Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
SLOVENSKÁ POĽNOHOSPODÁRSKA UNIVERZITA V NITRE
FAKULTA EKONOMIKY A MANAŽMENTU
DIPLOMOVÁ PRÁCA 2008 Michal Šemelák
SLOVENSKÁ POĽNOHOSPODÁRSKA UNIVERZITA
V NITRE
Rektor: prof. Ing. Mikuláš Látečka, PhD.
FAKULTA EKONOMIKY A MANAŽMENTU
Dekan: Dr. h.c. prof. Ing. Peter Bielik, PhD.
Bezpečnostná politika podniku Diplomová práca
Katedra informatiky Vedúci katedry: doc. Ing. Klára Hennyeyová, CSc. Vedúci práce: Ing. Eva Olahová Michal Šemelák
Nitra 2008
Summary
Presently gradually appeared in connection with still rising frequency of computer
systems combined with Information and Communication Technologies that security problem
needn’t confine just in computer security, also we must understand it more comprehensive.
This changing perception has rebound also in changing of the discipline name. Instead of term
Computer Security has began term Information Security enforce, which better defines
problem entity. It also appeared that rapid progress of Information Technology and several
methods of attacks requires specialization. Substantive vehemence insists mainly in
businesses and corporations, especially at experts in Information Technology.
Every corporation must cover his security. It has to specify some security plan and
target which it wants obtain. Whole this strategic security process with estimated security
project has corporation define in own Security Policy. Security Policy represents some
summary of security requests for information security solution.
Keywords
Security Policy, Information System, Computer Security, Information Security, Information
and Communication Technology, Security plan, Security Project
Kľúčové slová
bezpečnostná politika, informačný systém, počítačová bezpečnosť, informačná bezpečnosť,
informačné a komunikačné technológie, bezpečnostný zámer, bezpečnostný projekt
ČESTNÉ VYHLÁSENIE
Čestne vyhlasujem že som diplomovú prácu vypracoval samostatne a že som uviedol
všetku použitú literatúru súvisiacu so zameraním diplomovej práce.
Nitra ................................... ................................................. podpis autora DP
POĎAKOVANIE
Touto cestou vyslovujem poďakovanie pani Ing. Eve Oláhovej za pomoc, odborné
vedenie, cenné rady a pripomienky pri vypracovaní mojej diplomovej práce.
Nitra ............................... .................................................. podpis autora DP
Použité označenia
a.s. - akciová spoločnosť
AES - Advanced Encryption Standard
BIOS - Basic Input Output System
COM - Compiled executable program, Common Object Module, COMmand
DES - Data Encryption Standard
DMZ - demilitarizovaná zóna
DoS - Denial of Service
EDI - Electronic Data Interchange - elektronická výmena dát
EXE - Executable file extension
FTP - File Transfer Protocol
GSM - Global System for Mobile Communications
HTML - HyperText Markup Language
HTTP - HyperText Transfer Protocol
HTTPS - HyperText Transfer Protocol Secure
ICQ - I Seek You
IDS - Intrusion Detection System
IEC - International Electrotechnical Commission
IKT - informačné a komunikačné technológie
IM - Instant Messaging
IP - Internet Protocol
IRC - Internet Relay Chat
IS - informačný systém
ISO - International Organization for Standardization
IT - informačné technológie
LAN - Local Area Network
MD5 - Message Digest 5
MSAD - Microsoft Active Directory
NAT - Network Address Translation
NBÚ - Národný bezpečnostný úrad
P2P - Peer-To-Peer
PGP - Pretty Good Privacy
RSA - Rivest Shamir Adleman
SQL - Structured Query Language
SSL - Secure Socket Layer
SFTP - Secure File Transfer Protocol
SHA - Secure Hash Algorithm
SIM - Subscriber Identity Module
STN - Slovenská technická norma
TCP - Transmission Control Protocol
URL - Uniform Resource Locator
VPN - Virtual Private Network
WWW - World Wide Web
Zoznam obrázkov
Obr. č.1 Prístupové práva jednotlivých účtov.........................................................................39
Obr. č.2 Dialógové okno zabezpečeného prihlasovania .........................................................39
Obr. č.3 Možnosti nastavenia brány firewall vo Windows XP...............................................42
Obr. č.4 Možnosti zabezpečenia aplikácie Outlook Express..................................................45
Obr. č.5 Príklad e-mailového spamu.......................................................................................45
Obr. č.6 Varovanie stiahnutia nebezpečného softvéru............................................................46
Obr. č.7 Možnosti zabezpečenia Internetu..............................................................................47
Obr. č.8 Zjednodušený model komunikácie v elektronickom bankovníctve.........................49
Obr. č.9 Príklad infraštruktúry komponentov v lokalite prepojenej pomocou Internetu........50
Obr. č.10 Komunikačný program ICQ ...................................................................................51
Zoznam grafov, schém a tabuliek
Schéma č.1 Príklad hierarchických vzťahov a právomocí jednotlivých pracovníkov..........33
Schéma č.2 Zjednodušená schéma procesu šifrovania .........................................................41
Tabuľka č.1 SWOT analýza spoločnosti Slovenská sporiteľňa, a.s.......................................62
Obsah
ÚVOD .....................................................................................................................................................................9
1 PREHĽAD O SÚČASNOM STAVE RIEŠENEJ PROBLEMATIKY ........................................................11
1.1 ZÁKLADNÉ POJMY Z OBLASTI INFORMAČNÝCH SYSTÉMOV A IKT................................................................11 1.2 BEZPEČNOSŤ INFORMAČNÝCH SYSTÉMOV....................................................................................................12
1.2.1 Terminológia IT bezpečnosti ...............................................................................................................14 1.2.2 Bezpečnostné mechanizmy ..................................................................................................................17
1.3 POČÍTAČOVÁ BEZPEČNOSŤ...........................................................................................................................18 1.3.1 Charakteristika počítačovej bezpečnosti .............................................................................................18 1.3.2 Počítačové infiltrácie a malware.........................................................................................................19
1.4 BEZPEČNOSTNÁ POLITIKA IT .......................................................................................................................24 1.4.1 Celková a systémová bezpečnostná politika IT ...................................................................................25 1.4.2 Analýza rizík a havarijný plán.............................................................................................................26 1.4.3 Bezpečnostný audit ..............................................................................................................................27
1.5 POČÍTAČOVÁ KRIMINALITA ..........................................................................................................................27
2 CIEĽ PRÁCE....................................................................................................................................................29
3 METODIKA PRÁCE.......................................................................................................................................30
4 VÝSLEDKY PRÁCE A DISKUSIA ...............................................................................................................33
4.1 BEZPEČNOSTNÁ POLITIKA PODNIKU.............................................................................................................33 4.1.1 Bezpečnostná stratégia........................................................................................................................35 4.1.2 Bezpečnostný projekt...........................................................................................................................35 4.1.3 Legislatívne normy pre podporu bezpečnostnej politiky .....................................................................37 4.1.4 Bezpečnostné skupiny a typy účtov......................................................................................................38 4.1.5 Používateľské heslá .............................................................................................................................40 4.1.6 Šifrovanie ............................................................................................................................................40 4.1.7 Použitie firewallu ................................................................................................................................41 4.1.8 Ochrana pred počítačovými infiltráciami ...........................................................................................42 4.1.9 Sieťové služby......................................................................................................................................43
4.2 BEZPEČNOSTNÁ POLITIKA VYBRANÉHO PODNIKU........................................................................................53 4.2.1 Charakteristika podniku......................................................................................................................53 4.2.2 Stav informačných technológií v podniku............................................................................................54 4.2.3 Sieťová infraštruktúra podniku............................................................................................................54 4.2.4 Stav bezpečnostnej politiky podniku....................................................................................................55
4.2.4.1 Ciele bezpečnostnej politiky podniku ...........................................................................................................55 4.2.4.2 Stav fyzickej bezpečnosti ..............................................................................................................................55 4.2.4.3 Stav personálnej bezpečnosti.........................................................................................................................56 4.2.4.4 Stav režimovej bezpečnosti ...........................................................................................................................56 4.2.4.5 Stav programovej bezpečnosti.......................................................................................................................56 4.2.4.5 Stav dátovej bezpečnosti ...............................................................................................................................56 4.2.4.6 Stav komunikačnej bezpečnosti ....................................................................................................................57
4.2.5 Demilitarizovaná zóna ........................................................................................................................57 4.2.6 Elektronické bankovníctvo ..................................................................................................................57 4.2.7 Počítačové bankové krádeže................................................................................................................60 4.2.8 Návrh opatrení pre zvýšenie bezpečnosti IKT .....................................................................................61
5 ZÁVER ..............................................................................................................................................................63
SLOVNÍK POJMOV...........................................................................................................................................65
6 POUŽITÁ LITERATÚRA...............................................................................................................................67
7 PRÍLOHY..........................................................................................................................................................70
Úvod
V súčasnosti sú moderné technológie neodškriepiteľnou súčasťou ľudstva. Dávno sú
už preč časy, keď počítače slúžili výhradne vo vedeckej a výskumnej sfére na zložité výpočty,
ktoré boli pre ľudí časovo náročné, počítače totiž rýchlo prenikli do komerčnej sféry
a domácností. Elektrotechnika, informačné a komunikačné technológie sú súčasťou nášho
každodenného života. Bez týchto prostriedkov si našu existenciu už ani nevieme predstaviť.
Človek, ktorý sa nevie pohybovať vo svete informačných a komunikačných technológií, sa
postupne dostáva v spoločnosti do nevýhodného postavenia (obmedzený prístup
k informáciám a nižšia dostupnosť informácií z hľadiska včasnosti, objemu a kvality, ako
i možné prekážky na trhu práce), vďaka čomu aj vzniklo tzv. digitálne rozdelenie (digital
divide). Je to fenomén, ktorý vypovedá o rozdieloch medzi krajinami, regiónmi, podnikmi,
domácnosťami a jednotlivcami na rôznej sociálno-ekonomickej úrovni s ohľadom
na možnosť prístupu k informačným a komunikačným technológiám a ich efektívneho
využívania. Tieto rozdiely sa objavujú jednak medzi jednotlivými štátmi, prevažne medzi
rozvinutými a rozvíjajúcimi sa, ale aj vo vnútri štátov (domáce digitálne rozdelenie).
Moderné technológie, počítače a internet, nám všestranne pomáhajú a uľahčujú život.
Ťažko si dnes vieme predstaviť nejaký zložitý výpočet bez pomoci počítača. Informačné
systémy s podporou a využitím moderných technológií sú využívané v štátnej správe,
zdravotných a sociálnych poisťovniach, telekomunikáciách, bankovníctve, rôznych
finančných inštitúciách a v iných oblastiach. V počítačoch sa spracovávajú a ukladajú čoraz
viac dôležitejšie a závažnejšie informácie. Neoprávnené zničenie, zmena alebo sprístupnenie
takýchto informácií môže mať vážne následky. Od drobných nepríjemností cez narušenie
súkromia až po ohrozenie národnej bezpečnosti.
V minulosti bola ochrana údajov v počítačoch realizovaná kontrolou fyzického
prístupu, zálohovaním a archiváciou dát na externých dátových médiách (diskoch,
magnetických páskach). Počítače boli zamknuté v miestnosti a prístup do nej mali len
oprávnení používatelia. Veľmi veľkú úlohu však v súčasnosti zohráva Internet. Táto obrovská
sieť počítačov nám otvára nové možnosti, nové riešenia a prispieva k neohraničenej
dostupnosti informácií. S nástupom internetu sa problematika ochrany údajov v počítačoch
podstatne zmenila. Prístup k počítaču môže mať v podstate ktorýkoľvek účastník siete, ak vie
ako na to. Preto by každý používateľ mal dodržiavať stanovené (všeobecné, interné)
bezpečnostné zásady a naučiť sa, ako bezpečne a starostlivo narábať s IKT prostriedkami a
internetom.
V dôsledku rastúceho počtu bezpečnostných incidentov v oblasti informačných
a komunikačných technológií (ďalej IKT) a požiadaviek na riešenie problematiky bezpečnosti
a spoľahlivosti počítačov vznikol odbor bezpečnosti IKT, ktorý sa zaoberá ochranou
informácií pred náhodným alebo neautorizovaným zverejnením, zmenením alebo zničením.
O bezpečnostných zásadách nás informuje bezpečnostná politika, ktorá obsahuje súhrn
bezpečnostných požiadaviek pre riešenie informačnej bezpečnosti na úrovni fyzickej,
personálnej, administratívnej, počítačovej a komunikačnej bezpečnosti a bezpečnosti
informačného prostredia podniku či organizácie.
1 Prehľad o súčasnom stave riešenej problematiky
1.1 Základné pojmy z oblasti informačných systémov a IKT
Informa čný systém
Informačný systém (IS) je systém na zber, udržiavanie, spracovanie a poskytovanie
informácií s využitím počítačov.
Informa čné a komunikačné technológie
Informačné a komunikačné technológie (IKT, skrátene IT) predstavujú integrovaný súbor
informačných a komunikačných technológií používaných na prípravu a spracovanie dát,
na manažovanie informácií a procesov, na dosiahnutie účinnejších a efektívnejších výsledkov
optimalizovaním manažmentu zdrojov a distribúcie informácií a know-how.
Počítačová sieť
Počítačová sieť je systém vzájomne prepojených a spolupracujúcich počítačov. Medzi týmito
počítačmi možno prostredníctvom siete pohodlne a rýchlo prenášať informácie. Slúži nám tak
na zdieľanie hardvéru (pevný disk, tlačiareň, terminál, server) ako i na zdieľanie údajov
(databázy, P2P siete). Počítačové siete majú svoje výhody i riziká.
Internet
Internet je skratkou z anglického výrazu interconnected networks - prepojené siete. Internet
možno charakterizovať ako verejne dostupný celosvetový systém vzájomne prepojených
počítačových sietí, ktoré prenášajú dáta za použitia definovaných štandardov. Internet slúži
ako prenosové médium pre rôzne typy a formáty dát, poskytovaných informácií a služieb
(napr. elektronická pošta, WWW, chat).
Protokoly a štandardy
Najpoužívanejšími protokolmi na komunikáciu medzi počítačmi v sieti sú protokoly TCP/IP.
Sú to komunikačné protokoly, na ktorých je postavený systém Internet. Prehliadače
komunikujú s webovými servermi pomocou protokolu HTTP - protokol na prenos hypertextu,
protokol FTP umožňuje prenos súborov, protokol HTTPS je obdobou protokolu HTTP, ktorá
je kryptovaná pomocou protokolu SSL.
Služba World Wide Web
World Wide Web (ďalej WWW) je sieťová informačná služba vychádzajúca z Internetu a
ponúkajúca systém zbierania informácií vo forme hypertextových multimédií. Ako
prostriedok prístupu na Internet je WWW jedným z najjednoduchších dostupných systémov.
WWW je sieťový systém na báze architektúry klient/server. Počítač, ktorý informácie
poskytuje sa nazýva server. Počítač, ktorý informácie zobrazuje, sa nazýva klient.
Na komunikáciu klienta so serverom sa využíva špecifický aplikačný softvér tzv. klientské
programy - web browsery alebo webové prehliadače (napríklad Microsoft Internet Explorer,
Mozilla Firefox, Opera, Netscape Navigator, Safari, Lynx).
Webové stránky sú jednoznačne identifikované pomocou URL (Uniform Resource Locator),
ktorý je jednoznačným určením zdroja - adresy dokumentu a začína špecifikáciou použitého
protokolu, najčastejšie v tvare http:, ftp:, https:. Webové stránky sú písané v jazyku HTML -
značkovom hypertextovom jazyku. Kombinácia typu obsahu a protokolu umožňuje
návrhárom vkladať do stránok napr. obrázky, animácie, video, zvuk a pod.
Služba E-mail
E-mail (názov z angl. electronic mail – elektronická pošta) je najpožívanejšia služba
Internetu, ktorá je určená pre písomnú komunikáciu. S elektronickou poštou sa v súčasnosti
spájajú dva fenomény, spam a emailové červy. (Zdroj: www.sk.wikipedia.org)
1.2 Bezpečnosť informačných systémov
KOVACICH, G. (2000) tvrdí, že prichádzajúci vek technologicky špičkových počítačových
a telekomunikačných systémov rozšíril priestor bezpečnostného manažmentu o novú
dimenziu, ktorá sa nazýva bezpečnosť informačných systémov. Žiadny systém zrejme nie je
imúnny voči hackerom. Bezpečnosť informačných technológií si žiada nový typ
bezpečnostných a legislatívnych profesionálov. Profesionálov vzdelaných, preškolených
a vycvičených takým spôsobom, aby zločinom, vykonávaným s využitím špičkových
technológií a neautorizovaným vniknutím do systému, dostatočne rozumeli a boli by schopní
účinne vykonávať a viesť potrebné šetrenie.
DOSEDĚL, T. (2004) uvádza, že pri tvorbe nového systému sa využívajú časti starších
verzií. Je pritom nutné zaistiť, aby časti systému vyvinuté rôznymi tímami vzájomne
spolupracovali, aby systém pracoval na všetkých počítačoch a podobne. Nieto divu, že
do takéhoto zložitého produktu sa tu a tam vkradne chyba. Tie najvážnejšie samozrejme
odhalia priamo vývojári v rámci prvotného testovania, menej viditeľné ohlásia dobrovoľníci
z radov používateľov, ktorí systém testujú. No a tie najťažšie, odhaliteľné „vychytí“ nejaký
sliedič, ktorý nemá dôležitejšiu prácu. Samozrejme sa so svojim úspechom hneď pochváli
na Internete. Používatelia si potom sťažujú na chyby v systéme, výrobca musí reagovať, a tak
dostávajú priestor záplaty bezpečnostných dier. Občas sa objavujú názory, ktoré inštalovanie
záplat odmietajú. Nové záplaty vraj prinášajú do systému nové možné chyby a situácia je
potom rovnaká, niekedy dokonca horšia ako predtým. Pravda je samozrejme niekde
uprostred, inštalovaná záplata môže naozaj obsahovať ďalšie chyby, možno ešte závažnejšie
ako tie predtým. Musíme mať ale stále na pamäti, že tvorcovia vírusov sa radšej zamerajú
na známe a vopred popísané chyby, akoby sa mali zaoberať hľadaním nových. Aj napriek
vzniku nových chýb má teda pravidelné „záplatovanie“ zmysel.
