Jak zapewnić bezpieczeństwo danych w firmie?
Michał Chodnicki
Kilkanaście lat temu przedsiębiorstwa posiadały hermetyczne systemy informatyczne, w większości mające własną, odseparowaną sieć. Były więc mniej podatne na działania związane z pozyskaniem danych przez osoby nieuprawnione. W dobie wszechobecnej informatyzacji pojawia się coraz więcej zagrożeń bezpieczeństwa. Ochrona danych przesyłanych w sieciach komputerowych należy do najważniejszych zadań nie tylko pracowników działów IT.
Fundamentalnym pojęciem związanym z bezpieczeństwem, które nie powinno być obce kadrze zarządzającej przedsiębiorstwem, jest System Zarządzania Bezpieczeństwem Informacji (SZBI), czyli szczegółowo opracowany plan działania w zakresie zapewnienia właściwej ochrony informacji. Jego podstawowymi założeniami są analiza, planowanie, wykonanie, sprawdzenie oraz zapewnienie ciągłego doskonalenia podjętych działań i procedur w celu optymalizacji ryzyka związanego z naruszeniem poufności, zgodnie z zaleceniami normy ISO 27001.
Dane w firmie są istotnymi zasobami zarówno dla niej, jak i jej klientów. Celem polityki bezpieczeństwa jest zapewnienie ochrony zasobów danych, rozumianej jako ochrona ich integralności, dostępności oraz poufności bez względu na formę zapisu. Uwzględnienie regulacji prawnych i wymogów biznesowych, przy jednoczesnej rzetelnej ochronie informacji to klucz do wzmocnienia pozycji firmy na rynku, odbieranej przez potencjalnych klientów jako rzetelna i godna zaufania.
Na jakie elementy systemów sieciowych w aspekcie bezpieczeństwa warto zwrócić uwagę? Najsłabsze ogniwo nie ma tu niestety bezpośredniego związku z technologią – tym ogniwem są pracownicy. Wystarczy hasło zapisane na kartce przyczepionej pod monitorem, hasło do sieci wydrukowane i powieszone na ścianie, „bo ciągle ktoś o nie pyta” czy też poufne dane nagrane na dysk przenośny, by można było coś jeszcze z nimi zrobić w domu…
Takie sytuacje z punktu widzenia bezpieczeństwa danych są niedopuszczalne. Zdarzają się jednak zbyt często, i to nie tylko w małych czy średnich firmach. Wprowadzenie i przestrzeganie procedur zawartych w SZBI nabiera szczególnego znaczenia. Trzeba pamiętać, że zasoby, które staramy się chronić, będą tak bezpieczne, jak najsłabsze ogniwo pancerza, którym je otaczamy.
Kolejnym ważnym czynnikiem jest oprogramowanie systemowe i uprawnienia użytkowników. Przy wyborze systemu nie mamy niestety wielkiego pola manewru, jednak niezależnie od platformy, na którą się zdecydujemy, musimy zapewnić firmie spójną politykę bezpieczeństwa, minimalizując w ten sposób luki w systemie. Budując system informatyczny, należy zakładać uprawnienia oparte na rolach. Każdy użytkownik powinien posiadać tylko i wyłącznie takie uprawnienia, jakie są mu niezbędne do wykonywania powierzonych zadań. W przypadku oprogramowania pracującego na produkcyjnych systemach operacyjnych żaden ze „standardowych” użytkowników nie powinien mieć uprawnień do instalowania lub aktualizacji oprogramowania. Ograniczenie dostępu do określonych zasobów najłatwiej przeprowadzić w środowisku domenowym, gdzie prawa dostępu zostaną przypisane do wszystkich stacji roboczych, wykorzystując ustanowione przez nas reguły.
Bardzo istotna jest dbałość o aktualizacje zabezpieczeń przewidzianych do danego systemu operacyjnego oraz wybór odpowiedniego systemu antywirusowego. Niekiedy aktualizacje systemowe mogą zakłócić działanie innych programów, może dojść do konieczności restartu systemów operacyjnych i oprogramowania procesowego.
Warto korzystać z takich rozwiązań, jak wirtualizacja i redundancja, które w znacznym stopniu ograniczają skutki uboczne wynikające z przerw lub ewentualnych awarii, jak również próby pozyskania danych przez osoby do tego nieupoważnione. Bez względu jednak na to, jak dobrze sieć wydaje się zabezpieczona, o skuteczności tej ochrony przekonamy się dopiero po bezpośredniej próbie ataku.
