OPRACOWANIE PROCEDUR BEZPIECZEŃSTWA SYSTEMÓW INFORMATYCZNYCH I OCHRONY DANYCH W MŚP
SYSTEM INFORMACYJNY System informacyjny można określid jako posiadającą wiele poziomów strukturę pozwalającą użytkownikowi na przetwarzanie, za pomocą procedur i modeli, informacji wejściowych w wyjściowe. Natomiast system informatyczny jest wydzieloną, skomputeryzowaną, częścią systemu informacyjnego. Kisielnicki J., Sroka H., Systemy informacyjne biznesu. Informatyka dla zarządzania, Placet, Warszawa 2005
SYSTEM INFORMATYCZNY Na systemy informatyczne składają się takie elementy jak: sprzęt oprogramowanie zasoby osobowe ludzie
SI - SPRZĘT urządzenia służące do przechowywania danych urządzenia służące do komunikacji między sprzętowymi elementami systemu urządzenia służące do komunikacji między ludźmi a komputerami urządzenia służące do odbierania danych ze świata zewnętrznego nie od ludzi (na przykład czujniki elektroniczne, kamery, skanery) urządzenia służące do wywierania wpływu przez systemy informatyczne na świat zewnętrzny elementy wykonawcze (na przykład silniki sterowane komputerowo, roboty przemysłowe, podłączony do komputera ekspres do kawy, sterowniki urządzeo mechanicznych) urządzenia służące do przetwarzania danych nie będące komputerami
SI - OPROGRAMOWANIE systemy operacyjne i usługi narzędziowe aplikacje użytkowe
CO TO JEST BEZPIECZEŃSTWO? System komputerowy jest bezpieczny, jeśli jego użytkownik może na nim polegać, a zainstalowane oprogramowanie działa zgodnie ze swoją specyfikacją. Simson Garfinkel, "Practical Unix and Internet Security", II ed., O'Reilly, 2003
CZYLI? W myśl tej definicji, możemy system uznać za bezpieczny, jeśli np. można od niego oczekiwać, że wprowadzone na stałe dane nie zostaną utracone, nie ulegną zniekształceniu i nie zostaną pozyskane przez nikogo nieuprawnionego - ufamy, że system będzie przechowywał i chronił dane.
WIARYGODNOŚĆ Bezpieczeostwo jest elementem szerszego kontekstu, nazywanego wiarygodnością systemu komputerowego. W kontekście tym wyróżnia się w sumie cztery atrybuty wiarygodności: System wiarygodny = dyspozycyjny (available) = dostępny na bieżąco niezawodny (reliable) = odporny na awarie bezpieczny (secure) = zapewniający ochronę danych pewny (safe) = bezpieczny dla otoczenia, przyjazny dla środowiska
ZAGROŻENIA BEZPIECZEŃSTWA włamanie do systemu komputerowego nieuprawnione pozyskanie informacji (socjotechnika) destrukcja danych i programów sabotaż (sparaliżowanie pracy) systemu kradzież oprogramowania oszustwo komputerowe i fałszerstwo komputerowe szpiegostwo komputerowe
PRZYKŁAD KASOWANIE NIEUŻYWANYCH NOŚNIKÓW Na 100 dysków kupionych na giełdzie, 25 zawierało: 118 klauzul poufności Bazy klientów (18 365 rekordy s dokładnymi danymi osobowymi) Trzy strategie marketingowe 12 budżetów firmowych 687 różnego rodzaju umów
PRZYKŁAD PAMIĘCI PRZENOŚNE SanDisk: uwaga na pamięci przenośne! Dane firmowe na osobistych pendrive: Dane klientów i pracowników, informacje finansowe plany biznesowe i marketingowe, kody,... 12% badanych znalazło pendrive a! 55% z nich obejrzało dane Wnioski ogólne: Zróżnicowany poziom świadomości Konieczna lepsza edukacja Brak istnienia/znajomości polityki bezpieczeostwa
PRZYKŁAD PAMIĘCI PRZENOŚNE Według analityków Gartnera 47 proc. danych korporacyjnych przechowywanych jest na urządzeniach przenośnych, głównie na popularnych kluczach USB.
