IT bezpečnosť a IT kriminalita
Autor: Adam Suchodolský
1.12.2011
_ V tejto práci sa budeme snažiť
rozanalyzovať tému problematiky informačnej bezpečnosti a počítačovej
kriminality. Ide o aktuálnu tému vzhľadom na trend nárastu informatizácie
spoločnosti, kde sa čoraz viac informácií prenáša prostredníctvom moderných
informačných technológií. Prínos týchto technológií je pre spoločnosť
jednoznačná, no na druhej strane je tu aj otázka bezpečnosti týchto technológií
a možnostiach ich zneužitia. Táto práca sa bude zaoberať práve týmto
rizikám využívania IT, pričom sme sa zamerali najmä na aspekt ich využitia vo
firmách.
Hlavným cieľom našej práce je poskytnúť čitateľovi bližšie informácie o tejto problematike, pričom sa domnievame, že naša práca by mohla pomôcť čitateľovi získať o danej téme viac poznatkov, a takisto by mohla pomôcť čitateľovi k vytvoreniu vlastného postoja k danej téme.
Zdrojom našich informácií boli hlavne názory kompetentných, obohatené o všeobecné informácie k tejto problematike, ktoré sme čerpali z odborných zdrojov, pričom väčšina informácií bola čerpaná z www stránok a odborných publikácií.
Túto prácu sme rozdelili na 2 časti. Prvá časť sa bude venovať definovaniu pojmu informačná bezpečnosť, predmetom druhej časti bude počítačová kriminalita.
Informačná bezpečnosť
Predmetom tejto časti bude definícia pojmu informačná bezpečnosť. „ Informačná bezpečnosť sa v zmysle informatizácie definuje ako schopnosť siete alebo informačného systému ako celku odolať s určitou úrovňou spoľahlivosti náhodným udalostiam, alebo nezákonnému, alebo zákernému konaniu, ktoré ohrozuje dostupnosť, pravosť, integritu a dôvernosť uchovávaných alebo prenášaných údajov a súvisiacich služieb poskytovaných alebo prístupných prostredníctvom týchto sietí a systémov“( www.informatizácia.sk, 2008). Tento pojem má samozrejme viac ako len túto jednu definíciu spoločnosť Disig as. zaoberajúca sa informačnou bezpečnosťou na svojej internetovej stránke definuje pojem informačná spoločnosť takto: „Informačná bezpečnosť je ochrana informácií pred hrozbami a zraniteľnosťami s cieľom zabezpečiť kontinuálny a úspešný chod činností organizácie, minimalizovať podnikateľské riziko a maximalizovať využitie investícií a obchodných príležitostí“( www.disig.sk, dátum neznámy). Tieto dva pohľady na to, čo je to informačná bezpečnosť jednoznačne dokazujú, že ide o závažnú problematiku a v súčasnej dobe by mala každá firma overiť, či je sieť, ktorú používajú, bezpečná a či nehrozí problém zneužitia dát a podobne. Aj napriek tomu, že „informačná bezpečnosť nie je manažérsky proces ktorý priamo vytvára zisk, ale je v súčasnosti nevyhnutnou podmienkou pre chod procesov, ktoré sa na vytváraní zisku priamo podieľajú. Pritom zisk nemusí byť len materiálny ale aj duchovný. Preto nie je riešenie informačnej bezpečnosti limitované len na privátny sektor, ale je dôležité aj vo verejnom sektore“( www.disig.sk, dátum neznámy).
Dopad informačnej bezpečnosti na spoločnosť je tak nesmierny, pričom pre správne pochopenie tohto pojmu informačná bezpečnosť nezahrňuje len to, aby ste ako užívateľ IT technológií mali antivírus, ktorý je aktuálny, ale ako uviedol portál www.informatizácia.sk „informačná bezpečnosť má veľký záber a pokrýva široké spektrum problematík, pričom s rozvojom IKT sa vynárajú stále ďalšie oblasti, ktoré sem patria a naopak zanikajú niektoré staré, aj keď v porovnateľne menšom meradle. Tieto oblasti vytvárajú "fenomény", ktoré prenikajú aj do bežného života. Z tých najznámejších sú to:
V súvislosti s informačnou bezpečnosťou ďalej portál www.informatizácia.sk uviedol „informačná bezpečnosť je len jedna a je rozhodne odporúčané, aby sa pri jej zavádzaní a dodržiavaní myslelo na všetky jej aspekty, nezávisle od toho, či sa chránia špecifické typy informácií alebo systémov alebo tie úplné všeobecné. Toto odporúčanie je podľa nášho názoru veľmi dôležité a preto by sa s nim mala každá firma stotožniť, pretože len tak budú opatrenia ktoré implementujú do zabezpečenia IT technologií vo firme efektívne“( www.informatizácia.sk, 2008).
