Bankovní institut vysoká škola Praha Katedra informatiky a kvantitativních metod
Zabezpečení informačního systému v podniku Diplomová práce
Autor:
Bc. Jan Somsedík Informační technologie a management
Vedoucí práce:
Praha
Ing. Vladimír Beneš, Ph.D.
červenec 2014
Prohlášení: Prohlašuji, ţe jsem diplomovou práci zpracoval samostatně a v seznamu uvedl veškerou pouţitou literaturu. Svým podpisem stvrzuji, ţe odevzdaná elektronická podoba práce je identická s její tištěnou verzí, a jsem seznámen se skutečností, ţe se práce bude archivovat v knihovně BIVŠ a dále bude zpřístupněna třetím osobám prostřednictvím interní databáze elektronických vysokoškolských prací.
V Benešově 30. 6. 2014
Bc. Jan Somsedík
Poděkování Tímto bych rád poděkoval vedoucímu své diplomové práce panu Ing. Vladimíru Benešovi, Ph.D., za jeho spolupráci a odbornou pomoc, kterou mi věnoval při zpracování mé diplomové práce. Dále bych rád poděkoval své rodině za jejich podporu při studiu.
Anotace Diplomová práce je zaměřena na zabezpečení informačního systému v podniku a ochranu dat. Řešení zabezpečení sítě v podniku, předcházení narušení provozu. Cílem diplomové práce je navrhnout kvalitnější a výhodnější způsob zabezpečení informačního systému v podniku. Na základě stávající bezpečnostní situace v podniku, byla navrţena nová ochrana počítačů, podnikových dat. Kritické zhodnocení problémové situace a návrh řešení. Klíčová slova ochrana, zabezpečení, spolehlivost, riziko, počítačová kriminalita, napadení, škodlivé kódy Abstract The thesis is focused on the security of information system in enterprise and data protection. Security solutions in enterprise networks, prevent disruptions. The aim of the thesis is to design better and more convenient way of securing the information system in the enterprise. Based on the current security situation in the company, has been proposed protection of computers, enterprise data. Critical evaluation of the problem situation and solution design. Keywords protection, security, dependability, risk, cybercrime, attack, malware
Obsah Úvod............................................................................................................................................ 7 1
Charakteristika podniku POTRSOM s.r.o. ........................................................................ 8 1.1
Stávající hardwarové vybavení podniku ......................................................................... 9
1.2
Stávající softwarové vybavení podniku ........................................................................ 10
1.3
Stávající fyzické zabezpečení ....................................................................................... 11
2
Co budeme chránit........................................................................................................... 12 2.1
3
Ochrana citlivých dat a majetku společnosti................................................................. 12 Analýza bezpečnostních hrozeb ...................................................................................... 14
3.1
Firemní data v ohroţení ................................................................................................ 14
3.2
Metodika analýzy rizik CRAMM ................................................................................. 16
4
Návrh nového zabezpečení .............................................................................................. 18 4.1. Fyzické zabezpečení ..................................................................................................... 18 4.1.2 Přístupové systémy a elektronické zámky .................................................................... 19
4.1.3
Holografická bezpečnostní plomba ............................................................................ 19
4.1.4
Plastová uzavírací plomba.......................................................................................... 20
4.1.5 Systém pro uchování záznamu ...................................................................................... 20 4.1.6 Zabezpečující systém..................................................................................................... 21 5
Softwarová bezpečnost .................................................................................................... 22 5.1
Operační systémy .......................................................................................................... 22
5.1.1 Windows XP .................................................................................................................... 22 5.1.2 Windows 7 ....................................................................................................................... 23 5.1.3 Windows 8 ....................................................................................................................... 26 5.2
Zálohování v MS Windows Server 2012 Essencials .................................................... 31
5.3
Zálohování stanic .......................................................................................................... 32
6
Nový aktivní prvek Microtik RB2011............................................................................. 33
7
Personální ochrana .......................................................................................................... 36 7.1
Rizika personálních přístupů v praxi ............................................................................ 36
8
Hrozby v zabezpečení podniku POTRSOM ................................................................... 41
9
Příprava a zásady pro zavedení BYOD do podniku POTRSOM .................................... 52
10
Datové hrozby, kryptografická ochrana .......................................................................... 56 5
10.1 Příklady zajištění bezpečnosti dat ................................................................................. 57 Závěr ......................................................................................................................................... 68 Pouţita literatura ....................................................................................................................... 69 Seznam obrázků ........................................................................................................................ 71 Seznam grafů ............................................................................................................................ 72 Seznam tabulek ......................................................................................................................... 72
6
Úvod Téma mé diplomové práce jsem si vybral proto, ţe je velmi důleţité zabezpečit podnik. Ochrana dat je v podniku neoddělitelnou součástí zabezpečení informačního systému. Informace a jejich zpracování má pro podnik velký význam a je třeba jejich bezpečnosti věnovat náleţitou pozornost. Dá se říci, ţe proces zabezpečení IS v podniku není nikdy ukončen, je třeba jej stále zdokonalovat, vyhodnocovat, aktualizovat programy pro jejich zajištění. V podniku je třeba věnovat pozornost moţným rizikům a hrozbám, analyzovat tato rizika, která mohou ohrozit zavedený informační systém. Analýza rizik je pro podnik velmi sloţitá a důleţitým podkladem pro vypracování a zvolení vhodného zabezpečení IS podniku. Proces řízení rizik se snaţí zabránit, popřípadě úplně omezit hrozby působící na IS podniku. Při útoku kybernetickými zločinci, napadení informačních systémů, bývají data vyuţívána pro získání konkurenční výhody. Proto je nutné dostatečně chránit před napadením neoprávněnými uţivateli. V praxi se setkáváme s důleţitými pojmy fyzická bezpečnost, elektronická bezpečnost, personální bezpečnost. Fyzická bezpečnost si klade za svůj cíl zamezení přístupu nepovoleným osobám a celkovému zabezpečení dat firmy. V další části diplomové práce se budu věnovat počítačové kriminalitě, která se neustále zvětšuje a nejčastějším škodlivým kódům jako jsou viry, trojské koně, počítačové červi, hoaxy.
7
1 Charakteristika podniku POTRSOM s.r.o. Obchodní název podniku: POTRSOM s.r.o. Předmět podnikání: Provádění staveb včetně jejich oprav a odstraňování Místo podnikání: Hodějovského 1707, 25601 Benešov IČO: 01425416 DIČ: CZ01425416 Podnik byl zaloţen v roce 2010. Majitelka podniku je zároveň zakladatelkou a jednatelkou podniku. Společnost je zapsána v obchodním rejstříku. Základní jmění podniku činí 400 000 Kč. Podnik je zaměřen na stavební výrobu, která je hlavní činností podniku. Podnik provádí novostavby rodinných domů na klíč, rekonstrukce a opravy bytových ale i průmyslových staveb, zateplení bytových domů apod. Podnik je vybaven moderní mechanizací, při realizaci stavebních prací vyuţívá nové technologie a nejnovější druhy materiálů. Hlavním cílem podniku je vyhovět poţadavkům zákazníků a provedené práce předávat svým zákazníkům v poţadované kvalitě a to bez vad a nedostatků. Podnik si tak chce zachovat své dobré jméno v dané oblasti, kde současně působí celá řada dalších konkurenčních stavebních podniků. Vedení podniku, aby si tuto pozici na předním místě v regionu udrţelo, musí vynakládat mnoho úsilí a vkládat prostředky do zavedení informačního systému a informační technologie. To má velký význam v oblasti obchodování, komunikace se zákazníky, ale i s veřejnou správou, zpracování vlastní dokumentace podniku apod. Vedení podniku vyuţívá také IS k podpoře svých rozhodnutí.
8
1.1 Stávající hardwarové vybavení podniku Firma POTRSOM má lokální síť 100BASE-T čtyř počítačů a síťovou tiskárnu s aktivním prvkem připojenou technologií Wi-Fi. Kaţdý počítač má připojenou tiskárnu přes rozhraní USB.
Obrázek 1: HW sestavy
Zdroj: Vlastní tvorba
9
Obrázek 2: Schéma sítě firmy
Zdroj: Vlastní tvorba
1.2 Stávající softwarové vybavení podniku Firma pouţívá nejdůleţitější programy jako je Autocad2014, Stavební kalkulace, Učto2014, podnikový právník, balík Office 2003 a 2007, Adobe Reader. Firma zaškoluje personál na IS ABRA G2. Obrázek 3: SW vybavení
Zdroj: Vlastní tvorba
10
Informační systém ABRA G2 Po náročném výběru a splnění daných kritérií z několika nabídek informačních systémů byl v roce 2013 zvolen pro zpracování podnikové agendy podniku POTRSOM s.r.o. informační systém ABRA G2. Tento informační systém zajišťuje podniku optimální provozní vlastnosti a dokonale je přizpůsoben podmínkám podniku. Systém ABRA G2 umoţňuje snadnou práci tzn. jednoduché a intuitivní ovládání a to nejen s myší, ale také pomocí klávesnice, umoţňuje provázanost jednotlivých činností, jednoduchou práci s doklady, moţnost oprav a mazání různých typů, před vyplňování údajů, jednoduchá importace dokladů, kopírování a pořizování dokladů, členění dat podle zakázek, projektů, moţnost automatizovaného účtování, párování dokladů do saldo skupin, evidence DPH, která je dána přímo zaevidovanými daňovými doklady, DPH přiznání v elektronické i v tištěné formě, zásobování a skladové hospodářství a s ním spojená evidence, uzávěrky skladů, fakturace, podvojné účetnictví, moţnost zpracování interních dokumentů podniku.
1.3 Stávající fyzické zabezpečení Sídlo firmy se nachází v budově, která má samostatný vchod do firmy. Umístění budovy je blízko centra. Dveře a okna mají mříţe. Objekt není chráněn kamerovým systémem ani bezpečnostním systémem.
11
2 Co budeme chránit Podnik POTRSOM se zabývá stavební činností. Je třeba chránit identitu a data ze stavební činnosti jako jsou projekty, faktury, dokumenty, smlouvy, cenové nabídky, harmonogramy apod. V případě výpadku proudu nebo dalších neočekávaných anomálií se musí uţivatelé na počítačové stanice spolehnout. Poţadováno je, aby se nikdo nenaboural do počítačových stanic. Nevyuţil je a nezmocnil se dokumentů. Jak bylo zjištěno, podnik má malou fyzickou ochranu, bude navrţena ochrana dostatečně bezpečná. Musí být dodrţena i důslednost v třídění odpadků, aby nebyly choulostivé informace zneuţity konkurencí. Obrázek 4: Zabezpečení podniku
Zdroj: vlastní úprava
2.1 Ochrana citlivých dat a majetku společnosti Cílem je zabezpečit přiměřenou bezpečnost. Je třeba zdůraznit slovo „přiměřenou“, protoţe přehnané nároky na kvalitu zvyšují náklady na vývoj a na provoz aplikace. Nedostatečná kvalita aplikace můţe znehodnotit návrhy v ostatních dimenzích. Obecně se dá říci, ţe IS je kvalitní, pokud splňuje uţivatelské poţadavky a funguje bezpečně a spolehlivě. Tvůrce aplikace vydává opravy a bezpečnostní záplaty. Mezi nejvýznamnější poţadavky na kvalitu IS patří dosaţení bezpečnosti IS. V rámci bezpečnosti analyzují řešitelé všechna bezpečnostní rizika, která mohou bezpečnost
12
aplikace ovlivnit a pro rizika, jejichţ pravděpodobnost je významná, se definují preventivní opatření, která mohou zabránit vzniku mimořádných událostí narušující bezpečnost IS.
Graf 1: Ztráta dat v procentech
Zdroj: vlastní úprava
Nejčastější neoprávněné přístupy: neoprávněný přístup k funkcím a datům, odcizení dat resp. fyzických aktiv, zničení dat, resp. fyzických aktiv IS/ICT. Mezi nejlepší techniky a nástroje, jak zabránit neoprávněnému uţivateli vyuţívat funkce a data IS patří zejména kontrola přístupových práv. Identity management je velmi vhodným konceptem přístupových práv, vyuţívá tzv. „single sign on“, který zajišťuje, ţe kaţdý uţivatel podnikového IS pouţívá ke všem aplikacím IS pouze jednu autentizaci (obvykle uţivatelské jméno nebo heslo). Uţivatelské jméno a heslo není pro některé aplikace dostatečným prokázáním totoţnosti uţivatele. Pro zjištění totoţnosti uţivatele se pouţívají další techniky a nástroje jako je například SMS na uţivatelův telefon s jednorázovým přístupovým kódem. Čtečka otisku prstu či čtečka zornice oka. Mezi techniky, které mají zabránit odcizení, resp. zničení dat a fyzických aktiv, patří: ochranný prostor výpočetního střediska/datového centra před vstupem neoprávněné osoby, ochranný prostor datového centra proti poţáru a povodni, ochrana proti výpadku 13
el. energie (záloţní baterie a generátory). Uţivatelské jméno a heslo není pro některé aplikace dostatečným prokázáním totoţnosti uţivatele.
