SAP Global
SAP MAG 29, prosinac 2005.
Kontaktirajte SAP online ili
nazovite +(01)-4820-400
 
     
 

naslovnica | pošalji članak | ispis

Big Brother u IT sustavu

Notorni hacker Kevin Mitnick s razlogom tvrdi da je čovjek najslabija karika u lancu računalne sigurnosti. IT sustavi očito zahtijevaju čvrst nadzor aktivnosti djelatnika, no pitanje je gdje završava sfera sigurnosti i započinje zadiranje u ljudske slobode.

Piše: Robert Gelo robert@prospekto.com.hr

Problem sigurnosti računalnih sustava, o kojem se u posljednje vrijeme puno govori i piše, gotovo isključivo se doživljava kao čisto tehnološko pitanje. No, činjenica je da najslabiju točku računalne sigurnosti predstavljaju ljudi koji se koriste informacijskim sustavima. U tom smislu najranjivije su tvrtke s većim brojem djelatnika koji, često nehotice, na banalne načine ugrožavaju sigurnost i produktivnost. Dovoljno je da samo jedan djelatnik, koristeći Internet ili otkrivajući povjerljive podatke, ugrozi cjelokupno poslovanje tvrtke u kojoj rade stotine ili tisuće ljudi.

Socijalni inženjering učinkovitiji od tehničkog hackinga

Razmišljajući i raspravljajući o sigurnosti IT sustava često zaboravljamo na činjenicu da su sigurnosni sustavi, zapravo, savršeni i neprobojni, ali da se u njih može neovlašteno upasti preko ovlaštene osobe koja, nehotice ili namjerno, otkrije povjerljive podatke. Pojam "socijalnog" hackinga danas predstavlja klasičnu kategoriju u informatici, a o njemu govori najpoznatiji haker na svijetu, Kevin Mitnick.

On je, svjedočeći pred Odborom za sigurnost vladinih računala SAD-a 2000. godine, sljedećim riječima opisao način na koji je neovlašteno ulazio u računalne sustave:

"Kada bih pokušavao ući u te sustave, prvo bih izvodio nešto što nazivam napadom socijalnog inženjeringa, što ustvari znači pokušaj manipulacije prijevarom preko telefona. U takvim napadima bio sam toliko uspješan da mi, zapravo, tehnički napadi nisu bili potrebni. Ljudska strana računalne sigurnosti može se jednostavno iskoristiti i sustavno je podcijenjena. Tvrtke ulažu milijune dolara u firewalle i uređaje za enkripciju i sigurni pristup, no to je bačen novac jer ni jedna od tih mjera ne rješava najslabiju kariku sigurnosnog lanca".

Danas, više od deset godina nakon Mitnickovih napada, sigurnosni sustavi su savršeniji, a agenti u call centrima svjesniji opasnosti i neće samo tako odati lozinku za ulaz u sandučiće e-pošte. Ipak, čovjek i dalje ostaje najslabija karika u Mitnickovom lancu.

Opasna web kamera

Analitičar Robin Bloor poslužio se, pak, banalnim primjerom iz jedne male tvrtke. Tamo su, naime, utvrdili da je njihova širokopojasna veza zagušena i da jedno jedino računalo, od šezdesetak umreženih, troši čak 40% ukupnih internetskih resursa. Pronašli su računalo koje je zagušivalo propusnost veze, ali isprva nisu mogli dokučiti zbog čega se to događa. No kada su, posve slučajno, primijetili malu web kameru spojenu na računalo, koju je djelatnica sama instalirala kako bi se mogla vidjeti s prijateljima, sve je bilo jasno. Web cam je, naravno, odmah uklonjen, a neiskusna djelatnica, koja nije bila svjesna da mala naprava troši tako veliku količinu resursa, izvukla se s opomenom.

