Zagrożenia bezpieczeństwa
informacji
Dariusz Lewandowski
Definicja
Informacje dzielą się na:
a) informacje jawne
b) informacje niejawne
Informacja jawna
Informację jawna jest to zbiór pewnych
informacji do których może mieć dostęp
każda osoba i nie musi spełniać
odpowiednich kryteriów.
Jest ona ogólnodostępna
Informacja niejawna
Informacją niejawną to jest dokument lub
materiał, której ujawnienie może
spowodować istotne zagrożenie dla danej
instytucji, organizacji czy państwa.
W myśl obowiązującej ustawy ustawodawca określił, iż dokumentem
jest każda utrwalona informacja niejawna, w szczególności na
piśmie, mikrofilmach, negatywach i fotografiach, nośnikach do
zapisów informacji w postaci cyfrowej i na taśmach
elektromagnetycznych, także w formie mapy, wykresu, rysunku,
obrazu, grafiki, fotografii, broszury, książki, kopii, odpisu, wypisu,
wyciągu i tłumaczenia dokumentu, zbędnego lub wadliwego
wydruku, odbitki, kliszy, matrycy i dysku optycznego, kalki, taśmy
atramentowej, jak również informacja niejawna utrwalona na
elektronicznych nośnikach danych.
Materiałem - jest dokument, jak też chroniony jako informacja
niejawna przedmiot lub dowolna jego częśd, a zwłaszcza
urządzenie, wyposażenie lub broo wyprodukowana albo będąca w
trakcie produkcji, a także składnik użyty do jej produkcji.
W rozumieniu ustawy rozróżniamy dwa rodzaje informacji
niejawnych:
1. Tajemnicą państwową - jest informacja określona w
wykazie rodzajów informacji, stanowiącym załącznik nr 1,
której nieuprawnione ujawnienie może spowodować istotne
zagrożenie dla podstawowych interesów Rzeczypospolitej
Polskiej, dotyczących porządku publicznego, obronności,
bezpieczeństwa, stosunków międzynarodowych lub
gospodarczych państwa.
2. Tajemnicą służbową - jest informacja niejawna nie będąca
tajemnicą państwową, uzyskana w związku z czynnościami
służbowymi albo wykonywaniem prac zleconych, której
nieuprawnione ujawnienie mogłoby narazić na szkodę
interes państwa, interes publiczny lub prawnie chroniony
interes obywateli albo jednostki organizacyjnej.
Bezpieczeostwo
Bezpieczeństwo informacji to nic innego,
jak  obrona informacyjna, która polega
na uniemożliwieniu i utrudnieniu
zdobywania danych o fizycznej naturze
aktualnego i planowanego stanu rzeczy i
zjawisk we własnej przestrzeni
funkcjonowania oraz utrudnianiu
wnoszenia entropii informacyjnej do
komunikatów i destrukcji fizycznej do
nośników danych.
Rodzaje  wycieków
informacji
1. Kradzieże danych na zlecenie innych
firm.
2. Sabotaż
3. Słabe systemy zabezpieczeń
4. Odwracalne nośniki danych ( cd, dyski
twarde i inne nośniki danych )
5. Systemy telekomunikacyjne
6. Nieodpowiednie procedury
Podział zagrożeo informacyjnych
Cyberteroryzm
Ataki na zbiory danych stanowiących tajemnicę państwową lub
służbową mają na celu przejęcie kontroli nad chronionymi
systemami. Ataki na systemy komputerowe występują wówczas,
gdy działania zmierzające do naruszenia ich bezpieczeństwa są
celowe. Wyróżnia się dwie grupy ataków:
1. ataki aktywne  aktywne oddziaływanie na system, bezpośrednie
lub pośrednie, polegające na modyfikowaniu strumienia danych
lub tworzeniu danych fałszywych,
2. ataki pasywne  brak aktywnego oddziaływania na system (do
ataków tych należy szeroko rozumiany podsłuch lub podgląd,
analiza ruchu w sieci w celu zlokalizowania takich elementów, jak
serwer czy stanowiska pracy)
Zagrożenie atakiem występuje, gdy dostępne są takie
możliwości, jak:
" nieuprawniony dostęp do przechowywanych,
przetwarzanych i przesyłanych informacji niejawnych
bez oddziaływania na system,
" nieuprawnione oddziaływanie na system, które może
spowodowad:
 zmiany funkcjonowania sieci teleinformatycznej, dostęp do
przesyłanych, przetwarzanych i przechowywanych informacji,
 dezinformację,
 zniszczenie informacji i innych zasobów systemu,
 sfałszowanie lub nieuprawnioną modyfikację informacji.
