Audyt
Transkrypt
Audyt
21 października AUDYT SYSTEMÓW INFORMATYCZNYCH 2009 1. Struktura środowiska informatycznego Rezultatem postępu, jaki w ciągu ostatnich 20 lat nastąpił w technice komputerowej, jest fakt, że dzisiejsza dostępność i moc obliczeniowa komputerów oraz związanego z nimi oprogramowania jest wykorzystywana zarówno w sektorze publicznym, jak i prywatnym. Fakt znaczącej roli, jaką komputery odgrywają w przetwarzaniu danych, podejmowaniu decyzji, utrzymywaniu kontaktów z klientami, rodzi pytanie, czy środowisko informatyczne reprezentowane przez zintegrowany system informatyczny, jest odpowiednio zorganizowane i kontrolowane, zarówno pod względem bezpieczeństwa, jak i efektywności funkcjonowania. Właściwe pojmowanie środowiska informatycznego, wszelkich aspektów z nim związanych, tj. uwarunkowań prawnych, kwestii technologicznych, relacji właścicielskich oraz pozostałych problemów związanych z poszczególnymi jego elementami, jest niezbędne do podejmowania trafnych i przemyślanych decyzji oraz do realizowania zamierzonych celów. W ramach wiedzy o tym środowisku wymagane jest odpowiednie zrozumienie relacji zasobów i procesów, stanowiących dwa główne elementy tego środowiska, oraz zagrożeń z nimi związanych. Zasoby informatyczne można podzielić na pięć głównych grup1: dane, systemy aplikacyjne, technologię, infrastrukturę oraz ludzi. Podział ten, przedstawiono na rysunku 1. Rysunek 1 . Zasoby środowiska informatycznego Źródło: Opracowanie własne na podstawie M.Forystek, Audyt informatyczny, InfoAudit, Warszawa 2005, s.35. 1 Forystek M. op.cit., s. 35 za COBIT Management Guidelines, ISACA [cit.2005-10-20], http://www.isaca.org. Mariusz Zarzycki, [email protected] 1 21 października AUDYT SYSTEMÓW INFORMATYCZNYCH 2009 Wymienione na rysunku 18 zasoby poddawane są klasyfikacji ze względu na znaczenie, jakie mają one dla jednostki gospodarczej. W zależności od wagi(znaczenia) określonego zasobu dla organizacji, inny będzie proces zarządzania ryzykiem związanym z tym zasobem. G.Idzikowska2 proponuje wydzielenie czterech grup zasobów: najwyższej wagi(vital), tzn. takich, które są niezastępowalne i jednocześnie niezbędne w każdej chwili, aby jednostka mogła funkcjonować; podstawowe(essential), czyli takie, których strata mogłaby przerwać działanie jednostki; mimo, że jednostka przetrwa, znacznie obniży się poziom jej produktywności; ważne(important), których utrata może spowodować niewygodę, a tylko czasem przerwę w funkcjonowaniu; użyteczne(useful), tzn. takie, które dobrze jest mieć, ale których brak nie stwarza problemów. Z każdym z zasobów środowiska informatycznego wiążą się określone zagrożenia. W kontekście systemów informatycznych zagrożeniami mogą być awarie zasilania, źle nadane uprawnienia do programów i danych, rozprzestrzeniające się wirusy komputerowe, awarie sprzętu, siły natury oraz działania ludzkie. Zależnie od celowości działań zagrożenia kwalifikuje się jako przypadkowe lub celowe. Zagrożenie jest przypadkowe, jeżeli powstało samoczynnie (np. awaria sprzętu) lub nieumyślnie (błąd ludzki, np. roztargnienie, posiadanie niewystarczającej na dany temat wiedzy). Zagrożenia celowe są świadomymi ingerencjami ludzi w sprzęt i/lub oprogramowanie, mającymi na celu zniszczenie, przechwycenie bądź modyfikację systemu informatycznego. Należy tutaj uwzględnić również wszelkie oszustwa komputerowe3. Z uwagi na źródło zagrożenia wyróżnić można zagrożenia:4 zewnętrzne – występujące ze strony osób nieuprawnionych do dostępu lub używania systemu informatycznego jako skutek niedoskonałości systemu zabezpieczeń zewnętrznych; ze strony środowiska naturalnego(trzęsienia ziemi, wyładowania 2 R.P. Fisher., Information Systems Security, Prentice-Hall, Inc., Englewood Cliffs 1983, s. 13-14 w Idzikowska G., op.cit., s. 165. 3 Oszustwa oraz inne akty bezprawne zostaną opisane w dalszej części pracy. 4 Grzywacz J.[red], Bezpieczeństwo systemów informatycznych w bankach w Polsce, SGH, Warszawa 2003, s. 13. Mariusz Zarzycki, [email protected] 2 21 października AUDYT SYSTEMÓW INFORMATYCZNYCH 2009 atmosferyczne itp.) lub jako niebezpieczeństwa związane z otoczeniem, w którym znajduje się komputer(kurz, wilgoć, ogień itp.), wewnętrzne – będące wynikiem działania użytkowników uprawnionych do korzystania z systemu. Biorąc za kryterium rodzaj zagrożenia można wskazać zagrożenia sprzętowe oraz programowe. Przykładową statystykę zagrożeń dla systemów komputerowych przedstawiono na wykresie 1. Wykres 1. Zagrożenia w systemach komputerowych 9% 4% pomyłki ludzi 3% problemy fizyczne 10% nieuczciwy personel 54% 20% niezadowolny personel wirusy ataki z zewnątrz. Źródło: Grzywacz J. [red], Bezpieczeństwo systemów informatycznych w bankach w Polsce, SGH, Warszawa 2003, s. 14. Wobec przedstawionych ogólnie zagrożeń kluczową rolę odgrywa bezpieczeństwo zasobów tworzących model środowiska informatycznego. Pod pojęciem bezpieczeństwa zasobów informatycznych kryje się wiele pojęć, które różnią się pod względem semantycznym i co do których znaczenia odmienne są poglądy różnych autorów 5. G.Idzikowska6 definiuje bezpieczeństwo zasobów jako grupę zadań kierownictwa podmiotu obejmującą dbałość o dokładność i nienaruszalność danych i informacji niezbędnych do zarządzania jednostką, o poufność, tajność i niedostępność danych dla osób nieupoważnionych, o zabezpieczenie zasobów informatycznych przed wypadkami losowymi lub niewłaściwym użyciem, o ustrzeżenie pracowników przed pokusą, a kierownictwa przed nieprzezornością. Drugim, obok zasobów elementem wchodzącym w skład struktury środowiska informatycznego są procesy informatyczne, których zadaniem jest zarządzanie złożonym 5 Idzikowska G., Wiarygodność danych a bezpieczeństwo zasobów w środowisku informatycznym rachunkowości, Wyd. UŁ. Łódź 2002, s.150. Autorka dokonuje szczegółowego przeglądu pojęć związanych z bezpieczeństwem zasobów informatycznych, tj. bezpieczeństwa danych, ochrony danych, zabezpieczenia danych. 6 Idzikowska G., op.cit., s. 152. Mariusz Zarzycki, [email protected] 3 21 października AUDYT SYSTEMÓW INFORMATYCZNYCH 2009 zbiorem zasobów tego środowiska. Wśród procesów można wydzielić cztery ich główne rodzaje związane z7: monitorowaniem funkcjonowania infrastruktury informatycznej, planowaniem i organizowaniem struktur i procesów informatycznych, wdrażaniem nowych rozwiązań i wprowadzaniem zmian do istniejących systemów, zapewnieniem efektywnego działania eksploatowanych systemów. Koniecznym pozostaje scharakteryzowanie głównych zasobów wchodzących w skład środowiska informatycznego wraz ze powiązanymi z nimi zagrożeniami. Uwagę należy również zwrócić na proces zarządzania ryzykiem jako mechanizm monitorujący zagrożenia i ich ewentualne skutki. Audytor informatyczny powinien posiadać, co najmniej ogólną wiedzę na temat zasobów informatycznych. Powinien znać zasady współpracy poszczególnych zasobów oraz znać charakterystyki i kluczowe mechanizmy kontrolne w nich wykorzystywane, tak aby być przygotowanym do realizacji zadań audytowych, w tym prowadzenia testów dowodowych8. 