Bezpieczeństwo w sieci coraz ważniejsze
Kiedy internet powstawał w Stanach Zjednoczonych w latach 60., bezpieczeństwo tej sieci było nieistotne.Naukowcy współpracujący ze sobą w ramach ARPA-net byli wśród przyjaciół, a i system przecież był małyi zamknięty ? ledwie kilkadziesiąt komputerów rozrzuconych od Waszyngtonu po Palo Alto. Nikomu wtedy nie przyszło do głowy, by zabezpieczać się przed intruzami. Dziś z kolei nikomu nie przyjdzie do głowy, by niezabezpieczyć serwera internetowego, a przynajmniej tak by się wydawało. Co się zmieniło?
Późne lata 80. otworzyły internet dla firm komercyjnych, powstała WWW, e-mail dla mas (i szkół), zakupy przez internet, seks przez internet, pomysły na wirtualne firmy i firmy wirtualnych produktów. Zaczęły się pieniądze i pierwsze próby rebelii. Po pierwszych włamaniach do praktycznie otwartych witryn WWW, po pierwszych grafitti innych witryn, bezpieczeństwo w internecie zaczęło być czymś ważnym. Pojawiły się pierwsze firmy zabezpieczające przed hakerami i firmy hakerów oferujących ?opiekę? i ochronę przed innymi hakerami. Sądząc po fenomenalnych rezultatach na Nasdaq takich firm zajmujących się bezpieczeństwem informacji jak Checkpoint (CHKP), Internet Security Systems (ISSX) czy Cisco (CSCO), rynek inwestycyjny uwiarygodnił sens i potrzebę zabezpieczenia sieci. Rynek ten też powinien się bezlitośnie objeść z tymi, którzy takie zabezpieczania zlekceważyli i ?pozwolili? sobie na włamania. Paradoksalnie tak się jeszcze nie dzieje. Ostatni zmasowany atak na Yahoo, eBay czy Amazon podniósł w rezultacie notowania tych firm na Nasdaq w trakcie i po ataku. Okazało się, że owe wirtualne sztandary sukcesu e-biznesu zjednoczyły się w potrzebie i wręcz promowały fakt ataku. Stało się to sukcesem propagandowym i marketingowym. Pierwsze strony gazet mówiły o nich, drukowały ich URLe (adresy internetowe), CNN rozmawiał z ich prezesami w godzinach największej oglądalności. Po chwili inne, pomniejsze firmy także rozsyłały informacje prasowe o ?atakach? na nie. Wszyscy chcieli być ważni. Po wielkiej ?wpadce? i sukcesie otwartości w przyznaniu się do błędu Tylenolu (zatrute tabletki w aptekach), jest to przykład jednego z większych marketingowych sukcesów wykorzystujących sytuację kryzysową do budowania pozytywnego wizerunku.Interesujące jest także to, że jakikolwiek masowy atak, spektakularne włamanie czy epidemia wirusa, jak w przypadku ostatniego morderczego ?ILoveYou?, generuje wieloprocentowe skoki firm zajmujących się dostarczaniem oprogramowania antywirusowego, firewalli, systemów wykrywania włamań itp. Ktoś kiedyś posunął się tak daleko, by zasugerować, że za większymi atakami na internet kryją się te właśnie firmy. Jest to o tyle absurdalne, że owe firmy doprawdy nie musiałyby się uciekać do takich kroków, gdyż samo życie niejako napędza im klientów.Hakerzy coraz groźniejsiWedług ankiety InformationWeek i PricewaterhouseCoopers z połowy 1999 roku, 48% badanych obwinia hakerów i infoterrorystów za incydenty w ich podłączonych do internetu sieciach. Jest to znaczny wzrost w stosunku do podobnej ankiety z 1998 roku, gdzie tylko 14% badanych wskazało hakerów jako źródło zagrożenia. Jedną z przyczyn tego wzrostu świadomości jest szersze zastosowanie (37% badanych) systemów wykrywania e-włamań (IDS, Intrusion Detection Systems) w korporacjach i wśród dostawców usług internetowych. Jeszcze inny powód to wzrost świadomości (nie)bezpieczeństwa wśród czołowych firm na rynku w Polsce i na świecie. Warto jednak sobie uświadomić, że corocznie liczba włamań do sieci wzrasta o 75%, jak twierdzi CERT, amerykański zespół szybkiego reagowania i monitowania zdarzeń w internecie.Co kieruje e-włamywaczami? Wydawać by się mogło, że powinna to być potrzeba uzyskania