Pri definovaní bezpečnosti informačných systémov (ďalej IS) KOVACICH, G. (2000)
zdôrazňuje nutnosť definovania modelu, v ktorom sa použité informačné systémy skladajú
z troch nasledujúcich typov komponentov:
• Hardvér - procesor, pamäte, terminály, telekomunikácie, atď.
• Softvér - operačný systém, aplikačné programy, atď.
• Dáta - dáta uložené v databáze, vstupné dáta, výstupné zostavy, atď.
Je samozrejmé, že prirodzeným štvrtým komponentom IS sú ľudia - používatelia, personál.
Pretože sa ale zameriavame na bezpečnosť IT a nie na všeobecnú bezpečnosť, o ľudské
činitele sa budeme zaujímať len do tej miery, pokým sa ich činnosti a vlastnosti budú
bezprostredne týkať bezpečnosti IT. Prvé tri z uvedených komponentov predstavujú pre
organizáciu hodnoty, preto sa nazývajú aktíva.
Keď analyzujeme IS z hľadiska potrieb jeho zabezpečenia, rozpoznávame:
• objekt IS - pasívna entita, ktorá obsahuje/prijíma informácie a je prístupná
autorizovaným subjektom IS.
• subjekt IS - aktívna entita (osoba, proces alebo zariadenie činné na základe
príkazov používateľa) autorizovateľná pre získanie informácie z objektu, vydávanie
príkazov ovplyvňujúcich udelenie práv prístupu k objektu, zmenu stavu objektu a pod.
Pod pojmom autorizácia subjektu pre činnosť rozumieme určenie, že daný subjekt je
z hľadiska tejto činnosti dôveryhodný. Udelenie autorizácie subjektu si vynucuje, aby sa
pracovalo s autentickými subjektmi. Autentizáciou rozumieme proces overovanie pravosti
identity entity (subjektu, objektu, t.j. používateľa, procesu, systému, informačných štruktúr
a pod.).
Dôveryhodný IS (subjekt alebo objekt) je taká entita, o ktorej sa verí (je o tom podaný dôkaz),
že je implementovaná tak, že spĺňa svoju špecifickosť vypracovanú v súlade s bezpečnostnou
politikou. Na dôveryhodnú entitu sa môžeme spoľahnúť, ak sa chová podľa nášho
očakávania.
1.2.1 Terminológia IT bezpečnosti
Zraniteľné miesto
Ide o slabinu IS využiteľnú na spôsobenie škôd alebo strát útokom na IS. KOVACICH, G.
(2000) konštatuje, že existencia zraniteľných miest je dôsledok chýb, zlyhania v analýze,
návrhu a/alebo v implementácii IS, dôsledok vysokej hustoty uložených informácií, zložitosti
softvéru, existencie skrytých kanálov pre prenos informácie inou ako zamýšľanou cestou
Podstata zraniteľného miesta je:
• Fyzická - napr. umiestnenie IS v mieste, ktoré je ľahko dostupné sabotáži a/alebo
vandalizmu, výpadok napätia.
• Prírodná - objektívne faktory (záplava, požiar, zemetrasenie, blesk).
• Fyzikálna - vyžarovanie, útoky pri komunikácii na výmenu správ.
• Ľudský faktor - najväčšia zraniteľnosť zo všetkých možných variantov.
Hrozba
Pojmom hrozba sa označuje možnosť využiť zraniteľné miesto IS k útoku, k spôsobeniu
škody na aktívach. BOTT, E. – SIECHERT, C. (2004) hrozby kategorizujú na:
• Objektívne
• prírodné, fyzické (požiar, povodeň, výpadok elektrického napätia, poruchy, u ktorých
je prevencia zložitá a u ktorých je potreba riešiť skôr minimalizovanie dopadu
vhodným plánom obnovy, havarijný plán),
• fyzikálne (elektromagnetické vyžarovanie),
• technické, logické (porucha pamäte, softvérové „zadné dvierka“, nevhodne prepojenie
inak bezpečných komponentov, krádež resp. zničenie pamäťového média alebo
nedokonalé zrušenie, odstránenie informácií na ňom).
• Subjektívne
• neúmyselné (pôsobenie neškoleného používateľa, správcu),
• úmyselné (potenciálna existencia vonkajších útočníkov (špióni, kriminálne živly,
konkurenti, hackeri) i vnútorných útočníkov (80% útokov je vedených zvnútra, napr.
prepusteným, rozhnevaným, vydieraným, chamtivým zamestnancom).
DOSEDĚL, T. (2004) tvrdí, že hlavnou charakteristickou črtou hrozby je jej zdroj (vnútorný,
vonkajší), motivácia potenciálneho útočníka (finančný zisk, konkurenčná prevaha), frekvencia
a kritickosť uplatnenia hrozby.
Riziko
Existencia hrozby predstavuje riziko. Rizikom rozumieme pravdepodobnosť využitia
zraniteľného miesta IS. Riziko charakterizuje KOVACICH, G. (2000) aj ako potenciálne
spôsobenú škodu.
Útok
Pod útokom, ktorý nazývame tiež bezpečnostný incident, rozumieme úmyselné využitie
zraniteľného miesta k spôsobenie škody, straty na aktívach IS alebo neúmyselné
uskutočnenie akcie, ktorej výsledkom je škoda na aktívach. Podľa NORTHCUTTA, S.
(2005) je možné útočiť:
• prerušením (aktívny útok na dostupnosť napr. strata, zneprístupnenie, poškodenie
aktív, porucha periféria, vymazanie programu, dát, porucha v operačnom systéme),
• odpočúvaním (pasívny útok na dôveru, kde si neautorizovaný subjekt neoprávnene
sprístupni aktíva napr. kopírovanie dát alebo programu),
• zmenou (aktívny útok na integritu, neautorizovaný subjekt zasiahne do aktíva napr.
zmena uložených alebo prenášaných dát, pridanie funkcie do programu),
• pridanie hodnoty (aktívny útok na integritu alebo na autentickosť napr. podvrhnutie
transakcie, dodanie falošných dát).
HANÁČEK, P. – STAUDEK, J. (2000) útoky tiež charakterizujú ako:
• útok s veľkou škodou – významný ( následky môžu znamenať aj zrútenie organizácie
alebo trestnú zodpovednosť, je možné riešiť bezpečnostnou politikou zameranou
na ochranu pred takýmto útokom a aj poistením).
• útok s malou škodou – nevýznamný (následky sú prijateľným rizikom).
Ďalej špecifikujú:
• útoky na hardvér
• prerušením (prírodné havárie, neúmyselné útoky spôsobené fajčením, údermi,
úmyselné útoky, krádeže, deštrukcia),
• odpočúvaním (krádež času procesora, miesta v pamäti),
• pridaním hodnoty (zmenou režimu činnosti).
• útoky na softvér
• prerušením (úmyselné, neúmyselné vymazanie programu, použitie
neotestovaných programov, chyby operátora),
• odpočúvaním (neoprávnené kópie programov, piráctvo),
• zmenou (využitie zadných dvierok – neverejných spustiteľných postupov
z doby tvorby softvéru),
• pridaním hodnoty (implementovaním trójskych koňov, vírusy, červy, logické
bomby).
• útoky na dáta
• prerušením (neúmyselné, úmyselné vymazanie, sabotáž),
• odpočúvaním (porušenie dôvernosti, krádež kópií),
• zmenou (porušenie integrity, neautorizovaná modifikácia dát),
• pridaním hodnoty (napr. opakované neautorizované dielčie výbery .
Útočník
Dôležité je si uvedomiť, kto môže byť útočníkom. Útočník môže byť vonkajší, ale
v organizácií sa často vyskytuje i vnútorný útočník. Podľa znalosti a vybavenosti
HANÁČEK, P. – STAUDEK, J. (2000) rozoznávajú:
• útočník slabej sily – amatéri, náhodní útočníci využívajúci náhodne objavené zraniteľné
miesta pri bežnej práci, majú však obmedzené znalosti, príležitosti aj prostriedky,
• útočník strednej sily – ide o bežné útoky, kde útočníci majú často veľa znalostí, ale
nemajú zjavné príležitosti a majú obmedzené prostriedky,
• útočník veľkej sily – profesionálni počítačoví zločinci, pre ktorých je typická vysoká
úroveň znalostí, dostatok prostriedkov a častokrát i dostatok času k realizácii útoku;
uskutočňujú útoky vymykajúce sa bežnej praxi.
Bezpečnostné incidenty
Riešenie bezpečnostných incidentov1 je finančne a časovo nákladné. Čas potrebný na detekciu
útočníkov, určenie rozsahu škôd a následnú elimináciu bezpečnostných "dier" predstavuje
nepredpokladané výdaje. Tzv. DoS útoky (Denial of Service - zabránenie použitiu služby),
pri ktorých sa na počítače cieľavedome útočí, môžu zapríčiniť haváriu počítačov, resp. celej
siete a znemožniť tak využívanie služieb. Taktiež medializácia bezpečnostných incidentov
predstavuje vážne dôsledky pre postihnutú organizáciu. Podľa oblasti pôsobenia organizácie
môže mať za následok pokles dôvery v organizáciu, stratu klientov a dobrého mena
a v konečnom dôsledku pokles finančného profitu. Z týchto dôvodov je nutné, aby
organizácia mala vypracovaný krízový plán pre prípad riešenia bezpečnostného incidentu.
Názory na úroveň rizika pripojenia podnikových sietí na Internet sú rôznorodé. Niektorí
používatelia tvrdia, že pripojenie nepredstavuje žiadne podstatné riziko. Iní zas tvrdia,
1 Zdroj: http://sprite.edi.fmph.uniba.sk/~nemeckay/
že Internet predstavuje nebezpečné prostredie a tí, čo ho využívajú skôr alebo neskôr narazia
na vážne problémy. V skutočnosti na vážne problémy narážajú práve tie subjekty, ktoré si
jednoducho neuvedomujú alebo ignorujú bezpečnostné riziká Internetu a nedokážu
zabezpečiť svoje systémy. Niektoré riziká nesúvisia výlučne s Internetom. Bezpečnostné
"diery" môžu byť zneužité takisto prostredníctvom modemu, legálnym vnútorným
používateľom a podobne. Pripojenie systému na Internet nemení úplne riziká, ale poskytuje
ďalšiu možnosť zneužitia existujúcich bezpečnostných slabín.
1.2.2 Bezpečnostné mechanizmy
Základnými bezpečnostnými mechanizmami sú dôvernosť, integrita a dostupnosť,
autentifikácia a autorizácia.
Dôvernosť je možnosť odoslať/prijať dáta bez prezradenia nejakej časti dát neautorizovanej
entite počas prenosu dát.
Integrita je možnosť odoslať/prijať dáta tak, aby neautorizovaná entita nemohla zmeniť
akúkoľvek časť prenášaných dát. Ak sú dostupné len mechanizmy na uchovanie integrity dát,
dáta môžu byť zmenené, ale prijímateľ/ odosielateľ zistia, že boli zmenené počas prenosu.
Dostupnosť je možnosť prijať/odoslať dáta. Dôležitou požiadavkou je, aby informácie boli
prístupné oprávnenej osobe kedykoľvek ich bude potrebovať.
Autentifikácia zisťuje identitu prijímateľa alebo odosielateľa informácií pomocou ID
užívateľa a hesla, ktoré sú nutné pre prihlásenie do systému a pomocou rôznych iných metód.
Autorizácia zisťuje, čo má používateľ dovolené v sieti robiť. Taktiež je nazývaná
ako kontrola prístupu k zdrojom siete. Nie vždy je nutná autentifikácia pred autorizáciou,
avšak vo väčšine prípadov je s ňou pevne spojená. Primárnym spôsobom dosahovania
ochrany je kontrola prístupu (access control). Systém spravuje zdroje a kontroluje, kto a akým
spôsobom môže s nimi pracovať. Používateľ sa identifikuje svojím používateľským menom
a následne autentifikuje - potvrdí svoju identitu napr. heslom. Ak sa útočníkovi podarí
preniknúť do systému pomocou získaného hesla alebo obídením autentifikácie, môže
vykonávať všetky činnosti ako oprávnený používateľ. Systém už nemá žiadnu možnosť
rozoznať, či sa jedná o oprávneného používateľa alebo útočníka. Jedným zo spôsobov ako
detekovať neoprávnenú činnosť je audit.
1.3 Počítačová bezpečnosť
V súčasnosti je počítač pripojený na internet vystavený mnohým nebezpečenstvám.
Prvým z rady rizík číhajúcich na používateľa nezabezpečeného počítača je odcudzenie alebo
strata, resp. zmena používateľských dát. Ďalším rizikom je vniknutie škodlivého kódu
do používateľského počítača. Rizikovým faktorom je i „neviditeľná“ komunikácia PC
používateľa, kedy môže dôjsť k presmerovaniu jeho údajov (napr. pri bankovej operácii
do formulára podobného originálnemu, t.j. technika phishingu). Takisto, ak už získal
v nejakej podobe produkt „škodlivého kódu“, nemusí si ho všimnúť (napr., ak len získava
nejaké informácie o používateľovi a potom ich niekde cez internet posiela). Počítačová
bezpečnosť je dôležitá v každom okamihu a v každej situácii, nikdy sa nemôžeme spoliehať
na lokálne, časové či iné okolnosti, tvrdia HOWARD, M. – LEBLANC, D. (2003).
1.3.1 Charakteristika počítačovej bezpečnosti
Počítačová bezpečnosť je podľa ANONYMOUSA (2004) oblasť vedy o počítačoch,
ktorá sa zaoberá odhaľovaním a eliminovaním rizík spojených s používaním počítača. Cieľom
počítačovej bezpečnosti je zabezpečiť:
• ochranu pred neoprávneným manipulovaním so zariadeniami počítačového systému,
• ochranu pred neoprávnenou manipuláciou s dátami,
• ochranu pred nelegálnou tvorbou kópií dát,
• bezpečnú komunikáciu a prenos dát,
• bezpečné uloženie dát,
• integritu a nepodvrhnuteľnosť dát.
Koncepcia počítačovej bezpečnosti spočíva v troch krokoch:
1. v prevencii - ochrane pred hrozbami,
2. v detekcii - odhalení neoprávnenej činnosti a slabého miesta v systéme,
3. v náprave - odstránenie škôd vzniknutých pri neoprávnenej činnosti a slabého
miesta v systéme.
DOSEDĚL, T. (2005) tvrdí, že zabezpečenie počítača je otázkou dodržiavania niekoľkých
pravidiel. Ak budeme dodržiavať uvedených 21 najpodstatnejších pravidiel, budeme mať
istotu, že sa nám nič naozaj nepríjemného na počítači neprihodí:
• všetko dôležité zaheslujte,
• s heslami zaobchádzajte opatrne,
• z Internetu nič neotvárajte,
• e-maily používajte bezpečne,
• rozoslaním e-mailu nikoho nezachránite,
• chráňte sa pred vírmi,
• vyžeňte z počítača špiónov,
• pravidelne zaplátajte,
• poznajte počítačových kriminálnikov,
• dôležité veci si zálohujte,
• chráňte dáta vlastným telom,
• schovajte sa za firewallom,
• so susedmi sa dohodnite,
• prístupové práva vás nemusia obmedzovať,
• tajné dáta šifrujte,
• nikomu úplne neverte,
• odlišujte zabezpečené weby,
• viete, s kým sa bavíte?
• stále ste pod kontrolou,
• neprepadajte panike,
• pozor kam voláte.
1.3.2 Počítačové infiltrácie a malware
Počítačové infiltrácie2 predstavujú v súčasnom modernom informačno-komunikačnom
svete fenomén, ktorého existencia sa nedá prehliadnuť. K dnešnému dňu je známych niekoľko
desiatok tisíc rôznych vírov, trójskych koňov a ďalších druhov infiltrácií. Vzhľadom
na neustály vývoj v oblasti operačných systémov a tiež vzhľadom na zmeny v prevažujúcom
spôsobe výmeny dát medzi výrobcami softvéru a používateľmi, resp. medzi nimi navzájom,
dochádza v tejto oblasti k postupnému vývoju a dnes sa popri klasických počítačových víroch
stretávame najmä s červami a skriptovými vírusmi, často vybavenými schopnosťou šírenia
prostredníctvom rôznych komunikačných kanálov (napr. e-mail, IRC, atď.). Napriek tomu,
že s počítačovými vírusmi a inými infiltráciami sa môžeme stretnúť aj u platforiem
Macintosh, u platforiem UNIX/Linux takmer vôbec, avšak platforma Windows spolu s
ďalšími aplikáciami tejto firmy je vzhľadom na masové rozšírenie, odborné zázemie ich
používateľov, ako aj slabú bezpečnosť týchto produktov, živnou pôdou drvivej väčšiny
počítačových infiltrácií. Počítačové infiltrácie môžeme označiť aj súhrnným názvom
malware.
