Untitled - Vitajte na stránkach www.einsty.hostujem.sk
Untitled - Vitajte na stránkach www.einsty.hostujem.sk
Untitled - Vitajte na stránkach www.einsty.hostujem.sk
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
I N F O W A R E<br />
Ako zabráni<br />
KRÁDEŽIAM<br />
FIREMNÝCH DÁT?<br />
Èo z<strong>na</strong>mená šifrovanie…<br />
V rámci di<strong>sk</strong>usií o komerènom využití, a teda aj<br />
možnosti komerèného zneužitia informácií sa<br />
stále väèšia pozornos venuje šifrovaniu. Šifrovanie<br />
je možné definova ako prevod informácií<br />
z èitate¾nej formy do neèitate¾nej. Ochra<strong>na</strong> dát<br />
šifrovaním je využite¾ná <strong>na</strong> ochranu súkromných<br />
informácií, intelektuálneho vlastníctva, strategických<br />
informácií atï.<br />
V reálnej praxi sa využívajú dve základné<br />
formy šifrovania dát – s použitím symetrického<br />
šifrovacieho algoritmu (<strong>na</strong> šifrovanie i dešifrovanie<br />
sa používa rov<strong>na</strong>ký šifrovací k¾úè) a s použitím<br />
asymetrického algoritmu (použitá dvojica<br />
šifrovacích k¾úèov – verejný a privátny).<br />
Šifrovanie dát v rámci firmy<br />
Pri uvažovaní o šifrovaní dát v rámci firmy treba<br />
vzia do úvahy nieko¾ko faktov:<br />
l informácie vo forme dát sú majetkom firmy<br />
a mali by by v prípade šifrovania firmou (reprezentovanou<br />
ko<strong>na</strong>te¾om èi vlastníkom) dešifrovate¾né;<br />
l každý zamest<strong>na</strong>nec firmy musí by schopný<br />
s dátami pracova spôsobom, ktorý zodpovedá<br />
jeho pozícii vo firemnej hierarchii.<br />
Ak vychádzame z týchto faktov, je zrejmé, že<br />
jednotlivé šifrovacie k¾úèe musia by usporiadané<br />
do hierarchie, ktorá kopíruje firemnú štruktúru.<br />
Práve uvedená požiadavka nie je realizovate¾ná<br />
pri použití šifrovania pomocou jedného k¾úèa.<br />
Nebezpeèenstvo hrozí <strong>na</strong>jmä z interného<br />
prostredia<br />
Jedným z vážnych a neprehliadnute¾ných rizikových<br />
faktorov je <strong>sk</strong>utoènos , že viac ako 60 %<br />
útokov <strong>na</strong> informaèné systémy, resp. dáta pochádzalo<br />
zvnútra poškodenej organizácie – èi už išlo<br />
o nedbalos , neúmyselné alebo cielené útoky.<br />
Rov<strong>na</strong>ko závažným rizikom je možnos úniku<br />
informácií, nech už je motivácia „páchate¾a“ akáko¾vek<br />
(pomoc konkurencii, pomsta zo strany<br />
zamest<strong>na</strong>nca...).<br />
Formy krádeže informácií tiež podliehajú<br />
vývoju – tlaèené hárky majú v prípade cieleného<br />
odcudzenia v súèasnosti nízku informaènú<br />
hodnotu, a teda aj cenu. Ak si uvedomíme,<br />
že <strong>na</strong>pr. zdrojový kód aplikácie èi databázu je<br />
dnes možné <strong>na</strong> mnohých pracovi<strong>sk</strong>ách „<strong>na</strong>páli<br />
“ <strong>na</strong> CD v priebehu nieko¾kých minút a dáta<br />
takéhoto charakteru môžu ma hodnoty rádovo<br />
i miliónov korún, nehovoriac o sekundárnych<br />
dôsledkoch ich úniku, je úvaha o ich ochrane<br />
<strong>sk</strong>utoène <strong>na</strong>mieste. Pritom treba uvažova , že<br />
rov<strong>na</strong>kým médiom pre únik dát môže by aj<br />
konektivita <strong>na</strong> internet. ažko síce predpoklada<br />
, že elektronická pošta by mohla poslúži<br />