3 Analýza bezpečnostních hrozeb Řešení bezpečnosti dat je v kaţdém podniku specifické, záleţí na tom, jakou výrobní činnost podnik provádí a velmi také záleţí na zvoleném typu informačního systému v podniku. Proces zabezpečení IS v podniku není v podstatě nikdy ukončen, je třeba ho neustále zdokonalovat, vyhodnocovat, popřípadě reagovat na změny v podniku, na nově zavedené technologie, apod.
3.1
Firemní data v ohrožení
1. Zastaralý software a hardware – Riziko v okamţiku, kdy výrobce přestane dodávat aktualizace, např. Windows XP. Disponuje-li hardware neočekávanými chybami, jeho výměna by měla být samozřejmostí. 2. Neexistující ochrana specializovanými nástroji – Bezpečnostní software dokáţe sledovat vyuţívání firemních USB disků či notebooku a všechna důleţitá data šifruje. Ochranu citlivých dat dokáţe vyřešit pouze specializovaný software. 3. Neloajální zaměstnanci – Mají k citlivým datům přístup, mohou je snadno zkopírovat, poskytnout za úplatek konkurenci. Kaţdá firma by měla mít předepsanou politiku zpráv. Firmy mají pomocí šifrování velkou moţnost odstranění vynesení citlivých informací know how. 4. Vlastní notebooky zaměstnanců – Pro firmu je tento postup výhodný, protoţe zaměstnanci
pracují efektivněji. BYOD
představuje
pro
firmu
velké
bezpečnostní riziko. Protoţe zařízení zaměstnanců můţe být napadeno škodlivým kódem, které pro celý podnik představuje velkou hrozbu. 5. Špatně nastavené procesy ve firmě – Zabezpečení počítačů v síti by měla být prioritou. Špatně zabezpečený server či datové úloţiště můţe mít pro firmu fatální následky.
14
Obrázek 5: Budování informační bezpečnosti
Zdroj: [1]
Dříve neţ se začneme zabírat bezpečnostní politikou, musíme zpracovat analýzu rizik. Analýza rizik je pro podnik velmi sloţitá a důleţitým podkladem pro vypracování a zvolení vhodné bezpečnosti IS podniku. Cílem této analýzy je: identifikace hrozeb a rizik, které se mohou vyskytnout v podniku, zjištění aktuálního stavu, posoudit, jaké škody mohou vzniknout, odstranit, minimalizovat, zabránit včas událostem, které by mohly v podniku nastat, stanovit opatření, kterým lze rizika odstranit, zmenšit, jakým způsobem rizikům předcházet, implementace bezpečnostního systému. 15
Riziko znamená: nebezpečí a vznik ztráty, nejistotu dosaţení určitých výsledků, odchylku od skutečných nebo očekávaných výsledků, nebezpečí chybného rozhodnutí.
Členění rizik podle dopadu: Kritické riziko – znamená pro podnik často katastrofální následky. Důleţité riziko – je takové ohroţení, kdy podnik má moţnost provést opatření k nápravě. Běţné riziko – tomuto riziku můţe podnik čelit bez velkých zásahů. Používané metodiky při analýze rizik: CRAMM (CCTA Risk Analysis and Management Method), OCTAVE – S (OperationallyCriticalThreat, Asset and Vulnerability Evalution) určena pro malé podniky, RISK IT – kompatabilní s metodou Cobit.
3.2
Metodika analýzy rizik CRAMM
Je jednou z nepouţívanějších metodik při analýze rizik. Tato metodika zkoumá celkem 36 skupin hrozeb a zranitelností. Z výsledků analýzy rizik je zřejmé, co všechno mohou vzniklá rizika podniku způsobit, popřípadě jaké škody mohou vzniknout. Výsledky analýzy rizik by měly být dostupné pouze pro některé pracovníky, jedná se o informace vysoce utajené. Důleţitá je fyzická ochrana, kterou v podniku POTRSOM zavedeme. Kamerové systémy jsou vyspělými systémy. Můţe to být soustava kamerových bodů na pozorovacím místě bez záznamu a také je moţné, aby součástí bylo záznamové zařízení na pořízení záznamu.
16
Tabulka 1: Analýza rizik podniku POTRSOM
Hodnota
Utajení
Hadware Software Personál Data Dokumentace Materiál
zničení, kopírování, zneuţití zneuţití přístupových práv odhalení, vnější narušitel, dedukce
Integrita
Dostupnost
přetíţení, zničení, narušení
krádeţ, ztracení, nedostupnost
viry, trojské koně, modifikace vymazání, ukončení, práva uţívání výpověď, odchod na dovolenou poškození chybou SW, HW nebo uţivatele
vymazání, záměna, zničení
neautorizovaná úprava
ztráta, zcizení, poškození ztráta, zcizení, poškození
Zdroj:[2]
17
4 Návrh nového zabezpečení Po důkladné analýze, navrhneme fyzickou bezpečnost, kde bude navrţen kamerový systém, zabezpečující systém. Zavedeme Server, který bude navrţen tak aby splňoval bezpečnostní nároky a nový aktivní prvek, který bude plnit funkci firewallu. Pečlivou přípravu na BYOD v rámci této problematiky stanovíme přesná pravidla pro jeho uţívání. Směrnice pro personál podniku. Proškolení podniku bude v opakujících intervalech, kde bude kladen důraz na nové hrozby.
Obrázek 6: Nové zabezpečení
Zdroj: Vlastní tvorba
4.1.
Fyzické zabezpečení
V dnešní době kdy se rozvíjejí informační technologie je potřeba zabezpečit podniková aktiva. S tím jsou spojena i častá napadení kybernetickými zločinci. Proto musí být vybudována dostatečná a bezpečná ochrana. Cílem fyzického zabezpečení je zamezení přístupu do prostor nepovolaných osobám. Bezpečnostní plomby a identifikace.
18
Bezpečnostní plomby a identifikátory jsou vhodné k jednoznačné identifikaci. Zajistí tak věci a dokumenty proti falzifikaci a záměně ať jiţ úmyslné či neúmyslné. 4.1.1 Bezpečnostní třídy zámků Bezpečnostní třída 1 - předpokládá se napadení příleţitostným zlodějem, který se pokouší rozbít dveře nebo uzávěr uţitím fyzického násilí, např. kopáním, naráţením ramenem, zdviháním, vytrháváním, bez pouţití nástrojů. Bezpečnostní třída 2 - předpokládá se napadení příleţitostného zloděje popsané u bezpečnostní třídy 1 navíc s pouţitím jednoduchých nástrojů například šroubováku, kleští, klínu, kladiva, háčku, drátu, pinzety, struny nebo noţe. Bezpečnostní třída 3 - předpokládaný pokus o napadení veden stejně jako u bezpečnostní třídy 2 navíc s pouţitím delšího šroubováku a páčidla. Bezpečnostní třída 4 - předpokládá se útok zkušeného zloděje, který má k dispozici sadu nářadí z niţších bezpečnostních tříd navíc doplněnou o pilu s plátkem na ţelezo, sekeru, těţší kladivo, sekáč, nůţky na plech a malou elektrickou vrtačku se sadou vrtáků.
4.1.2 Přístupové systémy a elektronické zámky Nabízejí moderní efektivní kontrolu vstupu do objektu. Odpadají tak problémy s odemykáním dveří a výměnou zámku při kaţdé ztrátě klíče. Navíc lze přístup do objektu ovládat ze vzdáleného místa jako je kancelář, nebo automobil. Kontrola vstupu se uplatní zejména v místech s větším mnoţstvím uţivatelů objektu, jako jsou vchody patrových domů, větší kanceláře a provozy kde dochází k neregulovanému kopírování a ztrátě klíčů.
4.1.3 Holografická bezpečnostní plomba Číslované holografické bezpečnostní plomby zajistí jednoznačnou identifikaci a evidenci dokumentů a majetku. Zajistí vysokou odolnost proti pozměňování a 19
falzifikaci. Při pokusu o odstranění holografické bezpečnostní plomby dojde k jejímu znehodnocení.
4.1.4 Plastová uzavírací plomba Číslovaná plastová uzavírací plomba zajistí pevné a nerozebíratelné uzavření všech cenných a důleţitých zásilek, boxů a pytlů. Uzavírací plombu lze otevřít pouze jejím znehodnocením. Nová vložka dveří bezpečnostní třídy 3 Mul-T-Lock Integrator
Průchozí - moţnost odemykání a zamykání klíčem i z druhé strany, standardně dodáváno s 5 klíči, výroba klíče pouze na základě bezpečnostní karty.
4.1.5 Systém pro uchování záznamu Existuje mnoho druhů kamerových systémů. Kamerový systém IP technologií, která se v dnešní době velice rychle rozvíjí. Připojením IP kamerového systému lze získat přístup k záznamu kdekoliv na světě. Technologie IP kamerového dozoru disponuje velkým vyuţitím. Kaţdý IP kamerový systém má nějaké záznamové zařízení, záznamovým zařízením můţe být i PC. Při nastavení funkcí a vzniklé události, která spouští záznam, lze nastavit, aby se spouštěl alarm. Kamerový systém nahrává pouze to, kde je nějaká událost, můţeme říci nějaký pohyb. Šetří tak prostor na ukládání a zatíţení sítě. Umoţňuje velice rychlé dohledání. Propracované systémy ukládají k definovaným událostem informace, kde ještě rychleji jde záznam dohledat. Kamerový server vyhodnocuje obraz v reálném čase a to tím, ţe vypočítává rychlost nebo směr pohybu. Další funkce mohou varovat před zakrytím kamery při přítomnosti cizího objektu v obraze. Dokáţou počítat osoby v konkrétní zóně i ztrátu obrazu.
Bezpečnostní záznamové zařízení Kamerové soupravy (sety) pro snadnou montáţ zahrnují digitální videorekordér DVR, venkovní IR kamery, propojovací kabely, centrální zdroj s napájecí rozbočkou, dálkový ovladač k DVR a USB myš. Kamerové sety tvoří samostatný bezpečnostní kamerový systém Kamerové sety jsou nabízeny v provedení s 8 kamerami a s rekordérem 20
s odpovídajícím počtem kamerových vstupů. Nabídka zahrnuje venkovní IR kamery v tubusovém (válcovém) provedení nebo v polokulovitém antivandal krytu. Soupravy se také liší rozlišením kamer (se standardním nebo vysokým rozlišením). Instalaci nejvíce ulehčí jiţ okonektorované kabely se sdruţeným napájecím a signálovým vedením, není proto nutné instalovat na kabely konektory. Kamery se jednoduše propojí s rekordérem a s centrálním napájecím zdrojem. Do rekordéru se vloţí pevný HDD disk poţadované kapacity
(není
součástí
soupravy).
Kamerové
soupravy
nezahrnují
dodávku
videomonitoru (displeje), který se připojuje na video výstup nebo VGA výstup rekordéru. Rekordér lze jednoduše ovládat pomocí myši nebo dálkovým ovladačem (jsou v ceně soupravy). Ovládání DVR je intuitivní pomocí grafického uţivatelského menu s obrázkovými symboly, menu rekordéru je kompletně v českém jazyce. Pro základní nastavení videosystému postačuje na rekordéru nakonfigurovat datum a čas, uţivatelská oprávnění, zapojené kamery, záznamové reţimy, alarmové definice, detekce pohybu a IP adresace. Pro vzdálený přístup po počítačové síti a internetu se pouţívá internetový prohlíţeč nebo CMS software, který je v ceně. Videosystém lze také monitorovat z chytrého mobilního telefonu prostřednictvím softwarové aplikace (v ceně soupravy) nebo integrovaného webového prohlíţeče. Souprava 8 venkovních MPX IP-kamer KIP-100PT40N/POE (720p) a rekordér CKN9116PN, IP-kamery s variobjektivem 2.8-12mm, IR LED (40m), POE napájení, 1280x720/25fps, síťový rekordér CK-N9116PN (pro 16 Full HD IP-kamer, rozlišení 1080p/200fps), H.264, časovač, alarmový záznam, detekce pohybu, 2x HDD SATA (max. 2x 4 TB, HDD není v ceně), 2x USB, HDMI/VGA, ovládání tlačítky, myší, dálkovým ovladačem, vzdálený dohled z webového prohlíţeče, monitorování z mobilních telefonů, CMS software v ceně, OSD menu v češtině, k rekordéru je moţno přikoupit dalších 8 IP-kamer Cantonk s aţ 2MPX rozlišením (1080p)
4.1.6 Zabezpečující systém Bezdrátový alarm pro firmu Pro EZS (elektronický zabezpečující systém) byl vybrán JABLOTRON 100 z důvodu jednoduchosti ovládání a české lokalizace, protoţe výrobce je česká firma. Podle oprávnění přístupů můţeme mít firmu rozdělenou aţ do 15 podsystémů (sklad, prodejna, kanceláře, server, apod.), kaţdý podsystém má vlastní, přehledný ovládací segment. 21
5 Softwarová bezpečnost Velice důleţitá je softwarová ochrana a chování uţivatelů. Schopnost rozeznat a čelit moţné hrozbě.