Toto rozdelenie výrazne napomáha pochopiť štruktúru informačnej bezpečnosti a firmy. Prostredníctvom neho potom môžu efektívne informačnú bezpečnosť zaviesť do praxe, pričom ku každej samostatnej časti informačnej bezpečnosti podľa ich rozdelenia spoločnosť pridala aj krátky popis.
Podľa nášho názoru základným parametrom pre správne fungovanie informačnej bezpečnosti je formálna bezpečnosť. „Formálna bezpečnosť je veľmi dôležitým základom informačnej bezpečnosti, bez definovaných pravidiel bezpečného správania sa v prostredí informačných systémov, fungujú jednotlivé bezpečnostné mechanizmy ako samostatné ostrovy medzi ktorými je možné preplávať. Vďaka formálnej bezpečnosti je možné zabezpečiť aj vymožiteľnosť definovaných pravidiel a minimalizovať výnimky“(www.virte.sk, 2011).
Na aplikačnú vrstvu potom samozrejme nadväzuje komunikačná vrstva pri ktorej dochádza k výmene informácií „Na úrovni komunikačnej vrstvy je sieťová infraštruktúra. V rámci nej je potrebné vybudovať autonómne celky a chrániť hranice nielen na vstupe ale aj na výstupe“(www.virte.sk , 2011).
Pri informačnej bezpečnosti je samozrejme nesmierna aj ochrana aplikácií ktoré používateľ používa . „Ochrana na aplikačnej vrstve je tvorená viacerými systémami. Hlavnou náplňou je ochrana proti malware a spyware. Antivírusové programy sa snažia reagovať a predvídať nové hrozby“(www.virte.sk, 2011).
Tieto systémy vedia zabrániť preniknúť do informačného systému firmy z externého prostredia, no bohužiaľ, neriešia hrozby zvnútra firmy, najmä únik citlivých údajov o firme prostredníctvom zamestnancov firmy. „Enpoint security je téma posledných rokov, nakoľko dostupnosť a využívanie prenosných pamäťových zariadení je tak vysoká, že sa stala najväčšou hrozbou úniku informácií a vstupom pre nechcený softvér. Rôzne systémy pre ochranu neoprávneného prístupu k informáciám a na zabezpečenie ich integrity sú iba natoľko účinné, ako je implementované pokrytie všetkých hrozieb“(www.virte.sk, 2011).
Tým pádom nastáva problém, ako nastaviť ochranu informačného systému tak, aby bola naozaj aj účinná . „Posun systému ochrany na samotný dátový objekt nesúci informáciu, minimalizuje počet možných hrozieb, umožňuje ich jednoznačnú identifikáciu a poskytuje mechanizmus na ich elimináciu. Pre tento účel slúži systém Object Level Protection, ktorý je možné integrovať s Right management systémom“(www.virte.sk, 2011)
Pri rozoberaní tejto témy je nesmierne dôležité venovať sa ešte do hlbšej miery strate informácií v rámci informačnej bezpečnosti firmy. Cena informácie v súčasnosti enormne narastá a v súčasnej dobe sa dokonca stala cenným prostriedkom konkurenčného boja medzi firmami, kde sa firmy snažia získať rôznymi spôsobmi citlivé informácie, za účelom dosiahnutia konkurenčnej výhody.
Pre kompletnú ochranu pred únikom citlivých informácií treba ako uviedol Martin Vozár pre časopis Infoware, zabezpečiť ich ochranu v týchto sférach:
„ - ochrana informácií pri ich pohybe v prostredí,
- ochrana informácií v úložiskách, kde sú uchovávané,
- ochrana informácií pri ich spracovaní na pracovných staniciach alebo mobilných zariadeniach,
- ochrana informácií v aplikáciách pri ich uchovávaní a sprístupňovaní,
- opatrenia súvisiace s riadením prístupu k citlivým informáciám,
- ochrana šifrovacími metódami, ktoré riešia bezpečný prenos a uloženie citlivých informácií,
- organizačné opatrenia, ktoré sa zväčša nasadzujú tam, kde technické opatrenia zlyhávajú alebo sú neefektívne z finančného pohľadu“(M. Vozár, 2011). V nasledujúcom texte si bližšie špecifikujeme jednotlivé súčasti ochrany informácií.
