Na redakční otázky odpovídal Ing. Stanislav Bíža, Senior IT Architect, CISA, IBM Česká republika

1. Bezpečnost přenosu dat je jednou z částí komplexní bezpečnosti informačních systémů. Jakou část celkové bezpečnosti dat tvoří a jaká je její důležitost?

Bezpečnost při přenosu dat byla vždy jednou z nejdůležitějších oblastí bezpečnosti IT systémů jako celku a její význam v současné době roste. Nastávající rozvoj Cloud Computingu, při kterém jsou veškerá data zpracovávána a ukládána ve vzdálených datových centrech, klade vysoké nároky na přenosy data a jejich zabezpečení. Další oblastí, která se v současnosti bouřlivě rozvíjí, je využití mobilních zařízení pro přístup k podnikovým aplikacím přes Internet. A i v této oblasti je bezpečnost přenosu dat opět klíčová.

2. Bezpečnost obecně i bezpečnost při přenosu dat je relativní pojem. Čím je přenos dat bezpečnější, tím vyšší jsou náklady na jeho realizaci. Jak stanovit únosnou míru bezpečnosti ve srovnání s prostředky vynaloženými na její dosažení např. ve vztahu k činnosti zákazníka?

Na tuto otázku nikdy neexistuje odpověď „od stolu“. Odpovídající míru nákladů na bezpečnostní opatření a jejich priority stanoví sled bezpečnostních projektů, z nichž nejdůležitější je analýza rizik.  Analýza rizik začíná identifikací aktiv (v tomto případě přenášených dat) a stanovením jejich hodnoty pro danou organizaci. Hodnota aktiv zpravidla nespočívá pouze v nákladech na jejich pořízení, ale především ve výši ztráty, kterou organizace utrpí v případě zničení (může vést k narušení provozu organizace), porušení důvěrnosti (například vyzrazení obchodního tajemství), případně neoprávněné změně (třeba zadání jiné částky a cílového účtu v platebním příkazu). Dalšími kroky analýzy rizik jsou identifikace hrozeb, určení míry jejich závažnosti a stanovení skutečného rizika. Tímto postupem zjistíme, která aktiva má smysl chránit, proti čemu a jak velké náklady na zabezpečení jsou odůvodněné. Není to jednoduchý postup, ale nákup nových bezpečnostních systémů bez počáteční analýzy, často vede ke špatným rozhodnutím.

3. Jednou z metod, které výrazně zvyšují bezpečnost přenášených dat v sítích, je šifrování. Poskytuje šifrování skutečně tak vysokou bezpečnost?

Nejnovější šifrovací algoritmy a technické prostředky pro šifrování komunikace můžeme považovat v současné době za bezpečné. Jinou otázkou je, jak jsou tyto technické prostředky nasazeny. Mohu například věřit, že připojení k elektronickému obchodu šifrované protokolem https nebude při přenosu Internetem dešifrováno. Je však otázkou, jestli jsem připojen ke správnému elektronickému obchodu, protože ověřování elektronických certifikátů je stále dosti slabým článkem bezpečnosti.

V případě bezdrátových sítí, konkrétně WiFi, bývá slabým článkem šifrovací standard dostupný na starších prvcích. Jestliže jsou například ve skladu používány nové terminály, které „umí“ WPA-2 a část starších terminálů, které podporují jen WEP, obvykle je nastaven WEP pro všechny. Protokol WEP lze ale prolomit během několika minut, takže zabezpečení WiFi sítě je minimální. Segmentací sítě, vhodným rozvržením terminálů a nástroji pro detekci průniku by přitom bylo možno zvýšit bezpečnost na přijatelnou úrovneň i při použití starších terminálů.

4. V současné době je k dispozici celá řada standardů pro bezpečnost informací a její řízení (ISMS), např. ISO 27000. Jak se tyto standardy vztahují, vztahují-li se, k bezpečnosti přenášených dat a jak se odrážejí na implementaci přenosových systémů a jejich využívání?

Standard ISO 27002 (dříve ISO 17799) uvádí zejména v sekcích Network Security Management a Network Access Control požadavky na zabezpečení komunikační infrastruktury. Tyto požadavky jsou samozřejmě popsány obecně a můžeme je chápat jako „podmínku nutnou, nikoli dostatečnou“. Nicméně jsou užitečným vodítkem při návrhu bezpečnostní architektury.

V současné obě je připravován ke schválení standard ISO 27033, který popisuje výhradně principy zabezpečení datových sítí a celá jeho část ISO 27033-7 se věnuje bezdrátovým sítím. Zájemcům o implementaci zabezpečení datových sítí, management bezpečnosti a její kontrolu mohu prostudování tohoto standardu doporučit.

Z více praktického pohledu se bezpečnosti bezdrátových sítí věnuje standard PCI-DSS, který definuje požadavky na bezpečnost při zpracování údajů z platebních karet. Konkrétně popisuje požadavky na segmentaci sítí, šifrování dat, scanování proti neoprávněnému průniku a podobně.

5. Které produkty či řešení pro zabezpečení firemní sítě nabízí Vaše společnost?

IBM nabízí ucelenou sadu produktů pro komplexní řešení bezpečnosti informačních systémů, od řízení bezpečnosti a prosazování bezpečnostních politik až po zabezpečení serverů a síťových prvků.  V oblasti zabezpečení komunikační infrastruktury se jedná především o produkty řady IBM Proventia, což jsou Intrusion Detection/Prevention SW řešení a appliance, systémy pro prosazování bezpečnostních politik na aktivních síťových prvcích, Incident Response systémy a další. Podrobné informace o těchto a dalších produktech naleznete na této stránce: http://www-01.ibm.com/software/tivoli/solutions/threat-mitigation

Jak už jsem ale uvedl dříve, investice do nového bezpečnostního SW nebo HW bez bezpečnostního projektu často neřeší skutečné potřeby dané organizace. Mohu tedy doporučit nejprve vypracovat analýzu rizik a návrh postupu bezpečnostních projektů a teprve potom nakupovat nové systémy. I vlatní implementace těchto systémů by měla být podřízena návrhu bezpečnostní architektury. Zde IBM nabízí jak služby vypracování analýzy ririk, bezpečnostní politiky a bezpečnostní architektury, tak i např. PCI Compliance Audit prováděný certifikovanými specialisty.