2 Zdroj: http://sprite.edi.fmph.uniba.sk/%7Enemeckay/
Malware (skratka z angl. malicious software) je všeobecné označenie škodlivého softvéru,
resp. počítačovej infiltrácie. Patria sem klasické počítačové víry, počítačové červy, trójske
kone, zásuvné moduly ActiveX a Java applety, spyware, adware, spamery, dialery,
PopUp, Hijackery, hoaxy, phishing, pharming a spoofing. Malware3 sa do počítača v dnešnej
dobe dostáva zvyčajne cez Internet, hlavne pri prezeraní škodlivých stránok s nie dobre
zabezpečeným systémom.
Počítačový vírus
Počítačovým vírusom označujeme manipulačný program (kód) alebo prídavnú inštrukciu,
ktorá po vniknutí do operačného systému prepisuje alebo inak modifikuje programy,
dokumenty a ostatné súbory na disku, ukladá sa do systémových oblastí pevného disku
s cieľom vlastnej reprodukcie, a to všetko bez vedomia používateľa počítača. Okrem samotnej
reprodukcie môže pritom kód vírusu vykonávať rôzne grafické, zvukové a textové efekty, ale
aj deštrukčnú činnosť, ako napr. mazanie, kódovanie či inú modifikáciu súborov i sektorov
pevného disku. S výnimkou možnosti vymazania Flash BIOS pamäte v súčasnosti nie sú
známe vírusy poškodzujúce hardvér počítača. Niektoré vírusy narušujú bezpečnosť počítača,
resp. údajov uložených na jeho pevnom disku zasielaním tajných PGP kľúčov, odchytených
hesiel a e-mailových adries prostredníctvom rôznych komunikačných kanálov mimo
napadnutý počítač. Aj na pohľad neškodné vírusy však môžu spôsobiť svojou prítomnosťou
problémy v súvislosti so obsadením časti operačnej pamäte, výpočtovej kapacity procesora,
ale najmä vznikom rôznych typov interferencií s inými aplikáciami a aj samotným operačným
systémom. Vo všeobecnosti sa ako vírusy (nesprávne) označujú napríklad aj počítačové
červy, trójske kone a iné druhy malware. V súčasnosti sú už klasické počítačové vírusy viac-
menej na ústupe na rozdiel od červov a spywaru, ktoré sa šíria prostredníctvom počítačových
sietí, predovšetkým internetu. Antivírusové programy a iné špecializované programy sa preto
snažia chrániť počítač aj pred inými ako vírusovými hrozbami.
Počítačový červ
Počítačový červ je program so škodlivým kódom, ktorý napáda hostiteľský počítač, pričom
využíva jeho komunikačné prepojenie cez sieť s ďalšími počítačmi a prostredníctvom nich
sa šíri ďalej. Červ sa pokúša pripojiť na každý možný počítač v počítačovej sieti, pričom
na prenos využíva slabé miesta zle zabezpečeného počítača (chyby v operačnom systéme,
3 Zdroje: www.virusy.sk a www.sk.wikipedia.org
v programoch sieťových služieb). Na tomto počítači sa červ aktivuje a pokúša šíriť do ďalších
počítačov. Počet nakazených počítačov teda stúpa lavínovite.
Počítačový červ sa na rozdiel od klasického počítačového vírusu nepripája k žiadnemu
hostiteľskému programu, ani sa na lokálnom disku ďalej nešíri. Niektoré infiltrácie
klasifikované ako červy sa však okrem šírenia cez uvedené komunikačné kanály šíria
aj po lokálnych a sieťových diskoch (napr. LoveLetter), čím sa svojimi vlastnosťami
približujú k definícii vírusu. V niektorých publikáciách sa za červ pokladá tá časť vírusu,
ktorá je zodpovedná za jeho šírenie – je teda podtriedou vírusu.
Trójsky kôň
Trójsky kôň je škodlivý program, ktorý navonok navodzuje dojem užitočnosti.
V dokumentácii sľubovanú činnosť však vôbec nevykonáva, resp. pri jej vykonávaní
na pozadí realizuje nepozorovane deštrukcie (napr. modifikuje údaje, vymazáva súbory,
skrytou komunikáciou cez Internet narušuje súkromie používateľa, atď.). Trójsky kôň
je naprogramovaný ako pôvodná aplikácia alebo je vytvorený z existujúceho programu jeho
spojením s deštrukčným kódom (teda sa od pôvodného programu okrem dĺžky navonok ničím
neodlišuje). Najčastejšie sa vyskytuje vo forme spustiteľného súboru (s príponou „exe“,
„com“). Od počítačového vírusu, resp. červa sa líši tým, že kód programu sa ďalej
nereplikuje.
Typy trójskych koní:
• tzv. zadné vrátka (backdoor) - komunikačný modul inštalovaný bez vedomia používateľa,
ktorý komunikuje so serverom obsluhovaným autorom programu (zvyčajne hackerom).
• tzv. logická bomba - deštrukčná akcia viazaná na nejaký dátum (napr. 1. apríl, piatok
trinásteho, Nový rok).
• tzv. nosiče vírusov (droppery) - programy, ktorých deštrukčná akcia spočíva vo
uvoľňovaní klasických počítačových vírusov, červov i spyware, pričom samotný dropper
nie je možné identifikovať.
Zásuvné moduly ActiveX a Java applety
ActiveX je technológia firmy Microsoft, ktorá umožňuje do prehliadača Internet Explorer
pripojiť zásuvný modul. Tento prvok je vytvorený spustiteľný program, ktorý dokáže ovládať
ktorúkoľvek službu operačného systému. I keď firma Microsoft urobila podstatné kroky,
aby zabezpečila túto technológiu, nebezpečenstvo stále hrozí. Jedným z bezpečnostných
prvkov je digitálny podpis tvorcu daného ActiveX prvok.
Java applet je program vytvorený v jazyku Java a vložený na stránku. Prvok môže využiť
ktorúkoľvek službu operačného systému. Na zvýšenie bezpečnosti sa používa technológia
Java Virtual Machine, ktorá pred spustením overuje nebezpečnosť spúšťaného programu.
Spyware
Spyware (z angl. špehovací softvér) je počítačový program, ktorý zisťuje informácie
o počítači a jeho používateľovi (napr. zoznam navštevovaných stránok, zoznam emailových
adries) bez jeho vedomia. Tieto dáta sa potom pokúša poslať tretej strane. Posielanie
informácií tretej strane značne spomaľuje chod PC. Spyware sa do počítača dostáva
nainštalovaním samotným používateľom. Rozšírenie spyware je motivované finančnými
záujmami - výrobcovia voľne šíriteľných aplikácií zarobia tým, že dovolia inštalovať spyware
spolu s ich produktmi. Výrobcovia spyware získavajú nelegálne informácie z počítača.
Najnebezpečnejším druhom spywaru sú tzv. keyloggery, ktoré zaznamenávajú všetky stlačené
klávesy používateľovho počítača, je teda možné získať prístupové heslá či čísla kreditných
kariet používateľa. Spyware je súčasťou mnohých programov, ako i sietí P2P (Peer-to-Peer),
napr. EDonkey2000, Kazaa, BearShare. Spywarom sú tiež programy vydávajúce
sa za programy na jeho odstraňovanie ako napr. Malware Wipe, Pest Trap, SpyAxe, PAL
Spyware Remover, Spyware Stormer.
Adware
Adware (z angl. advertising-supported software) je akýkoľvek softvér, ktorý automaticky
zobrazuje, sťahuje reklamný materiál na počítač. Nebezpečenstvo programov je v tom,
že integrované reklamné systémy sú často spywarom. Adware používajú firmy, ktoré
poskytujú služby typu „zarábaj cez internet“. Vtedy používateľ „prenajme“ časť monitoru,
kde sa budú zobrazovať reklamné bannery.
Spamery
Spamery sú programy, ktoré rozosielajú spam, t.j. nevyžiadanú poštu obsahujúcu reklamu. Ide
o zneužívanie elektronickej komunikácie, najmä e-mailu, interaktívneho zasielania správ
(napr. ICQ) a virtuálnej siete Usenet (User's Network). Každý napadnutý počítač sa stáva
odosielateľom nevyžiadanej pošty. Na koordinovanie napadnutých počítačov sa používa
systém nazývaný botnet – ide o nezávisle pracujúce programy rozmiestnené v sieti internet,
cez ktoré útočník môže zmeniť a upraviť obsah odosielanej správy tak, aby ich neodhalili ani
antivírové systémy. Ochrana proti spamu je komplikovaná, pretože neexistuje hranica medzi
spamom a užitočnými emailami a neexistujú príznaky, ktoré by spam jednoznačne indikovali.
Dialery
Táto kategória programov je nebezpečná pre tých, ktorý používajú na pripojenie do internetu
vytáčané spojenie cez telefónnu linku. Programy presmerujú číslo, pomocou ktorého
sa používateľ pripája na internet na audiotexové číslo
Pop-up okná
Sú programy vložené na webové stránky, ktoré otvárajú okná s reklamou. Tieto okná sú často
tak agresívne, že pri pokuse zatvoriť ich, sa otvoria ďalšie.
Hijacker
Hijackery (v preklade únoscovia) spôsobujú "samovoľné" otváranie okien prehliadača
i v čase, keď používateľ žiadne webové stránky neotvára, menia nastavenie domovskej
stránky.
Hoax
Hoax je elektronicky šírená správa (e-mailová), ktorá vyzýva na jej preposlanie ďalším
používateľom internetu. Je to falošná poplašná správa (napr. správa varujúca pred
počítačovými vírusmi, e-mailová petícia), ktorá je väčšinou iba neškodným žartom. Hoaxy sa
vyskytujú vo forme reťazových mailov a zbytočne dezinformuje ľudí, zaťažuje server a sieť.
Phishing
Phishing (názov z ang. password fishing - rybárčenie hesiel) je činnosť, pri ktorej sa
podvodník snaží vylákať od používateľov rôzne heslá, napr. k bankovému účtu. Podstata
je v sprístupnení podvodnej webovej stránka, ktorá je kópiu existujúcej dôveryhodnej stránky.
Údaje zadané do takejto stránky sú odoslané podvodníkovi. Phishing sa realizuje i formou
rozposielania e-mailov, ktoré vyzývajú používateľov na zmenu hesla, jeho obnovenie. Preto je
nutné pri takejto správe overovať pravosť správy a neotvárať stránku cez odkaz v pošte.
Pharming
Pharming (v preklade farmárčenie) je spôsob, ktorým môže neoprávnená osoba pripraviť
o úspory klienta, ktorý využíva internetbanking. Metóda spočíva v presmerovaní názvu
webovej stránky na inú adresu. Každej mennej adrese napríklad ib.vub.sk prislúcha číselná
adresa IP adresa - napríklad 215.5.214.144. Ak zadáme mennú adresu do webového
prehliadača namiesto stránky banky sa zobrazí jej dokonalá napodobenina. Po zadaní údajov
ich získa neoprávnená osoba. Jedným zo spôsobov ochrany proti hrozbe je zistenie IP adresy
webovej stránky internetbankingu (napríklad príkazom ping). Potom namiesto mennej adresy
do prehliadača zadáme číselnú adresu v tvare https://číslo.
Spoofing
Do tejto kategórie patria všetky metódy, ktoré používajú hackeri na zmenu totožnosti
odosielaných správ. Príkladom spoofingu je náhrada e-mailovej adresy pri phishingu, podvrh
IP adresy webovej stránky, ktoré overujú totožnosť prihlasujúceho. Metóda nazývaná „muž
v strede“ (man-in-the-middle) spočíva v narušení komunikácie medzi klientom a serverom,
pri ktorej útočník naruší šifrovací systém verejného a súkromného kľúča a získa certifikát.
1.4 Bezpečnostná politika IT
RODRYČOVÁ, D. – STAŠA, P. (2000) konštatujú, že musí existovať jasná, dobre
definovaná a organizáciou presadzovaná bezpečnostná politika. Politika identifikuje objekty,
stanovuje súbor pravidiel autorizácie používateľa ako i prístupu k informačným zdrojom.
Počítačové systémy musia bezpečnostnú politiku nielen rešpektovať, ale aj si ju vynútiť.
KOVACICH, G. (2000) vysvetľuje, že bezpečnostná politika musí vo svojej finálnej podobe
definovať základné postupy a metódy riešenia bezpečnostnej problematiky.
Je spracovaná formou písomného dokumentu, ktorý určuje metódy a podmienky reálneho
riešenia informačnej bezpečnosti. Politiku je potrebné navrhovať na dlhšie časové obdobie.
Všetky procedúry a metódy zabezpečenia je nutné overiť v praxi a detailne popísať ich
implementáciou. Aj po praktickom overení bezpečnostných mechanizmov a celkového
systému zabezpečenia je málo pravdepodobné, že výsledok bude dokonalý.
Bezpečnostná politika IT organizácie obecne vymedzuje:
• čo vyžaduje ochranu,
• proti akým hrozbám je ochrana budovaná,
• ako budeme chrániť to, čo vyžaduje ochranu.
Podľa HANÁČKA, P. – STAUDKA, J. (2000) je viac variant prístupu k zabezpečeniu IT,
ktoré sa líšia svojou nákladovosťou, dosiahnutou transparentnosťou, odolnosťou proti útoku
výnimočnej sily. Odporučený variant bezpečnostnej politiky IS by mal vždy vzísť
z oponovanej a záväzne prijatej bezpečnostnej politiky organizácie a bezpečnostnej politiky
IT organizácie (pri rešpektovaní výsledkov analýzy rizík IS). Podľa požadovanej úrovne
zabezpečenia rozpoznávame bezpečnostné politiky štyroch typov:
1. Promiskuitná bezpečnostná politika – je bezpečnostná politika nikoho neobmedzujúca,
ktorá každému v zásade povoľuje robiť všetko. IS s promiskuitnou bezpečnostnou
politikou sú prevádzkovo nenákladné, väčšinou ani nenútia povinne používať heslá
pre autentizáciu a zaručujú iba minimálnu alebo vôbec žiadnu bezpečnosť.
2. Liberálna bezpečnostná politika – je bezpečnostná politika uplatňovaná v prostrediach,
kde sa hrozby považujú za málo až priemerne závažné. Nepostrádateľnou požiadavkou
politiky je nízka ekonomická náročnosť riešenia bezpečnosti. Typicky sa opiera o zásadu
voliteľného riadenia prístupu založeného na identite subjektu.
3. Opatrná (racionálna) bezpečnostná politika – je bezpečnostná politika zakazujúca robiť
všetko, čo nie je explicitne povolené. Táto politika je nákladnejšia na zavedenie, avšak
zaručuje vyšší stupeň bezpečnosti. Pri aplikácii na IS požaduje prevedenie klasifikácie
objektov a subjektov podľa ich schopností a citlivosti. Z hľadiska používania IS
v Internete je obvykle počiatočnou bezpečnostnou politikou pri zavádzaní firewall-ov.
4. Paranoidná bezpečnostná politika - je bezpečnostná politika zakazujúca robiť všetko
potenciálne nebezpečné. Zaručuje najvyšší stupeň bezpečnosti. Napríklad zakáže používať
akékoľvek internetové služby, resp. predpíše používať IS bez možnosti on-line napojenia
na komunikáciu. Táto politika vedie potom k maximálnej izolácii systému. Užitočná môže
byť napríklad pre organizácie, ktoré prevádzkujú databázový systém s vysoko dôvernými
informáciami. Systém je možné fyzicky a technicky izolovať na systém s konečným
počtom ľahko kontrolovateľných vstupov a výstupov.
1.4.1 Celková a systémová bezpečnostná politika IT
Podľa KOVACICHA, G. (2000) celková bezpečnostná politika IT uvádza špecifikáciu
cieľov zabezpečenia, definíciu citlivých dát a ich klasifikáciu a definíciu ostatných citlivých
aktív IT. Definuje bezpečnostnú infraštruktúru organizácie a potrebné sily mechanizmov
pre implementáciu bezpečnostnej funkčnosti. Špecifikuje obmedzenia, ktoré musí bezpečnosť
IT organizácie rešpektovať. Je vytváraná nezávisle na práve používaných informačných
technológiách, a to v časovom horizonte päť až desať rokov. Celková bezpečnostná politika
IT je verejný záväzný dokument prijatý vedením organizácie ako vnútro inštitucionálna
norma. Jeho cieľom je ochrana majetku, povesti a činnosti organizácie. Musí byť úplný
(otázky a konflikty idú vyriešiť odkazom na jeho paragrafy), stručný a zrozumiteľný. Musí
jasne stanoviť hierarchické väzby zodpovedností a právomocí, špecifikuje povinnosti a práva
ako pre ľudí, tak i pre dáta.
Systémová bezpečnostná politika IT definuje spôsob implementácie celkovej bezpečnostnej
politiky v konkrétnom informačno-technologickom prostredí. Vypracováva sa obvykle
pre časový horizont dvoch až piatich rokov. Stanovuje súbor princípov a pravidiel
pre ochranu IS (preto sa o nej hovorí rovnako ako o bezpečnostnej politike IS) a ním
poskytovaných služieb, zaoberá sa voľbou konkrétnych technických, procedurálnych,
logických a administratívnych bezpečnostných opatrení, pokým môžu tieto ovplyvniť
bezpečnosť IS. Implicitne sa zaoberá bezpečnosťou elektronickej (počítačovej) časti IS.
Pokým je organizácia alebo jej IS príliš rozsiahly a rôznorodý, je vhodné vypracovať
samostatné systémové bezpečnostné politiky:
• Fyzická systémová bezpečnostná politika – týka sa ochrany fyzických aktív, budov,
počítačov, médií, prevencie krádeží, prevencie prírodných, objektívnych útokov.
• Personálna systémová bezpečnostná politika – je súčasťou širšej personálnej politiky a jej
cieľom je pokrytie hrozieb predstavovaných zamestnancami, dodávateľmi, zákazníkmi,
neskúsenými používateľmi, hackermi, profesionálmi, špiónmi a ochrana vlastných
zamestnancov organizácie.
