Varovanje informacij: Velik razkorak med dejanskim in prikazanim

O varovanju informacij oziroma informacijski varnosti se danes razpravlja na dolgo in široko. S to tematiko se ukvarjajo tako rekoč vsi, od lokalnega časopisja, spletnih časopisnih portalov, televizijskih oddaj, varnostnih konferenc in še bi lahko naštevali. Zaradi tega vam bodo skorajda vsa podjetja in posamezniki zagotovili, da so s problematiko varovanja informacij dovolj seznanjeni in da je zelo majhna verjetnost, da bodo spletni kriminalci napadli ravno njih, češ, da nimajo nič vrednega, kar bi jih privabilo. Je temu v praksi res tako?

Statistika ne laže

Vsi se bodo morali (žal) prej ali slej sprijazniti, da v dobi spletnega kriminala nihče ni varen. Kriminalci pogosto namreč ne izbirajo žrtev. Za njih je pomembno le, da ustvarijo zaslužek – takšen ali drugačen. Poročilo o omrežni varnosti za leto 2011, ki ga je pripravila Akademska in raziskovalna mreža Slovenije (Arnes) in je dosegljivo na spletnem naslovu http://goo.gl/Ywjq9, je pokazalo, da se pri nas stanje na področju omrežne varnosti poslabšuje. Število prijav vdorov v sisteme in z njimi povezanih incidentov se je namreč v primerjavi z letom 2010 povečalo za 62 odstotkov (s 197 na 320). Tu je šlo za zlorabe kot so lažne spletne strani in podtaknjena zlonamerna koda na strežnikih. Posebej relevanten je podatek, da je število goljufij in kraj identitete poraslo kar za 92 odstotkov (s 136 na 261). Med njimi je največ nigerijskih prevar, svoje žrtve pa goljufi iščejo tudi na slovenskih spletnih forumih in v oglasnikih.

Stanje v svetu ni nič boljše, morda je celo slabše. Hekerska skupina Anonymous in druge sorodne skupine so na kolena spravila vsa večja podjetja in organizacije (FBI, NASA, Sony in drugi), ki bi morala, vsaj glede na informacije, s katerimi razpolagajo, malo bolje poskrbeti za varovanje informacij. Dejstvo je, da so na jeziku vsi močni, a ko je potrebno pokazati svojo pripravljenost na spletne napade, v praksi padajo kot domine. Res je, da stoodstotne varnostni ni mogoče doseči, vendar bi lahko z enostavnimi varnostnimi ukrepi vsaj omejili možnost napada oziroma zmanjšali njegove posledice. Vendar dokler bo to ostalo le na papirju, se stanje na tem področju žal ne bo izboljšalo.

Spletna varnost in prevare za končne uporabnike

Končni uporabniki so prava poslastica za spletne kriminalce. Ti imajo namreč na spletu na voljo kar dve milijardi potencialnih žrtev. Večina izmed njih sploh ne ve, zakaj je potrebno imeti na osebnem ali prenosnem računalniku nameščeno protivirusno rešitev oziroma drugo zaščitno programsko opremo.

Zaradi pomanjkanja znanja so končni uporabniki pogosto žrtve ribarjenja in tako imenovanih »pharming« napadov. Pri ribarjenju gre za to, da nepridipravi to tehniko uporabljajo za zbiranje zaupnih informacij s krajo identitete legitimne osebe ali organizacije (običajno z zlonamernimi e-poštnimi sporočili, ki uporabnike usmerijo na lažne spletne strani). Pharming napad je relativno nova tehnika zlorab, ki je še bolj prefinjena in nevarna. Ta tehnika namreč vključuje spreminjanje naslovov sistema DNS (Domain Name System), tako da uporabnik ne obišče pristnih spletnih strani, ampak druge, narejene posebej za zbiranje zaupnih podatkov, predvsem informacije za uporabo e-bank.

