Bezpieczeństwo informacji – baza wiedzy

Man In Hood And Mask Hacking Laptop At Wooden DeskBEZPIECZEŃSTWO INFORMACJI, CZY OZNACZA JEJ POUFNOŚĆ?

Autor: Anna Słodczyk

Artykuł z dnia 04-02-2017r.

Tytuł artykułu przewrotnie wymusza odpowiedź: TAK. Właśnie w ten sposób myśli większość przedsiębiorców czy pracowników organizacji, którzy nie mają związku z branżą informatyczną, z pojęciem bezpieczeństwo informacji.

Poufność jest oczywiście jednym z najważniejszych atrybutów pojęcia bezpieczeństwo informacji, ale tylko jednym z wielu. Każdy z nas rozumie, że większość informacji służbowych czy prywatnych jest przeznaczona tylko dla określonych odbiorców tej informacji, a dla pozostałych ta konkretna informacja powinna pozostać tajemnicą. Większość pracowników rozumie pojęcie poufności i stara się pilnować poprzez różne zabezpieczenia informacji, za którą są odpowiedzialni. Metod na zachowanie poufności jest mnóstwo, od prostych, do bardzo skomplikowanych. A ja w tym pierwszym artykule napiszę tylko jedno: zamykajcie na klucz drzwi, jak wychodzicie z pokoju, np. do toalety, albo włączajcie wygaszacze ekranów komputerów z hasłami.

Wyobraźmy sobie teraz publiczną stronę urzędu gminy. Są na niej zawarte liczne informacje, ważne dla społeczeństwa. Co się stanie, kiedy ta strona przestaje działać, albo informacje na niej zawarte nie będą prawdziwe?

  1. Dlaczego przestaje działać? Bo nie zabezpieczyliśmy kopii bazy na serwerze, który właśnie się uszkodził, albo po prostu zabrakło na danym terenie prądu, a serwery miały zbyt słabe baterie podtrzymujące zasilanie (tzw. UPS-y).
  2. Z jakiego powodu informacje są nieprawdziwe? Bo człowiek popełnił błąd podczas ich zapisywania albo serwer był słabo zabezpieczony i doszło do włamania hakera – informacje podmienił haker.

Cały czas mówimy tu o ważnych informacjach potrzebnych ludności do załatwienia spraw urzędowych, które w dobie globalizacji i Internetu często są załatwiane drogą elektroniczną. Czy w tym przypadku mamy do czynienia z problemem poufności informacji? NIE, bo ta informacja jest informacją publiczną. Czy w takim razie mówimy tu w ogóle o bezpieczeństwie informacji? TAK, bo bezpieczna informacja publiczna powinna być zawsze dostępna i prawdziwa (integralna). Najprościej mówiąc i nie szukając wymyślnych sposobów zabezpieczenia w odniesieniu do wymienionych dwóch atrybutów pojęcia bezpieczeństwo informacji, zacznijcie od najprostszych: róbcie kopie danych i zainstalujcie płatny program antywirusowy, utrzymywany i uaktualniany na stałe.

A teraz popatrzmy na dokument papierowy, podpisany „jakąś parafką” bez pieczątki imiennej. Dokument jest ważny i ma dla odbiorcy konkretne skutki prawne, ale tylko wtedy gdy został podpisany przez osobę do tego upoważnioną. Jeżeli „parafka” została postawiona w obecności odbiorcy, który uwiarygodnił w inny sposób osobę podpisującą lub jest mu ona osobiście znana, to nie ma problemu. Ale taką „parafkę” może postawić każdy, w dobrej i w złej wierze. Nie jesteśmy
w stanie otrzymując tak podpisany dokument stwierdzić, kto konkretnie go podpisał. Nie mamy więc zachowanego bezpieczeństwa otrzymanej na piśmie informacji, bo nie ma tzw. rozliczalności, czyli jasnej identyfikacji osoby, która tą informację wytworzyła. Problem rozliczalności, to słynny problem użytkowników i haseł w systemach informatycznych. Hasła trzeba chronić i zmieniać, aby nikt się nie podszył pod naszą tożsamość i aby była zachowana rozliczalność. A dla celów podpisu warto mieć karty wzorów podpisów, czego bardzo rygorystycznie przestrzegają np. banki.

Kolejny przykład, to słynny problem poczty elektronicznej. Dla niewtajemniczonych w bezpieczeństwo informacji przestrzegam, że poczta z punktu A do punktu B idzie przez wiele serwerów i rożną drogą. Jeżeli nie jest to kanał prywatny lub zaszyfrowany, to istnieje duże prawdopodobieństwo przechwycenia tej wiadomości i jej podmiany na inną. W efekcie odbiorca z punktu B myśli, że otrzymał wiadomość z punku A, a w rzeczywistości jest to inna wiadomość z punktu C. Pojawił się tu problem bezpieczeństwa informacji, związany z jej autentycznością.Chcemy być pewni, że autentycznie otrzymaliśmy wiadomość z punktu A o treści wygenerowanej przez punkt A.

Ma to też znaczenie w kwestii braku możliwości wyparcia się punktu A, że wiadomość wysłał lub punktu B, że wiadomość otrzymał. Ten atrybut pojęcia  bezpieczeństwo informacji nazywamy niezaprzeczalnością informacji. Bywają bowiem sytuacje, gdy drugiej stronie zależy na tym, aby zaprzeczyć. Pomocą w tej kwestii są podpisy cyfrowe, pod warunkiem właściwego zabezpieczenia kluczy. A przyszłościowo, to już kryptografia kwantowa. A w kwestii papierowej, to wysłanie listu za potwierdzeniem odbioru (pod warunkiem umieszczenia adnotacji „do rąk własnych”).

Na koniec omówię jeszcze jeden ważny atrybut pojęcia bezpieczeństwo informacji, jakim jest jej niezawodność. Można go interpretować, jako poprawność danych i właściwa ich interpretacja. Przykładem może być system alarmowy włączający się przy niepożądanym ruchu i informacja telefoniczna do osoby odpowiedzialnej za pomieszczenie o złamaniu zabezpieczeń dostępu. Efektem zepsucia się sytemu lub nieprawidłowości w jego zaprogramowaniu lub błędu użytkownika może być wadliwy alarm i nieprawdziwa informacja o włamaniu. Działanie zabezpieczające przed złamaniem atrybutu niezawodności zależy od rodzaju informacji, jej technicznego przekazu i od otoczenia.

Reasumując, pokazałam Państwu przykłady kilku najważniejszych atrybutów pojęcia bezpieczeństwo informacji:

  1. Poufność
  2. Dostępność
  3. Integralność
  4. Rozliczalność
  5. Autentyczność
  6. Niezaprzeczalność
  7. Niezawodność

Użytkownik lub właściciel informacji powinien sam zadecydować, jakie atrybuty bezpieczeństwa są ważne dla jego informacji i zastosować wszelkie możliwe działania w celu zabezpieczenia swojej informacji. Pomocna przy tym jest analiza ryzyka.

Dziękuję za uwagę, następny artykuł poświęcę atrybutom bezpieczeństwa wymaganym prawnie przez przepisy o ochronie danych osobowych

Zapraszam na ciąg dalszy i nadmieniam, że będę pisać w sposób prosty i zrozumiały dla wszystkich,
gdyż nie są to artykuły dla specjalistów bezpieczeństwa informacji, tylko dla menadżerów i pracowników
firm i organizacji, którzy chcą się tym tematem zainteresować.
Anna Słodczyk©