W dobie społeczeństwa informacyjnego kwestia bezpieczeństwa informacji nie jest już kwestią wyboru. Podobnie jak zwracamy uwagę na bezpieczeństwo przechodząc przez ulicę musimy zwracać uwagę na bezpieczeństwo w korzystaniu i przetwarzaniu z informacji.

Data dodania: 2009-05-28

Wyświetleń: 2456

Przedrukowań: 0

Głosy dodatnie: 2

Głosy ujemne: 0

WIEDZA

2 Ocena

Licencja: Creative Commons

Bezpieczeństwo w ujęciu teleinformatycznym ma główne dwa aspekty:
• Bezpieczeństwo w sensie uniemożliwienia nieautoryzowanego dostępu do danych i nieautoryzowanego ich przetwarzania (np. wprowadzanie nieautoryzowanych zmian)
• Dostępność lub ciągłość działania – niewiele pożytku przychodzi z bezpiecznego systemu, z którego nie da się skorzystać.
O problemach w obszarze zabezpieczeń systemu teleinformatycznego możemy się przekonać na dwa sposoby:
• Gdy nastąpi awaria lub przełamanie zabezpieczeń
• Gdy przeprowadzimy audyt bezpieczeństwa
Oczekiwania na awarię nie polecam nikomu. Proponuję przeprowadzenie audytu bezpieczeństwa. Proponuję podejście metodologiczne – zastosowanie sprawdzonej metodyki MARION. Podejście to ograniczy możliwość pominięcia jakiegoś ważnego elementu systemu.
Metoda polega na odpowiedzi na pytania ankiety przyznając punkty w zakresie:
• Prawdopodobieństwo wystąpienia
• Znaczenie w ujęciu ciągłości działalności organizacji
• Znaczenie w ujęciu biznesowym (punktacja w tym obszarze ma znaczenie pomocnicze)
Ocena ryzyka
Ryzyko = Prawdopodobieństwo wystąpienia (C) * Znaczenie w ujęciu ciągłości działalności organizacji (B)

Prawdopodobieństwo wystąpienia (C):
0. Zagrożenie jest wysoce mało prawdopodobne.
1. Zagrożenie może wystąpić rzadziej niż raz w roku
2. Zagrożenie, które może się zdarzyć raz w roku
3. Zagrożenie, które może wystąpić raz w miesiącu
4. Zdarzenie może wystąpić raz w tygodniu
5. Zagrożenie może wystąpić raz dziennie

Znaczenie w ujęciu ciągłości działalności organizacji (B):
0. Nieistotne
1. Mała lub duża transakcja nie dojdzie do skutku
2. Operacje biznesowe są niedostępne przez określony czas, utrata sprzedaży, zmniejszenie zaufania klienta (utrata klienta jest mało prawdopodobna)
3. Znacząca utrata operacji biznesowych lub zaufania klientów lub udziału w rynku. Klienci mogą być straceni
4. Katastrofa. Firma może przetrwać, ale znaczącym kosztem
5. Firma nie może przetrwać

Znaczenie w ujęciu biznesowym (A)
Ref. Znaczenie
Im1 Ujawnienie tajemnicy firmy, ujawnienie danych klientów, ujawnienie danych księgowych
Im2 Modyfikacja danych księgowych lub danych klientów
Im3 Atakujący podaje się za firmę lub jej klienta
Im4 Zła reklama dla firmy – haker ujawni naruszenie systemu bezpieczeństwa
Im5 Zła reklama dla firmy – dane o klientach zostały usunięte, zmodyfikowane, ujawnione
Im6 Zła reklama dla oddziału: Atakujący z zewnątrz użyje konkretnego oddziału, by uzyskać dostęp do sieci korporacyjnej
Im7 Znacząca dezorganizacja funkcji biznesowych
Im8 Znacząca dezorganizacja sieci.
Im9 Oszustwo
Im10 Utrata zaufania klientów (jeśli zakłócenia trwają dłuższy czas, pojawiają się często, klienci mogliby być straceni)
Im11 Firma mogłaby być oskarżona o łamanie prawa lub o brak należytej staranności
Im12 Spadek jakości świadczonych usług
Im13 Możliwy zysk konkurencji i przez to spadek sprzedaży
Im14 Sieć korporacyjna może być użyta jako baza do ataku innych firm
Im15 Sieć korporacyjna może być użyta do dystrybucji oprogramowania atakującego
Im16 Elektroniczne oszustwa


