Vybrať región
  • Asseco South Eastern Europe
  • Albania
  • Bosnia and Hercegovina
  • Bulgaria
  • Croatia
  • Kosovo
  • Macedonia
  • Moldova
  • Montenegro
  • Romania
  • Serbia
  • Slovenia
  • Turkey
sk
  • SK
  • CZ
  • EN
Vytlačiť

Infoware, str.16 / Blízke stretnutia s bezpečnosťou inteligentných zariadení

Inteligentné zariadenia prenikajú do života našich detí, ako aj do života manažérov firiem. Manažéri, na rozdiel od detí, používajú tieto zariadenia aj pre urýchlenie biznisu svojej firmy a pracujú na nich často s informáciami, ktoré rozhodujú o ďalšej existencii firmy. Preto budú vždy existovať ľudia alebo iné záujmové skupiny, ktoré majú o takéto informácie veľký záujem a teda aj dostatočnú motiváciu získať ich akýmkoľvek dostupným spôsobom.

Kultúrne rozdiely a globalizácia

Len veľmi málo ľudí si uvedomuje, ako bezpečnostné vlastnosti počítačových technológií priamo súvisia s kultúrou krajiny pôvodu technológie. V západnej anglosaskej kultúre si ľudia navzájom dôverujú. V našej časti Európy to však neplatí a často predpokladáme, že ten druhý nás chce podviesť. Preto sa automaticky snažíme všetko zabezpečiť.

V Anglicku sa hovorí, že gentleman nekradne, takže sa nekladie taký dôraz na používanie šifrovania. Západný kultúrny faktor ale narazil na globalizáciu. Technológie inteligentných zariadení boli vyvinuté práve v krajinách, kde si ľudia dôverujú, a preto nie sú nijako zložito zabezpečené. Gentleman nekradne a preto ani následky pri nízkom zabezpečení nie sú také, aby nútili výrobcov technológií výrazne investovať do ich bezpečnosti.

Uvediem jednoduchý príklad. V deväťdesiatych rokoch sa veľa medializovalo zneužívanie telefónnych kariet do automatov. Tie nemali prakticky žiadne zabezpečenie, pretože prišli z krajín, kde telefonovanie bolo natoľko lacné, že nikomu nestálo za to tam nejaké opatrenia robiť. Potom sa zaviedli u nás, kde telefonovanie v pomere k príjmom bolo natoľko drahé, že sa to už vyplatilo.

Na rovnakú vec teraz narážajú inteligentné zariadenia prístupné cez Internet. K nim majú prístup aj ľudia z krajín, kde nie je možné povedať, že gentleman nekradne. Technológia narazila na užívateľa z iného kultúrneho prostredia a to je problém. Preto teraz vyvstáva otázka bezpečnosti takýchto zariadení, pri ktorých sa nijako dôkladne neriešila.

Potenciálni útočníci

Potenciálni útočníci sa vyskytujú v najrôznejších prostrediach a vyznačujú sa najmä tým, že majú k dispozícii dostatok zdrojov a prostriedkov na vykonanie útoku. Hlavnými motívmi útočníka sú dosiahnutie vlastného prospechu alebo zámer uškodiť. Väčšie možnosti útočníka znamenajú aj väčšiu pravdepodobnosť útoku. Ak má útočník nevyhnutnú znalosť, skúsenosti a zdroje, a je ochotný riskovať ohrozenie seba i zdrojov, potom zostáva už len jediný faktor, príležitosť.

Nasledujúci prehľad uvádza skupiny typických útočníkov, ktorých konanie je vedomé:

  • Štáty - dobre organizovaný a financovaný útočník, ktorý sleduje ekonomický, vojenský alebo politický prospech.
  • Hackeri - talentovaní jednotlivci alebo skupiny, ktorí sú najviac pyšní na svoju schopnosť nie zničiť, ale jednoducho získať prístup na počítač.
  • Kyberteroristi - jednotlivci alebo skupiny so zámerom donútiť vládu štátu alebo inú spoločnosť, aby ustúpila ich nátlaku.
  • Organizovaný zločin - dobre organizované a financované zločinecké organizácie, ktoré prevádzkujú koordinované kriminálne aktivity, napr. vydieranie a podvody.
  • Tlačové agentúry - hlavným predmetom ich podnikania je zhromažďovanie (často nezákonné) a predaj informácií o všetkom a všetkých v akomkoľvek čase.
  • Priemyselní konkurenti - firmy pohybujúce sa na tom istom trhu, ktoré sledujú svoj prirodzený ekonomický záujem získať konkurenčnú výhodu a maximalizovať zisk.
  • Vlastní zamestnanci - nahnevaní a nespokojní jednotlivci s možnosťou spôsobiť firme škodu tým, že majú prístupové oprávnenia k zariadeniam a systémom.

Zariadenia v rukách manažérov

Ohrozenie informácií na inteligentných zariadeniach manažérov ovplyvňujú dva základné a spolu súvisiace faktory:

1.   nízke povedomie manažérov o hodnote informácií a významu ich ochrany.

 Rôzne informácie, s ktorými firma pracuje, majú pre firmu rôznu hodnotu. Množinu všetkých informácií firmy si môžeme predstaviť ako pyramídu. Informácie na jej základni, ktorých je najväčšie množstvo, nie sú pre prežitie firmy nijako zaujímavé a poznajú ich všetci zamestnanci. Naopak informácie na samom vrchole pyramídy, ktorých je veľmi malé množstvo, sú dostupné len úzkemu okruhu osôb – manažérom firmy. Kým bežní zamestnanci musia dodržiavať najrôznejšie bezpečnostné pravidlá a opatrenia, mnohí manažéri sú presvedčení, že majú nárok na výnimku z firemných predpisov.

2.   sociálne motívy okázalej spotreby na používanie inteligentných zariadení.

Americký ekonóm a sociológ Thorstein Veblen opisoval spotrebu v súvislosti so vznikom spoločenskej hierarchie. Došiel k záveru, že spotrebitelia sa snažia približovať vyšším spoločenským vrstvám. Nestačí samotné vlastníctvo statkov, ale spotrebiteľ musí demonštrovať, že ich má. To potom vedie k tomu, že nemalá časť manažérov používa drahé a zložité zariadenia, ktoré nie sú schopní plne ovládať. Vo svojej praxi som zažil aj vysoko postavených manažérov, ktorí mali na svojom stole luxusný monitor, klávesnicu a myš, ktorých káble viedli dovnútra stolu, kde ale žiadny počítač nebol. Dokonca pri rokovaniach predstierali, že s týmto „počítačom“ pracujú. Nerobme si ilúzie, že neexistujú podobní nadšenci do inteligentných zariadení.

Záver - možnosti ochrany

Dostatočnú ochranu informácií na inteligentných zariadeniach dosiahneme nie výberom konkrétneho zariadenia, ale kombináciou preventívnych, technických a reštriktívnych opatrení. Uvádzam aspoň najzákladnejšie opatrenia, ktoré by mali byť vo firmách samozrejmosťou:

  • Obmedziť používanie BYOD (z anglického Bring Your Own Device) inteligentných zariadení tým, že firma kúpi svojim vysokým a stredným manažérom niekoľko veľmi málo typov dostatočne reprezentatívnych zariadení, pre ktoré potom vytvoria konfiguračné štandardy.
  • Používať šifrovanú elektronickú poštu, a to nielen bežný formát S/MIME integrovaný v e-mailových aplikáciách, ale aj ZIP so silným šifrovaním AES-256 alebo špeciálne šifrovacie programy, ako napr. AxCrypt dostupný pre iOS aj Android.
  • Nepracovať na inteligentných zariadeniach so všetkými typmi informácií, t.j. identifikovať typy vysoko citlivých informácií, ku ktorým je možné pristupovať iba prostredníctvom šifrovaného VPN kanála zo silne zabezpečeného notebooku s šifrovaným diskom.

Robert Gogela, CISA, CISM

Information Security Senior Consultant,

Asseco Central Europe

Súbory k stiahnutiu

  • Download

    Infowarebezpecnost-inteligentnych-zariadeni2.pdf [320 KB]


Vytlačiť