1.1. Zasoby środowiska informatycznego, zagrożenia i mechanizmy je kontrolujące 1.1.1. Fizyczne i logiczne bezpieczeństwo danych Dane, zdefiniowane w rozdziale pierwszym, krytyczny zasób organizacji, niezbędny dla zapewnienia kontynuacji prowadzonej działalności. Szeroko rozumiana jakość danych, oceniana w aspekcie trafności prezentowanych informacji czy ich bezpieczeństwa określa często jakość całego systemu informatycznego w całości. Kwestia trafności prezentowanych przez systemy informacji różni się w zależności od osób z niej korzystających. Spotyka się określenie, że dane o organizacji stanowią odzwierciedlenie jej przeszłości, teraźniejszości oraz przyszłości. Ich utrata często oznacza koniec działalności danej organizacji. Utrata danych może na przykład nastąpić na skutek luk bądź niedociągnięć w nieprzestrzeganiu podstawowych zasad związanych z wykonywaniem kopii zapasowych gromadzonych danych. Nieprofesjonalne wykonywanie kopii zapasowych, sabotaż bądź inne katastrofy naturalne, jak 7 8 Forystek M., op.cit., s. 35. Forystek M., op.cit., s. 34. Mariusz Zarzycki, [email protected] 4 21 października AUDYT SYSTEMÓW INFORMATYCZNYCH 2009 powódź czy pożar mogą w rezultacie doprowadzić do niemożności odzyskania danych, a co za tym idzie, do uniemożliwienia organizacji wykonywania jej podstawowych operacji w ramach prowadzonej działalności. Podejmowanie poprawnych decyzji zależy w znacznej mierze od jakości danych i ewentualnie jakości metod decyzyjnych zawartych w systemach informatycznych. Ważną kwestią jest również nadużycie komputera przez niepowołane do tego osoby. Parker9 definiuje nadużycie komputera jako incydent związany z technologią informatyczną, w której ofiara doznała bądź mogłaby doznać utraty lub zakłamania w danych na skutek działalności przestępczej innej osoby. Należy jednak dodać, iż nadużycie nie zawsze musi oznaczać popełnienie przestępstwa10. Znaczenie danych ze względu na ich poufność, integralność, dostępność czy zgodność z prawem decyduje o poziomie ochrony całego systemu informatycznego. Charakterystyka wybranych aspektów bezpieczeństwa systemów informatycznych z punktu widzenia wrażliwości danych znajduje się w tabeli 8. Tabela 1. Charakterystyka wybranych aspektów bezpieczeństwa systemu informatycznego Aspekt bezpieczeństwa Opis Utrata integralności(rozumiana jako dokładność, kompletność oraz prawdziwość(ważność)) Integralność danych i systemu traktowana jest jako wymóg, jaki narzuca na system ochrona informacji przed niedozwolonymi modyfikacjami. Utrata integralności występuje, jeżeli nieautoryzowane zmiany są dokonywane na danych bądź innych elementach systemu informatycznego. Utrata integralności zmniejsza pewność informacji zawartych w systemie, czego rezultatem mogą być błędnie podejmowane decyzje. Utrata dostępności(w kontekście dostępności informacji; dotyczy także ochrony niezbędnych zasobów i ich możliwości) Niedostępność systemu informatycznego, krytycznego z punktu widzenia użytkowników końcowych, skutkuje utratą mocy produkcyjnej organizacji. Utrata poufności( ochrona ważnych informacji przed nieuprawnionym ujawnieniem) Zapewnienie poufności danych zawartych w systemie odnosi się do zapewnienia ochrony informacji przed nieautoryzowanym dostępem. Utrata poufności informacji zawartych w systemie może w najgorszym przypadku prowadzić do roszczeń prawnych wobec organizacji, utraty poszanowania i zaufania publicznego. Źródło: Opracowanie własne na podstawie Stonebumer G., Goguen A., Feringa A., Risk Management Guide for Information Technology Systems, National Institute of Standards and Technology, Październik 2001, s. 22. 9 Parker, Donn B., Crime by Computer, New York: Charles Scibner’s Sons, s. 12. Trudno byłoby nazywać przestępstwem wydrukowanie prywatnej korespondencji z użyciem służbowego komputera i podłączonej do niego drukarki. 10 Mariusz Zarzycki, [email protected] 5 21 października AUDYT SYSTEMÓW INFORMATYCZNYCH 2009 Dziś, w dobie uzależnienia się przedsiębiorstw od informacji, zachowanie bezpieczeństwa zarówno fizycznego, jak i logicznego danych jest sprawą kluczową. Fizyczny dostęp11 do danych oznacza fizyczną możliwość uzyskania nośnika, na którym zapisane są dane, tj. dysków, dyskietek, bibliotek taśmowych, wydruków. G.Idzikowska12 definiuje fizyczne środki ochrony jako sposoby zabezpieczenia przed nieupoważnionym dostępem do „materialnych” zasobów środowiska informatycznego. Do środków tych zalicza się wszelkie mechanizmy kontrolne, jak: drzwi z zamkami cyfrowymi, czytniki biometryczne czy urządzenia kontrolujące. Ograniczenie dostępu fizycznego do zasobów informatycznych uzyskuje się stosując tradycyjną „koncepcję fortecy” 13. Ogólny zamysł polega na wyodrębnianiu specjalnych stref w technologii informatycznej, zwanych strefami zdemilitaryzowanymi, DMZ(ang. Demilitarized Zone14), w których stosuje się różnorodne mechanizmy zabezpieczające przejście pomiędzy jedną strefą a drugą. Ograniczenie dostępu do systemu komputerowego przedstawiono na rysunku 2. Rysunek 2. Ograniczenie dostępu do systemu komputerowego KONTROLE DOSTĘPU DO SYSTEMU KOMPUTEROWEGO PRÓBA DOSTĘPU KONTROLE DOSTĘPU DO BUDYNKU KONTROLE OTOCZENIA SIEDZIBY JEDNOSTKI GOSPODARCZEJ Źródło: Gelinas U.J., Oram A.E., Wiggins W.P., Accounting Information Systems, PWS Kent Publishing Company, Boston 1990, s. 175 w Idzikowska G., Wiarygodność danych a bezpieczeństwo zasobów w środowisku informatycznym rachunkowości, Wyd. UŁ. Łódź 2002, s. 156. Jak widać na powyższym rysunku, aby uzyskać fizyczny dostęp do systemu komputerowego należy odpowiednio otrzymać zezwolenie do przekroczenia wcześniejszych stref: siedziby jednostki gospodarczej oraz budynku. 11 Yusufali F.Musaji, Auditing and Security, AS/400, NT, Unix, Networks and Disaster Recovery Plans, John Wile & Sons, Nowy Jork 2001, s. 41. 12 Idzikowska G., op.cit., s. 154. 13 Smith M., Commonsense Computer Security, Mc Graw-Hill International, Cambridge 1993, s. 81 w Idzikowska G., op.cit., s. 155 Smith M., Commonsense Computer Security, Mc Graw-Hill International, Cambridge 1993, s. 81. 