisana w literaturze przedmiotu, w pracy zostanie ona pominięta. Uwaga skupiona będzie jedynie na zagrożeniach związanych z sieciami teleinformatycznymi. 36 Zobacz Yusufali F. Musami, Auditing and Security AS/400, NT, UNIX,, Networks, and Disaster Recovery Plans, John Wiley & Sons, NY 2001, s. 448. 37 Howard J. D., Longstaff T. A., A Common Language for Computer Security Incidents, Albuquerque 1998. 38 CERT Polska. Mariusz Zarzycki, mariusz_zarzycki@wsinf.edu.pl 14

Główne zagrożenia w przypadku sieci wynikają z faktu, iż stanowią one środowisko wielodostępne, w którym nie zawsze można jednoznacznie stwierdzić, kto i czy w dozwolony sposób korzysta z zasobów, jakie w nim są udostępnione. Ponadto, istotny wpływ na to bezpieczeństwo mają niepotrzebnie działające usługi(serwisy) generujące określone zagrożenia. Zagrożenia związane z usługami zależą od: poziomu złożoności danej usługi, informacji, jakie dostarcza dana usługa, informacji, jakie udostępnia usługa, stopnia konfigurowalności oraz programowalności danej usługi, znaczenia usługi dla wykorzystującej jej organizacji. Ze względu na rodzaj zagrożenia, wyróżnia się ataki aktywne i pasywne. Ataki aktywne dążą do modyfikacji strumienia informacji lub tworzenia fałszywych informacji, np. podszywanie się pod osobę uprawnioną i blokowanie działania. Ataki pasywne polegają na podsłuchiwaniu i monitorowaniu przesyłanych informacji, np. dążenie do ujawnienia treści wiadomości. Często celem ataków aktywnych jest przejęcie i zniszczenie zasobów znajdujących się w sieci 39. Aktywne ataki charakteryzują się tym, iż atakujący wykorzystują wszystkie możliwości w celu przełamania istniejących zabezpieczeń w celu uzyskania dostępu do zasobów sieci. Ataki tego typu nie są jednorazowymi próbami. Raz odkryte luki w zabezpieczeniach stanowią jedynie wstęp do kolejnych ataków. Do aktywnych rodzajów ataków zaliczyć można 40 : modyfikację wiadomości(ang. message modification) jak sama nazwa wskazuje polegającą na zmianie zawartości informacji w trakcie jej transmisji przez medium sieciowe (np. numer konta bankowego itp.), blokowanie usług(ang. denial-of-service) patrz informacje w tabeli 9, ataki wdzwonieniowe(ang. dial-in penetration attacks) polegające na automatycznej próbie wdzwonienia się pod numer abonenta w celu sprawdzenia, czy znajduje się pod nim modem, który mógłby stanowić źródło następnych ataków w celu skompromitowania niezdobytych dotychczas zasobów sieci. 39 Porównaj Manley. D., Auditing Internet Security System s Real Secure: A Solarisbased Network Intrusion Detection System, SANS Institute 2003, s. 35-60. 40 Za McNab C., Network Security Assessment, O Reilly Media, Inc, Sebastopol CA, USA, 2004, s. 29. Przedstawione rodzaje ataków stanowią jedynie podzbiór szerszego zestawienia dostępnego w wielu pozycjach literatury przedmiotu. Ataki te są często efektem przełamania logicznego dostępu do danych przedstawionego w tabeli 9. Mariusz Zarzycki, mariusz_zarzycki@wsinf.edu.pl 15

Powodem ataków pasywnych jest chęć sprawdzenia istniejących zabezpieczeń sieciowych z uwzględnieniem informacji na temat ewentualnych luk, które dają możliwość dokładnej analizy treści przekazywanej w sieci. Do ataków tego typu zalicza się: analizę ruchu(ang. traffic analysis) atakujący przy pomocy różnorodnych technik, pragnie uzyskać informacje na temat topologii sieci; atak tego rodzaju najczęściej stanowi rekonesans, na podstawie którego w przyszłości planowany będzie właściwy atak, podsłuch(ang. eavesdropping) podsłuch informacji przesyłanych w sieci w celu wykorzystania ich dla własnych korzyści, analizę sieciową(ang. network analysis) na podstawie analizy ruchu, atakujący określa kluczowe serwery w