• Komunikačná systémová bezpečnostná politika – ochrana poštových zásielok, faxu,
telefónov, hlasovej komunikácie, prenosu dát.
• Prevádzková systémová bezpečnostná politika – špecifikuje programy školenia ako
prostriedku zvyšovania vedomosti potenciálnych obetí o možných útokoch, postupy
pri uplatňovaní bezpečnostných opatreniach, pri detekcii útokov, havarijné plány.
1.4.2 Analýza rizík a havarijný plán
Najdôležitejšou etapou stanovenia bezpečnostnej politiky je analýza rizík, tvrdí
KOVACICH, G. (2000). Jej cieľom je:
• identifikácia, zvládnutie, odstránenie/minimalizácia udalostí, ktoré majú nežiadúci
vplyv na aktíva organizácie,
• zistenie hrozieb a rizík, ktorým je IS vystavený,
• určenie, aké škody môžu útokom vzniknúť,
• určenie, ktoré opatrenia rizika hrozieb odstránia alebo aspoň minimalizujú.
Havarijný plán určuje, čo robiť po odhalení útoku (bezpečnostného incidentu) a ako
postupovať, aby sa udržala kontinuita činnosti organizácie. Súčasťou havarijného plánu sú:
• plán činnosti po útoku,
• priebeh reakcie na incident,
• plán obnovy.
1.4.3 Bezpečnostný audit
Politika bezpečnostného auditu definuje, čo sú udalosti, ktoré majú vzťah k bezpečnosti
a pravidlá, ktoré majú byť použité pre zber, zaznamenanie a analýzu rôznych udalostí, ktoré
majú vzťah k bezpečnosti.
Audit bezpečnosti IT4 môže zahŕňať:
• audit systémovej architektúry,
• audit antivírový a antispamový,
• audit vnútornej hrozby (zamestnanci, externí zamestnanci, návštevníci),
• audit bezpečnosti prihlasovania a riadenia prihlasovacích práv ,
• audit zálohovacích centier a zálohovania dát ,
• audit havarijného plánovania a obnovy ,
• penetračné testy (interné, externé).
1.5 Počítačová kriminalita
MAT ĚJKA, M. (2002) uvádza, že termínom počítačová kriminalita označujeme trestné činy
zamerané proti počítačom ako aj trestné činy páchané pomocou počítača. Ide o nelegálne,
nemorálne a neoprávnené konanie, ktoré zahŕňa zneužitie údajov získaných prostredníctvom
výpočtovej techniky alebo ich zmenu. Počítače „poskytujú“ novú technológiu a nové spôsoby
na páchanie už známych trestných činov ako je sabotáž, krádež, zneužitie, neoprávnené
užívanie cudzej veci, vydieranie alebo špionáž. Najvýraznejšími prejavmi počítačovej
kriminality sú:
1. útok na počítač, program, údaje, komunikačné zariadenie,
2. neoprávnené užívanie počítača alebo komunikačného zariadenia,
4 Zdroj: http://www.qscert.sk/audit-bezpecnosti-IT/
3. neoprávnený prístup k údajom, získanie utajovaných informácií (počítačová špionáž)
alebo iných informácií o osobách, činnosti a pod.,
4. krádež počítača, programu, údajov, komunikačného zariadenia,
5. zmena v programoch (v technickom zapojení počítača, komunikačnom zariadení),
6. zneužívanie počítačových prostriedkov k páchaniu inej trestnej činnosti,
7. podvody páchané v súvislosti s výpočtovou technikou,
8. šírenie poplašných správ.
Počítačovú kriminalitu môžeme členiť na dve základné skupiny:
• priama počítačová kriminalita, ktorá je zameraná na útoky proti počítaču,
• nepriama počítačová kriminalita, pri ktorej ide o trestné činy spáchané pomocou počítača,
t.j. využitie počítača na páchanie trestnej činnosti.
Do tohto chápania počítačovej kriminality sa zaraďujú:
• trestné činy ekonomickej povahy, ako napr. podvody, počítačová sabotáž, nedovolený
prienik k údajom a programom, nedovolená použitie údajov a programov a pod.
• trestné činy útočiace na súkromie jedinca,
• trestné činy predstavujúce ďalšie možnosti zneužitia údajov, napr. vo forme aktivít proti
štátu a záujmom spoločnosti a pod.
• nedbalostné konanie, pri ktorom dochádza k zničeniu, zneužitiu alebo chybnej manipulácii
s počítačom a jeho vybavením, programami a informáciami ako aj so spojovacou
technikou.
2 Cieľ práce
Hlavným cieľom diplomovej práce je oboznámiť používateľov Internetu a informačných
a komunikačných technológií s problematikou informačnej bezpečnosti, s vytváraním
a následnou implementáciou a dodržiavaním bezpečnostnej politiky podniku, ako i
s možnosťami prevencie a spôsobmi ako prípadným problémom predísť.
Prvoradým cieľom práce je zhodnotiť úroveň bezpečnosti IS vo vybranom podniku, prehĺbiť
teoretické poznatky v tejto oblasti.
Parciálnymi cieľmi diplomovej práce sú:
• Zhodnotenie celkového úrovne bezpečnostnej politiky podniku, bezpečnostných
zámerov a cieľov podniku.
• Analýza bezpečnosti komponentov IKT vo vybranom podniku.
• Analýza a vyhodnotenie súčasného stavu a využívania IKT v podniku so zameraním
na sieťovú infraštruktúru a poskytované sieťové služby.
• Na základe získaných poznatkov a vedomostí nájsť slabé miesta v bezpečnosti
podniku, predložiť návrh na ich odstránenie a návrh na skvalitnenie, resp. doplnenie
bezpečnostnej politiky pre danú spoločnosť.
3 Metodika práce
Za skúmaný podnik bola vybraná najväčšia komerčná banka na Slovensku v súčasnosti,
Slovenská sporiteľňa, a.s., ktorá patrí medzi najvýznamnejšie podniky v tejto oblasti nielen
na Slovensku, ale i v Európe.
Metodický postup práce vychádza z cieľov diplomovej práce. Pred jej samotným
vypracovaním sme sa oboznámili s danou problematikou prostredníctvom rôznych
zdokumentovaných prác autorov zaoberajúcich sa všeobecnými i konkrétnymi problémami
počítačových sietí a ich bezpečnosťou.
Metodika práce bola rozdelená do týchto bodov:
• Oboznámenie sa s problematikou, štúdium domácej i zahraničnej literatúry.
• Vyhľadávanie zdrojov na Internete a štúdium dokumentácie získanej z týchto zdrojov.
• Štúdium legislatívnych a právnych noriem, ktoré sú definované a prijaté pre skúmanú
problematiku.
• Výber a charakteristika konkrétneho podnikateľského subjektu.
• Definovanie základných hodnôt IKT a bezpečnosti IS.
• Analýza a následné vyhodnotenie (vrátane návrhu opatrení) stavu bezpečnostnej
politiky skúmaného podniku.
Materiál práce tvoria primárne a sekundárne zdroje informácií.
Primárne zdroje informácií, ktoré boli použité na analýzu, tvoria:
• Údaje získané z vybraného subjektu formou riadeného rozhovoru s vedúcim
pracovníkom Oddelenia bezpečnosti IS SLSP.
• Anonymné údaje získané z informačných databáz a dokumentov.
• Individuálne údaje získané vlastnými skúsenosťami a vedomosťami.
Sekundárnymi zdrojmi informácií sú:
• Odborná literatúra z oblasti riešenej problematiky.
• Internetové zdroje.
• Odborné časopisy.
Na dosiahnutie cieľov diplomovej práce boli použité metódy :
1. metóda opytovania,
2. metóda analýzy získaných údajov,
3. metóda syntézy získaných výsledkov,
4. metóda komparácie.
Metóda opytovania bola použitá na získanie prvotných údajov formou riadeného rozhovoru.
Pre tento účel bol vypracovaný štruktúrovaný dotazník, v ktorom sme zadefinovali okruhy
pre zistenie stavu a využívania IKT, ako i bezpečnosti IKT.
Metóda analýzy bola použitá pri hodnotení silných a slabých stránok podniku a pri hodnotení
jednotlivých úrovní bezpečnosti IS podniku a následne jej rizikových častí.
Metódou syntézy boli vytvorené komplexné návrhy na zlepšenie danej situácie bezpečnosti IS
podniku.
Metóda komparácie bola použitá pri porovnávaní návrhov bezpečnostnej politiky pre podnik
s jeho pôvodným stavom.
Východiská k realizácii prieskumu
Pri zostavovaní dotazníka sme kládli dôraz na kvalifikované vyjadrenie otázok -
zrozumiteľnosť otázok (najmä odborného charakteru z oblasti IKT). Z dôvodu interných
bezpečnostných predpisov SLSP, a.s. sme niektoré otázky museli z dotazníka celkom vylúčiť,
resp. zjednodušiť ich formuláciu (stupeň zisťovaných skutočností o existujúcej informačnej
bezpečnosti SLSP, a.s.).
Štruktúra finálnej verzie - oblastí prieskumu v SLSP
1. IT bezpečnosť organizácie
• Bezpečnostná stratégia.
• Bezpečnostná politika.
2. Ciele a zámery bezpečnostnej politiky organizácie.
3. Analýza a hodnotenie bezpečnostnej politiky v konkrétnych podmienkach:
• Analýza súčasného stavu organizácie, informačných zdrojov, formy ich zabezpečenia.
• Používané IKT prostriedky - hardvérové zdroje.
• Používané IKT prostriedky - softvérové zdroje v členení:
1. operačné systémy,
2. antivírové a antispamové nástroje, firewall,
3. prevádzkované internetové/intranetové služby.
• IT pracovníci organizácie.
• Používané nástroje a techniky IT bezpečnosti.
4. Bezpečnostné incidenty – ich výskyt, spôsob riešenia, prijaté opatrenia na ich elimináciu.
5. Návrh opatrení pre zvýšenie bezpečnosti IKT.
4 Výsledky práce a diskusia
4.1 Bezpečnostná politika podniku
Bezpečnostná politika je základný plán určujúci dôležité majetkové a informačné
hodnoty a výhody patriace organizácii a spôsob ochrany. Je to súbor opatrení, ktoré spoločne
určujú postoj organizácie k bezpečnosti. Jeho hlavnou úlohou je určiť zamestnancom
základné pravidlá pri používaní informačných zdrojov. Mala by zahŕňať všetky komponenty
informačného systému - hardvér, softvér, dáta a samozrejme v neposlednom rade
i používateľov. Dobre navrhnutá bezpečnostná politika je kompromisom v obmedzovaní
používateľov a chráneným záujmom organizácie. Spoľahlivá bezpečnostná politika musí
obsahovať časti, ktoré sú odpoveďami na nasledujúce otázky:
• Ako musí byť informácia spracovávaná?
• Ako zaobchádzať s heslami?
• Ako reagovať na potenciálne bezpečnostné udalosti?
• Ako bezpečne používať pracovné stanice a sieťové služby?
Pri vytváraní bezpečnostnej politiky je prvým krokom u každého podniku zadefinovanie
personálnych právomocí a zodpovedností jednotlivých pracovníkov. Každý podnik si to
definuje podľa svojho uváženia, vzorová schéma je znázornená schéme č. 1.
Schéma č.1 Príklad hierarchických vzťahov a právomocí jednotlivých pracovníkov
Zdroj: vlastná spracovanie
vedúci sekcie IS podniku
vedúci oddelenia bezpečnosti IT
vedúci oddelenia IT
oddelenie IT
oddelenie bezpečnosti IT
Bezpečnostná politika predstavuje súhrn bezpečnostných požiadaviek pre riešenie
informačnej bezpečnosti. Stav informačnej bezpečnosti vymedzujeme stavmi fyzickej,
personálnej, režimovej, programovej, dátovej a komunikačnej bezpečnosti. Fyzická,
personálna a režimová bezpečnosť sa zaraďujú medzi externé bezpečnosti, naproti tomu
komunikačná, dátová a programová bezpečnosť patria do skupiny interných bezpečností.
Fyzická bezpečnosť je systém technických prostriedkov ochrany a opatrení, slúžiaci
na ochranu aktív organizácie pred fyzikálnymi a prírodnými vplyvmi (oheň, dym, prach,
voda, vlhkosť, elektrické rušenie, teplotné výkyvy, hmyz, blesky, vibrácie), pred vniknutím
nepovolaných osôb a pred neoprávnenou manipuláciou v chránených priestoroch. Na ochranu
prístupu do rozličných miestností slúžia vo väčšine podnikoch prístupové karty, ktoré
sú vybavené čipmi. Medzi ďalšie bezpečnostné prvky patria elektronické zámky, poplašné
zariadenia, kamerové systémy, autorizačné systémy, autentizačné systémy, auditovacie
systémy na sledovanie a zaznamenávanie akcií zamestnancov (vstupy do miestnosti,
prihlásenie sa do systému, kopírovanie údajov.
Personálna bezpečnosť sa zaoberá elimináciou hrozieb spôsobených ľudským faktorom, je
to vlastne oblasť, ktorá sa týka zamestnancov – procesov prijímania, prieskumu minulosti,
školení, sledovania výkonu či prepúšťania. Treba si vždy zadefinovať pravidlá prístupu
jednotlivých zamestnancov do informačného systému.
Režimová bezpečnosť definuje interné smernice a pravidlá pre bezpečnosť a prevádzku
informačného systému, rešpektuje dodržiavanie bezpečnostných štandardov, zabezpečuje
ekonomické i právne aspekty bezpečnosti.
Programová bezpečnosť zahŕňa tvorbu nových programových produktov, nezávislosť
a spoľahlivosť programátorského tímu, zabudovanie bezpečnostných a kontrolných vlastností
do produktov, ochranu proti vírom, mechanizmus testovania nových produktov, právnu
a autorskú čistotu používaných programov, správu hesiel, zálohovanie údajov
a programovacích produktov, archiváciu údajov, mechanizmus obnovy produktov.
Dátová bezpečnosť zabezpečuje ochranu dát v súboroch a databázach, zaistenie integrity
a dostupnosti v prevádzkovaných aplikačných programoch a iných systémoch pomocou
vhodných technických prostriedkov. Takúto formu bezpečnosti by mal väčšinou
zabezpečovať dodávateľ aplikačného softvéru.
Komunikačná bezpečnosť zabezpečuje ochranu spojenia so zákazníkmi a klientmi (napr.
proti odposluchu prenášaných údajov po sieti), definuje spôsoby zaistenia integrity
a dôvernosti pri komunikáciách medzi jednotlivými prvkami informačného systému a pri
prenose dát po komunikačných cestách.
4.1.1 Bezpečnostná stratégia
Ochrana informácií, informačných systémov, počítačových sietí a s tým súvisiace
budovanie bezpečnostnej politiky organizácie patrí medzi dôležité, ale často zanedbávané
časti bezpečnostnej stratégie organizácie. Bezpečnostná stratégia organizácie musí byť
orientovaná predovšetkým na analýzu procesov a podporu informačných technológií. Musí
riešiť komplexné a integrované zavádzanie IT vrátane systematického vytvárania potrebnej
informačnej infraštruktúry. Do nej bezpochyby patria aj zabezpečovacie a prístupové
systémy.
4.1.2 Bezpečnostný projekt
Na základe §16 č. 428/2002 Z. z. o ochrane osobných údajov môžeme bezpečnostný
projekt5 charakterizovať nasledovne:
1) Bezpečnostný projekt vymedzuje rozsah a spôsob technických, organizačných
a personálnych opatrení potrebných na eliminovanie a minimalizovanie hrozieb a rizík
pôsobiacich na informačný systém z hľadiska narušenia jeho bezpečnosti, spoľahlivosti a
funkčnosti.
2) Bezpečnostný projekt sa spracúva v súlade so základnými pravidlami bezpečnosti
informačného systému vydanými bezpečnostnými štandardmi, právnymi predpismi
a medzinárodnými zmluvami, ktorými je Slovenská republika viazaná.
3) Bezpečnostný projekt obsahuje najmä
a) bezpečnostný zámer,
b) analýzu bezpečnosti informačného systému,
c) bezpečnostné smernice.
5 Zákon č. 428/2002 Z. z. o ochrane osobných údajov.
4) Bezpečnostný zámer vymedzuje základné bezpečnostné ciele, ktoré je potrebné dosiahnuť
na ochranu informačného systému pred ohrozením jeho bezpečnosti, a obsahuje najmä
a) formuláciu základných bezpečnostných cieľov a minimálne požadovaných
bezpečnostných opatrení,
b) špecifikáciu technických, organizačných a personálnych opatrení na zabezpečenie
ochrany osobných údajov v informačnom systéme a spôsob ich využitia,
c) vymedzenie okolia informačného systému a jeho vzťah k možnému narušeniu
bezpečnosti,
d) vymedzenie hraníc určujúcich množinu zvyškových rizík.
5) Analýza bezpečnosti informačného systému je podrobný rozbor stavu bezpečnosti
informačného systému, ktorá obsahuje najmä
a) kvalitatívnu analýzu rizík, v rámci ktorej sa identifikujú hrozby pôsobiace na jednotlivé
aktíva informačného systému spôsobilé narušiť jeho bezpečnosť alebo funkčnosť;
výsledkom kvalitatívnej analýzy rizík je zoznam hrozieb, ktoré môžu ohroziť
dôvernosť, integritu a dostupnosť spracúvaných osobných údajov, s uvedením rozsahu
možného rizika, návrhov opatrení, ktoré eliminujú alebo minimalizujú vplyv rizík,
a s vymedzením súpisu nepokrytých rizík,
b) použitie bezpečnostných štandardov a určenie iných metód a prostriedkov ochrany
osobných údajov; súčasťou analýzy bezpečnosti informačného systému je posúdenie
zhody navrhnutých bezpečnostných opatrení s použitými bezpečnostnými štandardmi,
metódami a prostriedkami.