5.1
Operační systémy
Zabezpečení operačního systému Windows je rozsáhlým tématem. Je třeba, aby kaţdý uţivatel se řídil těmito základy. Základní technické prostředky ochrany proti infiltraci v OS Windows Standardní prvky ochrany proti počítačové infiltraci představují zejména: •Antivirový systém •Antimalware •Antispam - Ochrana proti spamu •Firewall •Automatické aktualizace OS a aktualizace programů •Aktualizovaný internetový prohlíţeč •Rootkit a jeho detekce
5.1.1 Windows XP Společnost Microsoft vydala 8. dubna 2014 poslední aktualizaci pro operační systém Windows XP. Z pohledu bezpečnosti je nejlepším řešením přejít na aktuální verzi operační systém. Podnik POTRSOM pouţívá tiskárny, které nejsou zastaralé, ale kvůli politice výrobce tiskáren společnosti HP nefungují pod aktuální verzí Windows 7,8. Tato politika je tak postavená, ţe sice výrobce udává podporu těchto tiskáren. V praxi instalace těchto zařízení neproběhla všemi moţnými způsoby úspěšně. Předpokládám, ţe tento problém díky zmíněné politice HP budou mít i další společnosti. Díky tomu bude pro tvůrce škodlivých aplikací tento software atraktivní. Bezpečnostní experti společnosti ESET připravili pro uţivatele Windows XP desatero zásad, které je dobré dodrţovat. 22
1.
Podnik pouţívá komplexní bezpečnostního řešení s pokročilými technologiemi pro detekci škodlivého softwaru a s personálním firewallu. Uţ se nedá spoléhat na firewall ve Windows XP.
2.
Uţivatelé nebo správce stanic udrţují svůj bezpečnostní produkt stále aktuální.
3.
Pokud nutně se nevyuţívá aplikací rozšíření Java a Flash doporučují tyto doplňky odinstalovat. Například některá nová řešení internetového bankovnictví jiţ Javu nevyţadují.
4.
Vyměnit Internet Explorer 8 za modernější. Podnik POTRSOM pouţívá Mozillu Firefox.
5.
Místo emailového klienta pouţívejte rozhraní vašeho poskytovatele.
6.
Nepouţívejte Skype nebo ICQ programy pro internetovou komunikaci.
7.
Náhrada za Adobe reader bezpečnou Foxit PDF Reader.
8.
Udrţujte aktualizované všechny aplikace nainstalované v PC.
9.
Neotevírejte ty stránky, které se zdají podezřelé.
10. Zálohujte osobní a firemní data.
5.1.2 Windows 7 Výhodou novějších verzí Windows oproti verzi XP je praktický nástroj, který umoţňuje rychlé nastavení základních funkcí zabezpečení. Vše je totiţ přehledně zobrazeno v jediném okně Centra akcí. Sjednocení všech důleţitých prvků zabezpečení do jednoho rozhraní představuje velký krok vpřed, zvláště pak při srovnání s Windows XP. Na jednom místě totiţ můţete zkontrolovat, zda vše funguje, měnit parametry jednotlivých funkcí, případně je aktivovat či deaktivovat. Centrum akcí vás navíc informuje, pokud je něco v nepořádku nebo některý článek bezpečnostního řetězce nefunguje. Stejné rozhraní naleznete také ve Windows Vista a to pod názvem Centrum zabezpečení systému Windows. Liší se pouze v počtu sledovaných oblastí, kdy verze ve Windows 7 kromě bezpečnostních funkcí sleduje také stav zálohování a obecné problémy, které se v systému vyskytují. Windows 7 Pokročilé nastavení firewallu Windows 7 23
Tento firewall je integrovaný, pokročilé nastavení je částečně skryté musí se na něj přes Management konzoli, nebo příkazem wf.msc.
Obrázek 7: Pokročilé zabezpečení firewall
Zdroj: Windows 7
Jak upravit místní zásady zabezpečení Omezení uţivatelských účtů vyţaduje zvýšenou pozornost ve všech větších sítích. Pokud si chcete projít podrobná nastavení v pokročilé konfiguraci Windows, najdete vše na jednom místě. V běţných nastaveních uţivatelských účtů není prakticky ţádná moţnost nastavit pravidla pro hesla jednotlivých uţivatelů. Tato moţnost se nachází aţ v pokročilých nástrojích pro správu, základním bezpečnostním omezením je určení doby platnosti jednoho konkrétního hesla. Pro nastavení intervalu otevřete dialog Místní zásady zabezpečení, nejrychleji vloţením příkazu gpedit.msc
24
Obrázek 8: Doba hesla
Zdroj: Windows XP
Ve zmiňovaných nástrojích pro správu máte moţnost nastavit také některé další parametry, které se vztahují k bezpečnosti všech uţivatelských hesel. Jejich nastavení je stejně jednoduché, jmenovitě se přitom jedná o následující poţadavky: Heslo musí splňovat požadavky na složitost – vynucuje pouţití silných hesel, nebudou tedy povolena ta velice jednoduchá. Minimální délka hesla – pomocí této moţnosti můţete nastavit délku nejkratšího dovoleného hesla, vyhnete se tak problémům s nebezpečím příliš krátkých. Ukládat hesla pomocí reverzibilního šifrování – bezpečnější skladování hesel, které útočníkovi komplikuje snahu získat jejich původní otevřenou podobu. Vynutit použití historie hesel – nedovolí uţivateli nastavit heslo, které jiţ bylo pouţito.
25
Obrázek 9: Stáří hesla
Zdroj: Windows XP
5.1.3 Windows 8 V případě Microsoft Windows 8 Microsoft zvolil lepší přístup k aktivní ochraně proti malwaru. Řešení Microsoftu včasné spuštění antimalwaru znamená, ţe prvním softwarovým modulem, který je spuštěn bezprostředně po startu, je software proti malwaru. Jedná se o zásadní změnu. Dříve to tak nebylo dáno. To znamenalo, ţe mohl obsadit tuto pozici škodlivý ovladač, nepozorovaně obelstít antivirovou ochranu. Tvůrci antivirových programů získávají digitální podpis, to zaručí přednost při startu během spouštění systému. Potom můţe systém zkontrolovat ještě před spuštěním ostatních komponent v případě, ţe nehrozí ţádné nebezpečí. Defender je standardní aktivní ochranou Windows. Pokud Defender nebude odinstalován, bude to první program, který se spustí po startu systému. Microsoft poprvé sestavil přesné poţadavky na moţnost deaktivace a odinstalování antivirového programu na přání uţivatele. Pokud bude chtít výrobce počítače (HP,Lenovo) nainstalovat jiný antivir neţ od Microsoftu, musí nejprve deaktivovat Windows Defender. Dříve tomu tak nebylo, antivirové programy prováděly různé změny v registrech, které bylo během odinstalování sloţité odsranit. Systém byl znečištěn a díky tomu bránil novému antivirovému programu v některých aplikacích. Společností Microsoft jsou pravidelně vydávány aktualizace tohoto operačního systému. Jde o těchto několik typů aktualizací:
26
Bezpečnostní aktualizace – je aktualizace, která počítač chrání před nově objevenými bezpečnostními hrozbami. Kritická aktualizace – je významná aktualizace, která však nemá souvislost s bezpečností. Tyto aktualizace převáţně řeší problémy, které souvisejí se spolehlivostí OS a integritou dat. Aktualizace nástroje Windows Defender – je aktualizací definicí hrozeb v nástroji Windows Defender, které tato aplikace vyuţívá k odhalování nejnovějších typů škodlivého softwaru. Servisní balíky – jsou velkou aktualizací, která obsahuje větší mnoţství dílčích aktualizací. Servisní balíky (tzv. Service Packs) mohou obsahovat téţ nové funkcionality systému.
Zálohovací systémy OS Windows Na trhu existuje mnoho produktů, které slouţí k zálohování dat. Výrobci jednotlivých typů těchto zálohovacích systémů v maximální moţné míře poskytují komplexní řešení zálohování. Systémy řeší téměř všechny klíčové oblasti zálohování, ochranu dat, rychlou obnovu dat, migraci dat, apod. Veškeré tyto systémy pracují na velmi podobných způsobech zálohování dat. Vţdy s novou verzí musíme počítat s něčím novým. Systémy pracují s architekturou klient-server. Veškeré procesy jsou řízeny z jednoho centrálního počítače, který je umístěn na jakémkoli místě v síti. Tímto způsobem se šíří všechny procesy zálohování dat, pohyb zálohování dat, konfigurace zálohovacího systému. Výhoda těchto systémů je v tom, ţe pokud jsou sítě rozsáhlé, je moţné zálohovací server a zálohovací zařízení umístit na bezpečné místo. Zálohovací systémy umoţňují bezpečné zálohování a obnovu dat a to jak pro lokální, tak i pro vzdálené připojení. Hlavním cílem zálohovací strategie je: jednoduché pouţití, maximálně vyuţít čas, jednoduchá obnova dat.
27
Zálohovací systém umoţňuje archivaci dat, která zajišťuje dlouhodobé uchování dat. Doba, kdy je nutné důleţitá data uchovat je dána a částečně omezena ţivotností zálohovaných medií. Archivace dat znamená, ţe tato data nejsou nikdy automaticky smazána, ale jsou vţdy uloţena všechna data. Pro dlouhodobé uchování dat podniku se provádí archivace dat, která jsou pro provoz podniku důleţitá. V tomto směru je třeba udrţet zálohy v pořádku a vést dokumentaci o zálohách dat. V podnicích bývá toto velmi často opomíjené.
V současné době je zálohování automatizované, ale i tak je třeba řešit řadu problémů např.: Kde uloţit záloţní kopie? Jak dlouho kopie uschováme? Zajištění přístupu/nepřístupu k zálohovaným datům se stupněm jejich utajení? Kdy vytvářet zálohy? Kolik vytvářet záloh u významných dat? Je celá řada problémů spojených se zálohováním dat a je třeba je včas řešit. Zálohovací systémy se mohou spouštět automaticky podle časového harmonogramu. Je stanovený den a přesný čas tzn. kaţdý den v měsíci ve stejnou hodinu. Další moţností je naplánovat zálohování dat periodicky např. vţdy po 48 hodinách. Zálohovací systém tak dává moţnost zálohování dat proti neoprávněnému zneuţití. Pouze uţivatel má moţnost před spuštěním zálohy zadat heslo, takţe se k zálohovaným datům dostane osoba, která je známá v tomto systému. Pokud je poţadována vyšší úroveň zálohování dat, pouţívá se tzv. kódovací algoritmus. Obnova dat je v tomto případě moţná pouze po vyţádání hesla kaţdé osoby, která zajišťuje zpracování dat. Zálohovací systém řeší i moţnost chyb, které mohou nastat v průběhu ukládání dat nebo v případě obnovy dat. Kaţdý ze systémů má toto řešení různé. Některé reagují při přerušení komunikace po sítí tím, ţe se snaţí obnovit spojení. Další systémy umoţňují obnovu zálohovaných dat po restartu zálohovacího serveru. Takţe je automaticky dokončena záloha po opětovném spuštění systému. U zálohovacích systémů je nutné 28
vytvořit tzv. plánovanou obnovu dat v kritických situacích. Vytvoření tohoto plánu je nutné pro případ vzniku katastrofy (pohromy), která se můţe přihodit, lidé v onen okamţik jednají neuváţeně. Z tohoto důvodu je nutné uloţit důleţitá data mimo zálohovací systém. Lze vytvořit tzv. identické kopie zálohovacích medií a dále je uloţit např. v trezoru nebo další moţnost je uloţit důleţitá data na další zálohovací server. Abychom se dobře orientovali v zálohovaných datech je důleţité tato data organizovat a to, co nejpřehledněji. Je nutné přesně rozlišovat, jaký stupeň utajení mají zálohovaná data. Podle toho můţeme pro různé datové struktury vytvořit skupiny zálohovaných medií a podle toho přesně rozčlenit přístup k těmto datům. Je moţné vyuţívat tzv. paralelní zálohování s maximálním vyuţitím průchodnosti sítě tzv. spuštění záloh libovolného počtu klientů najednou. Čím více klientů provádí zálohu, tím více je zatíţený procesor serveru. Je proto optimální vyuţívat při zálohovaní dat více zálohovacích procesorů na jednom zálohovacím zařízení, nebo rozloţit zálohovací procesy mezi určitý počet zálohovacích zařízení. Zálohovací systémy umoţňují vyuţívat práci databázových produktů jako je Oracle nebo SAP R/3, apod. Můţeme tak zálohovat databázi on-line. Zálohu dat můţeme spustit automaticky a nemusíme přerušit sluţbu databázové aplikace. On-line zálohování je moţné pomocí aplikačního modelu, který umoţní spojení mezi zálohovacím systémem a zálohovacími utilitami pouţívané databáze. Databáze můţeme zálohovat v reţimu off-line. V tomto případě nelze zálohy spouštět automaticky a sluţby databáze jsou tak pozastaveny. Neodmyslitelnou součástí zálohovacích systémů je celá řada zálohovacích zařízení a vyuţívaných technologií.
