Na redakční otázky odpovídal Josef Matoušek, Senior technical support engineer RRC-CZ s.r.o. 

2. Bezpečnost obecně i bezpečnost při přenosu dat je relativní pojem. Čím je přenos dat bezpečnější, tím vyšší jsou náklady na jeho realizaci. Jak stanovit únosnou míru bezpečnosti ve srovnání s prostředky vynaloženými na její dosažení např. ve vztahu k činnosti zákazníka?

Samozřemě že můžeme polemizovat nad tím kolik nás bezpečnost stojí prostředků. Avšak mnoho lidí si ale neuvědomuje fakt, kolik je může stát následné řešení problému s podceněním zabezpečením dat.  Pochopitelně jiný úhel pohledu bude mít firma, která investovala mnoho prostředků do vývoje nějakého produktu či bankovní instituce a například malé stavební společnosti. Musím zde uvést příklad zneužití napadeného serveru v malé stavební společnosti, kdy posloužil útočníku k šíření nelegálního software.

V tomto případě nese právní důsledky za  šíření nelegálního software stavební firma, neboť šíření bylo z veřejné IP této společnosti. Vždy je důležitá určitá rovnováha mezi vynaloženými prostředky do bezpečnosti a cenou citlivých dat. 

3. Hrozby, které mohou vzniknout při přenosu dat lze rozdělit do tří hlavních skupin: úmyslné, náhodné a přirozené. Které se uplatňují v praxi nejvíce a nejčastěji a jak se jim bránit?

Osobně se domnívám že umyslné chyby jsou nejčastější příčinou poškození nebo ztráty  citlivých dat. Pod touto hrozbou si můžeme představit například nějakou osobu nebo skupinu lidí, které se snaží poškodit nebo odcizit osobní data popřípadě zaměnít nějaký obsah na webovém serveru až po nejzákeřnější formu internetové kriminality jako například poplašné informace o změny internetového bankovnictvý a následné okradení nic netušících klientu bankovní instituce. Ale ani na nevyžádaný mail s například nechtěnou  reklamou nesmíme zapomenout. I tato na první pohled méně nebezpečná hrozba stojí uživatele dostatečné prostředky na její odstranění. Dnešním řešením jsou různé antispamové filtry popřípadě UTM FW a další řešení, ale bude to na již tak dost vynalézavou komunitou útočníků stačit? Je třeba se zamyslet, co kyž příště na místo nevyžádaného mailu Vám budou chodit SMS s touto reklamou nebo Vám bude volat nějaký robot a nabízet různé zboží? Nové a nové trendy komunikací nám přináší spoustu výhod ale bohužel i dokonalejší nástroje různým útočníků.

Náhodná hrozba může být stejně nebezpečná jako umyslná například špatné nastavení vstupní brany může výrazně napomoci útočníkum k prolomení a zneužití citlivých dat. Zde bychom se měli zamyslet nad tím kolik je ve veřejném internetu nevhodných respektive nedostatečných vstupních bran popřípadě špatně nastavených nebo nedostatečně aktualizovaných serverů, určitě to nebude malé číslo.

4. Jednou z metod, které výrazně zvyšují bezpečnost přenášených dat v sítích, je šifrování. Poskytuje šifrování skutečně tak vysokou bezpečnost?

Obecně můžeme říci, že šifrování dat přináší určitý stupeň bezpečnosti. Vše je zavyslé jaký šifrovací algoritmus je použit. Čím vyšší stupeň je použit, tím obtížnější je jeho prolomení. Bohužel nemůžeme opomenout, že s rostoucím výpočetním výkonem se doba na prolomení zkracuje. Na druhou stranu vyšší výpočetní výkon nám dovoluje používat dokonalejší šifrovací algoritmy.

5. V současné době je k dispozici celá řada standardů pro bezpečnost informací a její řízení (ISMS), např. ISO 27000. Jak se tyto standardy vztahují, vztahují-li se, k bezpečnosti přenášených dat a jak se odrážejí na implementaci přenosových systémů a jejich využívání?