Základom ochrany informácií je ich ochrana pri ich prenose. Prostredníctvom tejto ochrany sa zabezpečuje únik informácií z interného prostredia firmy do externého. „Ochrana informácií pri ich pohybe je populárna metóda, ktorá umožňuje na základe monitorovania sieťovej komunikácie detegovať, zaznamenávať, riadiť a reportovať tok citlivých informácií pri ich pohybe. Predpokladom na nasadenie je možnosť monitorovania a riadenia komunikácie, existencia pravidiel o používaní a o neoprávnenom použití informácií. Výhodná je ľahká nasaditeľnosť, manažovateľnosť, ako aj množstvo podporovaných aplikačných protokolov. Slabinou je, že ide o technické riešenie, v rámci ktorého nemožno vždy spojiť priamo sieťovú komunikáciu s obchodnými pravidlami, čo vedie k ťažkostiam pri rozhodovaní, či ide o porušenie bezpečnostných pravidiel alebo o bežnú komunikáciu. Problémy súvisia aj s používaním šifrovania komunikácie. To je však pre niektoré aplikačné protokoly riešiteľné. Nevýhodné môže byť to, že typicky týmto spôsobom možno detegovať približne 20 % možných únikov, čo vedie k potrebe použiť ich v kombinácii s inými metódami. “(M. Vozár, 2011).
S ochranou informácií pri pohybe jednoznačne súvisí aj ochrana priestorov, kde sa informácie ukladajú, čiže úložiskách dát, kde ide o veľmi citlivé miesto v rámci informačnej bezpečnosti firmy, nakoľko v prípade, že sa k nemu dostane neoprávnená osoba, môže sa tak dostať k citlivým informáciám a zneužiť ich. „Typicky takéto systémy riešia úlohy súvisiace s automatizovanou identifikáciou a klasifikáciou citlivých informácií v úložiskách a následne riadia ich použitie a monitorujú manipuláciu napríklad so súbormi na diskových systémoch, dátových zdrojoch a databázach. Ide o nástroje, ktoré dopĺňajú predchádzajúcu skupinu, pretože možno správnejšie posúdiť oprávnenosť použitia informácií a je čitateľnejšia súvislosť medzi spracúvanými informáciami a definovanými aktívami“(M. Vozár, 2011).
Po tom ako firma zabezpečí ochranu pri pohybe informácií a ich následného ukladania na úložiskách, stále nemá boj s IT bezpečnosťou vyhraný. Rovnako dôležité je aj zabezpečenie ochrany informácií pri ich spracovaní. „Riešenia z tejto skupiny vychádzajú z predpokladu, že väčšinu únikov (až 80 %) realizujú vedome alebo nevedome samotní používatelia na svojich pracovných staniciach. K narušeniu dôvernosti prichádza pri používaní aplikácií, lokálnych a sieťových diskov, periférií umožňujúcich prenos informácií z organizácie inak ako prostredníctvom siete (napríklad tlačiarne, CD, DVD, kľúče USB) “(M. Vozár, 2011).
S ochranou informácií pri ich spracovaní úzko súvisí aj ich následné použitie pomocou aplikácií, ktorými firma disponuje. „Ide skôr o ochranu pred zraniteľnosťami webových aplikácií. Existujú pravidlá na návrh a vývoj bezpečných webových aplikácií. Niekedy sa nedodržiavajú z neznalosti, inokedy z dôvodu nízkych rozpočtov na vývoj systému. Riešenie na ochranu webových aplikácií sa nazýva web application firewall. Riadi komunikáciu na základe všeobecných pravidiel a vo väčšine prípadov umožní odstrániť zraniteľnosti, ktoré by bolo nákladné odstrániť preprogramovaním, prípadne to už ani nie je možné, pretože dodávateľ už neexistuje. Riešiť možno nielen generické chyby, ale aj opatrenia, ktoré chránia špecifické časti aplikácií. Vďaka rozšírenosti webových aplikácií a portálov obsahujúcich citlivé informácie ide o veľmi účinné opatrenie. Mnohým útokom z nedávnej minulosti, ktoré viedli pomocou SQL injection k úniku informácií, sa mohlo zabrániť práve takýmito riešeniami. Pre rýchly rozvoj techník útočníkov a vysoké náklady na úpravu webových aplikácií je táto technika vhodná aj pre systémy vyvíjané v súčasnosti“(M. Vozár, 2011).
K dosiahnutiu efektívnej IT bezpečnosti vo firme je potrebné aj určenie riadenia prístupu, teda jednoducho povedané, určenie, ktorý pracovník bude mať prístup k citlivým informáciám, a ktorý nie. Firma tak predíde prípadným problémom, v prípade že sa informácia dostane k nesprávnej osobe. „Metódy na riadenie prístupu sa vymykajú spomedzi ostatných uvedených. Neriešia totiž únik informácií, ale neoprávnený prístup k informáciám. Riadenie prístupu sa vo všeobecnosti vníma ako nevyhnutná podmienka na riešenie ochrany informácií a je zabezpečované samotnými aplikáciami. V prípade, že aplikácie takéto prvky nemajú, možno riešiť túto problematiku bezpečnostnou nadstavbou predradenou pred webovými aplikáciami, ktorá vykoná autentizáciu, autorizáciu a následné riadenie prístupu“(M. Vozár, 2011).