Očito je da većina djelatnika nije svjesna posljedica koje njihovi, naizgled beznačajni potezi mogu imati na funkcioniranje čitavog IT sustava u tvrtki. Također, očito je da je jedini odgovor na probleme ovakve vrste uspostavljanje čvrste i kvalitetne politike korištenja IT resursa u tvrtki. Definiranje takve politike, samo po sebi, ne jamči sigurnost sustava ukoliko se ona kvalitetno ne primjeni u svim dijelovima tvrtke. Zbog toga je potrebno uspostaviti i kvalitetan sustav nadzora aktivnosti svih korisnika IT sustava.

U iščekivanju crvene uzbune

Bilo koja aktivnost, koja nije odobrena temeljem takve IT politike, može prouzrokovati značajne probleme, ne samo u smislu trošenja resursa već i sigurnosti čitavog sustava. Mnoge tvrtke nisu ni svjesne što njihovi djelatnici u pozadini svojih radnih zadataka rade s računalima. Dovoljna je samo jedna web kamera za usporavanje poslovanja tvrtke, a samo jedna aktivna P2P veza može ugroziti sigurnost čitavog IT sustava jer se kroz nju neprimjetno (kroz "stražnja vrata") infiltriraju virusi i spyware. Među velike potrošače resursa ubrajaju se i internetske igre koje su sve popularnije u čitavom svijetu. Možda je najveći izvor zaraze virusima e-pošta koja, ako je koristi nedovoljno educirani djelatnik, može postati idealnim sredstvom za širenje virusa i spama te generiranje ogromnih gubitaka.

Nitko ne može sustavno i neprekidno nadzirati aktivnosti svojih djelatnika bez ugrožavanja svakodnevnog poslovanja. Cjeloviti nadzor zahtijeva potpuno posvećivanje problemu i oduzima dragocjeno vrijeme. Umjesto toga, potrebno je implementirati kvalitetan sigurnosni sustav i njime se baviti tek kada se oglasi alarm.

Konstantna i kvalitetna edukacija djelatnika u najmanju ruku jednako je važna kao implementacija najboljih i najskupljih sigurnosnih sustava. Svi djelatnici koji su ovlašteni za pristup resursima i podacima moraju biti svjesni posljedica koje može prouzrokovati svaka banalna i bezazlena aktivnost ako se ne odvija u skladu sa sigurnosnom politikom.

Ravnoteža između sigurnosti i privatnosti

No, dok je s jedne strane moguće kruto propisivati što svaki pojedini djelatnik smije, a što ne smije raditi dok se koristi IT sustavom, s druge strane treba paziti na njegova prava, odnosno zaštititi njegovu privatnost. Tanka granica između legitimnog nadzora aktivnosti i zadiranja u prava djelatnika više je stvar filozofske rasprave nego postavljanja egzaktnih i neupitnih pravila. Zato je i odluka o pravilima korištenja IT sustava političke, a ne tehničke naravi.

Zbog toga, odgovornost nadzora korištenja IT sustava ne smije biti samo na IT odjelu, već se tim problemom treba pozabaviti i rukovodstvo tvrtke, u suradnji s kadrovskom službom. IT profesionalci mogu ponuditi najbolje načine zaštite sustava i nadzora aktivnosti, no politiku mora odrediti menadžment tvrtke, koji je istovremeno i najodgovorniji za sve pozitivne i negativne posljedice takvog monitoringa. To istovremeno znači da ovlasti za, primjerice, blokiranje pristupa Internetu, ne smiju biti u nadležnosti mrežnog administratora, već da ovakve odluke mora donijeti netko iz Uprave. Isto tako, jednako je važna sposobnost priopćavanja i komunikacije na relaciji menadžment – djelatnici. Usvoji li rukovodstvo kvalitetnu politiku, a ne uspije je kvalitetno prenijeti djelatnicima, na način da oni zaista razumiju posljedice svojih aktivnosti, zapravo se nije ništa napravilo po pitanju sigurnosti tvrtke.

 

 
 

Copyright/Trademark  |  Privacy  |  Impressum