29
Obrázek 10: Zálohování server
Zdroj: vlastní zpracování
Je celá řada problémů spojených se zálohováním dat a je třeba je včas řešit Navrhuji SERVER HP ProLiant DL380 G5 2x Xeon E5310 QC 1.6 GHz, 4 GB RAM, P400/512 Technická specifikace Provedení:
Rack 2U server
CPU:
2x Intel Xeon E5310 Quad Core 8M Cache, 1.60 GHz, 1066 MHz FSB, moţnost upgrade
RAM:
4 GB ECC - rozšířitelná
HDD:
2x1TB (2.5") SAS/SATA
Diskový řadič:
Smart Array P400, 512 MB Cache (SAS)
Vzdálená správa:
HP Integrated Lights Out (iLO 2)
LAN:
2x Gigabit Ethernet
Porty:
2x VGA, COM, PS/2, 4x USB
Zdroj:
1x (volitelně druhý)
Jednotky:
DVD-ROM
Jednou z hlavních aktivit SERVERU HP je zálohování. Proto volím operační systém Windows 2012 Essencials.
30
5.2
Zálohování v MS Windows Server 2012 Essencials
Od Windows Small Business Server se servery v převáţné většině úloh ovládají z Console, resp. z Dashboard v případě serveru 2012 Essentials. První krok je tak zcela jasný, začíná v Dashboard, v sekci ADD-INS v levé části, kde je poloţka Integrate with Winfows Azure Online Backup. V podvolbě „Click to sign up for Windows Azure Backup“. Přesměrování na webové stránky Windows Azure, kde jsme poměrně přímočaře navedeni k zaloţení předplatného Windows Azure. Jakmile si zaloţíme Windows Azure, můţete vybírat jednotlivé sluţby, které si chcete předplatit. Pro Windows Azure Backup v sekci Data Services >Recovery Services > Backup Vault. „Quick create“ si zaloţíme naše uloţiště.
Obrázek 11: Windows Azure
Zdroj: Windows Server 2012
31
Obrázek 12: tvorba záloh
Zdroj: Windows Server 2012
5.3
Zálohování stanic
Acronic True Image Echo Workstation Je nástroj pro zálohování a obnovu pracovních stanic s centralizovanou správou. Umoţňuje z jednoho místa spravovat zálohování firemních stanic. Moţností automatického zálohování podle nastaveného plánu. Umoţňuje komplexní zálohování stanic,
včetně
operačního
systému
32
aplikací,
uţivatelských
nastavení
6 Nový aktivní prvek Microtik RB2011 Operační systém vyuţívá právě na RouterBOARDech, disponují většinou dvěma způsoby správy a třemi způsoby připojení. K ROS se můţeme připojit následujícími způsoby. Telnet,SSH,Winbox.Komunikační kanály Ethernet/WIFI – IP/TCP vrstva. První zdířka internet (WIFI). Další zdířky místní síť. Nastavení Microtiku 2011 jako firewallu. Zvolili jsme, ţe porty 2-10, sfp1 a WLAN1 budou bridge, tudíţ se v nich budou připojovat všechna zařízení uvnitř v síti. Port ether1 bude slouţit jako Wan rozhraní připojené do internetu. Nastavení IP adress ether jedna adresa připojená od poskytovatele internetu. Přidáme IP adresu, která bude pro naší místní síť rozhraní bridge 1. IP DHCP server na bridge 1 první deset IP adres budou nastaveny pro pevná zařízení. Bude nastavena výchozí brána 192.168.0.1 a záloţní 8.8.8.8 od googlu. Nastavíme překlad adress NAT pro celou síť. Všechny počítače v síti budou sdílet IP adresu routeru 192.168.0.133. Microtik 2011 Firewall Systém Jeden nebo více systémů kombinované pro dosaţení poţadovaného zabezpečení Zvládnutí provozu Směrování Organizace Překlenování Proxy Vše se nastavuje ve winboxu okno firewall -pro filtrování paketů prepektiva pravidel, které pakety buď mají propustit, či odmítnout. Dále logovat a přidávat do seznamů.
33
Obrázek 13: Navržená síť
Zdroj: vlastní tvorba
Obrázek 14: Winbox Mikrotik 2011
Zdroj: Windows 7 program Winbox
34
Výchozí konfigurace je nastavena od výrobce a pro náš případ se nehodí, tudíţ je smazaná a nakonfigurovaná ručně. Obrázek 15: Nastavení sítě ve Winbox
Zdroj: Windows 7 program Winbox
35
7 Personální ochrana Velice důleţitá je personální ochrana a chování zaměstnanců. Aby dokázali čelit různým podvodným útokům.
7.1
Rizika personálních přístupů v praxi
Sociotechnika Sociotechnika je ovlivňování a přesvědčování lidí s cílem oklamat je, aby uvěřili, ţe sociotechnik je osoba s totoţností, kterou předstírá a kterou si vytvořil pro potřeby manipulace. Díky tomu je sociotechnik schopný vyuţít lidí, se kterými hovoří, případně dodatečně technologické prostředky, aby získal hledané informace.
Rovnováha ve firmě Bezpečnost firmy je otázkou rovnováhy. Příliš slabé zabezpečení ponechává firmu v ohroţení, příliš slabé překáţení v činnosti, brzdí růst a prosperitu firmy. Teroristické činy představují významnou část agenturních zpráv a museli jsme si uvědomit jako nikdy dříve, ţe svět není bezpečným místem. V září 2001 útoky na New York a Washington naplnily smutkem a strachem nejen Američanů a také celý civilizovaný svět. Úloha spočívá v nalezení rovnováhy mezi bezpečností a produktivitou. Zabezpečení firem se soustřeďuje na nařízení a programy a nevěnují patřičnou pozornost nejváţnějšímu nebezpečí podvodu. Je potřeba se zaměřit, jakým způsobem mohou být lidé v organizacích zmanipulováni a jaké bariéry se mají vytvořit, aby se těmto útokům předešlo. Úloha expertů je ztíţena sociotechnickými experty. Ti zařídili, abychom ve svém vlastním zájmu dělali to, co uznají za vhodné. Šikovně vymýšlejí věrohodné historky, důvody a argumenty. V důsledku takových zájmů pracovníci a vlastní uţivatelé se stávají zranitelnými k manipulaci sociotechniků, kteří mají přesně připravený scénář, aby dosáhnuli svého. Náš ţivot by byl těţký, kdybychom museli být stále ve střehu, nedůvěřovat jiným, brát v úvahu moţnost, ţe náš někdo vyuţívá. V ideálním světě by bylo moţné bezstarostně důvěřovat jiným a mít jistotu, ţe lidé, se kterými se setkáváme, jsou poctiví a hodni důvěry. Neţijeme však v takovém světě, a proto si musíme vytrénovat návyk bdělosti, abychom mohli odhalit lidi, kteří se nás pokoušejí oklamat. 36
Sociotechnika v praxi: Rafinovaná metoda, jak získat od telekomunikační firmy nezveřejněná telefonní čísla. Několik metod, které pouţívají útočníci k přemlouvání i těch nejpodezíravějších pracovníků, aby prozradili svá uţivatelská jména a hesla. Moţnost krádeţe.
Smetiště plné informací Je opravdu ohromující jaké informace je moţné získat prohledáním odpadu firmy. Mnoho lidí si neuvědomuje, co vlastně vyhazuje. Účty za telefonáty, výpisy z bankovního účtu, obaly od léků, materiály svázané z prací a mnoho jiných věcí. Pracovníci ve firmě si musejí uvědomovat, ţe existují lidé, kteří hledají v odpadcích vyuţitelné informace. Sám Kevin Mitnik, kdyţ byl na gymnáziu, tak prohledával odpadky. Sice to není tak velká zábava, ale je moţné v odpadcích nalézt důleţité informace, které jde obrátit na vítaný zisk. Vnitřní telefonní seznamy, dokumentace k programům. Návštěvy na smetiště plánoval na noci po vytištění nových dokumentů, protoţe byly staré exempláře bezstarostně vyhazovány. Chodíval také občas namátkou hledat dopisy, poznámky, zprávy a podobné věci. Kdyţ přicházel na smetiště tak hledal krabice.
Bezpečnostní možnosti v IS Achillovou patou bezpečnostních systémů je to, ţe firma můţe vlastnit ty nejlepší a nejmodernější bezpečnostní systémy, mít zaškolený personál, důleţité informace mít pod zámkem, zajištění bezpečnostní firmou ostrahu komplexu. Přesto se uţivatelé IS svým chováním nechají vlákat na internetovou stránku, kde zanechávají své osobní údaje. Těchto případů je opravdu hodně. Existují lidé, kteří mají zábrany nakupovat prostřednictvím Internetu. Dokonce i od značkových firem například (Amazon, eBAY, Aukro, Alza). Jejich podezíravost je oprávněná. Prohlíţeče pouţívají 128 bitové šifrování, informace, které od nás odcházejí a jsou v zakódovaném tvaru.
37
Rostoucí obava Institut pro počítačovou bezpečnost ve svých výzkumech během roku zaznamenal u 85 % dotázaných organizací narušení počítačové bezpečnosti. Toto vysoké číslo znamená, ţe pouze 15 firem ze sta mohlo říci, ţe s napadením nemělo problémy. Stejně šokující je počet organizací, které ohlásily ztrátu z důvodu vloupání. V praxi programy pro bezpečnostní pouţití dostupné na trhu, které většina firem pouţívá, slouţí hlavně na ochranu před Scriptkiddies jsou dětští amatéři. Tito mladíci si hrají na hackery, pouţívají programy dostupné na síti, většinou jsou jakýmsi hmyzem. Největší ztráty a reálné ohroţení hrozí ze strany rafinovaných hackerů, kteří mají jasně definovaný úkol a cíl. Motivuje je zisk a soustřeďují se během útoku na konkrétní cíl.