14 http://www.wikipedia.org [cit. 2005-09-20], Strefa zdemilitaryzowana, DMZ (ang. Demilitarized Zone) - w informatyce, strefą zdemilitaryzowaną nazywa się też półżartobliwie wydzielony obszar graniczny sieci lokalnej, w którym znajdują się firewall-e i serwery proxy. Oddziela ona sieć wewnętrzną od zewnętrznych. Podstawową zasadą jest brak bezpośredniej komunikacji między siecią wewnętrzną a zewnętrzną w celu zapewnienia wysokiego poziomu bezpieczeństwa. Mariusz Zarzycki, [email protected] 6 21 października AUDYT SYSTEMÓW INFORMATYCZNYCH 2009 Lista zagrożeń w zakresie technik i sposobów przełamywania mechanizmów logicznego dostępu do systemów komputerowych powiększa się z dnia na dzień, co uniemożliwia pełne odzwierciedlenie rzeczywistej listy tych zagrożeń. Najczęściej spotykane mechanizmy przełamywania logicznego dostępu do danych wraz z ich charakterystyką pokazuje tabela 2. Tabela 2. Mechanizmy przełamywania logicznego dostępu do danych Rodzaj zagrożenia Charakterystyka zagrożenia Wirusy(ang. viruses) Programy, które dołączają się same do plików wykonywalnych, obszarów systemowych, plików danych, zawierające makra, które powodują zakłócenie operacji komputerowych bądź utratę danych. Robaki(ang. worms) Programy o zwykle destruktywnym charakterze, które rozprzestrzeniają się pomiędzy komputerami z wykorzystaniem usług sieciowych; nie potrafią, jak wirusy, infekować innych programów, ale mogą się przenosić pomiędzy komputerami przez sieć; kod robaka może być rozlokowany na wielu maszynach i służyć np. do wykonania ataków blokowania usług. Bomby logiczne(ang. logical bombs) Programy, które aktywują się w określonych warunkach(np. w określonym momencie w przyszłości); nie roznoszą się, ale mają zwykle destruktywny charakter(np. programista tworzy program, który uaktywniony wywoła zniszczenie danych w przyszłości; jeśli programista zostanie zwolniony , to w przyszłości jego firma może mieć problemy). Tylne furtki(ang. trap doors) Mechanizmy programowe, które pozwalają na ominięcie autoryzacji, np. naciśnięcie określonej kombinacji klawiszy powoduje przejście w tryb administratora. Konie trojańskie(ang. Trojan horses) Użyteczne programy, które niejako „przy okazji” wykonują ukryte funkcje ( np. wygaszacze ekranu). Wypływ danych(ang. data leakage) Dane mogą być skopiowane na różne nośniki; do tego celu mogą być wykorzystane funkcje systemu, ale także np. kopiowanie danych poprzez schowek. Podsłuch(ang. wire-taping) Podłączenie się do linii transmisyjnej w celu podsłuchania przepływających przez nią danych; w sieciach typu Ethernet podsłuchiwanie nie wymaga żadnych dodatkowych zabiegów poza zwykłym podłączeniem do sieci(w przypadku przełączników też jest to możliwe, ale trudniejsze). Blokowanie usług(ang. denial-of-service attack) Atak DoS15 (ang. Denial of Service Attack) - rodzaj ataku, polegający na wysłaniu jednocześnie bardzo dużej liczby zapytań do serwera, co powoduje jego przeciążenie, zablokowanie, czasem nawet poważniejsze awarie. Do ataków takich wykorzystuje się często komputery zombie. Ataki typu DoS stały się głośne po roku 2000, zwłaszcza w okresie znanej kontrowersji wokół prawa własności do systemu operacyjnego Linux, gdy serwery niektórych firm były celowo blokowane przez ich przeciwników16. Podszywanie się, kradzież Polega on na tworzeniu przez spamerów oszukańczych wiadomości e-mail 15 16 Lam K., LeBlanc D.,Smith B, Ocena bezpieczeństwa sieciowego, APN Promise, Warszawa 2005, s. 224-227. http://helionica.pl/index.php/Atak_DoS [cit. 2005-09-20]. Mariusz Zarzycki, [email protected] 7 21 października AUDYT SYSTEMÓW INFORMATYCZNYCH 2009 tożsamości(ang. Phishing, Masquerading,Email Spoofing) i witryn WWW, które wyglądają identycznie jak serwisy internetowe firm o znanej marce, aby skłonić klientów indywidualnych do podania numeru karty kredytowej lub informacji o koncie bankowym 17. Źródło: Opracowanie własne na podstawie Forystek M., Audyt informatyczny, InfoAudit, Warszawa 2005 s.3.9 Z luk w mechanizmach dostępu logicznego mogą korzystać zarówno pracownicy organizacji, jak i osoby zewnętrzne. Ich wykaz został zaprezentowany w tabeli 3. Tabela 3. Zagrożenia komputerowe ze strony ludzi na skutek luk w mechanizmach dostępu logicznego Zagrożenia z zewnątrz organizacji Zagrożenia z wewnątrz organizacji. Konkurencja Pracownicy Celem działań jest zdobycie informacji o konkurencji oraz szpiegostwo ekonomiczne, osiągnięcie bezpośrednich bądź pośrednich korzyści majątkowych, sabotaż. W znacznym stopniu wykorzystywana jest tutaj socjotechnika18(ang. Social engineering). Statystycznie pracownicy popełniają najwięcej przestępstw związanych z przełamywaniem mechanizmów dostępu logicznego lub wykorzystywaniem zbyt wysokiego ich poziomu, do celów nie związanych z czynnościami służbowymi. Przedstawiciele przestępczości zorganizowanej Personel IT Celem działań jest szantaż, destrukcja, wyzysk, zemsta. Szczególna grupa pracowników w aspekcie systemów informatycznych, gdyż posiada najszerszy zakres uprawnień dostępu logicznego, co umożliwia trudno wykrywalny dostęp do danych. Hakerzy Ignoranci Specjaliści z dziedziny bezpieczeństwa, którzy posiadając wiedzę o lukach w mechanizmach dostępu logicznego przejmują nad nimi częściową lub całkowitą kontrolę. Hakerów można podzielić na crackerów – opłacanych hakerów działających na rzecz strony trzeciej, srcipt-kidies – osoby, które korzystają z gotowych programów i skryptów same nie posiadając wystarczającej wiedzy i doświadczenia do przełamywania mechanizmów kontroli dostępu oraz hack activists – osoby, które dokonują włamań z pobudek światopoglądowych. Poprzez błędnie nadane uprawnienia przewyższające ich rzeczywiste potrzeby mogą mieć dewastacyjny wpływ na środowisko informatyczne. Dostawcy i konsultanci IT Posiadają zwykle szeroką wiedzę na temat systemów i mogą ją wykorzystać dla własnych celów. Personel zatrudniony czasowo Posiada zwykle dostęp podobny do zwykłych pracowników, a ze względu na rotację może wykorzystać nabytą podczas pracy wiedzę do realizacji nielegalnych działań. Byli pracownicy 17 Symantec Corporation [cit. 2005-10-12], https://www.symantec.com. Wikipedia, http://pl.wikipedia.org/ - Social engineering - tłumaczone zamiennie jako inżynieria socjalna lub socjotechnika (błędnie jako inżynieria społeczna!). Za jej twórcę uważa się Kevina Mitnicka. Socjotechnika to pozyskiwanie informacji poprzez odpowiednie chwyty psychologiczne i manipulacje na ludziach, którzy mają dostęp do tych informacji. Metoda ta jest także bardzo często wykorzystywana przez prywatnych detektywów i tak zwanych handlarzy informacją. Inżynieria socjalna jest najczęściej wykorzystywana do okradania wielkich korporacji z poufnych danych (np. planów technologicznych). Do ataków najczęściej wykorzystywany jest telefon. Socjotechnika opiera się na utwierdzaniu ofiary w przekonaniu, że napastnik jest uprawniony do poznania danej informacji. 