Problém však môže nastať v prípade, že firma potrebuje odoslať informácie do externého prostredia nad ktorým firma nemá kontrolu. Firma na takéto účely využíva ochranu šifrovaním. „ Jej formy sú určené na ochranu informácií v nedôveryhodnom prostredí. Používajú sa pri prenose citlivých informácií cez internet, napríklad mailom, pri vzdialenom pripojení do internej siete a pri pripojení na webovú aplikáciu. V prípade neoprávneného prístupu k nosičom informácií alebo prostriedkom IT úniku dát zabránia metódy, ako je šifrovanie súborov, celých nosičov dát a údajov v databázach“(M. Vozár, 2011).
Tento problém má však dve úrovne. Jednou je zabezpečenie ochrany IT prostredia firmy, tá je však často nesmierne nákladná a musí sa neustále vyvíjať vzhľadom na neustály nárast nových a nových ohrození týchto systémov. Druhou úrovňou je prevencia, ktorá je menej nákladná a podľa nášho názoru ju reprezentujú najmä organizačné opatrenia medzi ktoré patria napríklad postihy za neoprávnenú manipuláciu s informáciami, prípadne ich zneužitie. „Organizačné opatrenia sú neoddeliteľnou súčasťou každého riešenia. Umožňujú znížiť riziká súvisiace s nevedomými únikmi informácií. Zvyšujú informovanosť používateľov, prípadne definovaním zodpovedností a sankcií ich uvedomelosť“(M. Vozár, 2011).
Počítačová kriminalita
Predmetom druhej časti bude počítačová kriminalita. Vzhľadom na to, že sme sa zamerali na pohľad na tému tejto práce z podnikateľského hľadiska, v tejto časti nadviažeme na predošlú časť a budeme sa v nej venovať už len definícií pojmu počítačová kriminalita a dohovoru EÚ o počítačovej kriminalite z roku 2011, ktorý SR ratifikovala a prispôsobilo právo v oblasti IT kriminality na SR podľa neho. „Pod pojmom počítačová kriminalita alebo High-Tech Crime sa skrýva využívanie informačných technológií, najmä počítačov na páchanie trestnej činnosti. Jej rozmach je priamoúmerný postupujúcej informatizácii spoločnosti. Európske krajiny považujú túto formu trestnej činnosti za jednu z globálnych hrozieb a jedným z nástrojov na jej potieranie je Dohovor o počítačovej kriminalite z 23. novembra 2001. Slovenská republika tento dohovor ratifikovala v roku 2007“(http://www.minv.sk, dátum neznámy).
Prijatie tohto dohovoru predstavuje obrat v oblasti boja počítačovej kriminality vzhľadom na to, že podľa nášho názoru je dôležitá súdržnosť medzi krajinami a vzájomná spolupráca v boji s týmto fenoménom súčasnej doby. „Dôležitosť tohto dohovoru potvrdzuje aj fakt, že Rapídny nástup informačných technológií priniesol nárast určitých špecifických foriem páchania trestnej činnosti a to najmä z dôvodu rýchlosti, ktorou je možné vďaka výkonu jednotlivé úkony vykonať. Prečo práve internet priniesol rapídny nárast podobných aktivít. Dôvodov je viacero, pokúsme sa pomenovať aspoň niektoré z nich:
Páchatelia IT kriminality majú tým pádom v dnešnej dobe vytvorené veľmi dobré podmienky na páchanie svojej trestnej činnosti, vzhľadom na náročnosť vyšetrovania takéhoto trestného činu. Jaroslav Oster uviedol „ práve vyššie uvedený Dohovor o počítačovej kriminalite zaviedol zaujímavú kategorizáciu činov namierených proti dôvernosti, dostupnosti a integrite počítačových systémov, sietí a po
čítačových údajov“(J. Oster, dátum neznámy).
Záver
V predchádzajúcom texte sme sa venovali problematike počítačovej kriminalite a informačnej bezpečnosti. Túto prácu sme rozdelili do dvoch častí, v prvej časti sme sa venovali problematike informačnej bezpečnosti, kde sme sa zamerali na riziká využívania IT technológií v podnikateľskom prostredí , zároveň sme však neostali len pri rizikách ale venovali sme sa aj opatreniam na zabezpečenie IT bezpečnosti vo firme. Predmetom druhej časti bola počítačová kriminalita, kde sme sa venovali Európskemu dohovoru o počítačovej kriminalite a klasifikácií trestných činov vyplývajúcich z počítačovej kriminality. Išlo o veľmi dôležitú tému, nakoľko je to téma, ktorá sa týka súčasnosti a domnievame sa, že v budúcnosti bude táto téma ešte viac aktuálna nakoľko, so vznikom nových IT technológií prichádzajú aj nové riziká v tejto oblasti, preto bude veľmi dôležité, aby trend vývoja zabezpečenia informačnej bezpečnosti nezaostával za trendom vývoja nových informačných technológií.