Oprócz wspomnianej wcześniej kartki z zapisanym hasłem pozostawionej pod monitorem użytkownik komputera może paść ofiarą próby wyłudzenia danych (phishing). Niestety wracamy do najsłabszego ogniwa w postaci samych użytkowników. Nawet najbardziej zaawansowany program strzegący stacji roboczej nie uchroni przed kłopotami, jeśli nie zachowamy zdrowego rozsądku. Możliwości ataków na sieć, system czy zasoby baz danych jest wiele. Można je podzielić na ataki wewnętrzne, zewnętrzne, rozproszone lub dokonane przy użyciu węzłów pośrednich.
Niektóre z nich, np. mające na celu kradzież tożsamości, danych finansowych czy innych poufnych danych, mogą być wykonywane na zlecenie. Ten scenariusz raczej nie dotyczy małych i średnich przedsiębiorców. W takich przypadkach większym zagrożeniem będzie ciekawość atakującego, czasem chęć sprawdzenia swoich umiejętności. I właśnie chęć sprawdzenia swoich umiejętności często prowadzi do ataków takich jak zmiany czy wykasowanie danych bezpośrednio na komputerze ofiary czy też ataki DoS (Ping of Death) w celu blokady usług. Spamowanie skrzynek poczty elektronicznej to również zmora dzisiejszych czasów.
Osoby pragnące sprawdzić się w roli hakera zazwyczaj nie są świadome konsekwencji swoich czynów, w tym także odpowiedzialności karnej. Dlatego tak istotna jest nie tylko szeroko zakrojona edukacja na poziomie zabezpieczania przed potencjalnymi atakami, ale także uświadamianie konsekwencji tego typu działań.
Na etapie projektowania czy późniejszej rozbudowy infrastruktury sieciowej w firmie nie można zapomnieć o poprawnej konfiguracji narzędzi mających za zadanie pomoc w zapobieganiu nieautoryzowanemu dostępowi do jej zasobów. Oprogramowanie antywirusowe, spyware, adware to nie wszystko. Elementy sieci, takie jak zapory ogniowe czy systemy IDS, powinny być konfigurowane i administrowane jedynie przez osoby upoważnione, posiadające odpowiednią wiedzę umożliwiającą bezpieczną konfigurację, przy zachowaniu pełnej funkcjonalności systemów firmy dla wszystkich pracowników, w tym pracujących zdalnie na poufnych zasobach danych.
Mówiąc o bezpieczeństwie, nie można pominąć zagadnienia związanego z kopiami zapasowymi. Redundancja i wirtualizacja w znacznym stopniu ułatwiają procesy kopiowania i przywracania danych. Polityka kopii zapasowych jest jedną ze składowych SZBI. Kopie zapasowe powinny być wykonywane z zachowaniem historii dokonywanych zmian, a więc zgodnie z hierarchią GFS (dziadek – ojciec – syn). Poziom „syn” oznacza dni tygodnia, w których jest wykonywana kopia przyrostowa; poziom „ojciec” – tygodnie miesiąca, w których jest wykonywana pełna kopia; poziom „dziadek” to z kolei liczba miesięcy, na koniec których jest wykonywana pełna kopia całej zawartości wskazanych zasobów. Kopie zapasowe w zależności od polityki firmy mogą być przechowywane na zewnętrznych nośnikach lub w chmurze. Zawsze jednak powinny pozostawać odpowiednio zabezpieczone, najlepiej zaszyfrowane, np. przy użyciu algorytmu 3DS.
Niezależnie od tego, z jakich zasobów sieciowych korzystamy na co dzień, należy pamiętać, że coraz więcej czasu spędzamy w cyfrowym świecie, umieszczamy w nim również mnóstwo prywatnych informacji. Informacje te wykorzystane przez niepowołane osoby mogą przysporzyć wielu problemów – o tym zdają się wiedzieć wszyscy. Nie wszyscy jednak przestrzegają podstawowych zasad bezpieczeństwa, które przyswajają sobie, ale z reguły już po fakcie.
Zalecenia dotyczące bezpieczeństwa – oprócz zawartych w procedurach firm – są umieszczane na portalach społecznościowych czy forach internetowych. W znacznym stopniu poszerza to grono świadomych użytkowników, którzy wiedzą, co i kiedy im wolno, a czego nie.
Wiedza oparta na radach i zaleceniach jest zawsze łatwiej przyswajana niż bazująca na zakazach i nakazach. Jej posiadanie jest najlepszą drogą do tego, aby w cyfrowej rzeczywistości uniknąć zagrożeń – żadne, nawet najlepsze technologie nie zastąpią zdrowego rozsądku użytkownika.
Michał Chodnicki
Z branżą IT związany od ponad 20 lat. Realizował liczne projekty obejmujące bezpieczeństwo danych dla takich instytucji, jak Uniwersytet Warszawski, AmRest czy ambasada Kanady. Od 2011 r. pracuje w TP-Link Polska jako szef działu technicznego na Polskę, Węgry i kraje bałtyckie.