6) Bezpečnostné smernice upresňujú a aplikujú závery vyplývajúce z bezpečnostného
projektu na konkrétne podmienky prevádzkovaného informačného systému a obsahujú
najmä
a) popis technických, organizačných a personálnych opatrení vymedzených v
bezpečnostnom projekte a ich využitie v konkrétnych podmienkach,
b) rozsah oprávnení a popis povolených činností jednotlivých oprávnených osôb, spôsob
ich identifikácie a autentizácie pri prístupe k informačnému systému,
c) rozsah zodpovednosti oprávnených osôb a osoby zodpovednej za dohľad nad ochranou
osobných údajov (§ 19),
d) spôsob, formu a periodicitu výkonu kontrolných činností zameraných na dodržiavanie
bezpečnosti informačného systému,
e) postupy pri haváriách, poruchách a iných mimoriadnych situáciách vrátane
preventívnych opatrení na zníženie vzniku mimoriadnych situácií a možností efektívnej
obnovy stavu pred haváriou.
4.1.3 Legislatívne normy pre podporu bezpečnostnej politiky
Okrem zákona č. 428/2002 Z. z. o ochrane osobných údajov existujú aj ďalšie zložky
legislatívneho prostredia, ktoré organizácia pri návrhy bezpečnosti IKT musí brať do úvahy.
Z tohto hľadiska je na Slovensku situácia nasledovná:
Od 1.4.2002 nadobudli platnosť tieto STN normy pre oblasť informačnej bezpečnosti:
• STN ISO/IEC 17799 Informačné technológie.
Kódex manažérstva informačnej bezpečnosti.
• STN ISO/IEC TR 1335-1 Informačné technológie.
Návod na manažérstvo bezpečnosti IT.
Časť 1: Koncepcie a modely bezpečnosti IT.
• STN ISO/IEC TR 1335-2 Informačné technológie.
Návod na manažérstvo bezpečnosti IT.
Časť 2: Riadenie a plánovanie bezpečnosti IT
• STN ISO/IEC TR 1335-3 Informačné technológie.
Návod na manažérstvo bezpečnosti IT.
Časť 3: Techniky pre manažment bezpečnosti IT.
• STN ISO/IEC TR 1335-4 Informačné technológie.
Návod na manažérstvo bezpečnosti IT.
Časť 4 : Výber bezpečnostných opatrení.
• STN ISO/TR 13569 Bankovníctvo a príbuzné finančné služby.
Pokyny pre informačnú bezpečnosť
V súčasnosti platia zákony:
• Zákon č. 241/2001 Z. z. o ochrane utajovaných skutočností.
• Zákon č. 215/2002 Z. z. o elektronickom podpise.
V súčasnosti platia tieto vyhlášky NBÚ:
• Vyhláška č. 2/2002 o personálnej bezpečnosti.
• Vyhláška č. 28/2002 o priemyselnej bezpečnosti.
• Vyhláška č. 88/2002 o fyzickej bezpečnosti a objektovej bezpečnosti.
• Vyhláška č. 89/2002, ktorou sa upravujú podrobnosti o certifikácii a používaní
mechanických zábranných prostriedkov alebo technických zabezpečovacích
prostriedkov.
• Vyhláška č. 90/2002 o bezpečnosti technických prostriedkov.
• Vyhláška č. 91/2002, ktorou sa ustanovujú podrobnosti o šifrovej ochrane informácií.
• Vyhláška č. 537/2002 o formáte a spôsobe vyhotovenia zaručeného elektronického
podpisu.
• Vyhláška č. 538/2002 o kvalifikovaných certifikátoch.
• Vyhláška č. 539/2002 o produktoch elektronického podpisu.
• Vyhláška č. 540/2002o podmienkach na poskytovanie akreditovaných certifikačných
služieb a o požiadavkách na audit, rozsah auditu a na kvalifikáciu audítorov.
• Vyhláška č. 541/2002o obsahu a rozsahu prevádzkovej dokumentácie vedenej
certifikačnou autoritou a bezpečnostných pravidlách a pravidlách na výkon
certifikačných činností.
• Vyhláška č. 542/2002o spôsobe a postupe používania elektronického podpisu
v obchodnom a administratívnom styku.
4.1.4 Bezpečnostné skupiny a typy účtov
Základnou formou informačnej bezpečnosti je ochrana samotného počítača. Okrem
toho, že by sa počítač mal nachádzať v bezpečnom prostredí (viď Fyzická bezpečnosť), treba
tiež chrániť prístup k informáciám uloženým v počítači. Každý používateľ počítača by preto
mal mať vytvorený svoj vlastný používateľský účet. Typ účtu zjednodušene popisuje členstvo
používateľa v bezpečnostnej skupine, t.j. jeho prístupové práva. V operačných systémoch
Windows XP rozlišujeme predovšetkým tieto 4 typy účtov:
• Správca počítača (členovia skupiny Administrators) – je skupina s najväčšími
právami, má úplnú kontrolu nad celým systémom.
• S obmedzeným prístupom (členovia skupiny Users) – je skupina, ktorá má obmedzená
privilégiá a je určená pre používateľov, ktorí nepotrebujú možnosť administrácie
systému.
• Účet hosťa (členovia skupiny Guests) – je skupina poskytujúca obmedzený prístup
• pre príležitostných používateľov a hosťov.
• Neznámy – je typ účtu, ktorý nie je členom skupín Administrators, Users ani Guests.
Obr. č.1 Prístupové práva jednotlivých účtov
Zdroj: vlastné spracovanie
Do operačného systému by sme sa mali prihlásiť vždy pod svojím účtom a heslom.
V prostredí operačného systému Windows je možnosť chrániť prístup ešte pred samotným
prihlasovaním, a to tak, že si nastavíme obrazovku zabezpečeného prihlasovania. Dialógové
okno nás najskôr vyzve ku stlačeniu kombinácii kláves Ctrl+Alt+Delete.
Obr. č.2 Dialógové okno zabezpečeného prihlasovania
Zdroj: vlastné spracovanie
Aj keď sa to môže zdať zbytočné, ide o záruku, že proces Winlogon zavolá knižnicu
Msgina.dll a že používateľské meno a heslo obdrží práve táto knižnica. Útočník totiž mohol
nainštalovať nejaký program pre kradnutie hesiel, ktorý by napodobňoval zobrazenie
prihlasovacej obrazovky a odoslal heslo útočníkovi.
4.1.5 Používateľské heslá
Heslo je informáciu, ktorá je známa obmedzenému počtu ľudí, resp. len používateľovi.
Heslo používateľovi zabezpečuje prístup k informáciám, prostriedkom. S rozvojom
informačných systémov a výpočtovej techniky nadobúda heslo veľmi významné postavenie
v metódach autorizácie prístupu. Dnešná spoločnosť si však málokedy uvedomuje riziká,
ktoré takáto forma autorizácie so sebou prináša. Človek je totiž tvor omylný, a rovnako ako
môže byť náročné heslo uhádnuť, môže byť aj veľmi jednoduché na heslo prísť. O type hesla
nás informuje jeho sila.
Sila hesla označuje stupeň obtiažnosti, s akou neautorizovaná osoba dokáže uhádnuť heslo.
Heslá sa podľa toho označujú ako silné alebo slabé, t.j. či je ťažké alebo jednoduché ich
uhádnuť. Tieto pojmy sú relatívne a závislé od konkrétneho systému overovania hesla.
Silné heslo by malo obsahovať minimálne 8 znakov, pričom je kombináciou malých
a veľkých písmen, číslic a iných symbolov, malo by byť zložité, nemalo by obsahovať žiadne
meno ani žiadne ľahko uhádnuteľné slovo a nemalo by byť nikde napísané ani uložené
v pôvodnej podobe.
K odhaleniu, resp. prelomeniu hesla môže byť použitý útok hrubou silou a slovníkový útok.
Útok hrubou silou je metóda, ktorá spočíva vo vyskúšaní všetkých možných kombinácií
znakov. Útočník zostrojí program, ktorý sa pokúša postupným vyskúšaním všetkých možností
uhádnuť heslo. Rozlúšteniu takéhoto hesla je možné zabrániť použitím dostatočne dlhého
hesla (pri súčasnom výkone počítačov sa odporúča minimálne 8 znakov).
Slovníkový útok spočíva v skúšaní všetkých slov daného jazyka. Takémuto útoku sa dá
predísť tak, že použijete heslo, ktoré nie je slovom žiadneho jazyka.
4.1.6 Šifrovanie
Šifrovanie je proces transformácie vstupných dát do podoby, v ktorej sú pre potenciálneho
útočníka nezrozumiteľné a nie je schopný rekonštruovať ich pôvodný tvar. Výsledok
šifrovania je zašifrovaný text. Proces inverznej transformácie, keď zo zašifrovaného textu
dostaneme opäť pôvodný text, sa nazýva dešifrovanie. Šifrovací i dešifrovací algoritmus je
parametrizovaný kľúčom. Rozlišujeme symetrické a asymetrické šifrovanie.
Symetrická šifra používa pre zašifrovanie aj dešifrovanie dát rovnaký kľúč. Výhoda tejto
metódy je, že pri šifrovaní i dešifrovaní nedôjde k prílišnému zaťaženiu procesora. Je teda
vhodná pre šifrovanie veľkého množstva dát v krátkom časovom úseku. Veľkou nevýhodou je
nutnosť zdieľania tajného kľúča, takže sa odosielateľ a príjemca tajnej správy musia dopredu
dohovoriť na tajnom kľúči, a taktiež nízke zabezpečenie, keďže ide o rovnaký kľúč.
Asymetrická šifra pracuje na rozdiel od symetrickej šifry s dvoma kľúčmi. Tento pár kľúčov
poskytne nadradený úrad v sieti, pričom jeden z kľúčov je k dispozícii všetkým používateľom
siete – verejný kľúč (public key) a druhý je dostupný iba pre jeho vlastníka – súkromný kľúč
(private key). V praxi to vyzerá tak, že vlastne to čo zašifrujeme verejným kľúčom sa dá
rozšifrovať iba súkromným (a naopak). Výhodou tejto metódy je vyšší stupeň zabezpečenia.
Nevýhodou je náročnosť algoritmu, ktorý zaťažuje procesor.
Symetrické šifry sa často používajú spoločne s asymetrickými. Obvyklé použitie je také,
že otvorený text sa zašifruje symetrickou šifrou s náhodne vygenerovaným kľúčom. Tento
symetrický kľúč sa zašifruje verejným kľúčom asymetrickej šifry, takže dešifrovať dáta môže
iba majiteľ tajného kľúča danej asymetrickej šifry.
Schéma č.2 Zjednodušená schéma procesu šifrovania
Odosielateľ Prijímateľ
Správa Správa
� �
Kľúč Šifrovací Kľúč
odosielateľa algoritmus prijímateľa
Zdroj: vlastné spracovanie
4.1.7 Použitie firewallu
Firewall je program alebo sieťové zariadenie, ktorého úlohou je oddeliť siete s rôznymi
prístupovými právami (typicky napr. Internet a intranet) a kontrolovať tok dát medzi týmito
sieťami. Predstavuje akúsi bariéru medzi počítačom a sieťou Internet. Kontrola údajov
prebieha na základe aplikovania pravidiel, ktoré určujú podmienky a akcie. Tomu hovoríme
Šifrovanie Prenos Dešifrovanie
filtrovanie paketov. Podmienky sa stanovujú pre údaje, ktoré možno získať z dátového toku
(napr. zdrojová, cieľová adresu, zdrojový alebo cieľový port a rôzne iné). Úlohou firewallu je
vyhodnotiť podmienky a ak je podmienka splnená, vykoná sa akcia. Dve základné akcie sú
"povoliť dátový tok" a "zamietnuť dátový tok". Po vykonaní takejto akcie firewall prestane
paket spracovávať. Pravidlá pre filtrovanie paketov môžu byť nastavené pre určitú IP adresu
alebo pre jednotlivé porty.
Pri používaní brány firewall vo Windows XP si musíme nastaviť rôzne parametre ochrany,
aby bola brána schopná blokovať alebo filtrovať prichádzajúcu či odchádzajúcu sieťovú
komunikáciu.
Obr. č.3 Možnosti nastavenia brány firewall vo Windows XP
Zdroj: vlastné spracovanie
4.1.8 Ochrana pred počítačovými infiltráciami
Najčastejším ohrozením IT bezpečnosti podniku je ohrozenie počítačovej bezpečnosti.
V takomto prípade býva zdrojom nákazy predovšetkým prienik počítačových infiltrácií
do osobného počítača alebo do lokálnej siete. Z tohto dôvodu treba poznať potenciálne riziká,
resp. učiniť vhodné opatrenia na ich elimináciu. Základným zdrojom nákazy je inštalácia
voľne šíriteľných programov stiahnutých z webu, čítanie dokumentov získaných z neznámych
a nedôveryhodných zdrojov (cudzie webové servery, emailová pošta) či obyčajná
komunikácia na Internete. Vysoko rizikovým zdrojom nákazy sú stránky ponúkajúce
nelegálne verzie komerčných programov, generátory kľúčov, sériové čísla programov
a podobne. Pri elektronickej pošte sú problematické prílohy od neznámych odosielateľov.
Antivírové systémy
Zo strany osobných počítačov je potrebné aplikovať dostatočne výkonný rezidentný
antivírový program (ďalej AV) schopný kontroly boot sektorov diskiet, súborov na disku.
V súvislosti s liečením zavírených súborov treba poznamenať, že niektoré víry sa nedajú
vyliečiť, príp. sa dajú „vyliečiť“ tak, že pôvodný súbor môže zostať nefunkčný. Celý počítač
sa tým môže znefunkčniť a je potrebné preinštalovať poškodené aplikácie alebo operačný
systém. Výhodou takéhoto postupu je zachovanie používateľských dát, zachovania
konfiguračných súborov aplikácií.
Medzi najznámejšie AV programy patria ESET NOD32 Antivirus, Norton AntiVirus,
Kaspersky Anti-Virus, AVG AntiVirus, avast! antivirus, BitDefender Antivirus, Panda
Antivirus, McAfee VirusScan a ďalšie. Okrem kontroly počítača pomocou spomínaných AV
systémov existuje aj možnosť kontroly priamo cez webové stránky niektorých AV spoločností
alebo cez rôzne špecializované informačné servery:
• www.eset.sk
• www.symantec.com
• www.grisoft.cz
• www.avir.sk
• www.secit.sk
Každý používateľ by mal rešpektovať základné pravidlá antivírovej ochrany. Tieto pravidlá
sú zhrnuté do pravidiel „Antivírusové desatoro“ dostupnej na stránke http://www.virusy.sk/.
4.1.9 Sieťové služby
V tejto kapitole sa budeme venovať sieťovým službám. Trochu podrobnejšie rozoberieme
funkčnosť, bezpečnosť a slabiny najviac využívaných sieťových služieb a protokolov.
Rovnako ako pre podnik tak i pre zákazníkov je v súčasnej dobe takmer nepredstaviteľné
komunikovať navzájom bez využitia moderných sieťových služieb. Nielenže zjednodušujú
a urýchľujú celý proces komunikácie medzi podnikom a klientom, ale navyše aj ponúkajú
nové možnosti oproti klasickým službám.
Elektronická pošta (e-mail)
Je najviac využívanou službou na Internete. Na základe toho, že e-mail využíva v podstate
každý používateľ Internetu, je službou, ktorá sa často stáva terčom rôznych útokov a vstupnou
bránou k súkromným informáciám či heslám.
Celý proces odosielania e-mailu nevyzerá zložito. E-mail napíšeme na počítači a e-mailovým
klientom (napr. Outlook Express, Microsoft Outlook) ho odošleme z e-mailovej schránky
(miesto na serveri nášho poskytovateľa pripojenia) alebo ho odošleme cez nejaký webový
server, na ktorom má používateľ vytvorenú e-mailovú schránku. Pri spojení so serverom
sa na počítači vytvárajú malé informačné bloky, tzv. Cookies. Keď sa prvýkrát vytvára
spojenie so serverom, pošle server webovému prehliadaču informácie napr. o tom, ako sme
sa na server prihlásili. Pri opätovnom kontaktovaní servera sa už okrem požiadavky posiela
aj táto informácia so zapamätanou autentifikáciou a nastaveniami. Cookies sú uložené
na pevnom disku počítača alebo si ich pamätá webový prehliadač.
Pri používaní e-mailu sa kvôli bezpečnosti aplikuje šifrovanie (viď Šifrovanie), ktoré
informácie zašifruje a po doručení dešifruje.
Ďalším problémom bezpečnosti je autentickosť obsahu a odosielateľa e-mailových správ.
Pri e-maile sa využíva elektronický (digitálny) podpis, ktorý plne zabezpečí autentickosť
obsahu a odosielateľa správy. Digitálny podpis uisťuje príjemcu o tom, že správu vytvoril
konkrétny odosielateľ a nie niekto iný, kto sa za neho vydáva, a že správa nebola počas svojej
cesty pozmenená. Pri digitálnom podpise správy e-mailový klient aplikuje na správu
jednocestnú funkciu hash. Jej výsledkom je „výťah zo správy“ (message digest), t.j. jedinečný
reťazec znakov, ktorý je odvodený z textu našej správy, ale z ktorého sa nedá odvodiť
jej pôvodná podoba. Tento je pomocou súkromného kľúča zašifrovaný a pripojený ku správe.
Na strane príjemcu sa najprv prevedie rovnaká funkcia hash a potom sa pomocou verejného
kľúča dešifruje výťah zo správy.