STRATEGIA BEZPIECZEŃSTWA Co chronid? Przed czym chronid? Polityka bezpieczeostwa zaprojektowanie zaimplementowanie zarządzanie (w tym monitorowanie i okresowe audyty bezpieczeostwa)
Prawne Sieci Osobowe Obszary realizowania polityki bezpieczeostwa w systemie informatycznym Dostępu zdalnego Serwerów Bezpieczeostwo Stacji roboczych Analiza ciągłości działania
KOMPUTER - ELEMENTARNA OCHRONA uniemożliwienie startowania systemu z nośników wymiennych ograniczenie wykorzystania przestrzeni lokalnych dysków twardych ograniczenie stosowania nośników wymiennych (stacje dyskietek, porty USB i in., nagrywarki) rejestracja prób dostępu do systemu i ich limitowanie (kontrola, kto i kiedy korzystał z systemu) bezpieczne kasowanie poufnych danych uniemożliwienie usunięcia / wyłączenia zabezpieczeo, np. antywirusowych konsekwentna polityka haseł użytkowników
WYZWANIE Wzrost poziomu bezpieczeostwa odbywa się kosztem wygody. Użytkownicy systemu pragną przede wszystkim efektywności i wygody swojej pracy.
ZADANIE PROBLEMOWE W rozważanym przypadku zadanie polega na zmodernizowaniu istniejącego i funkcjonującego systemu informatycznego. Modernizacji podlegad będą urządzenia sieciowe, komputerowe, a także użytkowane oprogramowanie. Podjęte działania mają doprowadzid do zwiększenia bezpieczeostwa systemu oraz do jego modernizacji i wyższej dostępności (np. poprzez możliwośd pracy zdalnej).
ISTNIEJĄCA INFRASTRUKTURA Istniejąca infrastruktura systemu składa się z następujących elementów: starej generacji komputer klasy PC zainstalowanym systemem Novell, pełniący rolę serwera aplikacji i danych, zabezpieczony zasilaczem awaryjnym kilka stanowisk klienckich, na których używane są aplikacje bazodanowe, zabezpieczone kluczem USB pracujący w środowisku DOS program magazynowo-sprzedażowy autorski program bazodanowy dwa urządzenia drukujące jedno z interfejsem sieciowym, drugie bez niego prosta sied komputerowa, przełącznik, router WiFi kilka urządzeo mobilnych (laptopów), w przyszłości telefon typu smarthone lub tablet
ROZWIĄZANIE Serwer z systemem Windows 2008 Foundation Gigabitowy router WiFi, umożliwiający szyfrowane połączenia VPN, tworzenie podsieci dla gości oraz pracujący w standardzie 802.11n Serwer druku umożliwiający podłączenie urządzenia drukującego bez wbudowanego interfejsu sieciowego do struktury sieci LAN Dysk sieciowy NAS, umożliwiający składowanie kopii zapasowych w sieci, dostępny dla każdego stanowiska komputerowego Zasilacze awaryjne UPS dla każdego stanowiska komputerowego i urządzeo sieciowych oraz zabezpieczenia na wypadek skoku napięcia dla drukarek
SCHEMAT
ZABEZPIECZENIE - PROPOZYCJE
KOMPUTERY MOBILNE szyfrowanie dysków twardych (wysokie ryzyko kradzieży komputera) minimalizację przechowywanych na nich danych wrażliwych bardziej zaostrzoną politykę wykonywania kopii ważnych plików, także systemu (większe zagrożenie uszkodzenia wynikające z możliwości upadku, zalania itp.) bezpieczna konfigurację sieci bezprzewodowej (stosowanie profili dla sieci publicznej)
KOMPUTERY STACJONARNE zabezpieczenie obudowy komputera przed nieautoryzowanym otwarciem wyeliminowanie podatności związanych z brakiem zasilania poprzez stosowanie zasilaczy awaryjnych UPS odpowiednie zabezpieczenie przewodów zasilających, sieci komputerowej przed przypadkowym lub celowym wypięciem zabezpieczenie gniazd obudowy w celu wyeliminowania wpinania nieautoryzowanych urządzeo (np. pamięci z zainfekowanymi plikami, czy też urządzeo z własną pamięcią tzw. keylogger ów wpinanych pomiędzy klawiaturę a komputer w celu przechwycenia wpisywanych przez użytkownika znaków)