Analýza kvality firewallu Pro zkoumání kvality firewallu jsem si vybral uznávaný portál www.matousec.com. Tento projekt zkoumá softwarová bezpečnostní řešení. Tato tabulka také ukazuje přesnou verzi kaţdého testovaného výrobku. Tento uznávaný produkt zkoumá softwarové bezpečnostní řešení. Cílem je vyhodnocení různých bezpečnostních produktů. Tabulka 2: produkty zabezpečení
Hodnocení Dosažená produktu úroveň
Product
Úroveň ochrany
Comodo Internet Security Premium 7.0.317799.4142
97 %
11+
Výborná
Outpost Security Suite Pro 9.1.4643.690.1951
90 %
11
Výborná
Kaspersky Internet Security 2014 14.0.0.4651
88 %
11
Velmi dobrá
Privatefirewall 7.0.29.1
88 %
11
Velmi dobrá
SpyShelter Firewall 2.7
87 %
11
Velmi dobrá
Outpost Security Suite Free 7.1.1.3431.520.1248
71 %
11
Dobrá
VirusBuster Internet Security Suite 4.1
71 %
10
Dobrá
Jetico Personal Firewall 2.1.0.13.2471
58 %
10
Špatná
ESET Smart Security 7.0.302.26
55 %
9
Špatná
ZoneAlarm Extreme Security 2013 11.0.780.000
34 %
6
Velmi špatná
ZoneAlarm Free Antivirus + Firewall 13.1.211.000
34 %
6
Velmi špatná
Total Defense Internet Security Suite 9.0.0.134
30 %
6
Velmi špatná
Dr.Web Security Space 9.0.1.02060
24 %
4
Ţádná
Webroot SecureAnywhere Complete 2013 8.0.2.174
22 %
4
Ţádná
BullGuard Internet Security 2014 14.0.279.6
16 %
3
Ţádná
38
eScan Internet Security Suite 14.0.1400.1381
14 %
3
Ţádná
K7 TotalSecurity 2014 14.1.0.217
9%
2
Ţádná
Norton Internet Security 2013 20.4.0.40
9%
2
Ţádná
avast! Internet Security 2014.9.0.2008
8%
2
Ţádná
TrustPort Total Protection 2013 13.0.10.5106
8%
2
Ţádná
AVG Internet Security 2014.0.4577
7%
2
Ţádná
Bitdefender Total Security 2013 16.30.0.1843
7%
2
Ţádná
Avira Internet Security 2013 13.0.0.4052
6%
2
Ţádná
PC Tools Internet Security 2012 9.1.0.2898
6%
2
Ţádná
FortKnox Personal Firewall 10.0.505.0
5%
2
Ţádná
F-Secure Internet Security 2014 12.89.202
5%
2
Ţádná
ThreatFire 4.7.0.53
5%
2
Ţádná
Arcabit Internet Security 2014.0.0.282
4%
1
Ţádná
G Data TotalProtection 2014 24.0.1.5
4%
1
Ţádná
Norman Security Suite PRO 10.00
4%
1
Ţádná
Ad-Aware Total Security 11.1.5354.0
3%
1
Ţádná
McAfee Total Protection 2014 12.8.903
3%
1
Ţádná
Panda Global Protection 2014 7.01.01
3%
1
Ţádná
Rising Personal Firewall v16 24.00.15.64
3%
1
Ţádná
UnThreat Internet Security 2014 6.2.37.26892
3%
1
Ţádná
AhnLab V3 Internet Security 8.0.6.6.1197
2%
1
Ţádná
VIPRE Internet Security 2014 7.0.6.2
2%
1
Ţádná
Zdroj: V dnešní době firmy málo investují do zabezpečení. Technologie jako ověřování a zjišťování totoţnosti, kontrola přístupu (přístupová práva k souborům a systémovým zdrojům) systémy detekce vetřelců (elektronická obdoba alarmů) jsou nezbytnou součástí systému ochrany dat.
Malé zabezpečení internetu ARPANET, předchůdce Internetu, byl vytvořen na výměnu informací mezi vládními a vědeckovýzkumnými institucemi. Tento technologický pokrok pro výměnu informací byl, ale bez úplného zabezpečení. Richard Stallman dokonce rezignoval na zabezpečení svého konta heslem. Pouţívání Internetu jako media dramaticky vzrostlo ohroţení se slabým spíše ţádným zabezpečením internetu a obchodů spojeným s ním. Pak dodatečně vytvořené programy a záplaty nevyřeší aspekt a to je lidský faktor chcete-li lidskou hloupost, která je bezedná. Stejný problém mají vlády, firmy a vzdělávací instituce po celém světě. Přes úsilí odborníků na bezpečnost jsou informace všude vystaveny nebezpečí útoků sociotechnika, pokud nebude posílen nejslabší článek – 39
lidský faktor. Dnes, více neţ kdy jindy, musíme přestat myslet způsobem, jakým bychom si přáli. Musíme si uvědomovat, jaké techniky vyuţívají ti, kteří se pokoušejí zaútočit na důvěrnost, integritu a dostupnost našich počítačových systémů a sítí. Je potřeba naučit se odborným způsobilostem. Hrozba narušení soukromí osobních údajů nebo firemních systémů. Tato hrozba se zdá jen velmi málo reálná aţ do té doby neţ se opravdu přihodí. Abychom se vyhnuli takové sráţce s realitou, musíme být opravdu připraveni a být ve střehu. Musíme také intenzivně chránit naše data, osobní údaje a to v kaţdé oblasti, kritické prvky infrastruktury a co nejrychleji začít pouţívat popsané bezpečnostní opatření.
40
8 Hrozby v zabezpečení podniku POTRSOM Viry Tento virový program napadá (infikuje) další programy. Virus potřebuje hostitele, spustitelné programy, registry Windows a zaváděcí sektor disku. Uţivatel většinou nezjistí, ţe jeho program je zavirován. Hackeři se snaţí, aby vir byl co nejmenší, a tím je méně nápadný. Některé viry mohou pracovat pouze v systému, pro který byly vytvořeny. Existují viry, které jsou určeny na napadení binárních souborů, které se archivují (ZIP, RAR, ARJ apod.). Trojští koně Jedná se o škodlivý software, který se rychle rozrůstá. Software trojští koně narušuje soukromí a ohroţuje tím cenná data. Účelem je zaznamenání naší činnosti na počítači. Tímto způsobem hackeři mohou zjistit přihlašovací údaje k bankovnímu účtu, napadají naše internetové stránky, zjišťují hesla uţivatele, mohou manipulovat s našimi soubory apod. Trojští koně se šíří jako přílohy emailových zpráv, jako součást softwaru, který lze stáhnout z nedůvěryhodných internetových stránek. Nebezpečná varianta trojského koně je síťové přihlašování – login. Uţivatel, který nic netuší, ţádá uţivatelské jméno a heslo, a to se okamţitě uloţí. Hned se zobrazí hlášení, ţe heslo bylo chybné, coţ vyvolává u uţivatele pocit, ţe se překlepl. Další přihlášení je jiţ v pořádku. Uţivatel tak nic nezpozoroval a hacker se ihned můţe připojit do sítě uţivatele.
41
Nejrozšířenější druhy trojských koní: Distribute Denial of Service(DDoS) Jedná se o skupinu trojských koní, kde cílem je infikovat co největší počet počítačů, hacker pošle napadeným počítačům příkaz k útoku. V tomto okamţiku je dotazovaný server zcela zahlcen a zároveň vyřazen z provozu. PWS – Password Stealing trojské koně Hlavním rysem PWS je zjištění tajných informací. Klasické keyloggery Sledují klávesy stisknuté uţivatelem, ukládají je do souboru a tento soubor je odeslán útočníkovi. Paswordsending trojské koně Zaměřeny na získání přístupových hesel z počítačů.Z uţivatelova systému nalézt všechna přístupová hesla a poslat jej útočníkovi tj. hlavní cíl této skupiny. Útočník má moţnost získat často velice tajné informace. File server trojské koně V napadeném počítači se vytváří, file server, který umoţňuje hackerovi nahrát soubory. File sever trojské koně bývají dobře maskované. Destruktivní trojské koně Trojský kůň tohoto typu vyčká na spuštění a následně zaútočí na data v počítači uţivatele, maţe soubory apod. Dropper Tento trojský kůň po spuštění zamoří počítač.
42
Downloader Tento druh trojského koně si nenese škodlivý software, ale stahuje si ho z přednastavených adres. Trojský kůň stáhne vlnu škodlivého softwaru a ta stáhne další vlnu. Proxy trojský kůň Vyuţívá napadený počítač za účelem rozesílání nevyţádané pošty (spamu). Počítačoví červi Červ je označován jako škodlivý software, který se šíří formou síťových paketů. Neinfikuje spustitelné soubory, jeho škodlivost je dána hlavně v rozšiřování sama sebe na dostupné počítače způsobem síťových paketů. Červ se šíří tím rychleji, čím větší jsou bezpečnostní díry v informačním systému. Tím bývá zatěţována podniková síť. V současné době se šíří červi v příloze emailové zprávy. Spyware Jedná se o špionáţní software, který sbírá informace z počítače uţivatele, ale ten o tom neví. Tento spyware se pohybuje na kraji legality. Je tedy obtíţné určit, zda určitá jeho činnost je ještě legální nebo jiţ není. Jeho činnost je často ještě legální, ale velmi neetická a proti tomuto je velmi obtíţné bojovat. Jedinou ochranou informačního systému je instalování vhodného antispyware software. Hoaxy Hoax toto slovo v angličtině znamená podvod, mystifikaci anebo ţert. Jedná se o nevyţádanou e-mailovou, nebo ICQ zprávu, která varuje uţivatele před virem, prosí o pomoc, informuje o nebezpečí apod. Dále dává výzvu o další rozesílání mezi přátele. Z tohoto důvodu se často označuje jako řetězový e-mail. Škodlivost hoaxů je hlavně v obtěţování příjemců opakováním nesmyslných zpráv, podáním nebezpečných rad, kdy můţe uţivatel svému počítači ještě více ublíţit, zbytečným zatěţováním linek a serverů, ztrátou důvěryhodnosti nepravdivých zpráv, prosazení, důvěrných informací přeposláním na další adresy. Hoaxy vyuţívají neinformovanosti a manipulují s uţivatelem. Hoaxy mohou mít formu falešného poplachu, zábavnou formu, nebo formu prosby. 43
Spam Spam zaplavuje internet nabídkami pochybných produktů, účelem těchto nabídek je rychlé zbohatnutí. Jedná se většinou o pochybné nabídky. Odesílatel tyto zprávy většinou neplatí, ale platí je příjemci. Spam je nevyţádané sdělení, které se šíří internetem. Do spamových databází lze získat e- mailové adresy pomocí tzv. robotů. Spamovací robot lehce pronikne na poštovní server a snaţí se doručit e-mail na adresy sloţené ze jmen a příjmení a většinou oblíbených názvů a přezdívek. Tyto adresy jsou pak ohroţené a doporučuje se rozšířit je o další znaky. Graf 2: Objem spamu v procentech v letech 2006 – 2013
Zdroj: www.chip.cz
Na adresy, z nichţ je spam poslán je nejlepší nereagovat, neklikat na ţádné takové odkazy a navíc adresa, z které je spam poslán není pravá, často se mění, jedná se většinou o zfalšovanou adresu jiného člověka, který o narušeném emailu nic netuší.
44
Graf 3: Množství spamu
Zdroj: www.chip.cz
Způsoby předcházení spamu: do návštěvních knih a diskusí nevyplňovat v ţádném případě svou adresu, v diskusních skupinách nemít uvedenou adresu, neklikat u předchozího spamu na odkazy „ removeme“„deletefrom list“, kdyţ uvedete svou adresu, označte, ţe nechcete zasílat reklamní poštu apod. PHISHING V českém jazyce přeloţeno jako rybaření, znamená to nachytat počítačové uţivatele na falešné e-maily. Phishing má několik podob, ale v podstatě jde stále o stejnou variantu. Uţivatel obdrţí dopis, kdy odesílatel je padělaný. Dopis uţivatele odkazuje na stránku, na které uţivatel má zaznamenat své jméno, heslo, číslo platební karty a další podobné informace, které jsou následně zneuţity. Stránka není ničím rozpoznatelná od informační stránky banky, takţe uţivatel si vůbec neuvědomí, ţe by mohl být podveden. Úspěšnost phishingu neustále roste a to je pro uţivatele nebezpečné. Ochrana proti phishingu je dána chováním uţivatele k dané situaci tzn. posoudit reálnost situace, v případě podezření na nic neklikat, popřípadě ověřit instituci, která dopis odeslala. Jediné opatření proti phishingu je dána na posouzení kaţdého člověka a včas si uvědomovat reálnost situace.