organizacji w celu późniejszego przeprowadzenia ataku. Należy zauważyć, iż metody używane w atakach pasywnych są często wykorzystywane przez personel, którego zadaniem jest utrzymanie bezpieczeństwa sieci. Analizując ruch i sieć administratorzy odpowiedzialni za bezpieczeństwo otrzymują informację na temat urządzeń generujących zbyt duży ruch sieciowy, tj. najprawdopodobniej zainfekowanych wirusami, oraz użytkowników, którzy wysyłają często informacje nie wskazane w trakcie wykonywania służbowych obowiązków. Wymienione przykłady ataków pasywnych oraz aktywnych nie są z pewnością wszystkimi rodzajami ataków. Do grupy zagrożeń wynikających z ataków aktywnych zaliczyć można również zagrożenia wymienione we wcześniejszej tabeli. Rysunek 3 przedstawia stosowane metody oceny zabezpieczeń sieci relatywnie w stosunku do kosztów oraz elementów(rodzajów) sieci. Najbardziej podstawowym typem oceny zabezpieczeń jest skanowanie podatności sieci na naruszenia bezpieczeństwa. Rysunek 3. Metody oceny zabezpieczeń sieci Mariusz Zarzycki, mariusz_zarzycki@wsinf.edu.pl 16

Źródło: Opracowanie własne. Metoda ta pozwala ocenić odporność sieci na potencjalne słabości zabezpieczeń. Istnieje szereg komercyjnych pakietów oprogramowania realizujących skanowanie podatności, które wykonują następujące działania: sporządzają spis komputerów, systemów operacyjnych i aplikacji, identyfikują częste błędy zabezpieczeń, wyszukują komputery ze znanymi słabościami, testują podatność na typowe ataki. Skanowanie podatności jest efektywną metodą oceny typowych słabości w sieciach, które nie były wcześniej analizowane, jak również weryfikacji zastosowania zasad zabezpieczeń. Ze względu na fakt, że skanowanie pozwala odkryć słabości w nieznanym obszarze działania różnych aplikacji i często powoduje wiele fałszywych alarmów, administratorzy sieciowi analizujący wyniki skanowania muszą dysponować dostateczną wiedzą i doświadczeniem na temat systemów operacyjnych, urządzeń sieciowych i aplikacji, które zostały poddane badaniom, jak również roli, jaką pełnią one w sieci 41. Przykładem programu skanującego jest Microsoft Baseline Security Analyzer(MBSA) 42, który sprawdza, czy zainstalowane są poprawki zabezpieczeń i pakiety ServicePack, wykrywa typowe błędy zabezpieczeń, takie jak słabe hasła, a także kontroluje, czy stosowane są zalecane środki bezpieczeństwa(np. inspekcja zdarzeń logowania i wylogowania). Testy penetracyjne stanowią znacznie bardziej zaawansowaną metodę oceny zabezpieczeń niż skanowanie podatności 43. W odróżnieniu od poprzedniej metody, która zasadniczo skupia się na ocenie zabezpieczeń indywidualnych komputerów, testy penetracji pozwalają ocenić poziom bezpieczeństwa sieci jako całości. Ponadto, testy takie pomagają w uświadomieniu sobie(a także menedżerom IT i innym zwierzchnikom), jakie konsekwencje może mieć rzeczywiste włamanie prawdziwego napastnika 44. Najczęściej spotyka się następujące rodzaje testów penetracyjnych: testy istniejących zabezpieczeń sprzętowych, 41 Smith B., Komar B., Microsoft Windows Security Resource Kit, Microsoft Press, Warszawa 2003, s. 484-485. 42 Szczegółowe informacje na temat tego narzędzia można znaleźć min na Microsoft Corporation [cit. 2004-12- 10], http://www.microsoft.com/poland/security/default.mspx oraz Portal Społeczności Windows Server System [cit. 2006-03-10], http://www.wss.pl. 43 Testy penetracyjne są w szerokim zakresie wykorzystywane w audycie systemów informatycznych. 