V jednotlivých e-mailových klientoch si môžeme nastaviť rôzne možnosti zabezpečenia
elektronickej pošty. Ak používame napr. program Outlook Express (ktorý je
súčasťou operačného systému Windows XP), mali by sme si hneď po nainštalovaní zapnúť
funkciu blokovania nebezpečných príloh, pretože štandardne je vypnutá.
Obr. č.4 Možnosti zabezpečenia aplikácie Outlook Express
Zdroj: vlastné spracovanie
V súčasnosti je veľmi rozšírené hromadné rozposielanie nevyžiadaných správ, tzv.
spamming. Spam je nežiadúci nielen z ekonomického hľadiska - ak si používateľ prezerá
poštu, vynakladá náklady na to, aby si mohol túto poštu vyzdvihnúť (telekomunikačné
poplatky, poplatky za signál internetu, časové náklady).
Na ochranu proti nevyžiadanej pošte sa používajú antispamové programy (napr.
SpamWeasel, SpamKiller, SpamEater) a antispamové nástroje, ktoré sú súčasťou
antivírových systémov (napr. ESET Smart Security, Norton Internet Security, AVG Internet
Security, BitDefender Total Security). Takisto je možnosť kontroly aj formou on-line služieb
(napr. SpamCop). Bližšie informácie o problematike sú na adrese http://www.antispam.cz/.
Obr. č.5 Príklad e-mailového spamu
Zdroj: vlastné spracovanie
World Wide Web
Služba WWW (World Wide Web) v dnešnej dobe definuje internet ako taký. Za posledných
niekoľko rokov sa však obsah webových stránok výrazne zmenil. A to nielen z hľadiska
dizajnu, ale aj z hľadiska možností poskytovania rôznych služieb.
Hlavným problémom bezpečnosti služby WWW sú práve aplikácie zabezpečujúce
interaktívnu komunikáciu používateľa a aplikácií na webovom serveri. Dôvodom je to, že
každá aplikácia vlastne predstavuje počítačový (binárny, spustiteľný) kód, ktorý môže byť
nainfikovaný počítačovou infiltráciou (napr. počítačovým červom alebo trójskym koňom).
Tieto dáta sú po potvrdení používateľom automaticky stiahnuté zo servera na lokálny počítač
a následne spustené operačným systémom.
Obr. č.6 Varovanie stiahnutia nebezpečného softvéru
Zdroj: vlastné spracovanie
Veľmi často dochádza k tomu, že takýto nebezpečný počítačový kód je stiahnutý
webovým prehliadačom na počítač bez potvrdenia súhlasu používateľom. Takýto prípad je
väčšinou dôsledkom bezpečnostnej chyby v programe webového prehliadača alebo
operačného systému. Dôležité je i nastavenie úrovne ochrany a zabezpečenia prehliadača,
niektorí používatelia si nastavujú vlastnú úroveň stupňa ochrany. Odporúča sa nastavenie
zabezpečenie zóny Internet a intranet, zoznamu dôveryhodných serverov a serverov
s obmedzeným prístupom (Obr. č.7).
I napriek tomu môžu webové stránky „ublížiť“ . Napríklad pri chybnom zadaní webovej
adresy je používateľ presmerovaný na stránky, ktoré obsahujú nepriateľský kód. Ďalším
nebezpečenstvom je spúšťanie aktívneho obsahu, t.j. skriptov a spustiteľných objektov
(ActiveX a Java applety). Tieto prvky je možné tiež nastaviť podľa vlastnej potreby.
Obr. č.7 Možnosti zabezpečenia Internetu
Zdroj: vlastné spracovanie
Elektronické obchodovanie
Elektronické obchodovanie (eCommerce) je nakupovanie a predávanie výrobkov alebo
služieb prostredníctvom elektronických systémov za použitia IKT. Komunikácia účastníkov
prebieha prostredníctvom počítačových sietí, počítačov, ich príslušenstva a telekomunikácií.
Touto cestou sa uskutočňuje veľké množstvo obchodovania, pričom sa využívajú inovácie
pomocou elektronických prevodov peňažných prostriedkov na účtoch, internetový marketing,
elektronická výmena dát (EDI), on-line spracovanie transakcií, a iné. Moderné elektronické
obchodovanie obyčajne využíva služby WWW a e-mail.
Zavedenie EDI výrazným spôsobom presúva ťažisko spracovania informácií na počítačový
systém. Odbúrava prácu s papierovými médiami a výrazne zvyšuje rýchlosť a efektívnosť
spracovania. Zároveň však zvyšuje nároky na bezpečnosť v počítačových systémoch.
Na ochranu správ pri prenose, autorizáciu informácií, kontrolu autenticity prijatých údajov sa
používajú prostriedky a metódy modernej kryptografie (viď Šifrovanie). Aplikácia modernej
kryptografie v EDI umožňuje do správ zabudovať prvky, ktoré jednoznačne identifikujú
pôvod správy i osobu zodpovednú za odoslanie správy. Chránia nenarušiteľnosť a dôvernosť
údajov elektronického dokumentu počas prenosu a vytvárajú mechanizmy (viď Bezpečnostné
mechanizmy), ktoré odosielateľovi poskytujú preukázateľné potvrdenie, že správa, ktorú
odoslal, bola adresátom prijatá.
Elektronické bankovníctvo
Moderné informačné a telekomunikačné technológie v súčasnosti rozširujú bankovníctvu jeho
možnosti. Klasické formy bankovníctva postupne zastarávajú. Sú totiž pomalé a nákladné tak
pre klienta, ako i pre banku. Nahrádzajú ich nové formy elektronického bankovníctva,
ktorých postupné zavádzanie medzi bankové služby zohráva významnú úlohu
v konkurenčnom prostredí medzi bankami. Zisťovať výšku úrokov, kurzov devíz alebo
ponuku produktov je možné z web stránku banky. Klient komunikuje s bankou na diaľku
s použitím moderných komunikačných médií - počítača, telefónu, modemu, platobnej karty.
Charakteristickou črtou týchto služieb je možnosť nepretržitého prístupu klienta k svojmu
účtu, teda nezávislosť od otváracích hodín banky, pohodlné vykonávanie domáceho
a zahraničného platobného styku priamo z domu či pracoviska.
Takáto forma bankovníctva poskytuje vďaka elektronickým distribučným cestám rozličné
produkty a služby ako napr. prijímanie depozitov, vedenie účtov, finančné poradenstvo,
elektronické peniaze a pod. Medzi formy elektronického bankovníctva patria homebanking,
internetbanking, telephonebanking, mailbanking, mobilbanking, SMS banking a databanking.
Na ochranu bezpečnosti služieb elektronického bankovníctva sa používa šifrovaný protokol
HTTPS (Secure HTTP). Tento protokol posiela informácie Internetom v zašifrovanej podobe,
takže okrem daného webového serveru (napr. serveru danej banky), sú tieto informácie
nečitateľné a teda nepoužiteľné. Tento protokol by sa mal využívať pri akejkoľvek autorizácii
a prihlásení na Internete.
Obr. č.8 Zjednodušený model komunikácie v elektronickom bankovníctve
Zdroj:
http://www.dcs.fmph.uniba.sk/diplomovky/obhajene/getfile.php/diplomovka_final.pdf?id=74
&fid=128&type=application%2Fpdf
Prenos a zdieľanie súborov
Na prenos súboru sa využíva protokol FTP (File Transfer Protocol). Tento protokol
v klasickej forme prenáša informácie nešifrovane, čo je veľmi nebezpečné. Napriek tomu sa
dnes ešte stále vo veľkej miere využíva. Na bezpečnejší prenos súborov slúži protokol SFTP
(Secure FTP). Tento protokol pri prihlasovaní a prenášaní súborov aplikuje šifrovanie
pomocou SSL (Secure Socket Layer). Nevýhodou je, že šifrovanie samotný proces prenášania
súborov značne spomaľuje.
Veľmi populárnymi aplikáciami na prenos a zdieľanie súborov sú v súčasnosti P2P (Peer-to-
Peer) systémy ako napr. KaZaA, DC++, eMule, BearShare. Prenos súborov týchto systémoch
je nezašifrovaný, niektoré dokonca v sebe zahŕňajú rôzne počítačové infiltrácie. Využívanie
podobných aplikácií je v rozpore so zákonom, pretože P2P siete distribuujú nelegálne
materiály (sťahovanie hudby, filmov, hier, pornografie a pod.).
Virtuálna privátna sieť a demilitarizovaná zóna
Môže nastať situácia, kedy budeme musieť vzdialeným užívateľom alebo obchodným
partnerom umožniť rozšírený prístup k podnikovým zdrojom. Najlepším variantom je v tomto
prípade pripojenie prostredníctvom virtuálnej privátnej siete (VPN). Pre komunikáciu sa vždy
požadujú príslušné autentizačné a šifrovacie protokoly. Server je umiestnený
v demilitarizovanej zóne (DMZ). DMZ je sieť, ktorá sa používa na servery so službami
prístupnými z Internetu.
Pri používaní DMZ pre poskytovanie určitých zdrojov používateľom Internetu musia byť
realizované rôzne bezpečnostné opatrenia:
• Pri prístupe k webovému serveru prebieha komunikácia najmä cez protokol HTTP a FTP.
Na externom firewall-i uvoľniť porty (napr. port 80 pre http, port 20 pre prenos dát, port
443 pre HTTPS).
• Pre verejný prístup sa používa aj aplikačný server, ktorý sa nachádza za interným
firewallom v privátnej sieti. Webový server komunikuje cez príslušné porty s aplikačným
serverom, napr. port 1433 pre server SQL.
Obr. č.9 Príklad infraštruktúry komponentov v lokalite prepojenej pomocou Internetu
Zdroj: http://www.svetsiti.cz/view.asp?rubrika=Technologie&clanekID=208
Na obrázku č.9 sú zobrazené niektoré komponenty, ktoré chránia lokalitu pred útokmi
zvonka a zároveň chránia Internet pred útokmi vnútorných užívateľov. Ide najmä o firewall,
DMZ smerovač, vnútorný smerovač a detekciu narušenia (IDS). DMZ smerovač poskytuje
doplnkovú ochranu a je potrebný najmä v prípade, že firewall nie je súčasťou chránenej siete.
DMZ smerovač prepúšťa všetky služby poskytované servermi v DMZ a blokuje všetky ďalšie
druhy prevádzky. V prípade, že firewall prevádza preklad adries (NAT), potom DMZ
smerovač overuje, že všetky spojenia pochádzajú z firewallu. Interní smerovač musí byť
nakonfigurovaný tak, aby chránil firewall a DMZ pred vnútorným útokom. Filtre
na vnútornom smerovači musia zohľadňovať politiku firewallu a poskytovať dodatočnú
úroveň bezpečnosti. Detekcia narušenia (IDS) je bezpečnostný nástroj, ktorý zbiera a
analyzuje informácie z rôznych sietí alebo počítačov. Jeho hlavným cieľom je vyhodnotiť
v reálnom čase neautorizovanú aktivitu. Hlavnou výhodou sieťových IDS je, že nemajú dopad
na rýchlosť spracovania. Tieto systémy nemôžu zachytiť útok, ktorý nie je podložený
v databáze vzorov a preto sa databáza musí pravidelne aktualizovať.
Interaktívna komunikácia
Na interaktívnu komunikáciu nám slúži systém Instant Messaging (IM). Jedným z prvých
komunikačných protokolov IM bol IRC (Internet Relay Chat). Asi najznámejším klientom je
mIRC. Tento program má bohatú minulosť, čo sa týka bezpečnostných incidentov.
Pre zvýšenie úrovne bezpečnosti sa zvykne odporúčať používateľom, aby sa vyhýbali tomuto
programu. Medzi najznámejšie interaktívne komunikačné programy patrí MSN Messenger,
AOL Instant Messenger, Yahoo! Messenger, ICQ a XMPP (Jabber). Program ICQ je
rozšírený o mnoho klientov pre rôzne operačné systémy napr. Miranda IM, Trillian, QIP,
SIM, GnomeICU, Licq, Adium, Fire. Komunikácia cez IM štandardne šifrovaná nie je.
Niektorí klienti však podporujú zásuvné moduly, ktoré šifrovanie umožňujú.
Obr. č.10 Komunikačný program ICQ
Zdroj: http://www.netday.cz/2007/08/25/maros-gajdos/it-hardware/62/
Okrem spomínaných IM programov v textovej forme existujú aj IM, ktoré zabezpečujú
prenos multimediálnych dát. Najznámejším takýmto komunikačným programom je Skype.
Nevyžiadané správy doručené prostredníctvom IM označujeme ako spim. Niektorí IM klienti
však už v sebe obsahujú rôzne nástroje na antispamovú ochranu.
4.2 Bezpečnostná politika vybraného podniku
4.2.1 Charakteristika podniku
Slovenská sporiteľňa, a.s. (ďalej len SLSP, a.s.) je bankou s najdlhšou tradíciou
sporiteľníctva na Slovensku, korene ktorého siahajú až do 19. storočia. V roku 1990 získala
SLSP, a.s. univerzálnu bankovú licenciu a rozšírila služby aj v segmente inštitucionálnych
a podnikateľských klientov. V roku 1991 začala pôsobiť aj na peňažnom a kapitálovom trhu.
Po podpise zmluvy medzi Ministerstvom financií SR a Erste Bank der österreichischen
Sparkassen AG o predaji majoritného balíka akcií, ktorý sa uskutočnil v januári 2001, bola
banka začlenená do silnej finančnej skupiny Erste Bank der oesterreichischen Sparkassen AG.
SLSP, a.s. je v súčasnosti s počtom klientov 2,5 milióna najväčšou komerčnou bankou
na Slovensku. Je najväčšou retailovou bankou na Slovensku s úplnou devízovou licenciou
a povolením na vykonávanie hypotekárnych bankových obchodov. Má najväčší podiel na trhu
celkových aktív, úverov a vkladov, najrozsiahlejšiu sieť vlastných obchodných miest
a bankomatov a má tiež dominantné postavenie v oblasti vydávania bankových platobných
kariet. Svojim klientom poskytuje širokú škálu produktov a služieb, od tradičných bežných
účtov, rôzne typy vkladných knižiek, termínované vklady a služby platobného styku,
až po najmodernejšie služby elektronického bankovníctva. Komplexné bankové služby
poskytuje prostredníctvom 274 obchodných miest a 10 obchodných centier vo všetkých
regiónoch Slovenska.
V roku 2007 získala SLSP, a.s. ocenenie “Najlepšia banka na Slovensku“ od Global
Finance. Taktiež získala titul “Banka s najlepšou úrovňou riadenia v krajinách strednej a
východnej Európy“ v treťom ročníku udeľovania ocenení pre spoločnosti s najlepšou úrovňou
riadenia (Best Managed Companies 2007), ktoré vyhlasuje prestížny časopis Euromoney.
Ocenenie vychádza z výsledkov prieskumu medzi analytikmi vedúcich bánk a výskumných
inštitúcií v regióne (celkovo 64 respondentov). Ako jediná banka na Slovensku získala aj
ocenenie od Deutsche Bank za kvalitu zasielania a prijímania platieb v USD. Toto ocenenia
dostáva pravidelne už od roku 2002.
Organizačná štruktúra podniku
Základná štruktúra SLSP, a.s. je odvodená od typu spoločnosti, t.j. akciová spoločnosť. V čele
spoločnosti stojí predseda predstavenstva a zároveň generálny riaditeľ, pod ním
je podpredseda predstavenstva a samotní členovia predstavenstva, ďalej nasledujú riaditelia
divízii a jednotlivé divízie. V každej divízii sú rozčlenené rôzne úseky (odbory, sekcie)
na čele s riaditeľmi jednotlivých odborov, v rámci odborov sú rozličné oddelenia
aj s vedúcimi oddelení a samotných zamestnancov jednotlivých oddelení. Počet
zamestnancov v banke je rádovo v tisícoch, na oddelení Bezpečnosti IS je to rádovo
v jednotkách zamestnancov. Približná organizačná štruktúra a.s. je na schéme (viď Príloha
č.1).
4.2.2 Stav informačných technológií v podniku
SLSP, a.s. je vybavená súčasnými modernými informačnými technológiami
dostupnými na trhu. Pracovné stanice tvoria štandardné desktopové počítače s operačným
systémom Windows XP Professional Service Pack 2, pričom všeobecne platí, že jednému
zamestnancovi pripadá jedna pracovná stanica. Na prevádzku bankového systému slúžia IBM
Mainframe s operačným systémom UNIX (vždy sa aktualizuje najnovšia verzia). Na sieťovú
infraštruktúru sa používajú routre a switche (operačný systém Cisco IOS). Na webových
a databázových serveroch sú dostupné operačné systémy UNIX a Linux Red Hat (najnovšie
verzie) a na Exchange serveroch je tiež operačný systém Windows Server s aplikáciou MSAD
(Microsoft Active Directory). Z hľadiska aplikačného softvéru sa najčastejšie využívajú
programy ako kancelársky balík Microsoft Office 2003 Professional, Microsoft Visio
a Microsoft Project, rôzne aplikácie pre tretie strany, aplikácia pre vzdialený prístup Remote
Access (VPN) – Checkpoint, pre terminálový prístup aplikácia Citrix a databázové systémy
ORACLE a SYBASE pracujúce v jazyku SQL. Prístup na databázové servery z pracovných
staníc je realizovaný tenkým klientom, a to buď protokolom HTTP, resp. HTTPS, avšak
niektoré aplikácie si vyžadujú prístup prostredníctvom ORACLE Forms.
