Przeciwko hakerom

Przeciwko hakerom

Jak zabezpieczyć dane w komputerach?
Wraz z szerokim wykorzystaniem komputerów zaczęły się pojawiać duże problemy z zapewnieniem bezpieczeństwa systemom komputerowym i zawartym w pamięci danym. Coraz większa jest łatwość dostępu do sieci komputerowych, a obecność Internetu stwarza wielu osobom pokusę dotarcia nawet do strzeżonych danych. Nie skutkują już standardowe metody zabezpieczeń. Stare rozwiązania nie mogą dłużej powstrzymywać infiltracji najważniejszych informacji biznesowych, prawnych, osobowych itd.

Zrozumieć
niebezpieczeństwa

Wszyscy dziś rozumieją siłę Internetu jako wartościowego źródła informacji oraz medium komunikacyjnego. Nikt nie może ignorować tej innowacji – ale i bagatelizować potrzeby zabezpieczenia się przed ingerencją z zewnątrz. Podejmuje się liczne wysiłki, aby sieci i systemy komputerowe skutecznie ochronić przed “włamywaczami”, a jednocześnie sprawić, by można było sprawnie z nich korzystać.
Zakres przestępstw związanych z e-commerce sięga daleko poza pojedyncze transakcje poprzez www. – np. płacenie kradzionymi kartami bankowymi. Odnotowano już informatyczne ataki na obiekty przemysłowe, takie jak elektrownie, publiczne sieci telekomunikacyjne, szpitale, czy też systemy kontroli ruchu lotniczego. Równie zgubne mogą się okazać włamania hakerów do instytucji finansowych, ubezpieczeniowych, konsultingowych i wszystkich innych.
Firmy dysponujące ważnymi danymi wymagają więc bezpiecznego systemu ich gromadzenia i przetwarzania. W oparciu o znajomość oprogramowania, systemu pracy serwera baz danych oraz typowych luk w systemie zabezpieczeń dokonuje się sprawdzenia konfiguracji oraz przeprowadza testy mające na celu wykazanie podatności serwera na ingerencję w czasie rzeczywistym i przy użyciu dostępnych środków i narzędzi. Pozwala to na wykazanie istnienia nie tylko teoretycznych, ale i praktycznych zagrożeń.
Popularny w wielu sieciach komputerowych System Windows NT nie jest łatwy do zabezpieczenia, jednak uczynienie go trudno dostępnym jest możliwe. Najpierw sprawdza się instalację i konfigurację systemu. Przeprowadza się też testy zewnętrzne, takie jak analiza dostępnych usług, testy penetracyjne i próby przejęcia kontroli nad systemem. Badanie kończy się na analizie instalacji. Jest to kompleksowy zestaw testów, zarówno typowo audytorskich, jak i przeprowadzanych przez prawdziwych włamywaczy.

Hasło i odzew

Jedną z częstych wad zabezpieczenia danych są źle utworzone hasła. Należy najpierw sprawdzić, czy wybrane przez użytkownika hasło potrzebne przy logowaniu nie jest za krótkie.
Najlepiej aby hasło miało minimum dziewięć znaków. Wtedy jest znacznie trudniej je odgadnąć. Dobrze zabezpieczony system powinien wymuszać hasła składające się z różnych typów znaków i mające większą odporność na złamanie.
System powinien w zasadzie wymuszać hasła składające się z różnych typów znaków, które mają większy stopień bezpieczeństwa, a także ograniczać możliwość dostępu do sieci poszczególnych użytkowników.
Jedna z reguł zabezpieczenia mówi, iż warto używać hasła spełniającego poniższe reguły:
– Hasło nie może zawierać identyfikatora użytkownika.
– Hasło nie może zawierać zawartości pola Full Name.
– Hasło musi zawierać znaki czterech typów:
1. A…Z – duże litery.
2. a…z – małe litery.
3. 0…9 – cyfry.
4. ,;:*&%! – znaki specjalne.
Nie tylko informatycy starają się zabezpieczyć sieci komputerowe przed włamaniem. Zatroszczyli się o to również twórcy prawa. Przykładem jest ustawa o ochronie danych osobowych uchwalona w 1997 roku i powołująca Generalnego Inspektora Danych Osobowych.
W rozumieniu ustawy, za dane osobowe uważa się każdą informację dotyczącą osoby fizycznej, pozwalającą na określenie tożsamości tej osoby. Ustawa dotyczy zarówno sektora publicznego, jak i prywatnego. Ma zastosowanie nie tylko do zbiorów danych prowadzonych przy użyciu technik informatycznych, lecz także do zbiorów prowadzonych manualnie. Na administratorów zbiorów danych osobowych ustawa nakłada szereg obowiązków i ograniczeń, przewidując za ich naruszenie odpowiedzialność karną. Każda osoba, której dane dotyczą, ma prawo do ich kontroli. Podmioty prowadzące zbiory danych osobowych w systemach informatycznych są zobowiązane do złożenia wniosków o ich zarejestrowanie. Nad zgodnością przetwarzania danych z prawem czuwa specjalny organ – Generalny Inspektor Ochrony Danych Osobowych (GIODO), powoływany przez Sejm za zgodą Senatu.
Polska jest 27. krajem na świecie, w którym informacje osobowe są chronione prawem.