44 Smith B., Komar B., op.cit., s. 486. Ze względu na fakt, że osobę przeprowadzającą test penetracji odróżnia od napastnika tylko intencja i brak złych zamiarów, należy zachować ostrożność zezwalając pracownikowi lub zewnętrznemu ekspertowi na prowadzenie testu. Nieprofesjonalnie przeprowadzony test penetracyjny może w efekcie spowodować straty i przerwy w funkcjonowaniu organizacji. Przed wykonaniem dowolnego testu penetracyjnego należy uzyskać pisemną zgodę zarządu organizacji. Tego typu zgoda powinna zawierać jednoznaczny opis, co jest obiektem testu i kiedy ten test zostanie przeprowadzony. Ze względu na naturę testów penetracyjnych, brak takiej zgody może oznaczać, że jego przeprowadzenie zostanie uznane za przestępstwo komputerowe, bez względu na najlepsze intencje. Mariusz Zarzycki, mariusz_zarzycki@wsinf.edu.pl 17

analiza zabezpieczeń programowych, bezpieczeństwa serwera WWW, systemu obsługi poczty, pozostałych dostępnych usług, analiza architektury sieci i możliwych dróg dostępu do systemów, testy typu DoS 45. Wymienione rodzaje testów penetracyjnych mogą być zarówno testami zewnętrznymi, jak i wewnętrznymi. Mogą one stanowić istotny element kontroli istniejących zabezpieczeń dla administratorów sieci. Dodatkową zaletą testów penetracyjnych jest fakt, iż pozwalają wykryć słabości zabezpieczeń, które są pomijane podczas skanowania podatności, np.: słabości ludzi i istniejących procedur. Pośrednim rozwiązaniem jest szeroko rozumiana identyfikacja bezpieczeństwa sieci, wykorzystująca zarówno szeroki zestaw narzędzi służących do testowania słabości, jak i testy penetracyjne, choć te w mniejszym zakresie. Identyfikacja bezpieczeństwa sieci ma zastosowanie w przypadku stref DMZ ze względu na ich specyfikę. 1.1.4. Sprzęt komputerowy Sprzęt komputerowy stanowi, obok oprogramowania, kluczowy element środowiska informatycznego. Fakt ten, szczególnie w przypadku sprzętu pochodzącego od światowych dostawców np. IBM, HP, DELL, wymaga przestrzegania specjalnych warunków ich eksploatacji, tj. odpowiedniej temperatury pomieszczenia, wilgotności powietrza itp. Z tego względu sprzęt najczęściej przechowywany jest w specjalnie do tego przygotowanych pomieszczeniach (serwerowniach), w których stworzone są warunki zapobiegające wystąpieniu powszechnie znanych zagrożeń infrastrukturalnych, jak: ogień, woda, utrata zasilania. Zabezpieczenia uzyskuje się poprzez stosowanie odpowiednich środków pozwalających na wczesne wykrycie pożaru, instalację alarmową wyposażoną w czujki dymu i temperatury, zapasowe zasilanie w postaci urządzeń UPS bądź dodatkowych linii elektrycznych czy odpowiednią lokalizację pomieszczenia eliminującą np. zagrożenia ze strony instalacji wodno-kanalizacyjnej. Z powodu roli, jaką odgrywa sprzęt komputerowy w środowisku informatycznym, kontroli należy również poddać takie zagadnienie, jak błędy sprzętowe, dostępność sprzętu oraz jego wykorzystanie. Błędy sprzętu odnoszą się do poszczególnych elementów składowych komputera 46, a mianowicie do: 45 Inne rodzaje testów penetracyjnych można znaleźć w Weber.R, op.cit., s. 532. 46 Forystek M., op.cit., s. 61-68. Mariusz Zarzycki, mariusz_zarzycki@wsinf.edu.pl 18

pamięci wewnętrznej(np. błędy systemu ochrony pamięci, uszkodzenie konstrukcyjne); procesora; urządzeń pamięci zewnętrznej(np. uszkodzenie ścieżki na dysku lub części taśmy magnetycznych, uszkodzenie mechanizmu odczytu/zapisu); urządzeń wejścia i wyjścia(np. złe działanie klawiatury lub monitora, brak przesuwu papieru w drukarce); urządzeń transmisji danych(np. nieprawidłowe funkcjonowanie łączy, modemów, urządzeń komutujących); urządzeń szyfrujących 47. Większość dużych systemów komputerowych posiada wbudowane mechanizmy monitorujące prawdopodobne awarie sprzętowe(mechaniczne uszkodzenia). Jeżeli takich mechanizmów nie ma, najczęściej wystarczy zainstalować odpowiednie oprogramowanie umożliwiające podgląd zdarzeń związanych z poszczególnymi komponentami