45
PHARMING Jde o modernější druh phishingu. V tomto případě je jiţ posouzení situace málo. Uţivatel, který opět nic netuší, zadá poţadované přihlašovací údaje a tím je ihned předá útočníkovi. V tomto případě se uţivatel můţe chránit velmi kvalitním antivirovým systémem, který má pravidelnou aktualizaci. Ochrana v tomto případě není vůbec jednoduchá. DANIAL OF SERVICE (Odepření služby) Útok je v tomto případě zaměřen proti webovému serveru, který je připojen k internetu. Úkolem je narušit provoz serveru zvýšeným počtem poţadavků, které přicházejí. Hacker spustí program, který začne rozesílat nesmyslná data, a ta jsou rozesílána na server. Server se tak rychle zahltí daty a není schopen reakce na další poţadavky uţivatelů. Občas dojde k úplnému zhroucení webového serveru. V tomto případě útočník nemusí mít velké znalosti, a proto počet těchto útoků v současné době stoupá. DDOS ÚTOK (DISTRIBUTED DENIAL OF SERVICE) Útok je veden současně z velkého počtu počítačů. Na počítače je nainstalován určitý program hackerem, hacker provede útok pokynem a napadený počítač je zasypán přívalem dat. Existuje celá řada DOS útoků, které hackeři vyuţívají pro ochromení serveru. Ochrana proti těmto úkolům je sloţitá např. nastavení routerů, firewallů apod. SLOVNÍKOVÝ ÚTOK Většina uţivatelů volí jako přístupové heslo raději nějaké jméno, které si dobře zapamatují a to například jména slavných lidí, jednoduchá slova apod. Slovníkový útok tohoto vyuţívá a zkouší postupně výrazy jako hesla uţivatelů. ÚTOK HRUBOU SILOU Při tomto způsobu útoku je moţné kombinovat alfanumerické a speciální znaky. K vyhledávání hesel se vyuţívá L0pthcrack. Nejnovější verze L0pthccack6
46
vyhledává hesla v kombinaci písmen, číslic, symbolů. Program pracuje takovou rychlostí, ţe za sekundu dosahuje 2,8 milionů pokusů. TRASHING Tento způsob napadení je zaměřen na „odpadky“. Podnik vykazuje tzv. odpadky, které jiţ nepotřebuje, ale v odpadcích zůstávají ještě důleţitá data. BOOT, ZOMBIE A SÍTĚ BOOTNET Booty jsou zaměřeny převáţně na systém Windows. Počítač pokud je infikován bootem, proměřuje se v tzv. „zombie“. Tento počítač mají pod kontrolou hackeři. Počítače, které jsou infikované stejným bootem mohou být spojeny v ničivou síť boot network“ a tak mohou provádět ničivé operace na servery, posílat infikované e-maily, provozovat jiné trestné činnosti. Ochrana proti škodlivým kódům Existují i různé způsoby ochrany vůči těmto škodlivým kódům. Jedná se o následující: kombinace antivirového programu a firewallu, instalování nástrojů, které odstraňují spywar a adwar, chovat se bezpečně tzv. neotevírat přílohy e-mailů, které jsou od neznámých odesílatelů, neklikat bez rozmyšlení na některá tlačítka na wordwide web stránkách, otvírat pochybné stránky apod. Antivirové programy Antivirové programy řadíme mezi nejzákladnější bezpečnostní ochrany počítačových systémů a je proto důleţité, aby kaţdý podnik vloţil finanční prostředky pro toto zabezpečení programu. Tyto programy pracují na principu prohledávání počítačů a tak upozorňovat na moţné viry v počítači. Programy vyuţívají různé techniky, které různě kombinují. Skener Jde o program, který vyhledává posloupnosti znaků, které určitý virus charakterizují. Hackeři přitom maskují přítomnost viru, přesouvají je tak z jedné aplikace do druhé. Tím se ztěţuje paměť skenerů. 47
Heuristická analýza Touto analýzou se nezkoumá přítomnost konkrétního viru, ale hledají se soubory na základě databáze virových pravidel. Rezidentní štít Tímto způsobem se zajišťuje ochrana počítačů před virovou nákazou. Antivirové programy je třeba neustále aktualizovat, doplňovat virovou databází. Většina současných antivirových programů upozorní na aktualizaci. V podnicích se počítače testují většinou pravidelně, pokud má podnik bezpečnostního technika, tak ten dohlíţí na pravidelné testování počítačů. Obrázek 16: Implementace funkce PKI
Uloţení certifikátu
Certifikační
Adresářový s e r v e r
Kontrola Vystavení c Ověření identity
c
Uţivatel
e r t i f i k á t u
Sluţba
Zdroj: www.chip.cz
Zásady nastavení antivirového programu Nastavení antivirového programu v podniku provádí bezpečnostní technik. Antivirový program bezpečnostní technik instaluje ihned po spuštění nového počítače v podniku: v jednom počítači je nainstalovaný jeden antivirový program,
48
e r t i f i k á t u
po instalaci antivirového programu je třeba otestovat počítač, měla by zůstat zapnuta kontrola přijímání a odesílání pošty, všech spuštěných programů, všech otevíraných souborů, jednou aţ dvakrát měsíčně je třeba provést testování celého počítače. Využívané antivirové programy v podnicích: AVG NOD32 F-Secure Antivirus Kaspersky Antivirus McAfeeVirusScan apod. Firewall Snadným cílem k útokům virů, červů, hackerů je internet. Kaţdý den dochází k mnohočetným útokům na servery a počítače. Na ochranu proti útokům z internetu se pouţívá tzv. firewall, který vytváří ochranou stěnu mezi vnitřní sítí nebo počítačem a internetem. Slouţí ke kontrole a filtraci programů, filtruje předchozí komunikaci a nepropustí zakázané nepovolené porty. Firewall je jedním z nástrojů bezpečnostní politiky podniku. Firewall je speciální hardware nebo software. Hardware firewall je určen hlavně pro podniky. IDS (IntrusionDetection Systems) Technika detekce napadení je v současnosti chápána jako způsob, kdy ze síťového provozu nebo analýzy logovaných záznamů lze rozpoznat jiţ známý druh (signaturu) napadení.1 Je moţné zjistit úvodní fáze průniku a zjistit tak včasnou reakci. V případě, ţe se nepodaří zjistit napadení včas, je nutné učinit rychlá protiopatření. Způsob práce spolupracujících komponent a jejich vztahy v systému IDS je znázorněna na obr. č. 11.
1
BENEŠ, V., Petrovický. Informační bezpečnost a bezpečnostní politika. Praha. ISQ PRAHA, 2007. 75 s.
49
Obrázek 17: Schéma způsobu práce IDS
aktivita Zdroj dat
Senzor
Operátor událost Senzor
Schéma komponent systémů IDS
Analyzátor
alert
Akce
Manaţer
Security Administrátor
Zdroj: [3]
Bezpečnostní politika
Host based IDS Tento systém umoţňuje monitorování, detekci, prevenci narušení bezpečnosti v reálném čase. Je tak umoţněna reakce na incidenty ve vztahu k serverům, datům, aplikacím apod. Vyuţívá se jako doplněk firewallů. V případě ohroţení posílá HOST IDS výstrahu administrátorům a na základě toho podnikne protiopatření, aby bylo včas zabráněno krádeţi informací.
50
Network based IDS Network based IDS zajišťuje prevenci narušení sítě a chrání podniková aktiva. Tento systém je nejkomplexnější s řešením identifikace a zadrţením útoků. Síťový monitoring probíhá tak, ţe jsou analyzovány všechny pakety jak přicházející, tak odcházející.
51
9 Příprava a zásady pro zavedení BYOD do podniku POTRSOM BYOD neboli pouţití vlastních zařízení zaměstnanci, znamená umoţnit zaměstnancům pouţívat soukromá zařízení ve firemním prostředí. Můţe se jednat o notebooky, tablety chytré telefony ale i síťové prvky typu Access point, switch. Vybrat správnou sadu nástrojů není jednoduché, protoţe dodavatelé softwaru pro správu mobilních zařízení MDM přidávají nové funkce kaţdé tři měsíce. Výhodou je vyšší efektivita, flexibilita práce a ekonomičnost. Ke své práci tak mohou vyuţívat nejmodernější technologie, jejichţ pořízení zaměstnavatele nic nestojí. Na straně nevýhod je to především sníţení bezpečnosti a sloţitá technická podpora různorodých zařízení a případná nekompatibilita softwarových licencí pro domácí a komerční pouţití. Tento přístup s vyuţitím vlastních zařízení zaměstnanců vyţaduje od podniku propracovanější bezpečnostní politiku a od zaměstnanců odpovědný přístup k zacházení s firemními daty. Dle mého názoru se v dnešní době tomuto fenoménu vyhnout nelze, a proto je třeba se snaţit minimalizovat rizika s ním spojená. Prvním krokem k větší bezpečnosti by mělo být zařazení pravidel pro BYOD do firemních směrnic. Zaměstnanec, který se rozhodne vyuţívat vlastní zařízení pro pracovní účely, by se o tom v první řadě měl poradit se zaměstnavatelem, případně s IT oddělením. Zařízení mimo firmu, na kterých se uţivatelé přihlašují do podnikových systémů, by pak měly podléhat registraci. Protoţe největším nebezpečím firmy jsou bohuţel vţdy vlastní zaměstnanci, je potřeba je o všech nebezpečích informovat a vzdělávat. V rámci školení o internetových hrozbách by se jim mělo dostat také informací o problematice BYOD. Pracovníci tak budou vědět, co je a není povoleno, stejně jako jak efektivně chránit svá i firemní data.
52
Obrázek 18. Mobilní zařízení v podniku
Zdroj: [1]
Pravidla pro BYOD v podniku POTRSOM : a) kontrola přístupu k BYOD zařízení, b) zavedení „time-out“ – tedy ukončení činnosti u nepouţívaného zařízení, c) pouţívání zabezpečených (šifrovaných) komunikačních kanálů, úloţišť dat a aplikací, které s daty pracují, d) politika zálohování dat, e) pouţívání antivirů a firewallu, f) provádění včasné aktualizace pouţívaného operačního systému a software (aplikací), g) vytvoření jednotlivých druhů BYOD zařízení – vyloučení některých činností pro jednotlivé druhy BYOD zařízení tak, aby bylo moţno eliminovat/minimalizovat škody, jejichţ vznik nelze adekvátně vyloučit jiným postupem, h) široký souhlas vlastníka BYOD ke kontrole a zásahům podnikatele do BYOD, kdyţ šíře takového souhlasu by měla zahrnovat i moţnost podnikatele měnit nastavení a omezovat pouţití BYOD zařízení k jiným, neţ pracovním účelům a souhlas by měl zahrnovat i případné smazání případných soukromých dat (fotografie, e-maily apod.),
53
i) souhlas vlastníka BYOD ke zpracování osobních údajů (pro případnou evidenci mimo BYOD v databázi podnikatele), j) souhlas ve vztahu k autorským právům, vytvořeným pracovníkem za pomoci BYOD zařízení. Uzavření fáze přípravy, další je uzavření dohody s pracovníkem.
Zabezpečení BYOD Správce IT musí být schopen chránit síť a citlivá data. Musí přitom vyuţít některých z nástrojů pro jejich zprávu, tzv. MDM (Mobile Devices Management). MDM umoţňuje správu IT na dálku, spravovat nastavení mobilních zařízení a přizpůsobení vlastním poţadavkům.
Mezi nejdůležitější funkcionality MDM patří: registrace zařízení a jejich inventarizace aplikace bezpečnostních politik patch management kontrola přístupu zálohování vzdálené vymazání obsahu zařízení (remote wipe) reporting
Možné součásti správy mobilní bezpečnosti MAM – umoţňuje kontrolu nad aplikacemi. Uţivatel můţe instalovat pouze schválené aplikace. MCM - Často označované také jako EFSS .Zabývá se řízením samotného obsahu, se kterým mohou jednotlivé aplikace pracovat. Definuje postupy, jakým způsobem bezpečně sdílet či synchronizovat. IAM – technologie pouţívaná pro správu a ověření uţivatelských identit s nimi, přístupová práva se sdělují podle jednotlivé bezpečnosti jsou řádně autorizovány, autentizovány. Korporátní kontejner- oddělení privátních a firemních dat na jednom zařízení byl zásadní problém při příchodu strategie BYOD. 54
Komunikace/PIM (personální informatik manager) zabezpečení firemní komunikace, především e-mailů (šifrování, správa příloh,…) kontaktů, kalendářů. Obrázek 18: Zpráva mobilních zařízení
Zdroj: IT system
55
10 Datové hrozby, kryptografická ochrana Současné informační systémy zavedené v podniku bývají velmi sloţité. Kolikrát si ani neuvědomujeme, kde všude se na naše data dostanou, kde jsou uchovávána a dočasnou dobu ukládána. Existují určité hrozby jiţ při pořízení, zpracování, archivaci, přenosu dat. To značí, ţe data mohou být napadena uţ od jejich počátku pořízení, aţ po jejich ukončení tzn. ve všech jeho fázích. Mohou být pořízena, chybně zpracována, chybně okopírována, smazána, pozměněna, duplikována apod. Další hrozbou je chybná archivace na datová média, kterými jsou zálohovací pásky, pracovní diskety, pevné disky, optické disky, servery. I při přenosu dat komunikačními prostředky (linky, sítě) mohou nastat určitá rizika a to například dostat se do nesprávných rukou nebo záměrně odcizena, změněna, zaměněna, pozdrţena, vyměněny skupiny dat, záměrně pouţitá data v jiném informačním systému nebo předána nevhodné osobě, která je dále zneuţije. Abychom zamezili předcházejícím hrozbám, můţeme vyuţít tzv. kryptografické metody a šifrování. Kryptografické metody a šifrování umoţňují zamezit výše uvedeným hrozbám. Umoţňuje zabránit nepředvídatelným útokům. Kryptografické metody mohou být využity k zajištění všech třech bezpečnostních vlastností IS: důvěrnosti, integrity, dostupnosti.2 Tyto zabezpečovací metody IS fungují systematicky, logicky a pouţívají se v různých zabezpečujících funkcích, sluţbách, opatřeních a to na různé úrovni. Běţné jejich vyuţití má být při přihlášení uţivatele a to při identifikaci a autentizaci, šifrování autentizacích dat, dále při práce uţivatele a to například digitální podpisy důleţitých úkonů uţivatele. Dále kryptografické kontrolní součty, které se vyuţívají proti
2
Data SECURITY MANAGEMENT, ročník I., číslo 1/97, Praha: TATE International, 1997. 20 s.