ako prostriedok <strong>na</strong> uvedený cie¾, ale urèitý objem<br />
informácií v nechránenej forme môže by<br />
bezproblémovo odoslaný potenciálnym „páchate¾om“<br />
aj touto cestou.<br />
Ako eliminova tieto riziká?<br />
Jedno z možných riešení ponúka bezpeènostný<br />
systém AreaGuard pochádzajúci z dielní spoloènosti<br />
Sodat Software Brno. Systém je urèený pre<br />
operaèné systémy Windows NT a 2000 a ponúka<br />
možnos šifrovania dát použitím symetrických<br />
šifrovacích algoritmov 3DES, IDEA alebo RC4<br />
s dåžkou k¾úèa 128 bitov. Pri zoh¾adnení výpoètových<br />
možností súèasných PC je možné tieto šifrovacie<br />
algoritmy s danou dåžkou k¾úèa hodnoti<br />
ako výpoètovo bezpeèné.<br />
S problematikou firemnej hierarchie sa systém<br />
vyrovnáva možnos ou existencie hlavného<br />
k¾úèa (Master Encryption Key). Systém umožòuje<br />
<strong>na</strong>definova chránené dátové oblasti a privilegované<br />
aplikácie, ktoré majú oprávnenie s dátami<br />
pracova . Dáta potom nie je možné žiadnym spôsobom<br />
v elektronickej podobe prenies mimo<br />
chránenej oblasti. Bezpeènostný systém je integrovaný<br />
priamo v jadre operaèného systému a je<br />
aktivovaný <strong>sk</strong>ôr než ovládaèe pre súborový systém.<br />
Šifrovacie k¾úèe je možné uchováva aj<br />
v externých prvkoch <strong>na</strong> to urèených. V rámci<br />
investície rádovo tisícok korún je tak možné<br />
ochráni miliónové hodnoty.<br />
Používate¾<strong>sk</strong>é šifrovanie<br />
V súvislosti s bezpeènos ou firemných dát treba<br />
di<strong>sk</strong>utova aj o probléme krádeží prenosných<br />
poèítaèov. Za predpokladu existencie záloh dát je<br />
možné pomerne efektívne eliminova straty<br />
súvisiace s prevádzkou, ale straty spôsobené únikom<br />
takto stratených dát a ich prípadným<br />
zneužitím sú neodvratné. Transparentné šifrovanie<br />
ponúka systém AreaGuard Notes – pri<br />
používaní rov<strong>na</strong>kých symetrických šifrovacích<br />
algoritmov však nepo<strong>sk</strong>ytuje možnos existencie<br />
hlavného k¾úèa. Systém AreaGuard Notes je teda<br />
urèený <strong>na</strong>jmä <strong>na</strong> ochranu dát jednotlivého používate¾a.<br />
V rámci šifrovania je možné vytvori aj<br />
samospustite¾ný súbor, èo umožòuje zašifrované<br />
dáta dešifrova aj <strong>na</strong> poèítaèi, kde systém nie je<br />
inštalovaný.<br />
Na uloženie šifrovacích k¾úèov je možné<br />
a autormi odporúèané využíva externé prvky.<br />
Systém podporuje použitie tokenu iKey1000<br />
(zariadenie USB vo forme príve<strong>sk</strong>u <strong>na</strong> k¾úèe). Jeho<br />
použitie prakticky z<strong>na</strong>mená, že šifrované dáta<br />
bude môc používa len vlastník tokenu pri jeho<br />
zapojení <strong>na</strong> port USB a zadaní správneho PIN<br />
kódu chrániaceho prístup do tokenu. Token<br />
iKey1000 je pritom možné použi aj <strong>na</strong> ïalšie<br />
bezpeènostné funkcie, ako <strong>na</strong>pr. prihlasovanie<br />
do Windows 2000, prihlasovanie do VPN (virtuálne<br />
privátne siete) èi digitálny podpis v prostrediach<br />
poštových klientov.<br />
Trial verzia systému AreaGuard Notes je k dispozícii<br />
<strong>na</strong> <strong>www</strong>.infoconsult.<strong>sk</strong><br />
n<br />
12/2001 PC REVUE 121