SERWER wyznaczenie administratora odpowiedzialnego za serwer zdefiniowanie procedury administracji serwerem w przypadku nieobecności administratora (sytuacja w której przypadkowi pracownicy znają hasło do systemu jest niedopuszczalna) dostęp do serwera powinien byd realizowany w sposób zdalny logowanie lokalne powinno byd ograniczone do minimum serwer powinien byd przechowywany w odrębnym, bezpiecznym pomieszczeniu, w odpowiednich warunkach fizycznych, z jasno zdefiniowanymi zasadami kto może do tego pomieszczenia wchodzid należy zadbad o zasilanie awaryjne, a także o procedurę działania w momencie awarii serwera (odpowiednie umowy serwisowe)
ROUTER zastosowanie silnych algorytmów szyfrowania danych (WPA2-PSK, WPA2-Enterprise) filtrowanie adresów fizycznych kart sieciowych (MAC) urządzeo współpracujących w sieci wyłączenie rozgłaszania SSID utworzenie podsieci dla gości
SYSTEM OPERACYJNY - KLIENT zastosowanie do formatowania dysków systemu plików NTFS. Jest on niezbędny do wprowadzania zabezpieczeo plików i folderów zdefiniowanie (o ile to jest możliwe) odrębnej partycji dla systemu operacyjnego zastosowanie polityki haseł użytkownik powinien pracowad na koncie z ograniczonymi uprawnieniami w systemie operacyjnym stosując uprawnienia do plików bądź katalogów należy stosowad zasadę minimalnych uprawnieo. Należy pamiętad, że zbyt wąskie uprawnienia mogą byd równie szkodliwe jak uprawnienia zbyt szerokie należy przekierowad standardowe foldery zapisu danych (np. Moje dokumenty) na inną niż systemowa partycję. Zwiększy to bezpieczeostwo danych i ułatwi generowanie kopii zapasowej. Umożliwi także łatwe zabezpieczenie danych za pomocą funkcjonalności dziedziczenia uprawnieo
SYSTEM OPERACYJNY - KLIENT bazy poczty elektronicznej należy przekierowad na inną niż systemową partycję (jeżeli jest taka możliwośd, zastosowad konta pocztowe stosujące protokoły IMAP, listy odebrane i co najważniejsze wysłane będą przechowywane na serwerze pocztowym poza komputerem klienckim) na dysku sieciowym (NAS) należy utworzyd foldery, do których będą zapisywane dane poszczególnych użytkowników należy zwrócid szczególną uwagę na pliki umieszczone na pulpicie systemu operacyjnego. Jeśli nie ma możliwości zablokowania możliwości zapisu danych na pulpit, to należy starad się umieszczad na nim skróty do plików i folderów. W ten sposób uniknie się przeładowania profilu użytkownika i dublowania plików, co może doprowadzid do wystąpienia braku integralności w systemie plików ustawienie maksymalnej przestrzeni dyskowej na komputerach klienckich do wykorzystania przez określonego użytkownika (tzw. quota dyskowa)
SYSTEM OPERACYJNY - SERWER konfiguracja protokołu TCP/IP, zaleca się użycie stałego adresu IP serwera oraz DNS ustawienie reguł zapory (połączenia wychodzące i wchodzące), programu antywirusowego definicja inspekcji (monitorowanie dostępu do wybranych folderów umiejscowionych na serwerze) zastosowanie narzędzia WSUS do zarządzania poprawkami dla systemów operacyjnych w całej sieci
SYSTEM OPERACYJNY - SERWER zdefiniowanie zasad zabezpieczeo lokalnych: zasad haseł dostępu zdalnego dostępu do nośników zewnętrznych wyłączenie zbędnych usług i portów zdefiniowanie dostępu poprzez zdalny pulpit, określenie użytkowników dopuszczonych do tej usługi, zasad dostępu do niej
UŻYTKOWNICY podstawowa wiedza o zagrożeniach w sieci: fałszywe strony podejrzane strony (mogące zawierad złośliwy kod) phishing wirusy certyfikaty i szyfrowanie (dane w formularzach) strony bankowe (lub inne bezpieczne) Ewakuacja co zabrad? kopia danych (NAS) dokumenty papierowe
UŻYTKOWNICY klient w firmie (dokumenty, serwer, sied) klient przez telefon (co mogę powiedzied) Ustawa o ochronie danych osobowych
PODSUMOWANIE Nie istnieje absolutne bezpieczeostwo. Napastnik na ogół nie pokonuje zabezpieczeo, tylko je obchodzi (aktualizacje). Nie należy pokładad zaufania w jednej linii obrony. Złożonośd jest najgorszym wrogiem bezpieczeostwa. System dopóty nie jest bezpieczny, dopóki nie ma pewności że jest.