Doresc în acest articol să prezint un set de măsuri clasice pentru a asigura securitatea sistemelor informatice, acele măsuri care, deşi aparent sunt binecunoscute şi considerate obligatorii, de multe ori sunt ignorate. Am ales să prezint un număr de 10 principii de bază, de multe ori fiind prezentate ca „cele 10 porunci ale securităţii”.
Cele zece elemente de mai jos nu se doresc a epuiza exhaustiv problematica securităţii informatiilor, dar cel puţin reprezintă un minim necesar. Sunt convins că alţi specialişti în domeniu vor putea indica şi alte norme la fel de importante. Dar dacă ignorăm vreuna dintre aceste „directive”, este cazul să ne reanalizăm serios poziţia pe care o avem cu privire la securitatea informaţiilor.
„Porunca” nr. 1: Protecţia împotriva viruşilor
Cu câţiva ani în urmă, recomandările erau să „scanăm” orice fişier venit din exterior, şi abia apoi să executăm sau să deschidem fişierul. Graţie tehnologiilor moderne, în zilele noastre este suficient să citeşti un mail, sau să vizitezi o pagină de web pentru a te infecta. Utilizatorul nu se mai poate apăra singur, de cele mai multe ori constată că accesul la reţea este din ce în ce mai greoi sau pur şi simplu administratorul îl deconectează, spunându-i că este infectat, neavând practic nicio vină.
Ca masură de protecţie, instalarea unui program antivirus pe fiecare calculator a devenit necesară. Complementar se recomandă de asemenea instalarea unui antivirus şi pe serverul de email, acesta reprezentând principala poartă de intrare. Şi pentru a fi şi mai siguri, bineînţeles se recomandă ca cei doi antiviruşi, cel de desktop şi cel de email să fie de la producători diferiţi – în cazul în care unul dintre producători întârzie cu actualizarea semnăturilor să mai avem totuşi o şansă.
„Porunca nr. 2”: Actualizările software
Mulţi viruşi exploatează vulnerabilităţi ale unor programe, pentru care există patch-uri învechite de luni de zile, conducând la blocarea activităţii unor întregi companii. Şi asta pentru că serverele şi staţiile de lucru nu erau actualizate cu patch-urile emise de producator.
Decât să căutăm un vinovat, mai bine ne asigurăm că suntem la zi cu toate patch-urile. Sau şi mai bine, să existe o politică de reţea care să facă actualizările automat.
„Porunca nr. 3”: Clasificarea şi backup-ul datelor
Dacă considerăm că avem în reţeaua companiei date importante pentru afacerea noastră, atunci ar trebui să avem în primul rând un inventar al acestora, adică ce reprezintă, unde se găsesc şi cui aparţin. După ce am înregistrat toate aceste date, trebuie să le clasificăm din punctul de vedere al importanţei şi al securităţii. Această clasificare trebuie facută de persoane competente, şi trebuie să aibă aprobarea conducerii superioare, întrucât numai acest nivel are viziunea completă şi strategică asupra companiei, nemaivorbind de autoritate.
Scala clasică de clasificare a datelor este de obicei din trei trepte: publice – pot fi difuzate oricui, de obicei constând în broşuri şi pagini de web; confidenţiale – destinate uzului intern în companie, date de obicei aparţinând unor clienţi sau parteneri, care nu trebuie folosite decât în relaţia cu aceştia; secrete (a nu se confunda cu secretele de stat) – date de importanţă strategică pentru companie, a căror divulgare, chiar internă poate conduce la discontinuităţi majore ale afacerii (bineînţeles toată lumea este de acord, salariile din sectorul privat cad în această categorie).
Pe baza inventarului, fiecare persoană, sau fiecare şef de departament trebuie să decidă ce date sunt importante şi ce date merită a fi salvate. Pentru a ne putea hotărâ, cel mai simplu este să ne gândim că mâine toate calculatoarele şi serverele vor fi dispărut. Ce date ne-ar trebui pentru a ne putea continua activitatea de unde am rămas? Ce date din urmă ne-ar trebui peste 6 luni când va trebui să facem un bilanţ?
