Wyższa Szkoła Społeczno-Ekonomiczna
Bezpieczeństwo systemów i sieci informacyjnych instytucji, przedsiębiorstwa i biznesu.
Jakubiak Karol
Brodziak Emil
Bezpieczeństwo systemów i sieci informacyjnych bardzo często rozumiane jest jako ochrona przed niepożądanym (świadomym lub przypadkowym) ujawnieniem, modyfikacją, zniszczeniem bądź uniemożliwieniem jej przetwarzania. Środki bezpieczeństwa podejmowane są w celu zapewnienia poufności, integralności i dostępności informacji. Ich celem jest wyeliminowanie zagrożenia dla informacji. W miarę intelektualnego rozwoju i politechnizacji życia, informacje zaczęły nabierać coraz większych wartości. Ich posiadanie stało się warunkiem lepszej i bezpieczniejszej egzystencji. Na tym tle pojawiła się również konkurencja. Informacje zaczęto coraz bardziej chronić jako dobro materialne. Chęć stworzenia sobie podobnych do innych lub lepszych warunków życia stworzyła potrzebę zdobywania informacji. Zrodził się zatem swoisty rodzaj walki – jedni, możliwymi dla siebie sposobami, dążą do zdobycia informacji, a drudzy – z podobnym zaangażowaniem – starają się im to udaremnić. W takim postępowaniu występuje sprzeczność celów i działań, czyli najbardziej dystynktywnych cech, które kojarzą się z desygnatem pojęcia ,,walka”. Można by powiedzieć, że przedmiotem tej walki stała się informacja, a narzędziami – wszelkie środki dostosowane do jej zdobywania, zakłócania i obrony. Walka taka nazywana jest walką informacyjną.
Wobec wzrostu znaczenia informacji ujęcie negatywne bezpieczeństwa informacyjnego jest niewystarczające dla zapewnienia bezpieczeństwa narodowego. Każda płaszczyzna bezpieczeństwa narodowego staje się coraz bardziej zależna od swobodnego przepływu informacji i od zachowania systemów bazujących na informacjach. Wojsko, gospodarka, energetyka, media, systemy finansowe i transportowe są szczególnie uzależnione od systemów informatycznych. Już dziś stanowią one kluczowe elementy procesu podejmowania decyzji w wielu organizacjach cywilnych i wojskowych. Ich dotychczasowy rozwój i zakresy wdrożeń pozwalają prognozować, że obszary zastosowań informatycznych będą obejmować coraz większe przestrzenie funkcjonalne. Teoretycznie został stworzony niemalże nieograniczony dostęp do ogromnych zbiorów informacji, a w tym: finansowych, przemysłowych, marketingowych, technologicznych, wojskowych i innych. Niezbędne dla bezpieczeństwa państwa staje się wprowadzenie polityki bezpieczeństwa informacyjnego zapewniającej ochronę istniejących systemów, ale również gwarantującej państwu i podmiotom, które chroni, posiadanie, przetrwanie i swobodę rozwoju „społeczeństwa informacyjnego”. Takie ujęcie bezpieczeństwa informacyjnego ma charakter pozytywny. Środki polityki bezpieczeństwa informacyjnego budowane w oparciu o ujęcie pozytywne muszą uwzględniać, że:
informacja stanowi zasób strategiczny państw i organizacji XXI wieku;
informacja i wynikająca z niej wiedza oraz technologie informatyczne staną się podstawowym czynnikiem wytwórczym;
większość dochodu państwa zostanie uzyskana z szeroko rozumianego sektora informacyjnego;
procesy decyzyjne w innych sektorach gospodarki i życia społecznego uzależnione będą od systemów przetwarzania i przesyłania informacji;
zakłócenie prawidłowości działania systemów informacyjno – sterujących nie wymaga wysokich nakładów materialnych;
rywalizacja pomiędzy przeciwnikami przeniesie się na płaszczyznę walki informacyjnej.