Ankieta
Zagrożenia ogólne

Zagrożenie Znaczenie (A) Znaczenie (B) Prawdopodobieństwo (C)
1. Ludzkie błędy
Przypadkowe uszkodzenie, zmiana, ujawnienie lub nieprawidłowe sklasyfikowanie informacji
Ignorancja: nieadekwatna świadomość wymogów bezpieczeństwa, brak wytycznych dot. bezpieczeństwa, brak odpowiedniej dokumentacji, brak wiedzy
Przeciążenie: zbyt dużo lub zbyt mało administratorów systemu. Użytkownicy wywierają zbyt duży nacisk
Użytkownicy mogą nieumyślnie przekazywać informacje o miejscach podatnych na atak
Nieprawidłowa konfiguracja systemu
Nieadekwatne security policy
Security policy nie są przymusowe
Audyt bezpieczeństwa mógł ominąć coś istotnego lub po prostu się pomylił
2. Nieuczciwość: oszustwo, kradzież, defraudacja, sprzedaż poufnych informacji firmy
3. Atak socjotechniczny
Atakujący może przez telefon podać się za pracownika firmy i prosić innego pracownika lub administratora o podanie hasła oraz użytkownika itp.
Atakujący może prosić o uruchomienie „trojana”
4. Nadużycie uprawnień / zaufania
5. Nieuprawnione użycie otwartych stacji roboczych
6. Wprowadzenie nieautoryzowanego oprogramowania lub sprzętu
7. Bomby zegarowe: program ustawiony na zniszczenie systemu o określonym czasie.
8. Błędy systemu operacyjnego – niektóre systemy nie są zaprojektowane pod kątem bezpieczeństwa (win 98)
9. Błędy protokołu komunikacji: niektóre protokoły nie są projektowane, by być wyjątkowo bezpieczne, co może spowodować:
Source routing, DNS spoofing, TCP sequence guessing è unauthorised access is achievable
hijacked sessions and Authentication session / transaction replay are possible è Data is changed or copied during transmission
Denial of service, due to ICMP bombing, TCP_SYN flooding, large PING packets, etc
10. Bomby logiczne: programy ustawione w taki sposób, aby spowodować zniszczenie danych po spełnieniu określonych warunków
11. Wirusy

Zagrożenia wynikające z identyfikacji/autoryzacji
Zagrożenie
1. Atak programu „podającego się” za normalny program
2. Atak sprzętowy „udającego” normalny sprzęt
3. Atak z zewnątrz z podawaniem się za autoryzowanego użytkownika
4. Atak z wewnątrz z podaniem się za autoryzowanego użytkownika
5. Atakujący podający się za obsługę help desku

Zagrożenia związane z niezawodnością systemów

Zagrożenie
1. Uszkodzenia naturalne (pożar, powódź, przerwa w dostawie energii elektrycznej itp.)
2. Mniej naturalne uszkodzenia lub krótkotrwałe
3. Zagrożenia wynikające z działalności ludzi (wojna, atak terrorystyczny itp.)
4. Zepsucie się sprzętu, okablowania strukturalnego lub komunikacji
5. „Odmowa współpracy”
Nadużywanie sieci: nieprawidłowe użycie protokołu rootingu prowadzące do „pomyłki” systemu
Przeładowanie systemu
Bombardowanie e-mail’ami
Ściąganie lub przyjmowanie pocztą złośliwych kodów
6. Sabotaż: Złośliwe (zamierzone) uszkodzenie informacji lub sprzętu do przetwarzania informacji
Fizyczne uszkodzenie sieci
Fizyczne uszkodzenie stacji roboczych
Uszkodzenia wynikające z przepięć zwarć itp.
Kradzież
Umyślne spowodowanie przepięć, zwarć lub wyłącznie zasilania
Wirusy
Kasowanie krytycznych plików systemowych

Naruszenie prywatności

Zagrożenie
1. Podsłuchiwanie
Podsłuch elektromagnetyczny (urządzenia emitują fale, które mogą być wykryte i odtworzone)
Podsłuch telefoniczny
Podsłuch sieci
Przekierowanie DNS, maili lub innego ruchu
Przeglądanie informacji z cache w aplikacji klienta
Podsłuch sygnału radiowego (telefony bezprzewodowe itp.)
Atakujący może przeglądać kosze na śmieci. Często można uzyskać tą drogą cenne informacje. Czy wszystkie poufne dokumenty są prawidłowo niszczone?

Zagrożenia utraty integralności

Zagrożenie
1. Złośliwe uszkodzenie informacji ze źródeł zewnętrznych
2. Złośliwe uszkodzenie informacji ze źródeł wewnętrznych
3. Umyślna modyfikacja danych

Zagrożenia wynikające z kontroli dostępu

Zagrożenie
1. Złamanie hasła: dostęp do pliku z hasłem lub użycie złego hasła (puste, łatwe do odgadnięcia)
2. Dostęp z zewnątrz do plików z hasłami lub podsłuch sieci
3. Atak programem pozwalającym na dostęp do systemu (backdoor)
4. Niebezpieczne ustawienia systemu (np. deweloperski dostęp)
5. Proste podłączenie modemu pozwalające na niekontrolowane „rozbudowanie” sieci.
6. Błędy w oprogramowaniu mogą otworzyć nieznaną/nieoczekiwaną lukę w bezpieczeństwie. Luka może być wykorzystana do uzyskania dostępu z zewnątrz do sieci lokalnej
7. Nieautoryzowany fizyczny dostęp do systemu

Zagrożenie odmowy
Zagrożenie
1. Adresat poufnej informacji może odmówić potwierdzenia jej otrzymania
2. Autor poufnej informacji może odmówić potwierdzenia jej źródła

Zagrożenia legalności
Zagrożenie
1. Niestosowanie się do wymogów prawa (np. ochrona danych osobowych)
2. Prawo zabrania rozpowszechniania niektórych treści (rasizm, faszyzm, pornografia itp.). Firma jest odpowiedzialna jeśli pracownicy lub nawet atakujący posłużą się systemem do rozpowszechniania takich treści.
3. Użytkownicy systemu atakują inne systemy. Czy firma odpowiada za uszkodzenia innych systemów jeśli zaatakuje je pracownik?

Przedstawiona metodologia słuzy do oceny ryzyka i w pierwszej kolejności nalezy zająć się eliminacją przyczyn powstania zagrożenia w obszarach, które uzyskały najwięcej punktów.
Audyt nalezy przeprowadzać okresowo - minimum raz w roku.
Licencja: Creative Commons
2 Ocena