„Porunca nr. 4”: Restricţionarea accesului la informaţiile confidenţiale şi secrete
În mod evident orice informaţie este secretă atâta timp cât nu o spunem tuturor. Aşa că accesul la informaţiile confidenţiale şi secrete trebuie permis numai persoanelor care au dreptul şi necesitatea de a le cunoaşte.
Aici exemplul cel mai bun este un proces intentat unei foarte cunoscute agenţii de ştiri internaţională pentru că a publicat date din raportul financiar al unei companii, înainte ca acesta să fie emis către public în mod oficial. Cum a intrat agenţia în posesia acestor date? În orice caz nu au „spart” reţeaua, ci au folosit o metodă mult mai simplă. Acel raport se publică anual pe pagina de web a companiei în cauză, link-ul către raport apărea însă numai după lansarea oficială a raportului, astfel încât cineva care rasfoia site-ul nu ar fi putut ajunge la el. În schimb jurnaliştii au făcut un lucru foarte simplu: în adresa din anul precedent au înlocuit numărul anului anterior cu cel curent şi au ajuns la raportul încă neemis, care fusese pus fizic pe serverul de web. Apărarea agenţiei de ştiri a invocat simplul fapt că datele erau disponibile pe un server public, şi aveau dreptate!
„Porunca nr. 5”: Criptarea comunicaţiilor
Standardele moderne de protecţie a datelor vehiculate în reţea, asigură atât confidenţialitatea informaţiilor prin criptare, dar şi autenticitatea părţilor care comunică, precum şi integritatea mesajelor.
O a patra caracteristică, de obicei mai greu de îndeplinit este non-repudierea – adică un mesaj odată trimis de către sursă, va fi luat în consideraţie ca atare, sursa neputând nega trimiterea sa. Caracteristica de non-repudiere se obţine de obicei prin utilizarea certificatelor digitale.
Dacă există totuşi cineva care se mai întreabă încă dacă are nevoie de criptare, să ne gândim dacă există cineva din exteriorul organizaţiei interesat de datele care circulă prin reţea în interior sau între sucursale. Răspunsul cu siguranţă nu poate fi „nu”. Să ne gândim care ar fi impactul dacă cineva ar modifica câteva cifre – sume de bani sau un număr de cont într-o tranzacţie bancară.
„Porunca nr. 6”: Securitatea conexiunii la Internet
În mod clasic, Internetul este privit ca poarta de acces în reţea. Aşa şi este. Utilizarea unui firewall şi separarea serverelor de web şi mail de reteaua internă sunt un minim strict necesar.
Ce înseamnă acea separare? Serverul de web şi serverul de mail sunt accesibile de oricine din Internet prin natura serviciilor oferite de ele. Dacă ar fi conectate direct în reţeaua internă, împreună cu staţiile de lucru şi serverele interne, şi presupunând prin absurd, că un hacker din Internet ar reuşi să evite măsurile de securitate şi să obţină controlul asupra acestui server, atunci el ar avea acces direct, prin reţea la datele stocate pe servere sau orice staţie de lucru.
Ca atare, recomandările generale sunt ca serverul de web şi serverul de mail să fie conectate pe un segment separat, de obicei numit reţea demilitarizată (DMZ), traficul între acest DMZ şi reţeaua internă să fie filtrat de un firewall.
„Porunca nr. 7”: Securitatea fizică
Ar fi păcat ca după ce am aplicat măsuri severe de securitate logică şi de protecţie a reţelei, să poată intra cineva în sediul companiei şi să ne ia de pe masă hârtiile sau şi mai rău, chiar calculatorul.
Există chiar şi în zilele noastre destule firme sau instituţii în care poţi intra lăsând la poartă o legitimaţie, care practic se poate falsifica oricând şi să scriem orice pe ea. După ce am intrat, nu ne insoţeşte nimeni, putem să ne plimbăm cât vrem, până găsim un birou deschis sau ceva dosare interesante, aşteptând practic să fie ridicate.