Podobnie jak to miało miejsce w czasach rewolucji przemysłowej kraje, które pierwsze w ciągu najbliższych dziesięciu, piętnastu lat zbudują i wykorzystają infrastrukturę informacyjną w gospodarce i w życiu społecznym, mają szansę uzyskania w tym zakresie trwałej przewagi w ciągu całego okresu funkcjonowania cywilizacji opartej na technice informacyjnej. Dołączenie do ich grona w późniejszym terminie może okazać się bardzo trudnym i kosztownym zadaniem, z szansą powodzenia tylko w szczególnych, pojedynczych przypadkach. Jednocześnie z budowaniem cywilizacji informacyjnej należy stworzyć środki bezpieczeństwa informacyjnego dla zapewnienia prawidłowego jej funkcjonowania. Wpływ wywierany przez gospodarkę światową na rozwój technologii informacyjnych pociąga za sobą konieczność weryfikacji roli państwa jako organizacji życia społecznego. Z jednej strony proces zmian związanych z przechodzeniem do nowej epoki rozwojowej (cywilizacji informatycznej) wzmacnia rolę państwa jako organizatora procesów społecznych i gwaranta interesów narodowych, w zapewnieniu dostępu do techniki informacyjnej, z drugiej strony łatwość zaatakowania systemów informacyjnych nakłada obowiązek zapewnienia bezpieczeństwa informacyjnego.
Bezpieczeństwo systemów i sieci informacyjnych instytucji
O skuteczności działania i rozwoju instytucji (organizacji) świadczy stopień osiągania zamierzonego celu. W procesie tym jest bardzo ważne stosowanie współczesnych technik i technologii, narzędzi i systemów informatycznych oraz przetwarzania i zarządzania informacją. Informacja jest jednym z ważniejszych zasobów instytucji, na ogół decydującym o jej sukcesach. Dlatego powinna być chroniona zarówno przez kierownictwo, jak i pozostałych pracowników. Instytucje rygorystycznie przestrzegające tego nakazu na ogół bezkolizyjnie funkcjonują w swoim środowisku i dynamicznie się rozwijają. Ważne jest, aby zapewnić ochronę informacji na pożądanym poziomie, a tym samym spełnić wymagany poziom bezpieczeństwa systemów informacyjnych. W tym celu należy odpowiednio zorganizować zasoby instytucji i skutecznie nimi zarządzać, czyli mieć właściwie opracowaną i bezwzględnie przestrzeganą politykę bezpieczeństwa informacji (PBI) instytucji. Jest to jeden z warunków osiągania sukcesów.
W każdej instytucji znajdują się różnorodne informacje, które z reguły powinny być chronione. Część ze względu na interes instytucji (np. szczegółowe informacje związane ze strategicznymi planami, informacje finansowe i inwestycyjne, patenty itp.), część zaś z mocy prawa (np. zbiory danych osobowych, informacje niejawne). Zasadniczy zbiór informacji instytucji jest jawny i dotyczy całości problemów związanych z jej funkcjonowaniem. Nie oznacza to, że nie powinien być chroniony, wręcz przeciwnie, każda bowiem informacja jest podatna na zagrożenia (np. zniszczenie czy zafałszowanie) lub szerzej mówiąc – niepożądane modyfikowanie.
Celem działań w zakresie ochrony i zapewnienia bezpieczeństwa informacji w instytucji jest osiągnięcie takiego poziomu organizacyjnego i technicznego, który:
zagwarantuje zachowanie poufności informacji chronionych;
zapewni integralność informacji chronionych i jawnych oraz dostępność do nich;
zagwarantuje wymagany poziom bezpieczeństwa przetwarzanych informacji;
maksymalnie ograniczy występowanie zagrożeń dla bezpieczeństwa informacji;
zapewni poprawne i bezpieczne funkcjonowanie systemów przetwarzania informacji;
zapewni gotowość do podejmowania działań w sytuacjach kryzysowych.
Polityka bezpieczeństwa informacji stanowi podłoże do tworzenia dokumentów, zawierających specyficzne wymagania dla konkretnych grup informacji, a także określających warunki, jakie muszą spełniać systemy informatyczne i papierowe je przetwarzające, z uwzględnieniem aspektów prawnych ochrony informacji i systemów informatycznych. W praktyce są rożne metody tworzenia PBI instytucji. Jednak, bez względu na to, jakiego są to typu rozwiązania, jest ważne, aby opracowana PBI odpowiadała potrzebom danej instytucji, w zakresie skutecznej ochrony gromadzonych i przetwarzanych w niej informacji. Dla przykładu, jeśli PBI tworzy się wg metodyki TISM (Total Information Security Management), wówczas ma ona strukturę modułową, zawiera odrębne zasady bezpieczeństwa dla poszczególnych grup informacji i systemów ich przetwarzania oraz zestawy instrukcji, regulaminów i procedur.