56
neoprávněné modifikaci datových záznamů, šifrované komunikaci při práci na síti apod. Můţeme však říci, ţe v současné moderní přetechnizované době, bezpečnost IS není zcela úplná a bezpečná co se týká ochrany dat. Problematiku zabezpečení IS v podniku řeší celý tým pracovníků, popřípadě specializované firmy. Jednotliví pracovníci bezpečnostního týmu mají různé pověření, protoţe pracují s informacemi o různé důvěrnosti. Nejvhodnější je řešit zabezpečení IS souběţně s jeho vývojem, ale ne vţdy je toto reálné. Většina podniků řeší zabezpečení IS aţ v případě, kdy vznikne významný bezpečnostní incident. V krizové situaci je narušena dostupnost informací. V těchto situacích pracovníci podniku vycházejí z bezpečnostní politiky IS. Vedení podniku činí všechna opatření, aby se předcházelo ke vzniku krizové situace, ale i přesto k mimořádným událostem můţe v podniku dojít. V podnicích mají z tohoto důvodu zpracované havarijní plány, které zajišťují informace při vzniklých krizových situacích. Havarijní plány většinou zpracovávají pro podniky specializované firmy, které zpracují plány na odstranění havárie v co nejkratší době. Některé situace vyţadují náhradní provoz IS prakticky ihned např. informační systémy související s odběrem elektřiny, plynu, nemocnice apod.
10.1
Příklady zajištění bezpečnosti dat
Šifrování Šifrování patří mezi nejpouţívanější metodu bezpečnosti dat. Metoda spočívá v zašifrování dat na straně odesílatele.Příjemce těchto dat je dešifruje. Tento způsob šifrování je závislý na uţitém algoritmu, jeho aplikaci a délce šifrovaného klíče, tím je znemoţněno útočníkovi data přečíst. Šifrováním je tedy zajištěno utajení dat. Slouţí rovněţ k zajištění integrity a to tím, ţe data, která nelze běţně číst, nelze ani měnit a lze zajistit rovněţ sledování integrity pomocí tzv. hašovacích funkcí. Základní pojmy z oblasti šifrování: Otevřený text – text, který je nutný zašifrovat. Kryptogram – zašifrovaný text. Šifrovací algoritmus – pouţitá pravidla k zašifrování otevřeného textu. 57
Šifrovací klíč/Dešifrovací klíč – informace pouţití šifrovacím algoritmem k zašifrování nebo dešifrování zprávy. Hlavním cílem kaţdého šifrování je zamezit neoprávněným osobám moţnost přečtení utajované zprávy.
Existují dva způsoby pro zabezpečení informací. Prvním je
symetrická kryptografie, kdy je šifrování a dešifrovací klíč stejný (dešifrovací klíč lze odvolit z klíče šifrovacího). Někdy se tyto systémy označují jako jednoklíčové. Pokud však dešifrovací klíč z klíče šifrovacího odvolit nelze, označuje se takový systém jako asymetrický. Rozlišujeme šifrování symetrické a šifrování asymetrické.
Symetrické šifrování Je charakteristické tím, ţe vyuţívá jeden klíč tzv. sdílený klíč. To znamená, ţe k zašifrování zprávy na straně odesílatele je pouţit stejný klíč jako na straně příjemce zprávy k odšifrování. Nutné však je předat důvěryhodným kanálem šifrovací klíč spolu s dalšími údaji druhé straně. Tento způsob zabezpečení dat patří k velmi rychlým a spolehlivým metodám, ale tímto způsobem zajistíme pouze důvěryhodnost přenášených dat. U symetrického šifrování se předpokládá důvěra obou stran (odesílatele a příjemce), neboť útoky hackerů a hardwarové a softwarové zranitelnosti představují hrozbu pro internetové účty. Uloţit si heslo do bezpečí na USB disk, nebo jeho ochranu vzdát. Velmi oblíbená rada. „Chovejte se ke svému heslu jako ke kartáčku na zuby“. Faktem je, ţe v praxi člověk nemůţe mít všechna hesla doma jako zubní kartáčky. Obvykle je uţivatelé ukládají v prohlíţeči nebo na serverech samostatných webových sluţeb. Ty jsou, ale často pod častou palbou hackerů, i kdyţ uţivatel zachová maximální bezpečnost, stejně nemá jistotu, ţe se jeho heslo nedostane do jejich rukou. Své zkušenosti s tím mají například návštěvníci webů Sony, Yahoo, Gamigo, LinkedIn nebo naposledy i Evernote. V některých případech zkrátka nezáleţí, zda máte jako heslo 12345, nebo sloţitou kombinaci čísel, písmen, speciálních znaků.
58
Obrázek 19: Schéma zaslání šifrovaného textu z A do B pomocí šifry
Zdroj: [9]
Asymetrické šifrování Je metoda velice kvalitního zabezpečení dat a to co se týká důvěryhodnosti dat, ale i integrity. Tato zabezpečovací metoda spočívá ve vyuţití kvalitního asymetrického algoritmu a dostatečnou délkou klíče. V tomto případě se vyuţívají dva klíče. Data šifrovaná jedním klíčem se nechají dešifrovat pouze znalostí druhého klíče a naopak. Jeden z klíčů je ukrýván majitelem a to co nejbezpečněji např. jako disketa v trezoru, čipová karta a druhý z klíčů bývá zveřejněn. Velkým problém u těchto metod je uchování klíčů. V případě symetrické metody je nutné uchovat klíče spolu se seznamem komunikačních partnerů. U asymetrické metody nestačí střeţit pouze privátní klíč,ale je nutné uchovávat klíče komunikujících účastníků a zároveň identifikaci vlastníků těchto klíčů. Důleţité je předat klíč bezpečným 59
způsobem pří prvníkomunikaci. Uchovat klíče je zvlášť závaţné, kdyţ je více komunikujících. Často se tento problém bezpečného uchování klíčů zajišťuje pomocí Certifikační autority. Certifikát je v tomto případě elektronickým průkazem totoţnosti. Certifikát obsahuje jméno, datum počátku a datum ukončení platnosti, jméno Certifikační autority, která jej vydala, sériové číslo a další potřebné informace. Certifikát je podepsaný dokument se všemi důsledky. Tvorba certifikátu má následující kroky: Generování klíčů – kaţdý ţadatel si nejdříve vygeneruje dvojici klíčů pro asymetrickou metodu. Příprava identifikačních dat – ţadatel certifikátu shromáţdí podle potřeby identifikační údaje jako IČO, DIČ, popř. číslo OP, rodné číslo apod. Předání veřejných klíčů a identifikačních údajů certifikační autoritě – ţadatel předá identifikační data certifikační autoritě pro vydání certifikátu. Ověření informací – certifikační autorita ověří data pro vydání certifikátu ţadateli. Tvorba certifikátu – certifikační autorita vytvoří digitální certifikát a podepíše jej svým privátním klíčem. Předání certifikátu – ţadateli je předán certifikát. Vydání certifikátu je řízeno certifikační politikou, která je součástí bezpečnostní politiky. Jsou přesně dány podmínky k vydání certifikátu. Obrázek 20: Šifrování
Zdroj:Vlastní úprava
Výběr šifry a její kvalita
60
Pokud chceme zabezpečit data šifrováním, musíme se soustředit na kvalitu šifry. Jinak se můţe stát, ţe náš informační systém nebude bezpečnostně zajištěn. Musíme brát na vědomí, ţe kaţdý systém má jiné poţadavky na šifry. Důleţité vlastnosti šifer jsou hlavně rychlost šifrování, paměťové nároky na šifry, typ realizace (SW, HW, FW), doba inicializace šifry do systému, účel šifry, její ochrana apod.3 Pouţívají se šifry s měnitelnými parametry a to co se týká délky bloku zpracovaných dat, délky klíče a sloţitost vzorce šifry. Je moţné vyuţívat šifry jen pro digitální podpis, přenos a výměnu klíčů a dále také veřejné nebo utajované šifrování. Standardy, šifry s řádně ohlášenými úmyslnými zadními vrátky (keyescrow, keyrecovary systémy) apod. Existuje celá řada šifer a kaţdá se hodí na zabezpečení jiného informačního systému. Moderní šifry, které se dnes vyuţívají, mají poměrně krátký klíč a to takový, aby byl dobře zapamatovatelný a dobře ochraňoval informační systém. Kryptologie se zabývá takovými metodami, kdy je předpoklad, ţe šifrovací klíč nebude nikdy rozluštěn. Krátký klíč však né vţdy zajišťuje pro informační systém zabezpečení, co se od něho očekává. Často odborníci zastávají teorii delšího šifrovacího klíče. Příliš dlouhý šifrovací klíč znamená větší časové ztráty při inicializaci šifry nebo při vlastním šifrování. Doporučení k výběru šifry: Kvalitní šifra
odborový design, dostatečně dlouhý klíč a správná
implementace4
Hašování Další z kryptografických metod je hašování, které se vyuţívá při tvorbě digitálních podpisů. Hašovácí funkce H se nechá popsat jako funkce, která z dlouhého řetězce M odvádí krátký řetězec o stanové délce – H (M). Výstupem je vzorek tzv. hash, fingerprint, otisk pevné a relativně malé délky. Tímto způsobem se vytvoří unikátní otisk pro danou zprávu.
3
Data SECURITY MANAGEMENT, ročník II., číslo 4/98. Praha: TATE International, 1998. 32 s.
4
Data SECURITY MANAGEMENT, ročník II., číslo 1/98. Praha: TATE International, 1998. 22 s.
61
Jak uţ jsem uvedl, tato metoda se vyuţívá při vytvoření digitálního podpisu. Ze zprávy se zjistí hash, který se zašifruje privátním (soukromým) klíčem odesílatele a vznikne tak tzv. digitální podpis, který se připojí ke zprávě, která se odesílá. Příjemce zprávy si vypočítá hash hodnotu a veřejným klíčem odesílatele dešifruje přijatý digitální podpis. Porovná hodnotu před přenosem a po přenosu, pokud jsou obě stejné, je zaručena integrita. To znamená, ţe zpráva nebyla při přenosu změněna. Tím je zajištěna i autentizace odesílatele.
Hesla Cracking hesel je základní dovedností kaţdého útočníka a správce sítě by měl pochopit klady a zápory zabezpečení hesly. Pochopení základních faktů typu kdy a kde mohou hesla selhat je při správě sítě v podnikovém prostředí klíčové. Zvláště proto, ţe v mnoha případech jsou hesla první (a naneštěstí jedinou) linií obrany. Útoky hackerů a hardwarové a softwarové zranitelnosti představují hrozbu pro naše internetové účty. Uloţit si heslo do bezpečí na USB disk, nebo jeho ochranu vzdát. To je velmi oblíbená rada. Chovejte se ke svému heslu bezpečně, pečlivě ho vybírejte, nenechávejte ho nikde povalovat a měňte ho kaţdých šest měsíců. Uţivatelé je ukládají v prohlíţeči nebo na serverech samostatných webových sluţeb. Ty jsou, ale často pod častou palbou hackerů, ale kdyţ uţivatel zachová maximální bezpečnost, stejně nemá jistotu, ţe se jeho heslo nedostane do jejich rukou.