Chiar şi pentru firmele mici, montarea unei alarme şi înscrierea la un serviciu de monitorizare al unei companii de securitate reprezintă costuri insignifiante faţă de prejudiciile ce pot fi aduse de o efracţie.
„Porunca nr. 8”: Politica de parole
Tot mai multe companii beneficiază din plin de posibilităţile oferite de tehnologie: acces total, de acasa sau din hotel, în reţeaua companiei, citirea mesajelor electronice prin WebMail, accesarea unor servicii cu plată puse la dispoziţie de companie, şi nu în ultimul rând relaţia electronică cu banca, la nivel personal sau reprezentând compania.
De obicei securitatea acestor servicii stă numai într-un nume de utilizator şi o parolă. În cazurile fericite, de obicei, în mediul bancar, mai sunt necesare un certificat digital sau un token care furnizează o parolă de unică folosinţă „One Time Password” (OTP).
Susţinând cu tărie că doua cuvinte, oricât de complicate ar fi ele – nume utilizator şi parolă – nu pot asigura o reală securitate, trebuie să avem grijă ca măcar acestea să fie cât mai complicate şi cât mai greu de urmărit de cineva care stă langă noi când le tastăm.
În plus trebuie evitat pe cât posibil ca parolele cu adevărat importante, cu care se pot accesa acele informaţii clasificate ca secrete, să nu le tastăm decât la calculatoare în a căror securitate suntem siguri. Programele care înregistrează tastele apăsate („keylogger”), sunt foarte uşor de instalat şi folosit, şi pot fi găsite pe Internet doar cu un pic de efort.
„Porunca nr. 9”: Schimbarea setarilor implicite
Vechea zicală că un calculator şi aplicaţiile de pe acesta au fost gândite pentru maximizarea facilităţilor şi a caracteristicilor de colaborare în detrimentul securităţii nu trebuie uitată. Unii producători, printre care Microsoft se remarcă detaşat, au început să prefere o instalare mai sigură începând să încline balanţa în favoarea securităţii.
Cu toate acestea la instalarea unui nou server, sau a unei noi aplicaţii, trebuie aplicate cu stricteţe recomandările de securitate ale producatorului, de obicei existente sub forma unui „checklist” (listă de verificări)– setări ce trebuie făcute pentru a creşte securitatea sistemului, dar cum este şi normal cu implicaţii asupra posibilităţilor de colaborare.
Şi trăgând învăţăminte din viaţa de zi cu zi, dacă nu îmbraci o haină timp de un an, doi, mai bine o arunci. Vom dezinstala în acelasi spirit toate programele şi serviciile de care nu avem nevoie. Un serviciu în plus reprezintă o modalitate în plus pentru un răuvoitor de a ne accesa calculatorul de la distanţă.
„Porunca nr. 10”: Auditul independent
După ce am luat o sumedenie de măsuri de securitate şi am investit o sumă de bani importantă, nu trebuie să ne închipuim că s-a terminat. Amintindu-ne de motto-ul articolului, trebuie să recunoaştem că este greu, dacă nu imposibil, să determinăm singuri gradul de securizare la care am ajuns. Aşa că este bine să apelăm la un expert, un auditor independent, care îşi poate crea o opinie obiectivă despre nivelul de securitate existent.
Un audit trebuie realizat anual, cel mult o dată la doi ani, dar cu condiţia să se acopere întregul sistem informatic, iar în intervalul dintre audituri să existe cu adevărat dorinţa şi mijloacele de a aplica recomandările şi a îndrepta neconformităţile identificate. Din acest moment se încheie un ciclu al securizării şi începe altul; aşadar, a securiza un sistem informatic, nu este o activitate singulară, de sine stătătoare ci este un proces recurent, integrat.
Ceea ce este important în cazul auditului este ca acesta să fie efectuat de persoane independente de administrarea sau dezvoltarea sistemului informatic, pentru a nu exista conflicte de interese, şi să existe încredere în calităţile auditorului de a identifica eventuale probleme sau disfuncţionalităţi prin raportarea la standarde sau la „best practices”.
de Cristian Săndescu, Managing Partner CC Consultants