korzyści materialnych. Jest to niewątpliwie ważny i coraz ważniejszy czynnik. Jednakże nie jest on tym głównym. Badania społeczności hakerskiej kierują nas raczej w stronę poczucia kontroli i sprawdzenia się, często buntu przeciwko konserwateczywistości. A przede wszystkim jest to wyzwanie techniczne. Hakerom sprawia wielką satysfakcję możliwość spenetrowania banku, Kancelarii Prezydenta, Komendy Głównej Policji itp. Co ciekawe, dopóki nie zniszczą niczego po drodze, jest to proceder praktycznie niekaralny w Polsce (z wyjątkiem włamań do komputerów rządowych). Bywają przypadki hakerów tak mocno rozczarowanych poziomem zabezpieczeń, że gratisowo rekonfigurują system, by był bardziej bezpieczny lub informują administratorów (a często i prasę) o szczególnie drastycznych zaniedbaniach. Ważne jest, by takie informacje potraktować szczególnie poważnie i w takim wypadku skoncentrować się raczej na zabezpieczeniu systemu i minimalizacji szkód niż ściganiu owego elektronicznego Zorro. Jeśli zlekceważymy źródła naszych słabości, następnym razem dowiemy się o nich z pierwszych stron gazet.Dość poważne zagrożenie stanowią elektroniczni złodzieje kart płatniczych. Jest to wyjątkowo uciążliwy rodzaj przestępstwa internetowego, dotykającego zarówno indywidualnych właścicieli (długi proces reklamacji, zablokowane konto, wyprowadzone pieniądze w przypadku kart debitowych), banków (koszt wydania karty wynieść może do 250 USD) i wreszcie handlowców, którzy w rezultacie płacą za skradzione towary. Pomóc sobie można zaczynając od odmowy robienia transakcji kartami płatniczymi przez internet (mało praktyczne), po naleganie na szyfrowanie transakcji i weryfikację karty w czasie rzeczywistym.Banki celem atakówBanki są szczególnie uczulone na wzniesienie odpowiednich barier i środków bezpieczeństwa ich siedzib w internecie. Zakładają, podobnie jak w przypadku ich siedzib z okienkami, kolejkami i stemplami, że są i będą ofiarami włamań czy napadów. Polskie banki zabezpieczyły się tworząc wydzielone oddziały internetowe, używając tokenów do uwiarygodnienia wirtualnych klientów, tworząc specjalne zasady obsługi i nadzoru bankowości internetowej. Niestety, i tu jednak zdarzają się przypadki nieautoryzowanych przelewów w home banking, jak ten z zeszłego roku, gdzie z konta przedstawicieli koncernu samochodowego w Wielkopolsce wypłynęło ponad 200 000 złotych na kilka kont osobistych. Jako konsumenci zabezpieczyć się możemy przez absolutne niedzielenie się PIN-em z nikim, skanowaniu naszych komputerów na obecność takich koni trojańskich, jak Back Orifice (totalne zdalne sterowanie naszym komputerem i sczytywanie klawiszy), uważne przeglądanie wyciągów, a także przestudiowanie, jak się łączymy z bankiem. Dostawcy home banking mają jeszcze do dyspozycji testowanie nieprzenikalności i odporności ich systemów przez kontrolowaną penetrację z zewnątrz wykonaną przez reputowane firmy doradcze.?Ale ja nie mam nic cennego na mojej witrynie WWW?. Taki argument często pada, zanim zastanowimy się nad całościowym ryzykiem prowadzenia operacji w internecie. Sam fakt, że nasza witryna została przemianowana z Biura Prasowego Rządu na ?Heckpospolita Polska, Centrum Dezinformacyjne Rządu? (1997), może świadczyć o naszej niefrasobliwości, ignorancji, niekompetencji, a czasem łamaniu prawa, jeśli składujemy np. dane osobowe lub informacje niejawne.dokończenie na str. IIIdokończenie ze str. ICodziennie jedna z witryn hakerskich, HackerNews.com, zamieszcza kilkanaście skompromitowanych witryn z całego świata. Wszystkie ofiary włamań internetowych, szczególnie firmy finansowe, narażają swoją reputację i ryzykują utratę klientów. Pozostają jeszcze straty bardziej wymierne, jak praca obsługi czy konsultantów pomagających w ?sprzątaniu? po