18 Mariusz Zarzycki, [email protected] 8 21 października AUDYT SYSTEMÓW INFORMATYCZNYCH 2009 Zwykle posiadają dużą wiedzę o organizacji i z zastosowaniem metod socjotechnicznych mogą wykonać operacje podobne jak pracownicy. Źródło: Opracowanie własne na podstawie Stonebumer G., Goguen A., Feringa A., Risk Management Guide for Information Technology Systems, National Institute of Standards and Technology, Październik 2001, s. 14 oraz Forystek M., Audyt informatyczny, InfoAudit, Warszawa 2005 s. 38. W ograniczeniu dostępu logicznego do szczególnych danych krytycznych z punktu widzenia organizacji stosuje się wiele mechanizmów podwyższających ich bezpieczeństwo. Do mechanizmów tych zalicza się m.in. identyfikację, szyfrowanie, podpisy cyfrowe infrastrukturę klucza publicznego oraz ściany ogniowe(ang. firewalls19). Identyfikacja(uwierzytelnianie) użytkowników stanowi jeden z bazowych logicznych środków ochrony dostępu do danych. Jest to proces weryfikacji tożsamości(identyfikacji) polegający na wymianie tajnej informacji między użytkownikiem a komputerem. Użytkownik jest przy tym rozumiany szeroko, ponieważ może nim być nie tylko konkretna osoba, lecz także terminal czy nadawca zaszyfrowanego pakietu danych w sieci komputerowej. Różne też mogą być metody uwierzytelniania, w zależności od tego, co użytkownik zna(hasło, algorytm, odpowiedzi na pytanie czy prywatny klucz przy elektronicznym podpisie) i w zależności od potrzeb (np. uwierzytelnienie jedno- lub dwukierunkowe). Identyfikacja użytkowników odbywa się najczęściej: z wykorzystaniem unikatowego identyfikatora oraz hasła; z wykorzystaniem danych biometrycznych, jak: tęczówka oka, dno oka, linie papilarne, kształt dłoni, trójwymiarowa geometria dłoni, cechy charakterystyczne podpisu, rozpoznawanie głosu, kształt twarzy; z wykorzystaniem kart, żetonów bądź innych fizycznych identyfikatorów przechowujących certyfikaty. Logiczny dostęp do danych oznacza możliwość ich odczytania, modyfikacji lub usunięcia z wykorzystaniem m.in. narzędzi informatycznych. Logiczny dostęp do danych w środowisku informatycznym odbywa się praktycznie zawsze z wykorzystaniem mechanizmów dostępu logicznego na różnych poziomach modelu technologicznego – na poziomie systemu operacyjnego, oprogramowania, elementów infrastrukturalnych20. Szyfrowanie jest znanym od czasów Cesarstwa Rzymskiego sposobem ochrony danych. Głównym celem szyfrowania jest zapewnienie przesyłania informacji w taki sposób, 19 Soo Hoo K.J., How Much Is Enough? A Risk Management Approach to Computer Security, Consortium for Research on Information Security and Policy(CRISP), Lipiec 2000, s. 37. 20 Forystek.M., op.cit., s. 37. Mariusz Zarzycki, [email protected] 9 21 października AUDYT SYSTEMÓW INFORMATYCZNYCH 2009 aby odczytać mógł je jedynie określony adresat i nikt inny. M.Forystek21 definiuje szyfrowanie jako proces, który polega na zamianie jawnego tekstu przesyłki na bezpiecznie zakodowaną formę tekstu zwaną szyfrem, która nie może być odczytana(zrozumiała) bez odszyfrowania – zamiany szyfru na jawny tekst. Proces ten jest realizowany z wykorzystaniem funkcji matematycznych oraz specjalnego hasła(zwanego kluczem) używanego do szyfrowania i odszyfrowania. Ze względu na wagę problemu wykształciła się odrębna dyscyplina nauki, zwana kryptografią(ang.cryptography)22. Szyfrowanie służy nie tylko ograniczeniu dostępu do treści danych. Jest ono wykorzystywane także do zapewnienia integralności danych(ang. teleinformatyczne, w integrity) których w czasie możliwy jest ich przesyłania(np. podsłuch) oraz do przez łącza zagwarantowania wiarygodności i jednoznaczności co do nadawcy przesyłki. Do najczęściej stosowanych form systemów kryptograficznych zalicza się szyfrowanie z kluczem prywatnym, szyfrowanie z kluczem publicznym, szyfrowanie z użyciem krzywych eliptycznych oraz szyfrowanie kwantowe. Najpowszechniejszymi rodzajami szyfrów są szyfry RSA, DES, IDEA. Kolejnym elementem kontrolującym logiczny dostęp, występujący oddzielnie bądź wraz z mechanizmami szyfrowania, jest podpis cyfrowy, którego wykorzystanie w Polsce reguluje Ustawa o podpisie elektronicznym. Podpis cyfrowy jest szyfrogramem dokumentu sporządzonym z wykorzystaniem algorytmu niesymetrycznego i klucza prywatnego nadawcy. Taki szyfrogram może być odczytany wyłącznie za pomocą klucza publicznego nadawcy, więc każdy może sprawdzić, kto wysłał daną wiadomość. Najczęściej podpisy cyfrowe wykorzystywane są w23: potwierdzaniu autentyczności nadawcy, weryfikacji integralności przesyłki, zapewnieniu niezaprzeczalności. W związku z koniecznością upubliczniania24 klucza publicznego oraz utajnienia klucza prywatnego stworzono infrastrukturę klucza publicznego – PKI(ang.Public Key Infrastructure). Rozwiązanie to uwzględnia istnienie specjalnie powołanego organu (ang. Certificate Authority), stanowiącego urząd zaufania publicznego, kreującego i utrzymującego klucze publiczne. Jego główne zadanie polega na wystawianiu certyfikatów elektronicznych 25 21 Forystek.M., op.cit., s. 41. Wykaz najczęściej stosowanych szyfrów - http://pl.wikipedia.org/wiki/Kryptografia oraz Forystek.M., op.cit., s. 41-46. 23 Forystek M., op.cit., s. 46. 24 Upublicznianie polega na umożliwieniu pobrania klucza publicznego zainteresowanemu nawet bez znajomości właściciela klucza. 25 Certyfikat elektroniczny DC(ang. Digital Certificate) – elektroniczny wyznacznik, składający się z danych właściciela certyfikatu oraz jego klucza publicznego. Przykładem mogą być certyfikaty pocztowe, stron www itp. 22 Mariusz Zarzycki, [email protected] 10 21 października AUDYT SYSTEMÓW INFORMATYCZNYCH 2009 każdemu, kto złoży na nie zapotrzebowanie. W praktyce urzędy certyfikacji tworzą strukturę drzewiastą, złożoną z głównych urzędów CA oraz urzędów niższego rzędu RA(ang. Registration Authority)26 realizujących część zadań CA27. Fakt dość wysokich kosztów uzyskania certyfikatów od światowych liderów w tej dziedzinie, jak VeriSign jest powodem, iż organizacje decydują się na posiadanie lokalnych urzędów certyfikacji świadczących usługi zgodnie z ich potrzebami. Obecne technologie informatyczne, uwzględniające zarówno rozwiązania sprzętowe, jak i programowe oferują mechanizmy kontrolujące(filtrujące) ruch sieciowy, tzw. ściany ogniowe. Ich zadanie polega na akceptowaniu bądź odrzucaniu pakietów pochodzących od określonych nadawców bądź z określonych podsieci lokalnych(stref) wraz z pełnym monitoringiem zdarzeń naruszających określone reguły bezpieczeństwa. Elementem umożliwiającym kontrolę oraz analizę uzyskanego dostępu logicznego są także dzienniki systemowe, zapisujące szczegółowe dane dotyczące obiektów(np. użytkowników), które uzyskały dostęp do określonego zasoby wchodzącego w skład środowiska informatycznego. 1.1.2. Architektura oraz mechanizmy kontrolne w programach użytkowych Kontrola programów użytkowych jako zasobu środowiska informatycznego jest bardzo ważnym aspektem kontroli środowiska informatycznego. Zgodnie z wcześniejszą definicją program użytkowy(aplikacja) to rodzaj programu komputerowego. Do najczęściej spotykanych typów programów komputerowych zalicza się aplikacje jednostanowiskowe(jednoużytkowe), wieloużytkowe, klient-serwer, korzystające z baz danych i pracujące w sieci(sieciowe). Problemem związanym z aplikacjami jednoużytkowymi jest zachowanie jednakowej parametryzacji wszystkich stanowisk w ramach całej organizacji. W przypadku aplikacji wieloużytkowych należy zadbać o zachowanie szyfrowanej komunikacji oraz zapewnić wystarczające moce sprzętowe maszyn obsługujących sam program, jak i profilowane środowiska każdego z użytkowników. W przypadku aplikacji typu klient-serwer, oprócz problemów charakterystycznych dla programów jedno i wieloużytkowych, pojawić się mogą problemy związane z siecią 26 Czasami urzędy typu RA w ujęciu systemów informatycznych nazywane są SA(Subordinate Authority). Do zadań tych można zaliczyć np. wystawianie, utrzymywanie i zarządzanie certyfikatami, zaświadczenie o posiadaniu certyfikatu przez daną osobę. 