Hlavným cieľom našej práce je poskytnúť čitateľovi bližšie informácie o tejto problematike, pričom sa domnievame, že naša práca by mohla pomôcť čitateľovi získať o danej téme viac poznatkov, a takisto by mohla pomôcť čitateľovi k vytvoreniu vlastného postoja k danej téme.
Zdrojom našich informácií boli hlavne názory kompetentných, obohatené o všeobecné informácie k tejto problematike, ktoré sme čerpali z odborných zdrojov, pričom väčšina informácií bola čerpaná z www stránok a odborných publikácií.
Túto prácu sme rozdelili na 2 časti. Prvá časť sa bude venovať definovaniu pojmu informačná bezpečnosť, predmetom druhej časti bude počítačová kriminalita.
Informačná bezpečnosť
Predmetom tejto časti bude definícia pojmu informačná bezpečnosť. „ Informačná bezpečnosť sa v zmysle informatizácie definuje ako schopnosť siete alebo informačného systému ako celku odolať s určitou úrovňou spoľahlivosti náhodným udalostiam, alebo nezákonnému, alebo zákernému konaniu, ktoré ohrozuje dostupnosť, pravosť, integritu a dôvernosť uchovávaných alebo prenášaných údajov a súvisiacich služieb poskytovaných alebo prístupných prostredníctvom týchto sietí a systémov“( www.informatizácia.sk, 2008). Tento pojem má samozrejme viac ako len túto jednu definíciu spoločnosť Disig as. zaoberajúca sa informačnou bezpečnosťou na svojej internetovej stránke definuje pojem informačná spoločnosť takto: „Informačná bezpečnosť je ochrana informácií pred hrozbami a zraniteľnosťami s cieľom zabezpečiť kontinuálny a úspešný chod činností organizácie, minimalizovať podnikateľské riziko a maximalizovať využitie investícií a obchodných príležitostí“( www.disig.sk, dátum neznámy). Tieto dva pohľady na to, čo je to informačná bezpečnosť jednoznačne dokazujú, že ide o závažnú problematiku a v súčasnej dobe by mala každá firma overiť, či je sieť, ktorú používajú, bezpečná a či nehrozí problém zneužitia dát a podobne. Aj napriek tomu, že „informačná bezpečnosť nie je manažérsky proces ktorý priamo vytvára zisk, ale je v súčasnosti nevyhnutnou podmienkou pre chod procesov, ktoré sa na vytváraní zisku priamo podieľajú. Pritom zisk nemusí byť len materiálny ale aj duchovný. Preto nie je riešenie informačnej bezpečnosti limitované len na privátny sektor, ale je dôležité aj vo verejnom sektore“( www.disig.sk, dátum neznámy).
Dopad informačnej bezpečnosti na spoločnosť je tak nesmierny, pričom pre správne pochopenie tohto pojmu informačná bezpečnosť nezahrňuje len to, aby ste ako užívateľ IT technológií mali antivírus, ktorý je aktuálny, ale ako uviedol portál www.informatizácia.sk „informačná bezpečnosť má veľký záber a pokrýva široké spektrum problematík, pričom s rozvojom IKT sa vynárajú stále ďalšie oblasti, ktoré sem patria a naopak zanikajú niektoré staré, aj keď v porovnateľne menšom meradle. Tieto oblasti vytvárajú "fenomény", ktoré prenikajú aj do bežného života. Z tých najznámejších sú to:
- Hoax
- kybernetický terorizmus
- phishing
- spam
- spyware
- vírusy a červy
- atď“( www.informatizácia.sk, 2008).
V súvislosti s informačnou bezpečnosťou ďalej portál www.informatizácia.sk uviedol „informačná bezpečnosť je len jedna a je rozhodne odporúčané, aby sa pri jej zavádzaní a dodržiavaní myslelo na všetky jej aspekty, nezávisle od toho, či sa chránia špecifické typy informácií alebo systémov alebo tie úplné všeobecné. Toto odporúčanie je podľa nášho názoru veľmi dôležité a preto by sa s nim mala každá firma stotožniť, pretože len tak budú opatrenia ktoré implementujú do zabezpečenia IT technologií vo firme efektívne“( www.informatizácia.sk, 2008).
Toto rozdelenie výrazne napomáha pochopiť štruktúru informačnej bezpečnosti a firmy. Prostredníctvom neho potom môžu efektívne informačnú bezpečnosť zaviesť do praxe, pričom ku každej samostatnej časti informačnej bezpečnosti podľa ich rozdelenia spoločnosť pridala aj krátky popis.