Strategia ochrony i bezpieczeństwa informacji powinna ujmować swoisty zamiar zarządu organizacji, wyrażający się poglądem i stanowiskiem w przedmiotowym problemie. Uważa się, że strategia jako główny składnik PBI powinna prezentować podstawę osiągnięcia spójnej ochrony informacji oraz sposoby osiągnięcia celów w zakresie ochrony informacji instytucji. Podstawą osiągnięcia spójnej ochrony informacji może być m.in. rozpoznanie grup informacji, systemów oraz obszarów ich przetwarzania, które będą podlegać ochronie. Natomiast w zakresie wyznaczonych celów ochrony informacji, strategia powinna wskazywać sposoby ich osiągania przez:
wprowadzenie podziału na informacje jawne i chronione;
określenie informacji, stanowiących tajemnicę instytucji jako podlegających ochronie ze względu na ich dobro, interes i pozycję na rynku;
określenie informacji chronionych ze względu na wymogi prawne;
możliwość nadawania każdej informacji chronionej odpowiedniej klauzuli tajności;
wprowadzenie podziału informacji chronionych na grupy i zarządzanie nimi;
określenie organizacyjnych i technicznych wymogów bezpieczeństwa przetwarzania grup informacji chronionych;
utworzenie struktur organizacyjnych odpowiedzialnych za zarządzanie bezpieczeństwem i przetwarzaniem informacji;
zarządzanie ciągłością przetwarzania informacji;
standaryzację procedur postępowania oraz opracowanie niezbędnej dokumentacji, tj. zasad zarządzania bezpieczeństwem grup informacji i systemów ich przetwarzania;
wdrożenie rozwiązań technicznych, zapewniających wymagany poziom bezpieczeństwa przetwarzanych informacji – inwestycje w infrastrukturę sieci i systemów informatycznych oraz fizyczne zabezpieczenie obszarów przetwarzania informacji chronionych;
efektywne propagowanie zasad bezpieczeństwa informacji wśród kierownictwa i pracowników instytucji;
cykliczne szkolenie pracowników w zakresie bezpieczeństwa informacji.
Bezpieczeństwo systemów i sieci informacyjnych przedsiębiorstwa i biznesu
Systemy informacyjne w przedsiębiorstwach mają związek nie tylko z rodzajem prowadzonej działalności, lecz nierzadko odzwierciedlają możliwości w zakresie implementacji adekwatnych systemów i technologii IT. Wzajemne powiązania struktury obiegu, przechowywania i przetwarzania informacji oraz towarzyszących im rozwiązań informatycznych są tożsame, dlatego trudno je analizować odrębnie. Powiązania są tym silniejsze, im bardziej proponowane rozwiązania technologiczne odpowiadają rzeczywistym potrzebom firm. Stanowią dla nich wartość nie do przecenienia, dają im wsparcie w procesie rozwoju, wzrostu konkurencyjności i efektywności wykorzystania zasobów. Tylko w takim przypadku koszty ponoszone na informatyzację nie stanowią nieuzasadnionego obciążenia, lecz inwestycję o bardzo wysokiej stopie zwrotu.
Współczesne przedsiębiorstwa, zmuszone do prowadzenia działalności w warunkach niepewności i chaosu, poddają modyfikacjom swoje podejście do bezpieczeństwa. W obliczu trudności z tym związanym przedsiębiorstwa stoją przed koniecznością brania pod uwagę zarówno zdarzeń lokalnych, jak i globalnych, wpływających na ich działalność. Potrzeba poczucia bezpieczeństwa stanowi jedną z zasadniczych potrzeb człowieka, jest wartością pierwotną i podstawą. Stąd też kategoria bezpieczeństwa agreguje wszystkie składowe najważniejszej dla człowieka wartości. W związku z tym, zaliczając bezpieczeństwo do dóbr podstawowych, należy podkreślić, iż powinno ono stanowić przedmiot szczególnej uwagi w zarządzaniu organizacją gospodarczą niezależnie od form zorganizowania, szczebla hierarchicznego i stopnia rozwoju.