27 Mariusz Zarzycki, [email protected] 11 21 października AUDYT SYSTEMÓW INFORMATYCZNYCH 2009 teleinformatyczną oraz zachowaniem poufności i integralności danych. Kwestią kluczową jest tutaj zachowanie szyfrowanych sesji pomiędzy klientem a serwerem, aby wyeliminować możliwość podłączania się intruzów pod już otwartą sesję. Do najczęściej spotykanych mechanizmów kontrolnych w aplikacjach należą mechanizmy kontrolujące proces wprowadzania danych, przetwarzania danych, generowania informacji wynikowych oraz mechanizmy zabezpieczające pliki źródłowych aplikacji 28. Kontrolując aplikacje należy poświęcić uwagę całemu procesowi przepływu danych realizowanemu w danym programie komputerowym. Stosowanie mechanizmów jedynie kontrolujących samą aplikację powoduje, iż w rzeczywistości cały system informatyczny można uznać za niechroniony. Aby przystąpić do wprowadzania danych użytkownik musi zostać jednoznacznie zidentyfikowany przez aplikację. Weryfikacja tożsamości odbywa się z użyciem wielu metod, do których zaliczyć można tradycyjne: identyfikator i hasło, kontrolę na poziomie systemu operacyjnego, systemu zarządzania bazą danych, samej aplikacji29. Obecna technologia udostępnia kompleksowe rozwiązania umożliwiające na podstawie pojedynczej identyfikacji poruszanie się po wielu systemach fizycznie odseparowanych 30. Z punktu widzenia bezpieczeństwa praktykuje się jednak stosowanie oddzielnych mechanizmów dostępu do aplikacji w celu uniemożliwienia korzystania z nich w momencie zdobycia bazowego hasła dostępu. W zależności od sposobu wprowadzania danych do systemu, tj. wsadowego bądź bieżącego stosuje się różne mechanizmy kontrolne. Do mechanizmy kontrolnych zapewniających integralność danych na etapie wprowadzania można zaliczyć31: weryfikację podpisów cyfrowych - każda wprowadzana paczka danych może być podpisana; dzięki temu możliwe jest wykrycie utraty integralności i potwierdzenie wiarygodności tożsamości; proces weryfikacji może odbywać się całkowicie automatycznie, kontrolę wartości (ang. total monetary amount) - weryfikacja, czy wartość wprowadzonych dokumentów jest zgodna z wartością wykazaną w innym systemie lub przez innego użytkownika(np. wprowadza się wsadowo faktury zakupu, weryfikację sum kontrolnych(ang. hash totals) - sprawdza się, czy sumy określonych pól dla całości pliku lub jego konkretnych części(np. sumy na klientach lub 28 Chambers A.D., Court J.M., Computer Auditing Third Edition, Pittman Publishing London 1991, s. 157. Patrz mechanizmy kontroli dostępu logicznego w przypadku danych. 30 Przykładem może być usługa katalogowa firmy Microsoft wykorzystująca Kerberos’a. 31 Forystek M., op.cit., s. 54-56. 29 Mariusz Zarzycki, [email protected] 12 21 października AUDYT SYSTEMÓW INFORMATYCZNYCH 2009 określonych towarach) są zgodne z zamierzeniami. Suma kontrolna (ang. checksum, control total) jest liczbą (często 16-bitową) uzyskaną w wyniku sumowania przesyłanych danych, służącą do sprawdzania poprawności przetwarzanych danych. Jest ona dołączana do danych wysyłanych. Zanim komputer wyśle dane, liczy sumę kontrolną i dołącza ją do pakietu danych. Komputer odbierający dane liczy również sumę kontrolną z odebranych danych i sprawdza, czy suma przez niego obliczona zgadza się z sumą wysłaną z pakietem danych. Jeśli nie, to znaczy, że dane uległy przekłamaniu. W rachunkowości odpowiednikiem sum kontrolnych są sumy obrotów Winien lub Ma. kontrolę kolejności(ang. sequence check) - sprawdza się, czy nie ma „dziur” w numeracji dokumentów. W zależności od wykrytych przez przedstawione mechanizmy kontrolne nieprawidłowości należy podjąć odpowiednią akcję: odrzucić wprowadzane dane(paczkę danych), wstrzymać dalsze przetwarzanie do wyjaśnienia powodów zaistniałej sytuacji, odrzucić to, co nie jest zgodne i kontynuować, odpowiednio zaznaczyć błędy w celu późniejszej ich korekty . Problem zagrożeń związanych z aplikacjami tkwi nie tylko w samym wprowadzaniu danych, choć wymienione mechanizmy kontrolne znajdują szczególne zastosowanie właśnie podczas tego etapu. Uwagę należy również poświęcić etapom rzeczywistego przetwarzania danych oraz generowania wyników. Większość metod wykorzystywanych na etapie wprowadzania danych stosuje się również i w tym przypadku. Dodatkowo w przypadku przetwarzania danych spotyka się32: weryfikację na drugą rękę – rozpoczęcie przetwarzania wymaga niezależnego potwierdzenia przez dwie osoby; weryfikacja tego typu jest silnym mechanizmem pod warunkiem, że do jej wykonania nie wystarczy naciśnięcie jednego klawisza – w takim przypadku po pewnym czasie staje się rutyną i jej jakość silnie zależy od cech osobowości użytkownika, powtórną autoryzację – np. do wykonania przelewu w systemie internetowym może być wymagane podanie dodatkowego hasła lub skorzystanie z karty procesorowej33, 32 Forystek M., op.cit., s. 56. Przykładem może być lista haseł jednorazowych potrzebną do potwierdzenia każdej operacji na stronach mBanku http://www.mbank.pl. 33 Mariusz Zarzycki, [email protected] 13 21 października AUDYT SYSTEMÓW INFORMATYCZNYCH 2009 przeliczanie manualne(ang.manual recalculation) – niektóre dane powinny być przeliczane ręcznie; wybór danych do przeliczenia może opierać się na metodach statystycznych. Generowanie wyników, raportów końcowych musi podlegać identycznej kontroli jak etap wprowadzania danych. Ewidencjonowaniu powinien podlegać każdorazowo wygenerowany raport w celu umożliwienia kontroli kto, kiedy i czy w uzasadnionym celu dokonał przeglądu danych. Szczególną uwagę należy poświęcić również uprawnieniom nadawanym w danej aplikacji, tj. czy generować raporty mogą jedynie użytkownicy posiadający odpowiednia prawa34. Aplikacje webowe często wykorzystują pliki tymczasowe. Istotnym zagadnieniem z punktu widzenia bezpieczeństwa jest wykluczenie lokalnego przechowywanie tych plików na komputerach użytkowników. W przeciwnym razie na ich podstawie można przeglądać zawartości stron, obejrzanych wcześniej i zbuforowanych lokalnie na dysku przez osoby, które nie powinny mieć do tego uprawnień. Bezpieczeństwo sieci teleinformatycznych35 1.1.3. Sieci teleinformatyczne stanowią istotny element środowiska informatycznego. Rzadko można dziś spotkać przedsiębiorstwa, w których wymiana informacji opiera się na rozwiązaniach nie wykorzystujących sieci jako medium transmisyjnego36. Zaprezentowaną wcześniej klasyfikację zagrożeń można nieco zmodyfikować w aspekcie sieci teleinformatycznych. W tym celu można posłużyć się klasyfikacją Howarda i Longstaffa37 wykorzystywaną przez polski oddział CERT38(ang.Computer Emergency Response Team) przy klasyfikacji incydentów naruszających bezpieczeństwo teleinformatyczne. Klasyfikacja ta wyznacza trzy typy zagrożeń: fizyczne (ang. Physical Threats), niezamierzone (ang. Unintentional Threats), z użyciem złośliwego oprogramowania(ang. Malicious Software). 