Norma nepřikazuje, která opatření musí být bezpodmínečně aplikována, ale ponechává rozhodnutí na organizaci. Vhodná opatření jsou vybírána na základě hodnocení rizik a jejich implementace je závislá na konkrétní situaci. Cílem není implementovat vše, co norma popisuje, ale spíše naplnit všechny aplikovatelné cíle opatření.Tento přístup zajišťuje, že norma je široce aplikovatelná a dává uživatelům velkou flexibilitu při implementaci. Nicméně toto přináší obtíže při certifikaci, kdy může být složité posoudit, zda jsou aktuální bezpečnostní opatření plně v souladu s normou. Navíc certifikace se týká zavedení ISMS a organizace je tak certifikována podle ISO/IEC 27001, které obsahuje shrnutí opatření z ISO/IEC 27002 vedle procesů k hodnocení rizik a výběru bezpečnostních opatření.

Zařízení o kterém mluvíme v bodě 6 odpovídá požadavkům. Záleží hlavně na procesech společnosti!

6. Které produkty či řešení pro zabezpečení firemní sítě nabízí Vaše společnost?

Naše společnost je distrubutorem značky SonicWall což je jedna z předních světových výrobců řešení pro zabezpečení dat. Řešení SonicWALL® nabízí komplexní ochranu před různými a stále vyvíjejícími se hrozbami, a to tak že dokonale integruje bezpečnost sítí, webu a elektronické pošty. Systém SonicWALL Network Security poskytuje hloubkovou ochranu proti virům, červům, trojským koňům, spywaru a neautorizovanému vniknutí, přičemž zajišťuje vysoký výkon plně zatížené sítě na úrovni celého podniku. Systém SonicWALL Web Security umožňuje blokovat nevhodné a nelegální webové stránky a také kontrolovat služby instant messaging a peer-to-peer komunikaci. Systém SonicWALL Email Security doplňuje nabízené produkty o efektivní ochranu před spamy a phishingem, takže zaměstnanci se dostanou pouze k legitimním e-mailovým zprávám a nejsou vystaveni podvodným e-mailům. Řešení SonicWALL „vše v jednom“ významně zjednodušují centralizovanou správu místních, vzdálených a mobilních síťových služeb, přičemž nákladově výhodným způsobem chrání klíčové informace a komunikační zdroje.

7. Pravděpodobně nejméně bezpečné z hlediska bezpečnosti přenosu dat jsou bezdrátové sítě. Jak lze jejich bezpečnost zvýšit?

V současné době patří WiFi k hojně využívaným prostředkem pro připojení ruzných komunikačních zařízení a tím rostou i obavy o bezpečnost přenášených dat. Na druhou stranu musíme říci, že stejné nebezpečí může být i na LAN sitích.

Jako příklad můžeme uvést často nevhodně umístěné datové rozvaděče na chodbách a často nepoužívaním aktuálních bezpečnostních prostředků. Jistým řešením v rozsáhlých sítích je GPON architektura, vzhledem k její technologii je téměř nemožné někde na trase odposlechnout přenášená data a můžeme z hlediska bezpečnosti přenášených dat na tomto mediu jako velmi dobře zabezpečené.

Častým jevem v našich domáctnostech je fakt, že WIFI vysílače jsou bez jakého šifrovacího algoritmu bez NAC nic jen tak dostupné veřejnosti. Tím nabízíme útočníku volnou cestu bez toho aby se pokusil nějak prolomit šifrovací protokol. Dalé jsou v AP často nesprávně nastavené parametry nebo zastaralé šifrovací protokoly jako je WEP. Zde je na místě si říci pro jaký účel je WiFi použité. Do firemní sféry určitě nepatří levné AP ale centralizované řešení a možností dohledu a reportingu s využitím IDS/IPS.

8. Který produkt či řešení nabízí Vaše firma k zabezpečení bezdrátových přenosů firemních dat?

Naše společnost je distributorem značky Motorola (původně Symbol), což můžeme říci že tato společnost patří ke světové špičce v řešení WIFI infrastruktury a jako jediná má řešení Airdefense. V podstatě se jedná o bezpečnostní řešení které v počátku implementace  analyzuje stav a dále porovnává okolí oproti tomuto stavu. Dle nastavených parametrů blokuje potenciální útočníky a nechtěná zařízení. Příklad můžeme uvést bankovní sektor, který má noWiFi politiku a přesto se po implementaci Airdefense ukázalo, že někteří zaměstnanci si přinesli vlastní AP a tím ohrozili bezpečnost celého systému.