Właściwe zdefiniowanie zagrożeń stanowi podstawę zapewnienia bezpieczeństwa informacji w przedsiębiorstwie. Zagrożenie to sytuacja lub stan, które komuś zagrażają lub w których ktoś czuje się zagrożony. Przedsiębiorstwa, których działania skupiają się na rozwoju i podążaniu w kierunku nowych rozwiązań, stają przed nowymi wyzwaniami i nowymi zagrożeniami. Prowadzenie działalności gospodarczej niesie za sobą ryzyko, które w przedsiębiorstwie pojawia się w postaci określonego zagrożenia. Ryzyko to przybiera różne formy i może ulegać zmianom w czasie.
Nowe technologie dają nowe możliwości prowadzenia bezpiecznie działalności gospodarczej. Są to dwa główne obszary: zabezpieczenie przed utratą dóbr oraz zabezpieczenie przed dostępem osób niepowołanych. W systemach teleinformatycznych oba te obszary w znacznym stopniu na siebie nachodzą. Pojawiają się też znacznie poważniejsze problemy mające związek z globalizacją. Dane, wyniki analiz, dokumentacje, aplikacje i systemy przetwarzania mogą zostać wykradzione lub zniszczone z dowolnego miejsca na świecie. Dlatego nawet w najmniejszych strukturach systemów i aplikacji korporacyjnych konieczne jest przypisanie użytkownikowi konkretnych uprawnień. Dla każdego posiadacza komputera oczywista jest autentykacja, czyli potwierdzenie tożsamości użytkownika, i autoryzacja, czyli przypisanie mu odpowiednich uprawnień do każdego zasobu systemu. Wiąże się to z możliwością wykonywania operacji na danych czy dokumentach, jak również z przydziałem priorytetu wykorzystania mocy obliczeniowej bardziej skomplikowanych systemów przetwarzania. Przed niepowołanym dostępem zabezpiecza również szyfrowanie połączeń sieciowych i danych na dyskach, zwłaszcza przenośnych. Najwyższą formą utajnienia są specjalistyczne komputery o zmniejszonej emisji elektromagnetycznej umieszczane w kabinach bezechowych oraz szyfrowane transmisje światłowodowe z wykorzystaniem niestosowanych powszechnie algorytmów. Podjęcie takich kroków zabezpiecza firmę przed wykradzeniem poufnych informacji oraz przed ich celowym zdalnym zniszczeniem.
Rys. 1. Składowe bezpieczeństwa informacji
Źródło: Łuczak J. (red.), Zarządzanie bezpieczeństwem informacji, Ofi cyna Współczesna, Poznań 2004, s. 80.
Pojęcie bezpieczeństwa informacyjnego można przybliżyć poprzez identyfikację następujących obszarów zagrożeń:
zagrożenia losowe – wszelkiego rodzaju klęski żywiołowe, katastrofy, wypadki, które wpływają na stan bezpieczeństwa informacyjnego organizacji (np. pożar budynku, w którym przechowywane są nośniki informacji),
tradycyjne zagrożenia informacyjne – szpiegostwo, działalność dywersyjna lub sabotażowa (ukierunkowana na zdobycie informacji, ofensywną dezinformację prowadzoną przez inne osoby, podmioty, organizacje),
zagrożenia technologiczne – zagrożenia związane z gromadzeniem, przechowywaniem, przetwarzaniem i przekazywaniem informacji w sieciach teleinformatycznych (do takich zagrożeń zaliczamy przestępstwa komputerowe, cyberterroryzm, walkę informacyjną),
zagrożenia wynikające z niedostatecznych rozwiązań organizacyjnych i strukturalnych.
Zagrożenia można podzielić ze względu na lokalizację ich źródła na:
wewnętrzne (powstające wewnątrz organizacji), które obejmują:
zagrożenie utratą, uszkodzeniem danych lub brakiem możliwości obsługi z powodu błędu lub przypadku,
zagrożenie utratą lub uszkodzeniem poprzez celowe działania nieuczciwych użytkowników,
zewnętrzne (powstające poza organizacją), które obejmują zagrożenie utratą, uszkodzeniem danych lub pozbawieniem możliwości obsługi przez celowe lub przypadkowe działanie ze strony osób trzecich w stosunku do sieci lub systemu,
fizyczne, w których utrata, uszkodzenie danych lub brak możliwości obsługi następuje z powodu wypadku, awarii, katastrofy lub innego nieprzewidzianego zdarzenia wpływającego na system informacyjny bądź urządzenie sieciowe.
