Teroristy příliš nezajímají útoky na počítačové systémy. Mezi cíle budou stále patřit spíše lidé a další fyzické objekty. Internet ohrožují jiná nebezpečí. Jedná se především o spam, který znamená hrozbu snižování produktivity, a samozřejmě o zneužívání bezpečnostních děr.
Obavy však panují z hlediska vládní regulace bezpečnostních otázek na internetu. „Myslím, že není vhodné, aby stát reguloval bezpečnost internetu, protože úředníci o tomto tématu mnoho nevědí,“ řekl na konferenci RSA 2003, která se konala 3. - 5. listopadu v Amsterodau, Art Coviello, šéf RSA Security (společnost vyvíjející řešení pro internetovou bezpečnost). Poté dodal: „Navíc jsou jejich kroky mnohem pomalejší než vývoj a také zákony nemohou postihnout všechny aspekty bezpečnosti kvůli její různorodosti.“
Obor IT by si tedy měl vytvořit jakousi samoregulaci a k měření zlepšování může sloužit právě index internetového nebezpečí.
Evropa nebezpečnější?
Index nebezpečí by měl být hrubým hodnocením, jak si celý obor stojí. Bude vytvářen na základě analýzy klíčových dat v oblasti bezpečnosti. Data budou získávána jak od zákazníků či dodavatelů, tak také ze všech relevantních publikací a internetových zdrojů.
Hodnocení probíhá v pěti základních oblastech:
1) hacky, útoky a bezpečnostní mezery
2) hrozby
3) internetová kriminalita a podvody
4) průmysl
5) vládní opatření
Na první pohled nesourodé pojmy však dávají při podrobnějším prozkoumání smysl. Následuje popis jednotlivých kategorií a hodnoty jejich ratingu, který je určen speciálně pro Evropu.
Do první oblasti patří jednak bezpečnostní incidenty. Jejich růst je rovněž zapříčiněn i tím, že první generace intrusion detection systémů dodávala obvykle tolik falešných hlášení, že tyto produkty byly téměř nepoužitelné. Na druhou stranu například podle Aberdeen Group za poslední rok zažilo nějaký z útoků 39 % finančních institucí.
Patří sem také spam, jehož objem se od minulého roku zdvojnásobil. Bezpečnost podceňují především malé a střední firmy. Podle Tolly Group dokonce dvě třetiny všech firem vůbec nechrání data při přenosech mezi aplikačními servery. Stejné množství firem rovněž zanedbává bezpečnost bezdrátových sítí a nechává je ovládat hackery.
Rating pro tuto kategorii byl stanoven na 8+.
Co komu hrozí
Další oblastí jsou hrozby. Jak již bylo uvedeno, terorismus z hlediska informačních technologií podnikům příliš nehrozí. Mnohem větším nebezpečím je únik citlivých dat a především intelektuálního vlastnictví. Největší je ovšem hrozba dalších virových útoků a masivního spamu.
Mezi státy, kde začíná nejvíce virových nákaz, patří USA, Jižní Korea, Čína, Německo a Francie. Jenom 24 % z nich je však zaměřeno na konkrétní firmu či organizaci.
Rating pro tuto kategorii je 8.
Internetová kriminalita
Krádeží identity se obvykle nazývají případy, kdy jsou jedné osobě zcizeny základní údaje a následně zneužity jinou osobu. Nejde ani příliš o krádeže fyzických dokladů, jako spíše o získání důležitých osobních čísel a případně hesel. Útočník se pak může vydávat za okradenou osobu, neboť se prokazuje jejími údaji.
V tomto typu krádeží pokračuje nezadržitelný boom. Od roku 2002 se dosud ztrojnásobil! Oproti 8,75 miliardy škod bylo letos podle Aberdeen Group již zaznamenáno miliard 24.
V této oblasti se však podniká poměrně mnoho kroků. Jedním z nich je vyšší využití biometriky současně s databázemi kriminálních živlů. Dále je za vhodné opatření považováno využívání čipových karet.
Špatné je ovšem to, že internetoví recidivisté nejsou nějak výrazně postihováni. Například autor viru Kournikova, který způsobil škody za více než 140 tisíc eur, byl odsouzen holandským soudem ke 150 hodinám veřejně prospěšných prací.
Útoky na organizace jsou také velmi často utajovány, jak jen to jde. Například ve Švédsku některé organizace údajně platí hackerům za to, aby nezveřejňovali jimi objevené bezpečnostní trhliny, případně úspěšné útoky.