Varnost pri končnih uporabnikih pade še na mnogo drugih nivojih. Pogosto se varnost pri njih konča že pri dostopnih geslih. Ta so po navadi lahko ugotovljiva (pogosto se uporablja kar besede iz slovarja, družinska imena, rojstne datume ali imena znanih oseb) in zaradi tega ne služijo svojemu namenu. Razlog za tako početje uporabnikov se skriva v nepoznavanju področja, kar je seveda posledica pomanjkanja izobraževanja o varnosti.

Izobraževanje je predpogoj za varnost

Vsa varnostna tehnologija je brez pomena, če jo obdajajo posamezniki, ki o področju varovanja informacij vedo malo ali celo nič. Zaradi tega bi se moral letno vsak sleherni zaposleni udeležiti vsaj enega tečaja s področja varovanja informacij. Varnost se namreč prične in konča pri končnih uporabnikih. Kriminalec za izvedbo napada namreč potrebuje le enega zaposlenega, ki mu omogoči dostop do podatkov, ki so ključnega pomena za vdor in krajo zaupnih podatkov. Da je temu v praksi tako, se je pokazalo na primeru napada na podjetje RSA. Tu je napadalcem z uporabo okužene priponke v e-pošti uspelo pridobiti informacije o sistemu SecurID, ki se marsikje uporablja za preverjanje pristnosti. S pridobljenimi podatki so napadalci napadli ameriškega vojaškega giganta Locheed Martin.

Da bi slovenska podjetja pridobila vsaj osnovna znanja s področja varovanja informacij, je bila v začetku marca organizirana varnostna konferenca RiSK 2011. Tu je šlo za tradicionalen specializiran dogodek s področja elektronske varnosti in neprekinjenega poslovanja. Glavni moto letošnje konference je bil: ”New generation of IT security”. Program konference je bil usmerjen tako, da so obiskovalci dobili vpogled v zadnje tehnološke rešitve za zaščito računalniških omrežij pred zlorabami in zadnje aktualne informacije o grožnjah na spletu ter šifriranju in zaščiti podatkov v oblaku. Prav tako so se na konferenci prikazali primeri iz dobre prakse s področja virtualizacije in nemotenega poslovanja. Na 25 predavanjih in okrogli mizi so se predstavila tuja in domača podjetja.

Varnost e-bančništva in e-uprave

Varnost e-bančništva je v slovenskem prostoru relativno dobra, medtem ko je varnost e-uprave bolj porazna kot ne. Konec lanskega leta je bil namreč velik del spletnih strani slovenske vlade in ministrstev več ur nedostopen. Krivdo za to je ministrstvo za javno upravo pripisalo okvari virtualizacijske (strežniške) infrastrukture, kjer naj bi odpovedalo osem strežnikov, od katerih je odvisno delovanje internih storitev in tudi spletnih predstavitvenih strani. Mogoče se razlog za izpad skriva v tem, da ministrstvo za javno upravo ni imelo na mestu plana za neprekinjeno poslovanje, ki bi precej omilil izpad.

Da stanje na področju varovanja informacij v slovenski javni upravi ni tako dobro kot bi moralo biti, je pokazala tudi hekerska skupina Anonymous. Ta se je pred kratkim dokopala in objavila spletne naslove, imena, priimke in celo serijske številke digitalnih potrdil (certifikatov), ki jih izdaja ministrstvo za javno upravo (SIGEN-CA). Poleg tega so razkrili še vsebino elektronske pošte, ki so jo lastniki certifikatov naslavljali na podporo službe, ki potrdila izdaja. Ti so objavljeni na spletni strani http://goo.gl/tQNzd.

Hekerska skupina Anonymous zadnje časa povzroča preglavice tudi slovenskemu bančnemu sistemu. Ta je na začetku februarja v znak podpore prosti kontroverznemu protipiratskemu sporazumu Anti-Counterfeiting Trade Agreement (ACTA) napadla informacijski sistem državne banke NLB. Ta po njihovem mnenju namreč predstavlja »središče korupcije« v Sloveniji. Spletna stran NLB je bila nedostopna kar eno uro. Tu je na srečo šlo le za opozorilo naši vladi, saj podatki iz banke niso bili odtujeni.

