Afaceri Electronice - Securitatea Datelor

Securitatea ca mod de viaţă

O pledoarie pentru necesitatea realizării unei foarte bune securităţi a reţelelor de calculatoare şi a calculatoarelor independente este astăzi inutilă. Dacă există manageri care nu sunt convinşi de acest lucru este numai vina administratorilor de reţea din organizaţiile respective. Orice argument de genul „nouă nu ni se poate întâmpla” reprezintă o manifestare inconştientă ce s-ar putea să fie scump plătită. Bugetul alocat securizării trebuie să fie pe măsura importanţei datelor. Există destui care consideră că informaţiile pe care le au nu sunt importante sau că accesând internetul doar prin metoda dial-up (apelarea unui ISP prin intermediul unei linii telefonice obişnuite) nu sunt vulnerabili. O analiză atentă va arăta însă contrariul. De exemplu, pentru nici o firmă nu este acceptabilă pierderea datelor legate de contabilitate.

Atacurile hackerilor se pot îndrepta unitar asupra unui obiectiv, care poate fi un simplu calculator legat la internet prin dial-up sau o reţea a armatei, a guvernului, a unei organizaţii strategice. Dacă PC-ul atacat este al unei persoane cu grad mare de acces la resursele reţelei firmei în care lucrează, compromiterea acestui calculator poate conduce la compromiterea întregii reţele. Cine va suporta pierderile şi implicaţiile penale- În cazul în care reţeaua firmei dumneavoastră este folosită pentru a ataca altă reţea, spre cine vor arăta cu degetul cei agresaţi- Cine va suporta pagubele şi implicaţiile penale- Hackerii sunt maeştri ai camuflării, folosindu-se adesea de identitatea altora. Şi chiar dacă sunt depistaţi, măsurile care se pot lua împotriva lor sunt foarte limitate datorită dificultăţilor de probare a vinovăţiei lor. Dacă hackerul se află în altă ţară, puteţi chiar să constataţi că ISP-ul prin care s-a conectat el la internet nu vă va susţine în încercarea de a depista identitatea atacatorului. Oare ISP-urile din România sunt capabile să furnizeze date despre astfel de persoane dacă sunt depistate- Ar fi neplăcut ca o instituţie de stat să fie atacată, iar împotriva atacatorului să nu se poată face nimic. Când vor apărea legi care să ne protejeze?

O încercare de definiţie

Securitatea, raportată la reţelele de calculatoare şi la calculatoarele independente, înseamnă:

- o bun funcţionare a echipamentelor TI

- protecţia datelor aflate în echipamentele Ti împotriva: stricării în mod voit, ştergerii, modificării, expunerii lor unor persoane neautorizate

- prevenirea întâmplărilor neplăcute

- detectarea scanării propriei reţele de către persoane din afară pentru a descoperi punctele ei vulnerabile

- instruirea utilizatorilor despre metodele de obţinere de către persoane neautorizate a informaţiilor confidenţiale folosind inginerie socială

- metode de protecţie împotriva atacurilor DOS (asigurarea continuităţii funcţionării serviciilor)

- prevenirea folosirii serviciilor proprii de către persoane neautorizate

- prevenirea instalării de căi de acces la sisteme pentru persoane neautorizate.

Pe scurt, prevenirea tuturor acţiunilor care pot produce prejudicii morale sau băneşti. Atacurile nu apar numai de la persoane aflate înafara reţelei. Ele pot apărea şi de la angajaţi care nu folosesc corespunzător echipamentele şi aplicaţiile software, sau sunt nemulţumiţi, sau persoane care s-au angajat în cadrul organizaţiei special pentru a avea acces la datele acesteia (pentru a le fura, altera sau distruge) sau pentru a crea porţi de acces neautorizat pentru ei sau pentru alte persoane.