Rating této kategorie byl stanoven na 6.
Bezpečnost v průmyslu
Implementaci infrastruktury pro řízení identity (identity-management infrastructure) stále brzdí nevyjasněné standardy a de facto jejich souboj. Microsoft, Novell, HP a Liberty Alliance totiž nabízejí různé standardy a vítěze není možné předpovědět.
Podnikové výdaje na bezpečnost však stoupají. Momentálně tvoří zhruba 6-8 % rozpočtu na IT v porovnání s 5 % za minulý rok.
Rating této kategorie byl stanoven na 5.
Vládní opatření
Britská vláda chce pro všechny žadatele azylu zavést povinné fotografie obličejů při jejich vstupu na území státu. Digitální fotografie pak budou uloženy v databázi, a bude tedy možné kdykoli porovnat identitu azylanta s jeho údaji včetně fotografie při vstupu. Plánováno je využití rovněž technologií pro rozpoznávání obličeje.
Evropská komise dále schválila použití .Net passportu jako autentizační technologie v Evropě. Microsoft však musí provést ještě některé důležité změny, které mají vést k lepší kontrole dat uživateli služby - kam, jak a jaká osobní data jsou posílána přes internet. Liberty Alliance rovněž obdržela podobné schválení na svou autentizační technologii.
Rating byl stanoven na 4 a celkově se vyšplhal na hodnotu 6+.
Skrz platformy
RSA Security již dlouhá léta vyvíjí a prodává každý rok miliony autentizačních modulů sloužících k bezpečnému autentizovanému přístupu velkého množství uživatelů k jakýmkoli podnikovým, webovým či jiným aplikacím. Příkladem může být přístup k elektronickému bankovnictví přes webový prohlížeč.
Zmíněný token funguje tak, že v krátkých časových okamžicích generuje podle daného klíče nová a nová čísla. Stejná čísla (či podobná) generuje i server, ke kterému se uživatel připojuje. Díky dvoufaktorové autentizaci (nejprve zadání pinu a následně teprve generovaného čísla) zatím nebyl tento systém prolomen.
RSA se však stále více orientuje na softwarová řešení a služby v oblasti tzv. identity & access managementu. K vlajkovým lodím patří produkt ClearTrust, jehož verze 5.5 byla představena na konferenci. Základ tohoto nástroje pochází od firmy Securant, kterou v roce 2000 RSA koupilo.
ClearTrust slouží k průhledné a jednoduché autentizaci uživatelů i v rámci mnoha hardwarových a softwarových platforem. Jako autentizačních nástrojů může být využíváno množství různých technologií - od běžného (a poměrně nebezpečného) zadání uživatelského jména a hesla přes různé certifikáty až po hardwarová autentizační zařízení.
Z jednoho centra pak lze administrovat přístup všech uživatelů k jakýmkoli aplikacím a serverům (weby, J2EE aplikační servery, proprietární systémy atd.). Architektura systémů může být dokonce geograficky distribuovaná. Produkt řeší palčivý problém mnoha takových instalací, kdy jeden uživatel má několik ID a množství různých hesel do různých systémů.
Z hlediska možností, které ClearTrust nabízí (multiplatformní single sing-on, provázání uživatelských identit a hlídání jejich přístup k aplikacím i datům, škálovatelnost i s rostoucím počtem uživatelů, federativní model důvěry atd.), má RSA v podstatě jen jednoho vážnějšího konkurenta - společnost Entrust nabízející řešení především na bázi PKI.
Federativní důvěra
Zajímavou vlastností ClearTrustu je tzv. federativní model důvěry. Jde o to, že pomocí tohoto produktu lze sdílet s dalšími subjekty informace o autentizacích, a tím pádem může jedna organizace zpřístupnit bezpečné přihlašování zákazníků.
Například když banka vybuduje bezpečný kanál pro komunikaci s klienty, pak může pomocí ClearTrustu tento kanál zpřístupnit třeba pojišťovně, která výsledně bude se zákazníky komunikovat rovněž zabezpečeně. V komunikaci se využívá tzv. Security Assertions Markup Language (SAML), který právě pomáhá bezpečně přenášet informace o jednotlivých identitách přes různé platformy a podniky.
Článek přinášíme ve spolupráci s týdeníkem Computerworld.
Rozhovor o bezpečnosti s poradcem tří amerických prezidentů naleznete zde.