Sicer je res, da tako slovensko e-bančništvo in e-uprava doslej še nista utrpela večje škode zaradi spletnih napadov. To pa seveda še ni zagotovilo, da se to ne bo zgodilo v kratkem. Upajmo, da bosta e-bančništvo in e-uprava pri nas grožnjo vzela resno in poskrbela za ustrezno varovanje informacij. V nasprotnem primeru se jim ne piše nič kaj dobrega.

Varnost arhiviranja podatkov in podatkovnih centrov

Varnost arhiviranja podatkov ni tako trivialna kot mogoče izgleda na prvi pogled. Podatki so namreč shranjeni na podatkovnih medijih (predvsem trdih diskih), ki so podvrženi okvaram. Okvara strojne opreme pogosto pomeni izgubo dragocenih podatkov. Pri tem seveda ne smemo pozabiti na človeške napake in škodljive programske kode, ki so prav tako lahko »usodne« za izgubo podatkov. Poleg tega je potrebno še zagotoviti varne podatkovne centre (požarna in fizična varnost, podvojene komunikacije, rezervna lokacija in podobno). To seveda zahteva zajetne finančne vložke, ki si jih dandanes lahko privošči le redkokdo. Na srečo imamo tu na voljo računalništvo v oblaku.

Računalništvo v oblaku je prineslo zagon predvsem malim podjetjem, ki si vse doslej niso mogla privoščiti naprednih rešitev za upravljanje, varnostno kopiranje in arhiviranje podatkov. Tu dejansko odpade vsakršno kupovanje strojne in programske opreme ter dragih letnih licenc. Predvsem slednje so se v praksi pogosto izkazale kot neučinkovite, saj jih je povozil čas ali jih zaposleni preprosto sploh ne uporabljajo. Ponudniki tovrstnih storitev imajo po navadi na voljo vsaj podvojene podatkovne centre, kar še dodatno ščiti naše podatke pred izgubo.

Razlika v varnosti na računalniku in na mobilnih napravah

Računalniki in mobilne naprave se danes razlikujejo le po arhitekturi in nameščenem operacijskem sistemu. V vsem ostalem so si zelo podobni, če ne že sorodni. Pri mobilnih napravah se moramo namreč zavedati predvsem tega, da se na njih danes nahajajo vsa e-sporočila zaposlenih, gesla za dostop do domene, certifikati za VPN dostop, dokumenti in še mnogo drugih zaupnih informacij. Ker je mobilno napravo precej enostavno ukrasti ali okužiti s škodljivo programsko kodo, ji je potrebno v okviru varovanja informacij posvetiti dovolj veliko pozornost.

Za ustrezno zaščito mobilnih naprav potrebujemo celovito zaščito, ki bo zajemala protivirusno zaščito, šifriranje podatkov, zaklepanje dostopa do mobilnika s PIN številko ali geslom in podobno. Tu seveda ne bo odveč izobraževanje uporabnikov, kaj lahko in kaj ne smejo početi z mobilnimi napravami, da ne bo prišlo do njihove kraje ali okužbe s škodljivo programsko kodo. Pomembno je le to, da se ne zanemari tveganj, ki nam jih prinašajo pametne mobilne naprave.

Kaj nas čaka na področju varovanja informacij?

Prihodnost na področju varovanja informacij žal ne bo nič kaj rožnata. Spletni kriminalci bodo še povečali napade, usmerjene v ljudi. Tu bodo množično izkoriščali predvsem razširjenost spletnih omrežij in izrabljali tako pridobljene informacije. V središču pozornosti kriminalcev bodo tudi mobilne naprav in to predvsem zaradi podatkov, ki so shranjeni na njih. Pri tem seveda ne gre zanemariti ciljanih napadov in hekerskega aktivizma (hacktivism). Tu mora biti vedno prisotno zavedanje, da spletni kriminal lahko pomeni krajo podatkov, intelektualne lastnine ali pa se izrablja za politične cilje. Ne glede na to bo varnost informacij še vedno v veliki meri odvisna od podjetij in posameznikov. Če ti ne bodo sami ali s pomočjo zunanjega izvajalca znali poskrbeti za ustrezno varnost, bodo prej ali slej postali žrtev spletnih kriminalcev in prevarantov.