Podľa nášho názoru základným parametrom pre správne fungovanie informačnej bezpečnosti je formálna bezpečnosť. „Formálna bezpečnosť je veľmi dôležitým základom informačnej bezpečnosti, bez definovaných pravidiel bezpečného správania sa v prostredí informačných systémov, fungujú jednotlivé bezpečnostné mechanizmy ako samostatné ostrovy medzi ktorými je možné preplávať. Vďaka formálnej bezpečnosti je možné zabezpečiť aj vymožiteľnosť definovaných pravidiel a minimalizovať výnimky“(www.virte.sk, 2011).
Na aplikačnú vrstvu potom samozrejme nadväzuje komunikačná vrstva pri ktorej dochádza k výmene informácií „Na úrovni komunikačnej vrstvy je sieťová infraštruktúra. V rámci nej je potrebné vybudovať autonómne celky a chrániť hranice nielen na vstupe ale aj na výstupe“(www.virte.sk , 2011).
Pri informačnej bezpečnosti je samozrejme nesmierna aj ochrana aplikácií ktoré používateľ používa . „Ochrana na aplikačnej vrstve je tvorená viacerými systémami. Hlavnou náplňou je ochrana proti malware a spyware. Antivírusové programy sa snažia reagovať a predvídať nové hrozby“(www.virte.sk, 2011).
Tieto systémy vedia zabrániť preniknúť do informačného systému firmy z externého prostredia, no bohužiaľ, neriešia hrozby zvnútra firmy, najmä únik citlivých údajov o firme prostredníctvom zamestnancov firmy. „Enpoint security je téma posledných rokov, nakoľko dostupnosť a využívanie prenosných pamäťových zariadení je tak vysoká, že sa stala najväčšou hrozbou úniku informácií a vstupom pre nechcený softvér. Rôzne systémy pre ochranu neoprávneného prístupu k informáciám a na zabezpečenie ich integrity sú iba natoľko účinné, ako je implementované pokrytie všetkých hrozieb“(www.virte.sk, 2011).
Tým pádom nastáva problém, ako nastaviť ochranu informačného systému tak, aby bola naozaj aj účinná . „Posun systému ochrany na samotný dátový objekt nesúci informáciu, minimalizuje počet možných hrozieb, umožňuje ich jednoznačnú identifikáciu a poskytuje mechanizmus na ich elimináciu. Pre tento účel slúži systém Object Level Protection, ktorý je možné integrovať s Right management systémom“(www.virte.sk, 2011)
Pri rozoberaní tejto témy je nesmierne dôležité venovať sa ešte do hlbšej miery strate informácií v rámci informačnej bezpečnosti firmy. Cena informácie v súčasnosti enormne narastá a v súčasnej dobe sa dokonca stala cenným prostriedkom konkurenčného boja medzi firmami, kde sa firmy snažia získať rôznymi spôsobmi citlivé informácie, za účelom dosiahnutia konkurenčnej výhody.
Pre kompletnú ochranu pred únikom citlivých informácií treba ako uviedol Martin Vozár pre časopis Infoware, zabezpečiť ich ochranu v týchto sférach:
„ - ochrana informácií pri ich pohybe v prostredí,
- ochrana informácií v úložiskách, kde sú uchovávané,
- ochrana informácií pri ich spracovaní na pracovných staniciach alebo mobilných zariadeniach,
- ochrana informácií v aplikáciách pri ich uchovávaní a sprístupňovaní,
- opatrenia súvisiace s riadením prístupu k citlivým informáciám,
- ochrana šifrovacími metódami, ktoré riešia bezpečný prenos a uloženie citlivých informácií,
- organizačné opatrenia, ktoré sa zväčša nasadzujú tam, kde technické opatrenia zlyhávajú alebo sú neefektívne z finančného pohľadu“(M. Vozár, 2011). V nasledujúcom texte si bližšie špecifikujeme jednotlivé súčasti ochrany informácií.
Základom ochrany informácií je ich ochrana pri ich prenose. Prostredníctvom tejto ochrany sa zabezpečuje únik informácií z interného prostredia firmy do externého. „Ochrana informácií pri ich pohybe je populárna metóda, ktorá umožňuje na základe monitorovania sieťovej komunikácie detegovať, zaznamenávať, riadiť a reportovať tok citlivých informácií pri ich pohybe. Predpokladom na nasadenie je možnosť monitorovania a riadenia komunikácie, existencia pravidiel o používaní a o neoprávnenom použití informácií. Výhodná je ľahká nasaditeľnosť, manažovateľnosť, ako aj množstvo podporovaných aplikačných protokolov. Slabinou je, že ide o technické riešenie, v rámci ktorého nemožno vždy spojiť priamo sieťovú komunikáciu s obchodnými pravidlami, čo vedie k ťažkostiam pri rozhodovaní, či ide o porušenie bezpečnostných pravidiel alebo o bežnú komunikáciu. Problémy súvisia aj s používaním šifrovania komunikácie. To je však pre niektoré aplikačné protokoly riešiteľné. Nevýhodné môže byť to, že typicky týmto spôsobom možno detegovať približne 20 % možných únikov, čo vedie k potrebe použiť ich v kombinácii s inými metódami. “(M. Vozár, 2011).