sprzętowymi, jak np. kontrolery macierzy dyskowych, dyski itd. Jeżeli wystąpiły jakiekolwiek przestoje w dostępności elementów sprzętu komputerowego, konieczna jest identyfikacja ich przyczyn. Jeżeli przestoje mają charakter powtarzający się, koniecznym może okazać się zastosowanie dodatkowych mechanizmów kontrolnych eliminujące przyszłe przerwy w dostępności systemu komputerowego. Istotnym jest również aspekt monitorowania sprzętu komputerowego z punktu widzenia wydajności. Jeżeli wykorzystanie poszczególnych podzespołów przekracza górne parametry eksploatacyjne, może okazać się konieczną wymiana sprzętu bądź jego części, tak aby zasoby sprzętowe były adekwatne do potrzebnych mocy produkcyjnych. Problemy wydajnościowe często wynikają z niezoptymalizowanego systemu bądź oprogramowania działającego na danym sprzęcie komputerowym, co skutkuje zbyt dużym obciążeniem poszczególnych podzespołów. W celu poprawy takiej sytuacji należy poddać wykorzystywane oprogramowanie 48 procesowi strojenia. 1.1.5. Podsumowanie Ponieważ zbiór zasobów jest złożony, w pracy skupiono się nad bezpieczeństwem związanym z najważniejszymi rodzajami zasobów, tj. danych, aplikacji, sieci teleinformatycznych oraz sprzętu komputerowego. Starano się uwypuklić najważniejsze 47 Idzikowska G., op.cit., s. 88. 48 W tym miejscu rozumiane szeroko jako: system operacyjny bądź system zarządzania bazą danych itp. Mariusz Zarzycki, mariusz_zarzycki@wsinf.edu.pl 19

zagadnienia związane z tymi zasobami. Ze względu na obszerne opisy w literaturze przedmiotu, w pracy pominięto chociażby takie problemy, jak: zagrożenia infrastrukturalne, zagrożenia związane z systemami operacyjnymi, systemami zarządzania bazami danych, o których wiedza jest niezbędna do poprawnie zaplanowanego procesu zarządzania ryzykiem. 1.2. Istotność czynnika ludzkiego w środowisku informatycznym Gruntowna wiedza na temat procesów informatycznych, stanowiących obok zasobów, kolejny istotny składnik środowiska informatycznego, jest konieczna w procesie zarządzania ryzykiem oraz podczas przeprowadzania audytu informatycznego. Biorąc pod uwagę fakt, iż literatura przedmiotu obszernie ujmuje zagadnienie związane z procesami informatycznymi, zrezygnowano ze szczegółowego opisu każdego procesu informatycznego. Opisy te różniłyby się w zależności od preferowanych standardów: COBIT 49, ITIL 50, CMM 51, ISO 52, które zostały przedstawione w dalszej części pracy. Uwagę skupiono jedynie na procesie zarządzania potencjałem społecznym organizacji, jako istotnym elemencie środowiska informatycznego. Wydawałoby się, iż w każdej organizacji zachodzą unikatowe procesy. Jednakże literatura przedmiotu pokazuje, że pomimo unikalności 53 stosowanych rozwiązań informatycznych, pomiędzy organizacjami istnieje dość duże podobieństwo co do procesów informatycznych. Istniejąca analogia pozwoliła na opracowanie standardów, które pokazują, jak modelowo powinna wyglądać ich implementacja w danej organizacji. Takimi standardami są opisywane w kolejnym rozdziale standardy SAC, COBIT, CMM, czy BS779954. W zależności od standardów wyróżnia się różną liczbę modelowych procesów związanych z technologią informatyczną. Najobszerniej ujmuje to COBIT, który dzieli 34 procesy informatyczne na cztery części: monitorowanie, planowanie i organizowanie, nabywanie i wdrażanie, 49 http://www.isaca.org [cit. 2005-06-30]. 50 http://www.ogc.gov.uk [cit. 2005-04-24]. 51 http://www.sei.cmu.edu/cmm/ [cit. 2005-17-12]. 52 http://www.iso.org [cit. 2005-07-12]. 53 Unikalność rozwiązań informatycznych, wynika chociażby z: różnic branżowych, regulacji prawnych, skali działania czy wielkości organizacji. Mariusz Zarzycki, mariusz_zarzycki@wsinf.edu.pl 20