34 Problem ten ma szersze znaczenie, gdyż w starszych aplikacjach generowanie raportów polegało na tworzeniu zestawień w postaci plików przechowywanych lokalnie na dysku. Takie rozwiązanie oznacza, iż użytkownicy, którzy fizycznie nie mieli możliwości generowania raportów poprzez aplikację, mogli przeglądać ich zawartość na skutek zbyt szerokich uprawnień do lokalizacji, w której było one przechowywane. Możliwym rozwiązaniem tego problemu jest odpowiednie nadanie uprawnień na poziomie systemu operacyjnego do katalogu przechowującego generowane zestawienia. 35 Zobacz A.Lockhart, Network Security Hacks, O’Reilly Media, s. 31-53. Ze względu na fakt, iż tematyka mediów transmisyjnych, protokołów sieciowych, rodzajów połączeń, rodzajów sieci oraz sprzętu sieciowego jest szeroko opisana w literaturze przedmiotu, w pracy zostanie ona pominięta. Uwaga skupiona będzie jedynie na zagrożeniach związanych z sieciami teleinformatycznymi. 36 Zobacz Yusufali F. Musami, Auditing and Security AS/400, NT, UNIX,, Networks, and Disaster Recovery Plans, John Wiley & Sons, NY 2001, s. 448. 37 Howard J. D., Longstaff T. A., A Common Language for Computer Security Incidents, Albuquerque 1998. 38 CERT Polska. Mariusz Zarzycki, [email protected] 14 21 października AUDYT SYSTEMÓW INFORMATYCZNYCH 2009 Główne zagrożenia w przypadku sieci wynikają z faktu, iż stanowią one środowisko wielodostępne, w którym nie zawsze można jednoznacznie stwierdzić, kto i czy w dozwolony sposób korzysta z zasobów, jakie w nim są udostępnione. Ponadto, istotny wpływ na to bezpieczeństwo mają niepotrzebnie działające usługi(serwisy) generujące określone zagrożenia. Zagrożenia związane z usługami zależą od: poziomu złożoności danej usługi, informacji, jakie dostarcza dana usługa, informacji, jakie udostępnia usługa, stopnia konfigurowalności oraz programowalności danej usługi, znaczenia usługi dla wykorzystującej jej organizacji. Ze względu na rodzaj zagrożenia, wyróżnia się ataki aktywne i pasywne. Ataki aktywne dążą do modyfikacji strumienia informacji lub tworzenia fałszywych informacji, np. podszywanie się pod osobę uprawnioną i blokowanie działania. Ataki pasywne polegają na podsłuchiwaniu i monitorowaniu przesyłanych informacji, np. dążenie do ujawnienia treści wiadomości. Często celem ataków aktywnych jest przejęcie i zniszczenie zasobów znajdujących się w sieci39. Aktywne ataki charakteryzują się tym, iż atakujący wykorzystują wszystkie możliwości w celu przełamania istniejących zabezpieczeń w celu uzyskania dostępu do zasobów sieci. Ataki tego typu nie są jednorazowymi próbami. Raz odkryte luki w zabezpieczeniach stanowią jedynie wstęp do kolejnych ataków. Do aktywnych rodzajów ataków zaliczyć można40: modyfikację wiadomości(ang. message modification) – jak sama nazwa wskazuje polegającą na zmianie zawartości informacji w trakcie jej transmisji przez medium sieciowe (np. numer konta bankowego itp.), blokowanie usług(ang. denial-of-service) – patrz informacje w tabeli 9, ataki wdzwonieniowe(ang. dial-in penetration attacks) – polegające na automatycznej próbie „wdzwonienia” się pod numer abonenta w celu sprawdzenia, czy znajduje się pod nim modem, który mógłby stanowić źródło następnych ataków w celu skompromitowania niezdobytych dotychczas zasobów sieci. 39 Porównaj Manley. D., Auditing Internet Security System’s Real Secure: A Solarisbased Network Intrusion Detection System, SANS Institute 2003, s. 35-60. 40 Za McNab C., Network Security Assessment, O’Reilly Media, Inc, Sebastopol CA, USA, 2004, s. 29. Przedstawione rodzaje ataków stanowią jedynie podzbiór szerszego zestawienia dostępnego w wielu pozycjach literatury przedmiotu. Ataki te są często efektem przełamania logicznego dostępu do danych przedstawionego w tabeli 9. Mariusz Zarzycki, [email protected] 15 21 października AUDYT SYSTEMÓW INFORMATYCZNYCH 2009 Powodem ataków pasywnych jest chęć sprawdzenia istniejących zabezpieczeń sieciowych z uwzględnieniem informacji na temat ewentualnych luk, które dają możliwość dokładnej analizy treści przekazywanej w sieci. Do ataków tego typu zalicza się: analizę ruchu(ang. traffic analysis) – atakujący przy pomocy różnorodnych technik, pragnie uzyskać informacje na temat topologii sieci; atak tego rodzaju najczęściej stanowi rekonesans, na podstawie którego w przyszłości planowany będzie właściwy atak, podsłuch(ang. eavesdropping) – podsłuch informacji przesyłanych w sieci w celu wykorzystania ich dla własnych korzyści, analizę sieciową(ang. network analysis) – na podstawie analizy ruchu, atakujący określa kluczowe serwery w organizacji w celu późniejszego przeprowadzenia ataku. Należy zauważyć, iż metody używane w atakach pasywnych są często wykorzystywane przez personel, którego zadaniem jest utrzymanie bezpieczeństwa sieci. Analizując ruch i sieć administratorzy odpowiedzialni za bezpieczeństwo otrzymują informację na temat urządzeń generujących zbyt duży ruch sieciowy, tj. najprawdopodobniej zainfekowanych wirusami, oraz użytkowników, którzy wysyłają często informacje nie wskazane w trakcie wykonywania służbowych obowiązków. Wymienione przykłady ataków pasywnych oraz aktywnych nie są z pewnością wszystkimi rodzajami ataków. Do grupy zagrożeń wynikających z ataków aktywnych zaliczyć można również zagrożenia wymienione we wcześniejszej tabeli. Rysunek 3 przedstawia stosowane metody oceny zabezpieczeń sieci relatywnie w stosunku do kosztów oraz elementów(rodzajów) sieci. Najbardziej podstawowym typem oceny zabezpieczeń jest skanowanie podatności sieci na naruszenia bezpieczeństwa. Rysunek 3. Metody oceny zabezpieczeń sieci Mariusz Zarzycki, [email protected] 16 21 października AUDYT SYSTEMÓW INFORMATYCZNYCH 2009 Źródło: Opracowanie własne. Metoda ta pozwala ocenić odporność sieci na potencjalne słabości zabezpieczeń. Istnieje szereg komercyjnych pakietów oprogramowania realizujących skanowanie podatności, które wykonują następujące działania: sporządzają spis komputerów, systemów operacyjnych i aplikacji, identyfikują częste błędy zabezpieczeń, wyszukują komputery ze znanymi słabościami, testują podatność na typowe ataki. Skanowanie podatności jest efektywną metodą oceny typowych słabości w sieciach, które nie były wcześniej analizowane, jak również weryfikacji zastosowania zasad zabezpieczeń. Ze względu na fakt, że skanowanie pozwala odkryć słabości w nieznanym obszarze działania różnych aplikacji i często powoduje wiele fałszywych alarmów, administratorzy sieciowi analizujący wyniki skanowania muszą dysponować dostateczną wiedzą i doświadczeniem na temat systemów operacyjnych, urządzeń sieciowych i aplikacji, które zostały poddane badaniom, jak również roli, jaką pełnią one w sieci41. Przykładem programu skanującego jest Microsoft Baseline Security Analyzer(MBSA)42, który