hakerach, niemożność prowadzenia działalności (nieczynna siedziba WWW), potencjalne problemy prawne (ktoś użył naszej siedziby do ataku na naszą konkurencję) czy wreszcie skradzione numery kart kredytowych klientów.Jak zapewnić bezpieczeństwo?Co mogą zrobić firmy świadczące lub zamierzające świadczyć usługi e-biznesowe, czyli przez internet, by zminimalizować ryzyko podobnych incydentów? Przede wszystkim uświadomić sobie, że bezpieczeństwo transakcji, osiągalność witryn, wiarygodność są niezbędnymi składnikami nowej rzeczywistości wirtualnej. Inaczej mówiąc, nie są wydatkiem, lecz inwestycją, która zwraca się wiele razy chroniąc nas choćby przed jednym incydentem. Warto pamiętać, że hakerowi wystarczy mieć ?szczęście? raz, znaleźć jedną ?dziurę? w naszym systemie, by nim potencjalnie zawładnąć. My musimy mieć to szczęście cały czas. Pomogą w tym nam jasno sformułowane, praktyczne i upowszechnione polityki bezpieczeństwa w firmie. Musimy zainwestować w systemy zaporowe, takie jak firewall, systemy kontrolne i śledzące ruch (IDS), kontrole zmian w oprogramowaniu. Przede wszystkim musimy zainwestować w uaktualnianie systemów operacyjnych na serwerach. Jest to najtańszy i jeden z najbardziej efektywnych sposobów łatania dziur systemowych. Hakerzy w większości przenikają do nas wykorzystując dziury w systemach operacyjnych. Innym niezbędnym rodzajem inwestycji musi stać się szkolenie i polityka rozpowszechniająca wiedzę na temat bezpieczeństwa informacji. Warto tu rozważyć zatrudnienie zewnętrznej firmy, która stworzy kompleksowy program edukacyjny i poprze go mocnymi przykładami z życia.Jako klienci wirtualnych sklepów czy banków musimy się upewnić, że nasze oprogramowanie systemowe ma najnowsze łaty. Istnieją pewne słabości w systemach operacyjnych, takich jak Windows 95/98, które pozwalają nieuczciwym właścicielom witryn WWW na podglądanie zawartości naszego dysku czy wręcz manipulację naszymi plikami. Jest absolutnie niezbędne, byśmy mieli uaktualniony program antywirusowy. Należy też wyłączyć serwis udostępniania naszego dysku innym (Print and File Sharing). Jeśli tego nie zrobimy, to praktycznie każdy może przejrzeć zawartość naszego dysku. Nie leńmy się też i wpisujmy za każdym razem nasz identyfikator i hasło. W przeciwnym razie, nasze hasło będzie można znaleźć po dość pobieżnym przeglądzie z zewnątrz zawartości naszych rejestrów. Nalegajmy też, by dostawcy usług e-biznesowych ujawniali praktyki, polityki zabezpieczenia ich systemów i tego, co robią z naszymi danymi. Nie ma też potrzeby, byśmy udostępniali nasze dane komukolwiek, kto o to poprosi. Nie ma powodu, by dostawca darmowego serwisu musiał znać nasz prawdziwy telefon, czy nasze dane osobowe. Wystarczy, że namierzą nasze ruchy, preferencje i gusty.E-biznes jest faktem, namacalną i intratną formą działalności gospodarczej. Aby odnieść sukces w e-biznesie, w internecie, niezbędne jest odpowiednie zarządzanie ryzykiem ? bez względu na to, czy jesteśmy dostawcami, czy odbiorcami usług. Nigdy nie uda nam się absolutnie wyeliminować ryzyko w operacjach internetowych. Jest też mało prawdopodobne, że ktokolwiek zagwarantuje nam absolutne bezpieczeństwo w internecie. Ale z pewnością znajdą się tacy, którzy zrobią wszystko, byśmy poczuli się bezpiecznie robiąc z nimi interes, którzy otworzą przed nami zasady postępowania z naszymi danymi, którzy monitorują ruch na ich sieci w sposób godny i pełny szacunku dla prywatności pracowników i klientów. I nadejdzie wreszcie ten moment, gdy bezpieczeństwo naszej witryny stanie się cichym atutem w tym jakże konkurencyjnym i bezwzględnym biznesie.
Dariusz Milewski
Starszy menedżer w dziale świadczącym usługiGlobalnego Zarządzania Ryzykiem firmyPricewaterhouseCoopers w Warszawie