Statystyki
W roku 2007 najczęściej pojawiającym się rodzajem ataku były
oszustwa komputerowe, drugim pod względem liczebności
rodzajem ataku były obraz
liwe i nielegalne treści, natomiast na
trzeciej pozycji uplasowało się gromadzenie informacji. Wciągu
pięciu lat liczba ataków tego ostatniego rodzaju zmniejszyła się o
57%. Ponad połowa atakujących to firmy komercyjne (58,8%). Z
roku na rok CERT Polska (Computer Emergency Response Team
Polska) notuje coraz więcej takich przypadków. 18,5% atakujących
pozostało nieznanych, w związku z czym przed organizacjami
zajmującymi się ochroną pojawiają się coraz to nowe wyzwania.
CERT często nie jest w stanie zidentyfikowad prawdziwego z
ródła
ataku, gdyż atakujący ukrywa sie za serwerem proxy, botnetem czy
przejętą maszyną nieświadomej ofiary. Pojawiły się również i
upowszechniły działające na granicy prawa firmy udostępniające
łącza, serwery fizyczne i wirtualne, na których umieszczane są
nielegalne treści, a firmy te chronią swoich klientów, zapewniając
im anonimowośd.
W porównaniu z 2006 rokiem, znacznie spadł odsetek urządzeń przenośnych (z 50%
w 2006 roku do 39% w 2007 roku), wzrósł natomiast odsetek kanałów internetowych
(z 12% w 2006 roku do 25% w 2007 r.).
Udział procentowy innych nośników mieści się w granicach
błędu statystycznego, dlatego uznano, że nie zmienił się.
Wraz ze wzrostem liczby wycieków za pośrednictwem Internetu wzrasta
zapotrzebowanie na systemy zapobiegania wyciekom danych online.
W roku 2006 odnotowano tylko jeden przypadek wycieku za pośrednictwem poczty
elektronicznej. Wydawałoby się, że kanał ten jest najbardziej dostępny i najłatwiejszy
do wykorzystywania. Jednak przepływ poczty elektronicznej można równie łatwo
kontrolować, co wykorzystać.
Oprócz poważnych systemów zabezpieczających przed wewnętrznymi złodziejami na
rynku dostępny jest szeroki wachlarz prymitywnych zabezpieczeń ruchu pocztowego.
Zwykle są one zorientowane tylko na wiadomości, ponieważ łatwo je przeglądać i
archiwizować. Zniechęca to przed wykorzystywaniem tego kanału do przekazywania
poufnych danych. Przypadkowe wysłanie poufnych danych za pośrednictwem poczty
elektronicznej też jest trudne.
Podczas tworzenia i integracji systemów zabezpieczających przed wyciekami istotne
jest, aby kanały wycieków były "najbardziej popularne".
Reakcje na incydenty
naruszenia bezpieczeństwa
Każdy problem należy rozwiązać przy użyciu odpowiednich metod.
Ponieważ problem wycieków danych ma charakter społeczno-
ekonomiczny, rozwiązanie musi opierać się na środkach
społeczno-ekonomicznych. Metody techniczne mogą stanowić
jedynie narzędzia egzekwowania polityki.
Rozwiązanie problemu wycieków danych przy pomocy środków
czysto technicznych jest niemożliwe.
Każde rozwiązanie techniczne będzie posiadało "przeciw-
rozwiązanie" itd.
Problem dodatkowo komplikują kwestie prawne.
We wszystkich państwach istnieje ochrona prywatności osób. W
niektórych z nich prawa te są niezbywalne, co oznacza, że nie
można się ich zrzec. Wprowadzenie systemu zapobiegania
wyciekom danych, który nie koliduje z prawem lokalnym jest
trudne. Oprócz inżynierów wymaga to udziału ekspertów z
dziedziny prawa już na początkowym etapie projektu.