Zabezpieczenie danych to obowiązek

Małgorzata Kałużyńska-Jasak, rzecznik prasowy Generalnego Inspektora Ochrony Danych Osobowych, potwierdza, że dobrze chroniona baza danych, znajdująca się w systemie informatycznym, powinna spełniać wzorce ustawowe zabezpieczenia, aby uniemożliwić dostęp osobom trzecim, niepowołanym, chronić je też przed zniszczeniem itd. Istnieją szczegółowe zasady co do warunków technicznych dla systemów informatycznych. Należy np. często zmieniać hasła dostępu, powołać administratora bezpieczeństwa, osoby mające dostęp do systemu muszą być przeszkolone, obowiązuje ich zachowanie pewnych informacji w tajemnicy nawet po wygaśnięciu umowy o pracę. Zbiory danych osobowych należy obowiązkowo zgłosić do GIODO (obecnie jest już 74 tys. zgłoszeń), natomiast część z nich wymaga rejestracji (zarejestrowano 45 tys. zbiorów).

Szczelny system
– bezpieczniejsi klienci

Zbiory danych osobowych powinny być chronione nie tylko dlatego, że tak głosi prawo, ale także w interesie wielu instytucji, a także nas samych: podatników, klientów banków, instytucji ubezpieczeniowych itd.
Przykładem takiej społecznie pożytecznej bazy danych jest niedawno zarejestrowany zbiór-katalog dłużników w bankach, prowadzony przez Biuro Informacji Kredytowej.
Prezes Wiesław Wyszogrodzki zapewnia, iż ten zbiór ma wszystkie możliwe dziś zabezpieczenia przed włamaniem, ale trzeba je nieustannie doskonalić. Dane Biura Informacji Kredytowej mogą być przecież nie w smak wielu dłużnikom. Zbiór dotyczy paru milionów kredytobiorców. System jest od trzech miesięcy dostępny dla banków, należy się tylko zapisać do biura, opłacić żądaną usługę, a następnie korzystać z tej bazy, aby lepiej chronić majątek banku przed nieuczciwymi klientami. System pozwala zidentyfikować klienta, a także ustalić jego zadłużenie w bankach na terenie całego kraju.
Jak twierdzą przedstawiciele amerykańskich banków i instytucji finansowych, informacje zbierane przez BIK umożliwią bardzo duże uproszczenie i skrócenie procedury zaciągania kredytów, ponieważ nie potrzeba już tyle czasu poświęcać na sprawdzenie wiarygodności kredytobiorcy.