sprawdza, czy zainstalowane są poprawki zabezpieczeń i pakiety ServicePack, wykrywa typowe błędy zabezpieczeń, takie jak słabe hasła, a także kontroluje, czy stosowane są zalecane środki bezpieczeństwa(np. inspekcja zdarzeń logowania i wylogowania). Testy penetracyjne stanowią znacznie bardziej zaawansowaną metodę oceny zabezpieczeń niż skanowanie podatności43. W odróżnieniu od poprzedniej metody, która zasadniczo skupia się na ocenie zabezpieczeń indywidualnych komputerów, testy penetracji pozwalają ocenić poziom bezpieczeństwa sieci jako całości. Ponadto, testy takie pomagają w uświadomieniu sobie(a także menedżerom IT i innym zwierzchnikom), jakie konsekwencje może mieć rzeczywiste włamanie prawdziwego napastnika44. Najczęściej spotyka się następujące rodzaje testów penetracyjnych: testy istniejących zabezpieczeń sprzętowych, 41 Smith B., Komar B., Microsoft Windows Security Resource Kit, Microsoft Press, Warszawa 2003, s. 484-485. Szczegółowe informacje na temat tego narzędzia można znaleźć min na Microsoft Corporation [cit. 2004-1210], http://www.microsoft.com/poland/security/default.mspx oraz Portal Społeczności Windows Server System [cit. 2006-03-10], http://www.wss.pl. 43 Testy penetracyjne są w szerokim zakresie wykorzystywane w audycie systemów informatycznych. 44 Smith B., Komar B., op.cit., s. 486. Ze względu na fakt, że osobę przeprowadzającą test penetracji odróżnia od napastnika tylko intencja i brak złych zamiarów, należy zachować ostrożność zezwalając pracownikowi lub zewnętrznemu ekspertowi na prowadzenie testu. Nieprofesjonalnie przeprowadzony test penetracyjny może w efekcie spowodować straty i przerwy w funkcjonowaniu organizacji. Przed wykonaniem dowolnego testu penetracyjnego należy uzyskać pisemną zgodę zarządu organizacji. Tego typu zgoda powinna zawierać jednoznaczny opis, co jest obiektem testu i kiedy ten test zostanie przeprowadzony. Ze względu na naturę testów penetracyjnych, brak takiej zgody może oznaczać, że jego przeprowadzenie zostanie uznane za przestępstwo komputerowe, bez względu na najlepsze intencje. 42 Mariusz Zarzycki, [email protected] 17 21 października AUDYT SYSTEMÓW INFORMATYCZNYCH 2009 analiza zabezpieczeń programowych, bezpieczeństwa serwera WWW, systemu obsługi poczty, pozostałych dostępnych usług, analiza architektury sieci i możliwych dróg dostępu do systemów, testy typu DoS45. Wymienione rodzaje testów penetracyjnych mogą być zarówno testami zewnętrznymi, jak i wewnętrznymi. Mogą one stanowić istotny element kontroli istniejących zabezpieczeń dla administratorów sieci. Dodatkową zaletą testów penetracyjnych jest fakt, iż pozwalają wykryć słabości zabezpieczeń, które są pomijane podczas skanowania podatności, np.: słabości ludzi i istniejących procedur. Pośrednim rozwiązaniem jest szeroko rozumiana identyfikacja bezpieczeństwa sieci, wykorzystująca zarówno szeroki zestaw narzędzi służących do testowania słabości, jak i testy penetracyjne, choć te w mniejszym zakresie. Identyfikacja bezpieczeństwa sieci ma zastosowanie w przypadku stref DMZ ze względu na ich specyfikę. 1.1.4. Sprzęt komputerowy Sprzęt komputerowy stanowi, obok oprogramowania, kluczowy element środowiska informatycznego. Fakt ten, szczególnie w przypadku sprzętu pochodzącego od światowych dostawców np. IBM, HP, DELL, wymaga przestrzegania specjalnych warunków ich eksploatacji, tj. odpowiedniej temperatury pomieszczenia, wilgotności powietrza itp. Z tego względu sprzęt najczęściej przechowywany jest w specjalnie do tego przygotowanych pomieszczeniach (serwerowniach), w których stworzone są warunki zapobiegające wystąpieniu powszechnie znanych zagrożeń infrastrukturalnych, jak: ogień, woda, utrata zasilania. Zabezpieczenia uzyskuje się poprzez stosowanie odpowiednich środków pozwalających na wczesne wykrycie pożaru, instalację alarmową wyposażoną w czujki dymu i temperatury, zapasowe zasilanie w postaci urządzeń UPS bądź dodatkowych linii elektrycznych czy odpowiednią lokalizację pomieszczenia eliminującą np. zagrożenia ze strony instalacji wodno-kanalizacyjnej. Z powodu roli, jaką odgrywa sprzęt komputerowy w środowisku informatycznym, kontroli należy również poddać takie zagadnienie, jak błędy sprzętowe, dostępność sprzętu oraz jego wykorzystanie. Błędy sprzętu odnoszą się do poszczególnych elementów składowych komputera46, a mianowicie do: 45 46 Inne rodzaje testów penetracyjnych można znaleźć w Weber.R, op.cit., s. 532. Forystek M., op.cit., s. 61-68. Mariusz Zarzycki, [email protected] 18 21 października AUDYT SYSTEMÓW INFORMATYCZNYCH 2009 pamięci wewnętrznej(np. błędy systemu ochrony pamięci, uszkodzenie konstrukcyjne); procesora; urządzeń pamięci zewnętrznej(np. uszkodzenie ścieżki na dysku lub części taśmy magnetycznych, uszkodzenie mechanizmu odczytu/zapisu); urządzeń wejścia i wyjścia(np. złe działanie klawiatury lub monitora, brak przesuwu papieru w drukarce); urządzeń transmisji danych(np. nieprawidłowe funkcjonowanie łączy, modemów, urządzeń komutujących); urządzeń szyfrujących47. Większość dużych systemów komputerowych posiada wbudowane mechanizmy monitorujące prawdopodobne awarie sprzętowe(mechaniczne uszkodzenia). Jeżeli takich mechanizmów nie ma, najczęściej wystarczy zainstalować odpowiednie oprogramowanie umożliwiające podgląd zdarzeń związanych z poszczególnymi komponentami sprzętowymi, jak np. kontrolery macierzy dyskowych, dyski itd. Jeżeli wystąpiły jakiekolwiek przestoje w dostępności elementów sprzętu komputerowego, konieczna jest identyfikacja ich przyczyn. Jeżeli przestoje mają charakter powtarzający się, koniecznym może okazać się zastosowanie dodatkowych mechanizmów kontrolnych eliminujące przyszłe przerwy w dostępności systemu komputerowego. Istotnym jest również aspekt monitorowania sprzętu komputerowego z punktu widzenia wydajności. Jeżeli wykorzystanie poszczególnych podzespołów przekracza górne parametry eksploatacyjne, może okazać się konieczną wymiana sprzętu bądź jego części, tak aby zasoby sprzętowe były adekwatne do potrzebnych mocy produkcyjnych. Problemy wydajnościowe często wynikają z niezoptymalizowanego systemu bądź oprogramowania działającego na danym sprzęcie komputerowym, co skutkuje zbyt dużym obciążeniem poszczególnych podzespołów. W celu poprawy takiej sytuacji należy poddać wykorzystywane oprogramowanie48 procesowi strojenia. 1.1.5. Podsumowanie Ponieważ zbiór zasobów jest złożony, w pracy skupiono się nad bezpieczeństwem związanym z najważniejszymi rodzajami zasobów, tj. danych, aplikacji, sieci teleinformatycznych oraz sprzętu komputerowego. Starano się uwypuklić najważniejsze 47 48 Idzikowska G., op.cit., s. 88. W tym miejscu rozumiane szeroko jako: system operacyjny bądź system zarządzania bazą danych itp. Mariusz Zarzycki, [email protected] 19 21 października AUDYT SYSTEMÓW INFORMATYCZNYCH 2009 zagadnienia związane z tymi zasobami. Ze względu na obszerne opisy w literaturze przedmiotu, w pracy pominięto chociażby takie problemy, jak: zagrożenia infrastrukturalne, zagrożenia związane z systemami operacyjnymi, systemami zarządzania bazami danych, o których wiedza jest niezbędna do poprawnie zaplanowanego procesu zarządzania ryzykiem. 