S ochranou informácií pri pohybe jednoznačne súvisí aj ochrana priestorov, kde sa informácie ukladajú, čiže úložiskách dát, kde ide o veľmi citlivé miesto v rámci informačnej bezpečnosti firmy, nakoľko v prípade, že sa k nemu dostane neoprávnená osoba, môže sa tak dostať k citlivým informáciám a zneužiť ich. „Typicky takéto systémy riešia úlohy súvisiace s automatizovanou identifikáciou a klasifikáciou citlivých informácií v úložiskách a následne riadia ich použitie a monitorujú manipuláciu napríklad so súbormi na diskových systémoch, dátových zdrojoch a databázach. Ide o nástroje, ktoré dopĺňajú predchádzajúcu skupinu, pretože možno správnejšie posúdiť oprávnenosť použitia informácií a je čitateľnejšia súvislosť medzi spracúvanými informáciami a definovanými aktívami“(M. Vozár, 2011).
Po tom ako firma zabezpečí ochranu pri pohybe informácií a ich následného ukladania na úložiskách, stále nemá boj s IT bezpečnosťou vyhraný. Rovnako dôležité je aj zabezpečenie ochrany informácií pri ich spracovaní. „Riešenia z tejto skupiny vychádzajú z predpokladu, že väčšinu únikov (až 80 %) realizujú vedome alebo nevedome samotní používatelia na svojich pracovných staniciach. K narušeniu dôvernosti prichádza pri používaní aplikácií, lokálnych a sieťových diskov, periférií umožňujúcich prenos informácií z organizácie inak ako prostredníctvom siete (napríklad tlačiarne, CD, DVD, kľúče USB) “(M. Vozár, 2011).
S ochranou informácií pri ich spracovaní úzko súvisí aj ich následné použitie pomocou aplikácií, ktorými firma disponuje. „Ide skôr o ochranu pred zraniteľnosťami webových aplikácií. Existujú pravidlá na návrh a vývoj bezpečných webových aplikácií. Niekedy sa nedodržiavajú z neznalosti, inokedy z dôvodu nízkych rozpočtov na vývoj systému. Riešenie na ochranu webových aplikácií sa nazýva web application firewall. Riadi komunikáciu na základe všeobecných pravidiel a vo väčšine prípadov umožní odstrániť zraniteľnosti, ktoré by bolo nákladné odstrániť preprogramovaním, prípadne to už ani nie je možné, pretože dodávateľ už neexistuje. Riešiť možno nielen generické chyby, ale aj opatrenia, ktoré chránia špecifické časti aplikácií. Vďaka rozšírenosti webových aplikácií a portálov obsahujúcich citlivé informácie ide o veľmi účinné opatrenie. Mnohým útokom z nedávnej minulosti, ktoré viedli pomocou SQL injection k úniku informácií, sa mohlo zabrániť práve takýmito riešeniami. Pre rýchly rozvoj techník útočníkov a vysoké náklady na úpravu webových aplikácií je táto technika vhodná aj pre systémy vyvíjané v súčasnosti“(M. Vozár, 2011).
K dosiahnutiu efektívnej IT bezpečnosti vo firme je potrebné aj určenie riadenia prístupu, teda jednoducho povedané, určenie, ktorý pracovník bude mať prístup k citlivým informáciám, a ktorý nie. Firma tak predíde prípadným problémom, v prípade že sa informácia dostane k nesprávnej osobe. „Metódy na riadenie prístupu sa vymykajú spomedzi ostatných uvedených. Neriešia totiž únik informácií, ale neoprávnený prístup k informáciám. Riadenie prístupu sa vo všeobecnosti vníma ako nevyhnutná podmienka na riešenie ochrany informácií a je zabezpečované samotnými aplikáciami. V prípade, že aplikácie takéto prvky nemajú, možno riešiť túto problematiku bezpečnostnou nadstavbou predradenou pred webovými aplikáciami, ktorá vykoná autentizáciu, autorizáciu a následné riadenie prístupu“(M. Vozár, 2011).
