Kompiuterinio saugumo mitai
Informacijos apsaugos problema ne nauja. Jinai atsirado kartu su kompiuteriais. Natūralu, jog spartus kompiuterinių technologijų augimas įtakoja ir informacijos apsaugos principus. Užduotys pasikeitė, o nuomonė liko tokia pati – būtent taip ir gimsta mitai. Pateikiame keletą mitų apie kompiuterinį saugumą.
Pirmasis mitas: “Informacijos apsauga ir kriptografija – broliai dvyniai”
Šis mitas tikriausiai kilo dėl to, jog nuo pat pradžios informacijos apsaugos sistemos buvo kuriamos karo tikslams. Slaptos informacijos atskleidimas galėjo sukelti labai skaudžias pasekmes, tame tarpe ir žmonių aukas. Todėl konfidencialumui pirmose apsaugos sistemose buvo skiriamas ypatingas dėmesys. Akivaizdu, jog patikimai apsaugoti pranešimus bei duomenis nuo neteisėto perėmimo galima tiktai pilnai juos užšifruojant. Būtent dėl šios priežasties pradinis kompiuterinio saugumo vystymosi etapas buvo glaudžiai susijęs su kriptošifrais. Tačiau dabar informacija jau nėra tokia “mirtinai pavojinga” jėga, ir jos laikymas didelėje paslaptyje prarado dalį savo ankstesnio aktualumo. Šiuo metu informacijos saugumo pagrindas – jos prieinamumas ir nepažeidžiamumas. Kitais žodžiais sakant, vartotojas bet kuriuo metu turi priėjimą prie reikiamų duomenų ir apsaugos sistema turi garantuoti informacijos perdavimą. Bet kuris sistemos failas arba resursas turi būti prieinamas bet kuriuo metu (laikantis priėjimo prie konfidencialios informacijos teisių). Jeigu koks nors resursas yra neprieinamas, jisai automatiškai tampa nenaudingu. Kita saugumo sistemos užduotis, – užtikrinti informacijos nepažeidžiamumą jos saugojimo bei perdavimo metu. Kitaip tai dar yra vadinama informacijos nepakitimo sąlygomis. Tokiu atveju, informacijos konfidencialumas, užtikrinamas kriptografijos, nėra pagrindinis reikalavimas, keliamas projektuojant apsaugos sistemas. Kriptografinio šifravimo ir dešifravimo procedūrų atlikimas gali sumažinti duomenų perdavimo greitį bei analogiškai sumažinti jų prieinamumą, nes vartotojas gana ilgą laiką lauks savo “patikimai apsaugotų” duomenų, o tai yra neleistina kai kuriose šiuolaikinėse kompiuterinėse sistemose. Todėl, visų pirma, kompiuterinė apsaugos sistema turi garantuoti duomenų prieinamumą asmenims, turintiems teisę dirbti su reikiama informacija, be užtikrinti, jog informacija saugojimo bei perdavimo metu nebus iškraipyta. Šiuolaikinės informacijos apsaugos sistemos principą galia apibūdinti taip – bandymas surasti optimalų santykį tarp prieinamumo bei saugumo.
Antras mitas: “Viskuo kalti hakeriai”
Šį mitą palaiko ir puoselėja masinės informacijos priemonės, su visomis baisiomis smulkmenomis aprašančios “įsilaužimus į bankų sistemas”. Tačiau labai retai būna minimas tas faktas, jog hakeriai dažniausiai pasinaudoja aptarnaujančio personalo nekompetentingumu bei aplaidumu. Hakeriai šiuo atveju visų pirma veikia kaip diagnozuotojai. Todėl pagrindine grėsme informacijos saugumui galima visų pirma laikyti darbuotojų nekompetentingumą. Be to pakankamai didelį pavojų kelia ir tokie darbuotojai, kurie yra kažkuo tai nepatenkinti, pvz. darbo užmokesčiu. Vienas labiausiai paplitusių šio tipo pavojų – taip vadinamų “silpni” slaptažodžiai. Beje, kontroliuoti slaptažodžio sudėtingumą neįmanoma. Kita problema – saugumo reikalavimų nesilaikymas. Pavyzdžiui labai pavojinga naudoti nepatikrintą programinę įrangą. Paprastai pats vartotojas “prisišaukia” į savo sistemą įvairius virusus bei taip vadinamus “trojos arklius”. Be to didelių nemalonumų gali pridaryti kompiuteriui duota klaidingai komanda. Pavyzdžiui programuojant kosminį aparatą FOBOS-1 jam iš Žemės buvo duota neteisinga komanda, po ko ryšys su aparatu buvo prarastas. Tokiu būdu geriausias apsisaugojimas nuo užpuolimo, neleisti, kad jis įvyktų. Darbuotojų apmokymas kompiuterinio saugumo principų, gali užkirsti kelią sistemos užpuolimui. Kitaip sakant, informacijos apsauga priklauso nuo techninių priemonių ir nuo teisingai suformuoto bei apmokyto personalo.
Trečias mitas: “Absoliuti apsauga”
Absoliučios apsaugos būti negali. Gana paplitusi yra tokia nuomonė – “pastačiau apsaugą ir galima nesirūpinti apie saugumą”. Pilnai apsaugotas kompiuteris, tai toks, kuris stovi užrakintas šarvuotame kambaryje, nėra pajungtas prie jokių tinklų (netgi elektros tinklo) ir yra išjungtas. Toks kompiuteris turi absoliučią apsaugą, tik deja naudotis juo negalima. Minėtu atveju nėra vykdoma duomenų prieinamumo sąlyga. “Absoliučiai” apsaugai trukdo ne tik būtinybė naudotis apsaugotais duomenimis, bet ir saugomos sistemos sudėtingumo padidėjimas. Naudotis pastoviais, netobulinamais mechanizmas, gana pavojinga, čia yra keletas priežasčių. Viena iš jų – jūsų nuosavo tinklo vystymas. Nes daugeliu atvejų elektroninių apsaugos sistemų savybės priklauso nuo tinklo konfigūracijos bei naudojamų programų. Netgi nekeičiant tinklo struktūros, anksčiau ar vėliau teks naudoti naujesnes programinės įrangos versijas. Tačiau gali įvykti taip, jog naujos programinės įrangos galimybės sumažins apsaugos sistemos efektyvumą. Be to nereikia užmiršti ir to fakto, jog labai sparčiai vystosi sistemos užpuolimui naudojamos technologijos. Technika taip greitai tobulėja, jog naujos kartos užpuolimui skirta programa gali paprasčiausiai apgauti apsaugos sistemą. Pavyzdžiui kriptografinė sistema DES, kuri yra JAV kriptografijos standartas nuo 1977 metų, šiuo metu gali būti atkoduota “grubios jėgos” metodu, t.y. taikant tiesioginį atrinkimą. Kompiuterinis saugumas – tai pastovi kova su vartotojų kvailu ir hakerių intelektu.
Baigiant reikėtų pasakyti, jog informacijos apsauga neapsiriboja techninėmis priemonėmis. Problema yra daug platesnė. Pagrindinis informacijos apsaugos sistemų trūkumas, – žmonės, dėl to sistemų efektyvumas visų pirma priklauso nuo aptarnaujančio personalo teisingo elgesio su pačia sistema. Be to apsaugos sistemą reikia visą laiką tobulinti lygiagrečiai su kompiuterių tinklo vystymu. Nereikia pamiršti ir to fakto, jog darbui trukdo ne apsaugos sistema, o jos nebuvimas.
Valerij Koržov