4.2.3 Sieťová infraštruktúra podniku
Z hľadiska sieťovej infraštruktúry organizácie je SLSP, a.s. tvorená počítačovou
sieťou LAN (Local Area Network), pričom poskytovateľom pripojenia sú prevádzkovatelia
internetových sietí. Zamestnanci majú povolený štandardný prístup na Internet, t.j. formou
protokolov HTTP a HTTPS. Na pracovných staniciach nie je povolený pre zamestnancov
FTP prístup. Pre administrátorov serverov je povolený v závislosti od ich činnosti.
Administrácia siete je realizovaná vlastnými pracovníkmi, niektoré služby sú však
outsourcované. Skladba IT oddelenia je závislá od pracovného zaradenia. Jednotlivý IT
pracovníci organizácie sú dedikovaní podľa typu podpory pre banku - business. Sú tu
rozčlenené skupiny pre internú prevádzku sieťovej podpory, prevádzku aplikácií na báze
operačného systému Windows a aplikácií na UNIX/LINUX platforme, prevádzku e-mailovej
komunikácie a MSAD, prevádzku webových serverov, prevádzku core bankového systému,
elektronického bankovníctva a treasure, prevádzku call centra, a iné.
4.2.4 Stav bezpečnostnej politiky podniku
Bezpečnostná politika podniku je základný dokument subjektu, obsahujúci predstavu
vedenia o riešení bezpečnosti a základné požiadavky na jednotlivé bezpečnostné oblasti
celého IS podniku. Najzávažnejším dokumentom je bezpečnostná stratégia, na základe ktorej
si organizácia vytyčuje hlavné ciele a zámery bezpečnostnej politiky. Zámer bezpečnostnej
politiky organizácie vymedzuje základné bezpečnostné ciele, ako chrániť údaje a informácie
v banke (osobné informácie, bussiness informácie, bankové tajomstvo) a tiež postupy ako
zabezpečiť plnenie týchto cieľov.
4.2.4.1 Ciele bezpečnostnej politiky podniku
Globálnym cieľom bezpečnostnej politiky SLSP, a.s. je eliminácia hrozieb, rizík
a iných bezpečnostných incidentov pôsobiacich na informačný systém organizácie z hľadiska
narušenia jeho bezpečnosti, spoľahlivosti a funkčnosti. Parciálnymi cieľmi sú zabezpečenie
dôvernosti a integrity údajov IS organizácie, zabezpečenie dostupnosti kľúčových aktív IS,
zabezpečenie aktív IS pred neautorizovaným prístupom do IS organizácie, zabezpečenie
šifrovania služieb IS a zabezpečenie používania licencovaného programového vybavenia.
4.2.4.2 Stav fyzickej bezpečnosti
Prístup do miestností s počítačmi, servermi, archívmi médií je chránený
elektronickými čítačkami čipových kariet. Každý zamestnanec podniku má jednu prístupovú
kartu, ktorá obsahuje čip s jedinečným kódom. Priložením karty na čítačku sa prihlasuje
pod svojím identifikačným číslom – user ID. Nie každý zamestnanec má prístup všade, ale ak
má prístup do nejakej miestnosti či systému, hlási sa výlučne pod svojim kontom. Pracovisko
je tiež rozdelené do jednotlivých pracovných zón vybavených kamerovým systémom
a poplašnými zariadeniami.
4.2.4.3 Stav personálnej bezpečnosti
Každý zamestnanec podniku má tiež vytvorené svoje používateľské konto pre prístup
do IS, prístupy sú centrálne riadené, monitorované a vyhodnocované, zmeny (odchody,
príchody) sú pravidelne evidované. Používateľ pracovnej stanice sa prihlasuje do operačného
systému svojim účtom vytvoreným v skupine Users, teda má obmedzené práva. Pod účtom
Administrators sa hlásia iba správcovia sietí.
4.2.4.4 Stav režimovej bezpečnosti
Režimová bezpečnosť nám zabezpečuje dodržiavanie bezpečnostných štandardov,
t.j. štandardov riadenia informačnej bezpečnosti, a definuje interné smernice pre bezpečnosť
a prevádzku IS. Interná smernica je dokumentom, ktorý je záväzný pre všetkých
zamestnancov. V týchto smerniciach nájdeme pravidlá bezpečnosti v oblasti Internetu, e-
mailu, komunikácie (šifrovacie funkcie – DES, RSA, AES a hashovacie funkcie – MD5,
SHA-1, SHA-2) a v oblasti pripojenia tretích strán do siete podniku. Takisto sú tu definované
nastavenia sieťovej infraštruktúry, operačných systémov, webových, aplikačných
a databázových serverov.
4.2.4.5 Stav programovej bezpečnosti
Programová bezpečnosť je zabezpečovaná najmä formou pravidelnej aktualizácie
operačných systémov na jednotlivých počítačoch, inštalovaním rozličných opravných
nástrojov (záplaty, patche). Na každej pracovnej stanici je nainštalovaný antivírový softvér
NOD32 a antispamové nástroje na e-mailových klientoch. Zálohovanie a archivácia údajov
sa vykonáva centrálne na serveroch, nie je možné archivovať vlastné údaje. Politikou obnovy
po havárií serverov sa zaoberajú dva dokumenty - Bussiness Continuity Plan a Bussiness
Continuity Management (obsahujú informácie o ochrane pred stratou dát pri výpadkoch
systémov, živelnej pohrome, a pod.).
4.2.4.5 Stav dátovej bezpečnosti
Údaje v prevádzkovaných aplikačných programoch sú chránené (napr. proti
prepísaniu, resp. vymazaniu) prístupovými právami jednotlivých pracovných staníc
a administrátormi (majú dedikované práva a každý prístup je monitorovaný). Pracovné stanice
nemajú práva na inštalovanie, ak užívateľ danej pracovnej stanice požiada o inštalovanie
nejakého softvéru, musí to schváliť centrála podpory IT.
4.2.4.6 Stav komunikačnej bezpečnosti
Všetky údaje sú prenášané výhradne v šifrovanej (kryptovanej) forme
prostredníctvom štandardných protokolov (SSH, SSL), rôznych šifrovacích algoritmov a
vydávaných certifikátov. Okrem šifrovania je bezpečnosť komunikácie z banky/do banky
realizovaná prostredníctvom firewallov a DMZ - zabezpečujú banku pred zneužitím dát.
4.2.5 Demilitarizovaná zóna
V prípade potreby vyššieho stupňa bezpečnosti je nutné fyzicky oddeliť siete,
na ktorých sa nachádza proxy server a pracovné stanice koncových užívateľov. Takto
vytvorená sieť, ktorá predstavuje medzistupeň medzi Internetom a privátnou sieťou,
sa nazýva demilitarizovaná zóna (DMZ). Spojenie s Internetom je filtrované jedným alebo
viacerými firewallmi a aplikačnou bránou (proxy serverom). Na demilitarizovanú zónu
je možné vystaviť aj servery, ktoré poskytujú verejné služby Internetu. Riziká spojené
s prevádzkou týchto serverov len minimálne ovplyvnia vnútornú sieť. SLSP, a.s.
má vytvorenú viacvrstvovú DMZ a vyšší stupeň ochrany (viacero firewall-ov). Čím je
vytvorených viacero bezpečnostných vrstiev, tým zabránime existencii jednotného bodu
zlyhania (single point of failure). Ak by chcel útočník získať dáta, musel by prekonať všetky
vrstvy.
4.2.6 Elektronické bankovníctvo
SLSP, a.s. využíva všetky najmodernejšie spôsoby elektronického bankovníctva.
Okrem iných ponúka aj služby ako homebanking, internetbanking, mobilbanking,
mailbanking, telephonebanking, SMS banking a databanking.
Homebanking
Homebanking je najstaršou službou elektronického bankovníctva. Je to elektronická výmena
dát medzi bankou a klientom, keď softvér, ktorý je nainštalovaný na strane klienta
automaticky zabezpečuje výmenu dát, pripravených na prenos medzi bankou a klientom
prostredníctvom telekomunikačných sieti. Prostredníctvom homebankingu môže klient
komunikovať priamo s pobočkou SLSP, a.s. 24 hodín denne, 7 dní v týždni bez obmedzenia
počtu volaní. Podmienkou služby je však technické a programové vybavenie:
• počítač typu PC/AT (486 a vyšší) s operačným systémom MS Windows 98 a viac,
• modem, telefónna prípojka/ pripojenie do siete Internet,
• špeciálny softvér na komunikáciu s bankou.
Nevýhodou homebankingu je nefunkčnosť v iných operačných systémov (UNIX/Linux).
V súčasnosti sa homebanking dostáva do úzadia, nahrádza ho podstatne komfortnejší
internetbanking.
Internetbanking
Internetbanking je obdobou homebankingu na kvalitatívne vyššej úrovni prostredníctvom
internetového prehliadača. K identifikácii klienta je využívaný identifikačný kód. Po otvorení
webovej stránky internetbankingu príslušnej banky sa musí klient správne identifikovať
(prihlásiť sa pod svojim kontom) a môže uskutočňovať rozličné operácie so svojimi účtami.
Pri práci s aplikáciou internetbankingu si treba všímať bezpečnostné prvky webovej stránky -
zámok na spodnej lište prehliadača musí byť zamknutý (zabezpečenie šifrovania SSL
protokolom) a v URL adrese musí byť použitý protokol HTTPS (https://ib.slsp.sk/) (viď
Príloha č.2 ).
Okrem toho je potrebné mať pre stránku https://ib.slsp.sk/ povolené prijímanie cookies
a komunikáciu na porte 443. Internetbanking funguje prostredníctvom Java appletu, preto
používateľ musí mať povolené aktívne skriptovanie JavaScript. Bližšie podrobnosti
o nastavení webových prehliadačov Internet Explorer a Mozilla Firefox sú na webovej stránke
SLSP. Správnu funkciu internetbankingu môže ovplyvňovať aj nastavenie osobného
firewallu, ktorý môže blokovať vyššie uvedené vlastnosti. Internetbankingový server
sporiteľne https://ib.slsp.sk/ má bezpečnostný certifikát vydaný celosvetovo uznávanou
certifikačnou autoritou VeriSign.
Mobilbanking
Mobilbanking (kedysi GSMbanking) je komunikácia medzi klientom a bankou formou
krátkych textových správ (SMS) v mobilnej sieti. SMS správa od klienta obsahuje výzvu
na server banky, ktorý spracuje požiadavku a odpoveď je opäť vo forme SMS správy
odoslaná klientovi. Prostredníctvom mobilbankingu môžeme zadávať platobné príkazy,
získavať informácie o zostatku na účte a pod. SLSP, a.s. poskytuje službu mobilbanking
k bežným korunovým a k devízovým účtom.
Mailbanking
Táto služba využíva verejnú komunikačnú sieť Internet. Jej cieľom je poskytnúť klientovi
promptné informácie o operáciách zrealizovaných na jeho účte v elektronickej forme. Služba
je využívaná na zasielanie výpisov z nášho účtu.
Telephonebanking
Služba, ktorá umožní prostredníctvom telefónneho prístroja s tónovou voľbou zistiť
všeobecné bankové informácie, aktuálne informácie o účte a zrealizovať tuzemské platobné
príkazy v slovenskej mene a platobné príkazy v cudzej mene v rámci banky.
SMS-banking
Ide o službu založenú na princípe prijímania krátkych textových správ (SMS) na mobilný
telefón klienta. Služba je určená pre tých, ktorí potrebujú priebežne sledovať stav finančných
prostriedkov na svojom účte.
Databanking
Databanking funguje prostredníctvom štandardizovaného rozhrania, ktoré umožňuje bezpečnú
automatizovanú výmenu dát medzi klientom a bankou. Službou Databanking si môžeme
prispôsobiť elektronické bankovníctvo našim individuálnym užívateľským potrebám. Súčasne
minimalizujeme riziká vzniku chýb spojené s manuálnymi exportnými a importnými
operáciami, ktoré sú nutné pri využívaní iných služieb (homebanking, Internetbanking).
SLSP, a.s. má bezpečnosť služieb elektronického bankovníctva realizovanú
na princípe svetových štandardov:
• vstup do programu je proti nepovolaným osobám chránený prístupovým heslom, ktoré
môže mať rôznu úroveň prístupových práv,
• zadefinovanie ľubovoľného počtu používateľov a účtov s možnosťou individuálneho
prideľovania prístupových práv,
• každá vykonaná operácia sa automaticky zaznamenáva do žurnálu,
• pri spojení s bankou sú dáta podpísané elektronickým podpisom RSA (1024 bitový kľúč).
Ide o princíp asymetrického šifrovania s použitím dvoch kľúčov,
• všetky dáta sú počas komunikácie s bankou šifrované.
4.2.7 Počítačové bankové krádeže
V súčasnosti SLSP, a.s. varuje, že najčastejším spôsobom ohrozenia bezpečnosti
podniku sú počítačové bankové krádeže - phising a pharming, ktoré zneužívajú osobné údaje
klientov banky. Sú to ďalšie spôsoby pokusov ako získať citlivé osobné informácie (údaje
o platobnej karte, meno a heslo k nejakej službe, a pod.) prostredníctvom falošných e-mailov
a falošných webových stránok.
Phishing je falošný e-mail, ktorý vyzerá, ako by ho zaslala banka, v ktorej má klient účet.
V takomto e-maily vás „banka“ zdvorilo žiada o overenie totožnosti a ďalších údajov (napr.
čísla kreditnej karty či prístupových kódov). Phishing môže obsahovať skrytý vírus alebo
trójskeho koňa, ktorý sa bez vedomia používateľa nainštaluje do počítača.
Pharming je založený na zmene DNS (Domain Name System) položiek. Používateľ navštívi
webové stránky banky, ktoré však v skutočnosti nie sú originálnymi stránkami banky, ale
falošnými. Dizajn stránok je podobný alebo skoro rovnaký ako oficiálne stránky banky.
Návštevník stránky preto ani nemusí zistiť, že má otvorenú falošnú webovú stránku.
Príklady phishingu a pharmingu (viď Príloha č. 3-9)
V Prílohe č.3 je znázornený falošný e-mail, ktorý má vzbudiť dojem, že je odoslaný
z e-mailovej adresy banky. Klient si má kliknutím na linku odblokovať konto
Internetbankingu. Kliknutím na linku sa môže spustiť inštalácia trójskeho koňa.
V Prílohe č. 4 adresa v adresnom riadku nezodpovedá originálnej adrese webovej stránky
banky - klient bude presmerovaný na falošnú stránku, na ktorej je skopírovaný dizajn
Internetbankingu. Stránka nie je totiž zašifrovaná cez protokol HTTPS a vpravo dolu,
v spodnom riadku webového prehliadača chýba žltý zámok, symbol certifikovanej stránky. Je
pridaný riadok "PIN kardy". Tento údaj banka po klientovi nikdy nepožaduje!
V Prílohe č.5 je podvodná stránka on-line formulára, ktorá má vzbudiť dojem, že je stránkou
banky. Banka však nikdy od klienta nepožaduje zadanie čísla karty, dátum ukončenia
platnosti karty a ani PIN kód karty uvedenou formou.
V Prílohe č.6 je zobrazená podvodná stránka, na ktorej je skopírovaný dizajn
Internetbankingu ako obrázok. Väčšinou je funkčných len zopár políčok, ktoré klienta
presmerujú na falošné stránky.
V Prílohe č.7 je falošná stránka, ktorá po klientovi požaduje zadanie jednotlivých číselných
kombinácií z GRID karty.
V prílohe č.8 je falošná stránka, ktorá po klientovi požaduje zadanie jednotlivých číselných
kombinácií z EOK karty.
Spôsoby predchádzania riziku zneužitia údajov
Nikdy nevpisovať autorizačné údaje (t.j. číslo karty, dátum ukončenia platnosti karty, PIN
kód karty alebo jednotlivé pozície z GRID karty) do formuláru na webovej stránke, ani
do žiadneho podobne vyzerajúceho formuláru. Žiadna oprávnená osoba z ktorejkoľvek banky
nikdy nežiada o zadanie viac ako jedného poľa z GRID karty. Ignorovať e-maily, ktoré
od spomínané údaje požadujú a dodržiavanie obozretnosti pri výbere adries webových
stránok, ktoré sú e-mailových správach od neznámych odosielateľov.
Používateľa chráni aj kvalitný webový prehliadač. Prehliadače so zabudovanou detekciou
falzifikovaných stránok umožňujú efektívnu obranu. Príkladom je prehliadač Mozilla Firefox,
ktorý má od verzie 2.0 zabudovanú automatickú detekciu, ktorá spolupracuje
s rozsiahlou databázou spoločnosti Google. Používateľ, ktorý používa prehliadač
so zabudovanou funkciou detekcie falošných stránok je automaticky upozornený na falošnú
stránku (viď Príloha č.9). To, či prehliadač má zabudovanú antiphishingovú funkcionalitu,
zistíme na domovských stránkach nášho prehliadača.
4.2.8 Návrh opatrení pre zvýšenie bezpečnosti IKT
SLSP, a.s. má vzhľadom na svoju bezpečnostnú politiku vysokú úroveň zabezpečenia
a ochrany dát v informačnom systéme podniku. Pravidelne sa stará a kontroluje dodržiavanie
bezpečnostných cieľov podniku. Využíva najmodernejšie informačné a komunikačné
technológie. SLSP, a.s. na používateľských PC nepoužíva operačný systém Windows Vista,
čo je však pochopiteľné, pretože neexistuje zatiaľ verzia, ktorá by vyhovovala všetkým
bezpečnostným prvkom, daný operačný systém obsahuje veľa chýb a tiež nie je kompatibilný
s rozličným aplikačným softvérom. Všetky stupne bezpečnosti sú dokonale zabezpečené,
či už z hľadiska fyzického prístupu alebo počítačovej bezpečnosti.