Problém však môže nastať v prípade, že firma potrebuje odoslať informácie do externého prostredia nad ktorým firma nemá kontrolu. Firma na takéto účely využíva ochranu šifrovaním. „ Jej formy sú určené na ochranu informácií v nedôveryhodnom prostredí. Používajú sa pri prenose citlivých informácií cez internet, napríklad mailom, pri vzdialenom pripojení do internej siete a pri pripojení na webovú aplikáciu. V prípade neoprávneného prístupu k nosičom informácií alebo prostriedkom IT úniku dát zabránia metódy, ako je šifrovanie súborov, celých nosičov dát a údajov v databázach“(M. Vozár, 2011).
Tento problém má však dve úrovne. Jednou je zabezpečenie ochrany IT prostredia firmy, tá je však často nesmierne nákladná a musí sa neustále vyvíjať vzhľadom na neustály nárast nových a nových ohrození týchto systémov. Druhou úrovňou je prevencia, ktorá je menej nákladná a podľa nášho názoru ju reprezentujú najmä organizačné opatrenia medzi ktoré patria napríklad postihy za neoprávnenú manipuláciu s informáciami, prípadne ich zneužitie. „Organizačné opatrenia sú neoddeliteľnou súčasťou každého riešenia. Umožňujú znížiť riziká súvisiace s nevedomými únikmi informácií. Zvyšujú informovanosť používateľov, prípadne definovaním zodpovedností a sankcií ich uvedomelosť“(M. Vozár, 2011).
Počítačová kriminalita
Predmetom druhej časti bude počítačová kriminalita. Vzhľadom na to, že sme sa zamerali na pohľad na tému tejto práce z podnikateľského hľadiska, v tejto časti nadviažeme na predošlú časť a budeme sa v nej venovať už len definícií pojmu počítačová kriminalita a dohovoru EÚ o počítačovej kriminalite z roku 2011, ktorý SR ratifikovala a prispôsobilo právo v oblasti IT kriminality na SR podľa neho. „Pod pojmom počítačová kriminalita alebo High-Tech Crime sa skrýva využívanie informačných technológií, najmä počítačov na páchanie trestnej činnosti. Jej rozmach je priamoúmerný postupujúcej informatizácii spoločnosti. Európske krajiny považujú túto formu trestnej činnosti za jednu z globálnych hrozieb a jedným z nástrojov na jej potieranie je Dohovor o počítačovej kriminalite z 23. novembra 2001. Slovenská republika tento dohovor ratifikovala v roku 2007“(http://www.minv.sk, dátum neznámy).
Prijatie tohto dohovoru predstavuje obrat v oblasti boja počítačovej kriminality vzhľadom na to, že podľa nášho názoru je dôležitá súdržnosť medzi krajinami a vzájomná spolupráca v boji s týmto fenoménom súčasnej doby. „Dôležitosť tohto dohovoru potvrdzuje aj fakt, že Rapídny nástup informačných technológií priniesol nárast určitých špecifických foriem páchania trestnej činnosti a to najmä z dôvodu rýchlosti, ktorou je možné vďaka výkonu jednotlivé úkony vykonať. Prečo práve internet priniesol rapídny nárast podobných aktivít. Dôvodov je viacero, pokúsme sa pomenovať aspoň niektoré z nich:
- cenová dostupnosť technológií
- pocit anonymity
- technologická nenáročnosť
- rýchlosť vykonania operácie “ (J. Oster, dátum neznámy).
Páchatelia IT kriminality majú tým pádom v dnešnej dobe vytvorené veľmi dobré podmienky na páchanie svojej trestnej činnosti, vzhľadom na náročnosť vyšetrovania takéhoto trestného činu. Jaroslav Oster uviedol „ práve vyššie uvedený Dohovor o počítačovej kriminalite zaviedol zaujímavú kategorizáciu činov namierených proti dôvernosti, dostupnosti a integrite počítačových systémov, sietí a po
čítačových údajov“(J. Oster, dátum neznámy).
Záver
V predchádzajúcom texte sme sa venovali problematike počítačovej kriminalite a informačnej bezpečnosti. Túto prácu sme rozdelili do dvoch častí, v prvej časti sme sa venovali problematike informačnej bezpečnosti, kde sme sa zamerali na riziká využívania IT technológií v podnikateľskom prostredí , zároveň sme však neostali len pri rizikách ale venovali sme sa aj opatreniam na zabezpečenie IT bezpečnosti vo firme. Predmetom druhej časti bola počítačová kriminalita, kde sme sa venovali Európskemu dohovoru o počítačovej kriminalite a klasifikácií trestných činov vyplývajúcich z počítačovej kriminality. Išlo o veľmi dôležitú tému, nakoľko je to téma, ktorá sa týka súčasnosti a domnievame sa, že v budúcnosti bude táto téma ešte viac aktuálna nakoľko, so vznikom nových IT technológií prichádzajú aj nové riziká v tejto oblasti, preto bude veľmi dôležité, aby trend vývoja zabezpečenia informačnej bezpečnosti nezaostával za trendom vývoja nových informačných technológií.