Modelul de securitate al unei organizaţii

Modelul de securitate al unei organizaţii trebuie ales de conducerea acesteia împreună cu administratorul reţelei, ţinând cont de următoarele criterii:

- fluxul documentelor electronice şi structura pe departamente (eventual sucursale)

- servicii care vor fi oferite publicului

- servicii care vor fi oferite angajaţilor

- nivelul de acces la date şi resurse ale fiecărui angajat (inclusiv acces înafara reţelei organizaţiei)

- categorii de date care vor circula şi vor fi stocate în reţea

- bugetul alocat pentru realizarea securităţii

Fluxul documentelor electronice şi structura pe departamente (eventual sucursale). Plecând de la fluxul documentelor electronice şi structura organizatorică pe departamente(eventual sucursale) trebuie gândită structura fizică a reţelei (împreună cu tot ce şine de aceasta: structura de transmitere a datelor, echipamente, sisteme de operare, aplicaţii software) şi implementarea securităţii. Este posibil ca reţeaua să fie în final de tip eterogen, de aceea trebuie gândită foarte bine colaborarea între facilităţile de securitate puse la dispoziţie de diferitele echipamente, sisteme de operare şi aplicaţii folosite, iar în cazul unui VPN (Virtual Private Network – reţea privată folosind transmisii securizate prin intermediul internetului) de facilităţile de securitate puse la dispoziţie de ISP-urile implicate în susţinerea VPN-ului.

Este indicat ca fiecare unitate logică să fie transpusă la un nivel de reţea prin implementarea de subreţele, urmând ca traficul dintre subreţele să fie urmărit permanent în căutarea de probleme. Conectarea unităţilor logice se va face prin gateway-uri pe care vor rula aplicaţii de securitate. Rolul acestor aplicaţii este să detecteze orice anomalie (de exemplu: un flux mare de mesaje electronice cu acelaşi subiect, care indică o posibilă virusare, sau scanare a datelor pentru detectarea de viruşi sau aplicaţii „toxice”, detecţia de scanări ale reţelei pentru aflarea de puncte vulnerabile, aplicarea de filtre pentru implementarea politicilor de acces la date şi resurse ale angajaţilor etc.). Deşi aceste aplicaţii vor introduce o anumită întârziere în transferul de date, ea nu va fi semnificativă, poate nici măcar sesizabilă, în schimb va permite eliminarea rapidă a problemelor sau măcar detecţia în scurt timp a unor posibile probleme. Astfel, dacă o unitate logică a fost coruptă, detecţia şi oprirea (sau încetarea) coruperii celorlalte unităţi logice se poate face mult mai uşor decât în lipsa unui astfel de model de securitate. Implementarea acestui model se securitate presupune costuri adiacente pentru achiziţionarea şi utilizarea gateway-urilor şi este o soluţie intranet (în sensul că se ocupă doar cu securitatea datelor care circulă în cadrul reţelei interne, mai bine spus între subreţelele interne).

Trebuie ţinut cont că, de multe ori, datele care circulă în cadrul unui departament nu trebuie să fie disponibile altor departamente. De aceea, folosirea unui model de securitate bazat pe intragateways permite un control mai strict al modelului de securitate definit pentru firmă. De asemenea, trebuie securizate şi transferurile de date din cadrul organizaţiei (cum ar fi de exemplu mesajele transmise prin intermediul mesageriei electronice care trebuie protejate prin folosirea de chei publice sau alt sistem de protecţie a datelor).

Servicii care vor fi oferite publicului. A devenit astăzi o necesitate pentru firme să dispună de cel puţin un site web propriu. Site-ul destinat accesului public, împreună cu celelalte servicii oferite în mod public, trebuie să fie găzduite pe servere dedicate. Întotdeauna, transferul de date va fi dinspre intranet (reţeaua internă a firmei) spre extranet (partea de reţea a firmei în care sunt găzduite serverele dedicate serviciilor oferite în mod public). Cu siguranţă că există şi excepţii, dar acestea trebuie tratate cu foarte mare atenţie.