SWOT analýza podniku
SWOT analýza je nástrojom strategického plánovania. Analyzuje silné (S-strenghts) a slabé
stránky (W-weaknesses) podniku, ako i príležitosti (O-opportunities) a riziká (T-threats)
vonkajšieho prostredia.
Tabuľka č.1 SWOT analýza spoločnosti Slovenská sporiteľňa, a.s.
SILNÉ STRÁNKY PODNIKU SLABÉ STRÁNKY PODNIKU
- dlhoročná tradícia
- imidž spoločnosti
- verní zákazníci
- výborné finančné výsledky
- kvalifikovaní pracovníci
- kvalifikované riadenie
- ekonomická stabilita
- záujem o absolventov VŠ
- absencia WAP technológie ako služby elektronického obchodovania
- nízky počet ponúkaných pracovných pozícií na trhu práce
PRÍLEŽITOSTI PODNIKU HROZBY PODNIKU
- posilňovanie pozície na súčasných trhoch
- rozšírenie sortimentu tovaru a služieb
- vylepšovanie a zdokonaľovanie služieb pre zákazníkov
- rozšírenie spolupráce organizácie so SŠ a VŠ
- aktualizácia bezpečnostných systémov
- nárast domácej i zahraničnej konkurencie
- odchod kvalifikovaných pracovníkov do zahraničia
- neustále ohrozovanie zo strany počítačových infiltrácií, predovšetkým vo forme phishingu a pharmingu
Zdroj: vlastné spracovanie
K eventuálnemu zlepšeniu ochrany a zvýšeniu bezpečnosti by prospel prechod
na komplexnejšiu softvérovú ochranu dát pred počítačovými infiltráciami. V súčasnosti
SLSP, a.s. využíva antivírový softvér ESET NOD32 Antivirus, pričom existuje už novšia
verzia tohto antivírového systému vo forme softvéru ESET Smart Security, ktorý obsahuje
okrem spomínanej antivírovej ochrany aj ďalšie nástroje na ochranu dát ako osobný firewall,
antispyware a antispamovú ochranu.
5 Záver
Problematika bezpečnosti informačných systémov je veľmi komplikovaná a rozsiahla.
Zaoberá sa ňou veľké množstvo počítačových špecialistov. Píše sa o nej nespočetné množstvo
kníh a článkov. Táto práca nás uvádza do tejto problematiky, poukazuje na nedostatočnosť
technického a finančného riešenia problémov bezpečnosti a informuje o potrebe bezpečnej
a spoľahlivej prevádzky IS (externej/internej) organizácie v oblasti bankovníctva
a poskytovania služieb prostredníctvom IKT.
Práca tiež poukazuje na závislosť organizácií na IKT, ktoré sú a budú dôležitým nástrojom
pre prevádzku organizácie, ale i dôležitým nástrojom pre komunikáciu so zahraničnými
podnikmi, klientmi a inštitúciami zúčastňujúcimi sa na medzinárodnom obchode.
Závery práce:
1. Podnik je najväčšou firmou vo svojej oblasti podnikania na Slovensku, a preto musí rátať
aj s najväčšími očakávaniami zo strany zákazníkov a klientov.
2. Podnik stále myslí len na tie najvyššie ciele, a i keď je vo svojom obore na najlepšej
pozícii, neustále má čo vylepšovať a posilňovať svoju pozíciu na trhu.
3. Bezpečnostná politika podniku je na vysokej úrovni.
4. Podnik dodržiava všetky bezpečnostné strategické plány a neustále kontroluje ich stav.
5. Podnik podnikajúci v oblasti bankovníctva má dostatok prostriedkov na investície do
informačnej a komunikačnej infraštruktúry.
6. Podnik tiež musí aplikovať platné legislatívy, resp. pripraviť podklady pre zmenu
legislatívy.
7. Podnik musí komunikovať s okolím, poskytovať informácie a novinky z oblasti služieb,
inovácií a bezpečnosti IS, inak môže prísť o potenciálneho klienta,
8. Je potrebné zvyšovanie odbornej úrovne počítačového a internetového vzdelávania
pracovníkov a školenia zamestnancov informačného úseku o novinkách bezpečnosti IS.
9. Podnik musí neustále investovať do ochrany a bezpečnosti IS, pravidelne aktualizovať
a inovovať jednotlivé aktíva IS.
10. Takisto treba zdokonaľovať prepojiteľnosť na Internet a sieťové služby ako aj ochranu
týchto služieb.
Pri zrealizovaní a správnom dodržiavaní týchto krokov, ale aj iných určite nemenej dôležitých
krokov, získa podnik neporovnateľne vyšší stupeň bezpečnosti a istoty ako predtým.
Ak podnik chce byť prosperujúci a úspešný, musí hľadieť do budúcnosti a už teraz konať
patričné kroky k zlepšovaniu. A to nemôže bez správneho dodržiavania bezpečnostných
zásad, ktoré ho udržiavajú v činnosti. Preto je bezpečnosť podniku ako taká veľmi dôležitá.
S neustálym príchodom nových a nových informačných a komunikačných technológií je však
ohrozená aj bezpečnosť stále viac a viac.
Dúfam, že sa mi podarilo splniť moju snahu o zviditeľnenie bezpečnosti informačných
systémov podniku, o jej podstate a postavení v štruktúre podniku. Snažil som sa poskytnúť
prehľad metód a spôsobov obmedzenia tvorby vzniku bezpečnostných chýb a znižovania rizík
možných následkov. Dúfam, že aj vďaka tejto práci každý podnik a podnikateľ pochopí, aká
je ochrana a bezpečnosť podniku v súčasnej dobe nevyhnutná.
Slovník pojmov
Algoritmus - Konečná postupnosť definovaných inštrukcií na splnenie úlohy.
Architektúra klient/server - Typ zapojenia počítačovej sieti, kde server je obsluhovateľom, vykonávateľom požiadaviek klienta, zákazníka.
Botnet - Sieť akýchkoľvek počítačov prepojených určitou väzbou, ktorá umožňuje ovládať všetky počítače z jediného miesta, aby vykonávali akékoľvek zadané príkazy.
Cookies - Mechanizmus, ktorý umožňuje serveru uskladniť jeho vlastné informácie o používateľovi počítača.
Digital Divide - Digitálna bariéra.
DoS útoky - Útoky, ktoré sa snažia zneprístupniť určitú službu, celú počítačovú sieť.
eCommerce - Elektronické obchodovanie.
Firewall - Sieťové zariadenie/softvér, ktorého úlohou je oddeliť a kontrolovať siete s rôznymi prístupovými právami.
Flash BIOS pamäť - Programovateľná pamäť počítača, ktorá si uchováva obsah aj bez napájania elektrickou energiou.
Hacker - Počítačový programátor/špecialista s detailnými znalosťami práce operačného systému, ktorý si ho dokáže upraviť podľa svojich potrieb.
Hash - Charakteristika, odtlačok reťazca znakov, ktorý je odvodený z ľubovoľného textu správy.
Chat - Interaktívna komunikácia používateľov Internetu
IP adresa - Logický číselný identifikátor fyzického sieťového rozhrania daného uzla (najčastejšie počítača) v sieti.
Keylogger - Program na zaznamenávanie stlačených kláves.
Know-how - Súbor skúseností, znalostí a kľúčových informácií týkajúcich sa uplatňovania novších metód, postupov a techniky.
MSAD - Adresárové služby, umožňujú nastavovať politiku a aplikovať ju v celej organizačnej štruktúre.
Paket - Blok prenášaných dát v počítačovej sieti.
Port - Číslo, ktoré je spolu s IP adresou súčasťou identifikátora konca spojenia a slúži na priradenie spojenia konkrétnej službe.
Proxy server - Server počítačovej siete, ktorý umožňuje klientom nepriame pripojenie k inému serveru.
Reklamný banner - Animovaný prúžok (sled niekoľkých obrázkov) presne definovaných rozmerov prezentujúci určitú webovú
stránku.
Router - Smerovač, sieťové zariadenie, ktoré sprostredkováva prenos dát medzi počítačovými sieťami.
Switch - Prepínač, aktívny prvok počítačovej siete, ktorý spája jej jednotlivé časti.
Usenet - Sústava vzájomne prepojených uzlov, ktoré si medzi sebou predávajú sieťové informácie.
Web browser - Aplikačný software umožňujúci používateľovi zobrazenie a interakciu s HTML dokumentmi.
6 Použitá literatúra
[1] ANONYMOUS. Maximální bezpečnost. 4.vyd. - Svazek 1. Praha: Softpress, 2004.
440 s. ISBN 80-86497-65-8.
[2] ANONYMOUS. Maximální bezpečnost. 4.vyd. – Svazek 2. Praha: Softpress, 2004.
544 s. ISBN 80-86497-65-8.
[3] Bezpečnostný portál. [online]. [cit. 2008-01-02]. Dostupné na internete:
<http://www.secit.sk>.
[4] Bojujte proti spammingu! [online]. [cit. 2008-01-02].Dostupné na internete:
<http://www.antispam.cz/info/f_prob1.htm>.
[5] BOTT, E. – SIECHERT, C. Mistrovství v zabezpečení Microsoft Windows 2000 a XP.
Brno: Computer Press, 2004. 696 s. ISBN 80-7226-878-3.
[6] DANCHEV, D. Building and Implementing a Successful Information Security
Policy. 2003. [cit. 2008-02-15]. Dostupné na internete:
<http://www.windowsecurity.com/articles/Building_Implementing_Security_policy.html>.
[7] DOSEDĚL, T. Počítačová bezpečnost a ochrana dat. Praha: Computer Press, 2004.
190 s. ISBN 80-251-0106-1.
[8] DOSEDĚL, T. 21 základních pravidel počítačové bezpečnosti. Brno: CP Books, 2005.
52 s. ISBN 80-251-0574-1.
[9] EISENKOLB, K. - GOKHAN, M.- WEICKARDT, H. Bezpečnost Windows 2000/XP.
Praha: Computer Press, 2003. 501 s. ISBN 80-7226-789-2.
[10] ESET. [online]. [cit. 2008-01-02]. Dostupné na internete: <http://www.eset.sk>.
[11] HANÁČEK, P. - STAUDEK, J. Bezpečnost informačních systémů: metodická příručka
zabezpečování produktů a systémů budovaných na bázi informačních technologií.
Praha: Úřad pro státní informační systém, 2000. 127 s. ISBN 80-2385-400-3.
[12] HOAX, podvodné a reťazové e-maily, poplašné správy, phishing, spam. [online]. [cit.
2008-01-02]. Dostupné na internete: <http://www.hoax.cz>.
[13] HOWARD, M. - LEBLANC, D. Writing Secure Code. 2. vyd. Washington (USA):
Microsoft Press, 2003. 768 s. ISBN 0-7356-1722-8.
[14] CHESWICK, W. R. - BELLOVIN, S. M. – RUBIN, A. D. Firewalls and Internet
Security Second Edition. [online]. 2003. [cit. 2008-01-10]. Dostupné na internete:
<http://books.google.com/books?id=_ZqIh0IbcrgC&printsec=frontcover&hl=sk&sourc
e=gbs_summary_r&cad=0>.
[15] IT NEWS. [online]. [cit. 2008-01-02].Dostupné na internete: <http://www.itnews.sk/>.
[16] KOVACICH, G. L. Průvodce bezpečnostního pracovníka informačních systémů:
zavádění a prosazování bezpečnostní politiky informačných systémů. Brno: UNIS
Publishing, 2000. 200 s. ISBN 80-86097-42-0.
[17] LOVEČEK, T. Bezpečnostná IT politika ako jeden zo základných dokumentov
organizácie. [online]. 2006. [cit. 2008-02-20]. Dostupné na internete:
<http://www.securityrevue.com/index.php?ind=news&op=news_show_single&ide=1>.
[18] MATĚJKA, Michal. Počítačová kriminalita. Praha: Computer Press, 2002. 106 s.
ISBN 80-7226-419-2.
[19] NÁDENÍČEK, P. Antivírusové desatoro!!! [online]. 2003. [cit. 2008-01-17]. Dostupné
na internete: <http://www.virusy.sk/clanok.ltc?ID=61>.
[20] NORIS, I. Príručka systémového administrátora. [online]. 2002. [cit. 2008-01-17].
Dostupné na internete: <http://deja-vix.sk/sysadmin/index.php>.
[21] NORTHCUTT, S. Bezpečnost sítí: velká kniha. Brno: CP Books, 2005. 589 s.
ISBN 80-2510-697-7.
[22] OPPLIGER, R. Internet and Intranet Security Second Edition. [online]. 2001.
[cit. 2008-01-20]. Dostupné na internete:
<http://books.google.com/books?id=vtyowiyW9BkC&pg=PT1&dq=1-58053-166-
0&hl=sk&sig=mY5zp17ozmG_nlOJ8cfIoGWyRD8#PPP1,M1>.
[23] PLINTOVIČOVÁ, D. Digital Divide - fenomén rozvoja informačných a
komunikačných technológií. [online]. [cit. 2008-01-02]. Dostupné na internete:
<http://www.uvsr.sk/data/files/1229.doc>.
[24] PROSISE, C. - MANDIA, K. Počítačový útok: detekce, obrana a okamžitá náprava.
Praha: Computer Press, 2002. 410 s. ISBN 80-7226-682-9.
[25] RAJNIAK, M. Elektronické bankovníctvo prostredníctvom webservisov. Diplomová
práca. [online]. 2006. [cit. 2008-01-10]. Dostupné na internete:
<http://www.dcs.fmph.uniba.sk/diplomovky/obhajene/Detail.php?id=74>.
[26] RODRYČOVÁ, D. - STAŠA, P. Bezpečnost informací jako podmínka prosperity firmy.
Praha: Grada Publishing., 2000. 143 s. ISBN 80-7169-144-5.
[27] SCAMBRAY, J. - MCCLURE, S. Hacking bez tajemství: Windows 2000. Praha:
Computer Press, 2003. 461 s. ISBN 80-7226-781-7.
[28] Slovenská sporiteľňa, a.s. [online]. [cit. 2008-03-15]. Dostupné na internete:
<http://www.slsp.sk/>.
[29] URBIŠ, M. Zásady návrhu síťové infrastruktury. [online]. 2003. [cit. 2008-03-15].
Dostupné na internete:
<http://www.svetsiti.cz/view.asp?rubrika=Technologie&clanekID=208>.
[30] Virus Bulletin: Fighting malware and spam [online]. [cit. 2008-03-15]. Dostupné na
internete: <http://www.virusbtn.com/>.
[31] Vírusový portál. [online]. [cit. 2008-03-15]. Dostupné na internete:
<http://www.virusy.sk>.
[32] Wikipédia. [online]. [cit. 2008-03-15]. Dostupné na internete:
<http://www.sk.wikipedia.org/>.
[33] Zákon č. 428/2002 Z. z. o ochrane osobných údajov. [online]. [cit. 2008-03-15].
Dostupné na internete: <http://www.minv.sk/krpznr/dokumenty/428_2002.pdf>.
7 Prílohy
Zoznam príloh Príloha č.1 Približná organizačná schéma SLSP, a.s..............................................................71
Príloha č.2 Šifrovaná webová stránka internetbankingu SLSP, a.s. .......................................72
Príloha č.3 Príklad falošného e-mailu.....................................................................................72
Príloha č.4 Podvodná webová stránka internetbankingu SLSP, a.s........................................73
Príloha č.5 Podvodná webová stránka online formulára SLSP, a.s. .......................................73
Príloha č.6 Podvodná webová stránka internetbankingu SLSP, a.s........................................74
Príloha č.7 Falošná webová stránka, ktorá po klientovi požaduje zadanie jednotlivých
číselných kombinácií z GRID karty......................................................................74
Príloha č.8 Falošná webová stránka, ktorá po klientovi požaduje zadanie jednotlivých
číselných kombinácií z EOK karty .......................................................................75
Príloha č.9 Podozrivá webová stránka, ktorá nie je zašifrovaná ............................................75
Generálny riaditeľ a predseda predstavenstva
členovia predstavenstva
divízia 1
úsek 1
divízia 2 divízia 3
oddelenie 1
úsek 2 úsek 3
oddelenie 2
oddelenie 3
podpredseda predstavenstva
oddelenie 4
oddelenie 5
zamestnanci
zamestnanci
zamestnanci
zamestnanci
zamestnanci
zamestnanci
zamestnanci
zamestnanci
zamestnanci
zamestnanci
oddelenie 6
zamestnanci
zamestnanci
oddelenie 7
zamestnanci
zamestnanci
úsek 4
oddelenie 9
zamestnanci
oddelenie 10
úsek 5
oddelenie 11
zamestnanci oddelenie 12
oddelenie 13
zamestnanci
zamestnanci
zamestnanci
zamestnanci zamestnanci
oddelenie 8
zamestnanci
zamestnanci
zamestnanci
zamestnanci
zamestnanci
zamestnanci
Príloha č.1 Približná organizačná schéma SLSP, a.s.
Zdroj: vlastné spracovanie
Príloha č.2 Šifrovaná webová stránka internetbankingu SLSP, a.s.
Zdroj: http://www.slsp.sk/
Príloha č.3 Príklad falošného e-mailu
Zdroj: http://www.slsp.sk/
Príloha č.4 Podvodná webová stránka internetbankingu SLSP, a.s.
Zdroj: http://www.slsp.sk/
Príloha č.5 Podvodná webová stránka online formulára SLSP, a.s.
Zdroj: http://www.slsp.sk/
Príloha č.6 Podvodná webová stránka internetbankingu SLSP, a.s.
Zdroj: http://www.slsp.sk/
Príloha č.7 Falošná webová stránka, ktorá po klientovi požaduje zadanie
jednotlivých číselných kombinácií z GRID karty
Zdroj: http://www.slsp.sk/