1.2. Istotność czynnika ludzkiego w środowisku informatycznym Gruntowna wiedza na temat procesów informatycznych, stanowiących obok zasobów, kolejny istotny składnik środowiska informatycznego, jest konieczna w procesie zarządzania ryzykiem oraz podczas przeprowadzania audytu informatycznego. Biorąc pod uwagę fakt, iż literatura przedmiotu obszernie ujmuje zagadnienie związane z procesami informatycznymi, zrezygnowano ze szczegółowego opisu każdego procesu informatycznego. Opisy te różniłyby się w zależności od preferowanych standardów: COBIT49, ITIL50, CMM51, ISO52, które zostały przedstawione w dalszej części pracy. Uwagę skupiono jedynie na procesie zarządzania potencjałem społecznym organizacji, jako istotnym elemencie środowiska informatycznego. Wydawałoby się, iż w każdej organizacji zachodzą unikatowe procesy. Jednakże literatura przedmiotu pokazuje, że pomimo unikalności53 stosowanych rozwiązań informatycznych, pomiędzy organizacjami istnieje dość duże podobieństwo co do procesów informatycznych. Istniejąca analogia pozwoliła na opracowanie standardów, które pokazują, jak modelowo powinna wyglądać ich implementacja w danej organizacji. Takimi standardami są opisywane w kolejnym rozdziale standardy SAC, COBIT, CMM, czy BS779954. W zależności od standardów wyróżnia się różną liczbę modelowych procesów związanych z technologią informatyczną. Najobszerniej ujmuje to COBIT, który dzieli 34 procesy informatyczne na cztery części: monitorowanie, planowanie i organizowanie, nabywanie i wdrażanie, 49 http://www.isaca.org [cit. 2005-06-30]. http://www.ogc.gov.uk [cit. 2005-04-24]. 51 http://www.sei.cmu.edu/cmm/ [cit. 2005-17-12]. 52 http://www.iso.org [cit. 2005-07-12]. 53 Unikalność rozwiązań informatycznych, wynika chociażby z: różnic branżowych, regulacji prawnych, skali działania czy wielkości organizacji. 50 Mariusz Zarzycki, [email protected] 20 21 października AUDYT SYSTEMÓW INFORMATYCZNYCH 2009 dostarczanie i wspieranie54. Omawiając zasoby informatyczne celowo pominięto opis zasobu, jakim jest czynnik ludzki. De facto czynnik ten poprzez udział w realizacji procesów z użyciem zasobów informatycznych decyduje o sukcesie lub porażce działania danej organizacji. Strategia organizacji i wszystkie jej cele są realizowane przez ludzi. To oni projektują i wykorzystują technologię, tworzą firmę i uczestniczą w jej życiu. Od tego, kim są, co robią, jak działają, zależy trwanie i zysk przedsiębiorstwa. Ludzkie doświadczenie, wykształcenie oraz zdolność podejmowania decyzji eliminują bądź uzupełniają istniejące niedociągnięcia organizacyjne i operacyjne. Dlatego też obecnie uwzględniając zmieniające się często otoczenie organizacji, w dobie nasilonej konkurencji i globalizacji zarządzania konieczne jest przyjęcie określonych i przejrzystych praktyk zarządzania potencjałem społecznym organizacji55. Zarządzanie personelem wymaga jasnego zdefiniowania reguł związanych z takimi czynnikami, jak56: rekrutacja i awanse – zasady dotyczące pozyskiwania przez organizację kandydatów do pracy w liczbie umożliwiającej ich racjonalną selekcję oraz zasady dotyczące promocji wyselekcjonowanych pracowników powinny być oparte na obiektywnych kryteriach obejmujących wyszkolenie, doświadczenie, odpowiedzialność oraz osiągane wyniki, szkolenia i wymagania dotyczące kwalifikacji – wykonywanie przez pracowników określonych zadań wymaga istnienia procedur umożliwiających regularną weryfikację czy personel wykonujący dane zadanie jest odpowiednio w tym celu wykwalifikowany, budowanie świadomości – istotne jest również jasne określenie ról i odpowiedzialności personelu oraz wymagań dotyczących stosowania się do polityki i procedur zarządzania, kodeksu etyki i profesjonalnych praktyk, w tym dotyczące odpowiedzialności pracownika za bezpieczeństwo informatyczne i kontrolę funkcjonalną, 54 Patrz rozdział trzeci, część poświęcona standardowi COBIT. Koźmiński A. K., Piotrowski W., op.cit., s. 40. W praktyce spotyka się także inne nazwy tej działalności, jak: polityka personalna, polityka kadrowa, zarządzanie ludźmi, zarządzanie zasobami ludzkimi. Wydaje się, że określenie zarządzanie potencjałem społecznym organizacji w największym stopniu odpowiada współczesnemu rozumieniu tej funkcji, brzmi też poprawnie w języku polskim i nie budzi negatywnych podejrzeń. 56 Forystek M., op.cit., s. 135-136. 55 Mariusz Zarzycki, [email protected] 21 21 października AUDYT SYSTEMÓW INFORMATYCZNYCH 2009 szkolenia ogólne oraz rotacja – wyniki realizowanych programów szkoleniowych powinny być oceniane ze względu na ich faktyczne oddziaływanie na wzrost poziomu technicznych i zarządczych umiejętności personelu; szkolenia powinny zapewniać możliwość tworzenia zastępstw na wypadek nieobecności kluczowych pracowników, procedury weryfikowania oraz zwalniania pracowników – procedury powinny zapewniać, że każdy pracownik przed zatrudnieniem, przeniesieniem, awansem, w zależności od zajmowanego stanowiska, jest informowany o obowiązujących go zasadach kontroli i bezpieczeństwa, obiektywna i wymierna ocena wydajności – każdy z pracowników powinien być okresowo oceniany; ocena powinna stanowić jeden z elementów systemu nagradzania zaprojektowanego tak, aby pracownicy rozumieli wpływ ich działań na sukces organizacji; ocena powinna być wykonywana w stosunku do znanych i ustanowionych wcześniej standardów oraz w oparciu o odpowiedzialność za specyficzne zadania. W ostatnich latach funkcja zarządzania potencjałem społecznym organizacji zyskuje na wartości. Dyrektorzy do spraw zarządzania stali się ważnymi partnerami dyrektorów naczelnych w sprawach strategicznych. Przyczyn tego stanu rzeczy można upatrywać w: nasileniu się międzynarodowej konkurencji wymuszającej ciągły wzrost produktywności, sukcesach Japonii i poszukiwaniu ich źródeł, które doprowadziły amerykańskich i europejskich badaczy do odkrycia olbrzymiej roli kultury organizacyjnej i zarządzania personelem w podnoszeniu efektywności funkcjonowania organizacji, wzrastającej wielkości i złożoności organizacji, coraz bardziej powszechnemu spłaszczaniu struktur organizacyjnych, silnym wpływie państwa na sferę personalną organizacji, coraz wyższym poziomie wykształcenia, rosnącym aspiracjom i zmianom w systemach wartości wielu społeczeństw, zmianach w strukturze grup osób czynnych zawodowo w poszczególnych krajach i rejonach. Mariusz Zarzycki, [email protected] 22 21 października AUDYT SYSTEMÓW INFORMATYCZNYCH 2009 Rzeczywistość pokazuje, iż wymienione powyżej zasady wzorcowego zarządzania personelem często w realiach są trudne do wdrożenia. Wpływ mają na to przede wszystkim przyzwyczajenia pokoleniowe oraz koszty, jakie należy ponieść podczas implementacji idealnych wzorców. Mariusz Zarzycki, [email protected] 23