Oracle o prywatności

Korporacja Oracle wykazywała zainteresowanie kwestią ochrony danych swych użytkowników na długo przedtem, zanim prywatność stała się przedmiotem ogólnego zainteresowania i regulacji prawnych. Już wiele lat temu środowisko projektantów stron www. wyczuliło firmę Oracle na potrzeby i oczekiwania naszych użytkowników, którzy byli zainteresowani zabezpieczeniem informacji umożliwiających ich identyfikację.
OTN, witryna internetowa Oracle’a, jako jedna z pierwszych opracowała i zamieściła oświadczenie na temat ochrony informacji. Zainteresowanie korporacji ogólnie pojmowaną kwestią prywatności skłoniło Oracle do zaangażowania się w tworzenie nowych platform na rzecz ochrony danych, takich jak Truste i Online Privacy Alliance. Oracle był więc i pozostaje aktywnym uczestnikiem debaty na temat ochrony danych na poziomie lokalnym, państwowym i międzynarodowym.
Ponieważ większość relacji Oracle ma charakter kontaktów bezpośrednio między firmami, przeważająca część informacji zgromadzonych w witrynie internetowej Oracle to dane dotyczące relacji biznesowych, uzyskane w wyniku kontaktów zawodowych firm między sobą. Ponieważ ten typ informacji biznesowych nie był przedmiotem zabiegów na rzecz poufności danych konsumentów, firma Oracle uważa, że istnieje potrzeba zajęcia się kwestiami prywatności także w tej sferze. W tym celu Korporacja Oracle wydała oświadczenie dotyczące ochrony danych w powiązaniu z różnymi funkcjami i usługami dostępnymi na witrynie internetowej.
Odwiedzający stronę internetową Oracle znajdą na niej oświadczenia na rzecz prywatności w poszczególnych partiach witryny. Należą do nich między innymi: Oracle Store, Oracle Technology Network, Oracle Exchange i Oracle Sales Online. W trakcie wypracowywania kompleksowego stanowiska i sposobu rozwiązania problemu prywatności pojawiła się złożona kwestia ujednolicenia sposobów ochrony danych w różnych rodzajach usług i funkcji oferowanych na naszej witrynie. Informacje konieczne do sfinalizowania transakcji oraz wymagania bezpieczeństwa w Oracle Store są na przykład zupełnie inne od tych, jakie wiążą się z przeglądaniem wiadomości lub archiwów Oracle. Wymagania Federalnej Komisji Handlu, dotyczące dokładności, narzucają konieczność precyzyjnego informowania, podczas gdy w świetle ogólnie akceptowanych zasad prywatności informacje muszą być jasne, zwięzłe i łatwe do zastosowania.
Nowoczesne techniki informatyczne mogą przynieść częściowe rozwiązanie problemu. Korporacja Oracle dba o potrzeby swoich klientów w zakresie zapewnienia ich użytkownikom najnowszych rozwiązań technicznych zarówno w kwestiach interesów, jak i ochrony danych. Obecnie Oracle pracuje nad metodami technicznymi i sposobami postępowania, które mają zapewnić użytkownikom przedstawienie wymagań oraz kontrolowanie ich kontaktów z korporacją. Poczyniono już pewne kroki umożliwiające użytkownikom programów i aplikacji dokonanie wyboru np. jednej spośród kilku opcji językowych przy zachowaniu istniejących już wersji wyjściowych programów. W najbliższym czasie planuje się danie klientom możliwości takiego konfigurowania relacji i kontaktów z Oracle, aby zachować pełną kontrolę nad przesyłanymi informacjami i danymi, przy zachowaniu wszystkich preferencji klientów.
Wszystkich pragnących zapoznać się z nowymi rozwiązaniami na temat ochrony danych zapraszamy na strony Oracle. Można również skontaktować się ze specjalistami w dziedzinie polityki ochrony prywatności i przekazać im swoje uwagi.


Wypisy z ustawy

W rozumieniu ustawy, za dane osobowe uważa się każdą informację dotyczącą osoby fizycznej, pozwalającą na określenie tożsamości tej osoby.
1) Zbiór danych – rozumie się przez to każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie.
2) Przetwarzanie danych – rozumie się przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.
3) Usuwanie danych – rozumie się przez to zniszczenie danych osobowych lub taką ich modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą.
4) Administrator danych – rozumie się przez to organ, instytucję, jednostkę organizacyjną, podmiot lub osobę decydującą o celach i środkach przetwarzania danych osobowych.
Prócz ustawy istnieją szczegółowe wymagania, dotyczące ochrony danych osobowych, zawarte w rozporządzeniach wykonawczych w sprawie określenia podstawowych warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne, służące do przetwarzania danych osobowych. Czytamy tam między innymi, iż administrator danych wyznacza osobę odpowiedzialną za bezpieczeństwo danych osobowych w systemie informatycznym, w tym w szczególności za przeciwdziałanie dostępowi osób niepowołanych do systemu, w którym przetwarzane są dane osobowe oraz za podejmowanie odpowiednich działań w przypadku wykrycia naruszeń w systemie zabezpieczeń. Administrator danych jest obowiązany do opracowania instrukcji postępowania w sytuacji naruszenia ochrony danych osobowych, przeznaczonej dla osób zatrudnionych przy przetwarzaniu tych danych. Natomiast osoba użytkująca przenośny komputer, służący do przetwarzania danych osobowych, obowiązana jest zachować szczególną ostrożność podczas transportu i przechowywania tego komputera w celu zapobieżenia dostępowi do tych danych osobie niepowołanej. Powinna ona zabezpieczyć dostęp do komputera hasłem i nie zezwalać na używanie komputera osobom nieupoważnionym.
Urządzenia, dyski lub inne informatyczne nośniki, zawierające dane osobowe, przeznaczone do likwidacji, pozbawia się wcześniej zapisu tych danych, a w przypadku gdy nie jest to możliwe, uszkadza się w sposób uniemożliwiający ich odczytanie.

Wydanie: 10/2001

Kategorie: Obserwacje

Napisz komentarz

Odpowiedz na treść artykułu lub innych komentarzy