Antivirový skener Antivirový skener je antivirový program, který v podniku prohledává počítač, kontroluje všechny spouštěné programy a všechny soubory IS podniku. Skener hledá v souborech posloupnosti znaků, které určitý virus charakterizují. Skenerový antivirový program je víceméně preventivním opatřením. Jeho nevýhodou je, ţe nechrání IS podnik neustále, tzn. nepřetrţitě, ale pouze v případě, kdy se skenování spustí. To je značnou nevýhodou pro podnik, hlavně v době, kdy dochází k narůstání útoků na IS podniku. Je tedy velmi důleţitá neustálá aktualizace antivirových programů. Útočníci pouţívají paměťové Stealth techniky a tím maskují přítomnost viru. Některé viry se tak přesouvají z jedné aplikace na druhou a je tak zatěţován paměťový skener.
62
Antivirový program ESET NOD 32 ANITIVIRUS verze 7 Pro ochranu IS v podniku POTRSOM s. r. o. bych navrhoval jeden z nejnovějších zabezpečujících antivirových programů ESET NOD 32 ANTIVIRUS. Tento program umoţňuje nový přístup k integrované počítačové bezpečnosti, přináší vyšší rychlost a přesnější detekci. Program neustále kontroluje veškeré dění v počítači a hlavně přítomnost škodlivých kódů. Je schopen eliminovat viry, spyware, trojské koně, červy, adware, rootkity bez dopadu ohroţení IS podniku. Funkce a výhody: označí kaţdý neznámý malware, chrání IS před hrozbami, monitoruje komunikaci mezi internetem a vzdálenými servery, neustálá aktualizace virové databáze, programových modulů, zabezpečuje maximální ochranu IS, kontroluje všechny paměťové karty, USB disky apod.
ESET NOD 32 ANTIVIRUS verze 7 má celou řadu dalších vylepšení a to například: umoţňuje filtrovat široké spektrum útoků, zranitelností, identifikuje podezřelé chování typické pro malware, vylepšení je i v Anti – phishinng – blokování podvodných webových stránek, specializované čističe, které odstraňují kritická malware, kompatibilita e-mailových doplňků, které je moţné přidat do nové verze klienta Office 2013 a Windows Live Mail, vylepšená kompatibilita s Windows 8. Příkladem je spuštěná antivirová kontrola stanice CAD.
63
Obrázek 21: Kontrola PC ESET
Zdroj: Windows XP antivirus ESET
Ţádný antivirový program nezajistí riziko útoků při práci s internetem. Podle statistik vznikají kaţdý den tisíce nových infiltrací, které se snaţí obelstít zabezpečení počítačů. Denně jsou analyzovány tyto hrozby a na ně reagují nové aktualizace programu ESET NOD 32 ANTIVIRUS a tím se zvyšuje úroveň antivirového systému. Je nutné dbát na správné nastavení aktualizace programu, jelikoţ můţe nastat sníţení účinnosti antivirového systému. Podnik musí ihned reagovat na nové aktualizace, jedině tak můţe zabránit útokům na IS. Antivirový program ESET NOD 32 při kaţdém přístupu k souboru provádí kontrolu.
64
Obrázek 22: Statistika antiviru
Zdroj:Windows XP antivirus ESET
V současné době existuje celá řada antivirových programů a opatření, ale vţdy nemůţeme říci, ţe bezpečnostní systém v podniku je zcela bezpečný. Základní bezpečnostní pravidla, která je nutné dodrţovat: nenavštěvovat podezřelé stránky – reklamní nabídky apod., věnovat zvýšenou pozornost při stahování a instalaci volně šiřitelných programů, pouţívat pouze ověřené programy, zvýšená opatrnost při otevírání e-mailů, zvláště od neznámých odesílatelů apod.
65
Windows Defender Windows obsahuje Windows Defender . Sleduje stahované nebo kopírované soubory a porovnává je s databází, jestli nejsou nebezpečné. Pokud odhalí nějaké napadení, automaticky jej umístí do vymezeného prostoru disku, tzv. karantény. Defender běţí na pozadí v rezidentním štítu. Pokud je vypnut nabízí i zapnutí ručně. Nabízí tyto úrovně kontroly rychlá, úplná, vlastní Je třeba tento program stále aktualizovat. Provedl jsem test na stanici, kde je nainstalovaný Microsoft Windows 7. Tento program detekoval malware SoftwareBundler:Win32/Lolliport.
Obrázek 23: Defender infikovaný PC
Zdroj: Windows 7, Defender
Nechal jsem vyčistit tento systém a odstranil tak zhoubný kód.
66
Obrázek 24: Úspěšné odstranění
Zdroj: Windows 7, Defender
67
Závěr Diplomovou práci jsem zaměřil na celkové zabezpečení podniku a to na zabezpečení fyzické, softwarové a hardwarové. Uvedl jsem moţná rizika a hrozby, která se v podniku se v podniku vyskytují. Na základě toho jsem navrhnul moţná řešení zabezpečení podniku z hlediska zamezení přístupu nepovolaným osobám do prostoru podniku a zajištění softwarové bezpečnosti. Kromě informačních technologií je nutná ochrana podnikových aktiv
Z tohoto
důvodu je nutné v podniku dostatečné fyzické zabezpečení, bezpečnostní plomby, bezpečnostní zámky, elektronické zabezpečovací systémy. Pro podnik POTRSOM s.r.o. byl vybrán odpovídající elektronický zabezpečující systém JABLATRON 100. Důvodem je jeho jednoduchost a moţnost zabezpečit jednotlivá oddělení podniku jako je sklad, kancelář, prodejna apod. K zabezpečení IS podniku jsem navrhnul nový aktivní prvek Mikrotik RB2011, který plní funkci firewallu a jeden z nejnovějších antivirových programů ESED NOD 32 Antivirus. Tyto způsoby zabezpečení IS podniku neustále kontrolují veškeré dění v počítačích a hlavně eliminují přítomnost škodlivých kódů. Jen tak je moţné včas zabránit negativním ohroţením a dopadům na IS podniku. Vedení podniku musí věnovat zvýšenou pozornost personálním přístupům a případným únikům interních informací z podniku vlastními zaměstnanci. Neustálým proškolováním, seznamováním s moţným výskytem rizik a hrozeb, můţe předcházet útokům a nově vznikajícím hrozbám a ohroţením. Tento navrţený zabezpečující systém splňuje dané poţadavky podniku a je přínosem pro bezpečnost IS podniku POTRSOM s.r.o. Zabezpečení podniku není nikdy ukončeno, denně je třeba analyzovat moţné hrozby, včas reagovat na jejich moţný výskyt a zavádět vhodná protiopatření. Zabezpečení podnik je v současné době jeho prioritou.
68
Použita literatura [1] BASL Josef a kolektiv. Řízení výkonnosti podnikové informatiky. 1.vyd. Praha: Professional Publishing, 2011. ISBN 978-80-7431-040-9 [2] BASL Josef a kolektiv. Inovace podnikových informačních systémů, podpora konkurence schopnosti. 1.vyd. Praha: Profesional Publishing, 2011. ISBN 978-807431-045-4 [3] BENEŠ Vladimír. Souborové trendy v jakosti řízení, Informační bezpečnost a bezpečnostní politika 1.vyd. Praha: ISQ Praha, 2007 ISBN 978-80-7265 [4] SOSINSKY Barrie. Mistroství – počítačové sítě 1.vyd. Praha:CPress, 2013. EAN: 9788025133637 [5] BURIAN, Pavel. Informační systémy podniku: i-Development*c-Management*iProcess. Vyd. 1. Praha: Vysoká škola chemicko-technologická, 2000. 195 s. ISBN 80-7080-408-4. [6] BRUCKNER Tomáš a kolektiv. Tvorba informačních systémů, principy, metodiky, architektury. 1.vyd. Praha: Grada, 2012. ISBN 978-80-247-4153-6 [7] DATA SECURITY MANAGEMENT, ročník I., číslo 1/97. Praha: TATE International, 1997. 44 s. [8] DATASECURITY MANAGEMENT, ročník II., číslo I/98. Praha: TATE International, 1998. 52 s. [9] DATASECURITY
MANAGEMENT,
ročník
II.,
číslo
4/98.
Praha:
TATE
International, 1998. 52 s. [10]JOSHI, James. Network Security: Know it All. 1.vyd.Burlington:Morgan Kaufmann Publishers, 2008. ISBN 978-01-237-4463-0
[11]LOKHART, Andrew. Network security hacks: 100 industrial-strength tips & tools. 1.vyd. Sebastopol :O´Reilly, 2004. ISBN 978-80-596-0064-33
69
[12] MOLNÁR Zdeněk. Podnikové informační systémy. 1.vyd Praha: ČVUT, 2009. ISBN 978-80-01-04380-6 [13]MACÍK Jan. Ekonomické aspekty bezpečnosti informačních systémů. Praha, 2013. Téze disertační práce. České vysoké učení v Praze, Fakulta strojní [14]SODOMKA P., HANA KLČKOVÁ. Informační systémy v podnikové praxi. 2.vyd. Brno: Computerpress, 2008. ISBN 978-80-251-2878-7 [15] RÁBOVÁ, Ivana. Podnikové informační systémy a technologie jejich vývoje. V Tribun EU vyd. 1. Brno: Tribun EU, 2008. 139 s. ISBN 978-80-7399-599-7. [16] VOŘÍŠEK, Jiří. Informační systémy a jejich řízení. 3. vyd. Praha: Bankovní institut vysoká škola, 2007.třetí vydání, 278 s. ISBN 978-80-7265-100-9. [17] VYMĚTAL, Dominik. Podnikové informační systémy - ERP. Vyd. 1. Karviná: Slezská univerzita v Opavě, Obchodně podnikatelská fakulta v Karviné, 2010. 134 s. ISBN 978-80-7248-618-2. [18] WILEY JOHN. Umění klamu Kewin Mitnick nejslavnější hacker na světě, William Simon.1.vyd. Polsko: Helion, 2003 ISBN 83-7361-210-6 [19] WOLF, Petr a kol. Informační systémy pro podporu managementu. 1. vyd. Ostrava: Vysoká škola báňská - Technická univerzita Ostrava, 1996. 194 s. ISBN 80-7078319 20 Interní dokumentace POTRSOM s. r. o. Internetové zdroje: www.pcworld.cz www.systemonline.cz
70
Seznam obrázků Obrázek 1: HW sestavy .......................................................................................................... 9 Obrázek 2: Schéma sítě firmy ............................................................................................... 10 Obrázek 3: SW vybavení ...................................................................................................... 10 Obrázek 4: Zabezpečení podniku ......................................................................................... 12 Obrázek 5: Budování informační bezpečnosti ...................................................................... 15 Obrázek 6: Nové zabezpečení............................................................................................... 18 Obrázek 7: Pokročilé zabezpečení firewall .......................................................................... 24 Obrázek 8: Doba hesla .......................................................................................................... 25 Obrázek 9: Stáří hesla ........................................................................................................... 26 Obrázek 10: Zálohování server ............................................................................................. 30 Obrázek 11: Windows Azure................................................................................................ 31 Obrázek 12: tvorba záloh ...................................................................................................... 32 Obrázek 13: Navrţená síť ..................................................................................................... 34 Obrázek 14: Winbox Mikrotik 2011..................................................................................... 34 Obrázek 15: Nastavení sítě ve Winbox................................................................................. 35 Obrázek 16: Implementace funkce PKI ................................................................................ 48 Obrázek 17: Schéma způsobu práce IDS .............................................................................. 50 Obrázek 18: Zpráva mobilních zařízení................................................................................ 55 Obrázek 19: Schéma zaslání šifrovaného textu z A do B pomocí šifry ............................... 59 Obrázek 20: Šifrování ........................................................................................................... 60 Obrázek 21: Kontrola PC ESET ........................................................................................... 64 Obrázek 22: Statistika antiviru ............................................................................................. 65 Obrázek 23: Defender infikovaný PC ................................................................................... 66 Obrázek 24: Úspěšné odstranění........................................................................................... 67 71
Seznam grafů Graf 1: Ztráta dat v procentech ............................................................................................. 13 Graf 2: Objem spamu v procentech v letech 2006 – 2013.................................................... 44 Graf 3: Mnoţství spamu ....................................................................................................... 45
Seznam tabulek Tabulka 1: Analýza rizik podniku POTRSOM..................................................................... 17 Tabulka 2: produkty zabezpečení ......................................................................................... 38
72