Jednym z najistotniejszych potencjalnych źródeł zagrożeń dla bezpieczeństwa przedsiębiorstw jest naruszanie przepisów ochraniających te organizacje przez osoby posiadające dostęp do informacji. Napotyka się również bariery i trudności związane z wdrażaniem w życie ustawy o ochronie informacji niejawnych. Rozwój teleinformatyki i globalnego rynku automatyzuje procesy produkcyjne i finansowo– księgowe, umożliwia globalną i szybką komunikację, a nawet pozwala na zawieranie umów między kontrahentami na odległość. Jednakże nie należy zapominać o tym, że prowadzenie działalności gospodarczej w oparciu o teleinformatyzację oprócz korzyści niesie za sobą różne zagrożenia. Systemy informatyczne mają na celu gromadzenie, przetwarzanie i szybkie udostępnianie danych. „Wielkość ich i jakość, a zwłaszcza źródło pochodzenia stanowią przedmiot zainteresowania nie tylko służb specjalnych i innych instytucji będących potencjalnym przeciwnikiem, ale także organizacji o charakterze terrorystycznym oraz pojedynczych osób”. Systemy informatyczne mogą być zagrożone ze strony każdego, kto posiada dostateczny zasób wiedzy i umiejętności. Bezpieczeństwo systemów i sieci teleinformatycznych „to taki zakres przedsięwzięć, który ma na celu uniemożliwienie niepowołanym osobom dostępu do wartościowej informacji, do której można dotrzeć przez przechwyt emisji radiowych i analizę ruchu w sieciach radiowych lub wprowadzenie w błąd tych, którzy takową analizę mogą prowadzić. Bezpieczeństwo systemów łączności obejmuje systemy transmisji, bezpieczeństwo środków utrudniających oraz środków mających na celu fizyczną ochronę systemów łączności, materiałów niejawnych i informacji związanych systemami łączności”.
Ochrony wymagają nie tylko informacje związane z działalnością ekonomiczną i finansową, ale również dane osobowe. Jako ciekawostkę luki w systemie ochrony danych osobowych może być fakt wykradzenia list z nazwiskami, adresami i zastrzeżonych numerów telefonów ok. 200 tys. abonentów z baz danych piotrkowskiego oddziału TP (dane na płytach CD można było kupić na bazarze za 10 zł).
Wyzwaniem dla przedsiębiorstw jest zapewnienie tajności, spójności i niezawodności działań związanych z gromadzeniem, przetwarzaniem i udostępnianiem danych wyłącznie uprawnionym osobom, co wynika z zajmowanego przez nie stanowiska lub wykonywania powierzonych im zadań. Wymienia się pięć obszarów zagrożeń dla systemów komputerowych:
kwalifikacje i wiarygodność personelu,
centra administracyjne systemu i sieci,
infrastruktura telekomunikacyjna,
produkcja sprzętu i oprogramowania,
procedury korzystania z systemów i sieci informatycznych,
nośniki danych.
Dzisiaj problemem jest nie tylko utrata wszystkich danych, ale nawet brak dostępu do nich przez dłuższy czas. Wiele firm nie może sobie na to pozwolić, dlatego inwestycje w infrastrukturę informatyczną są tak ważne.
Bibliografia
Herman M., Potęga wywiadu, Wydawnictwo Bellona, Warszawa 2002, s. 170;
Jabłoński M., Mieluś M., Zagrożenia bezpieczeństwa informacji w przedsiębiorstwie. Część 1, http://www.zabezpieczenia.com.pl/ochrona-informacji/zagrozenia-bezpieczenstwa-informacji-w-przedsiebiorstwie-czesc-1 (odczyt z dnia 21.11.2013 r.);
Kowalewski M., Ołtarzewska A., Polityka bezpieczeństwa informacji instytucji na przykładzie Instytutu Łączności- Państwowego Instytutu Badawczego, Warszawa 2007, s. 3-7;
Liedel K., Bezpieczeństwo informacyjne jako element bezpieczeństwa narodowego, http://www.liedel.pl/?p=13 (odczyt z dnia 21.11.2013 r.);
Paszkowski G., Optymalizacja systemów informacyjnych a efektowność biznesu, Warszawa 2010, s. 5-7;
Żebrowski A., Kwiatkowski M., Bezpieczeństwo informacji III Rzeczypospolitej, Kraków 2000, s. 65.