EBIB 
Nr 5/2005 (66), Filtrowanie, kontrola i ochrona sieci. Artykuł
 Poprzedni artykuł Następny artykuł   

 


Leszek Grocholski
Instytut Informatyki
Uniwersytet Wrocławski

Przełom wieków w sieciach a orwellowski rok 1984


Największą formą zaufania jest globalna kontrola równoznaczna z permanentną inwigilacją.


Prawie wszystkie głośne ostatnio sprawy: Rywina, Orlenu, Starachowickiej, PZU pokazują, że z naszym Państwem nie jest wcale tak źle. Wiele instytucji: policja, operatorzy telekomunikacyjni, służby specjalne nagrywają rozmowy, rejestrują, połączenia telefoniczne, archiwizują SMSy, kontrolują zawartość dysków ważnych dla kraju osób. Sprawy te pokazują, że z monitorowaniem działań czołowych osobistości świata polityki i biznesu jest powszechnym procederem. Monitoring możliwy jest dzięki odpowiednim mechanizmom sieci teleinformatycznych, które pozwalają rejestrować prawie wszystko, co się w nich dzieje. Zaciekawieniu, które towarzyszy kolejnym sensacyjnym informacjom, możliwym do zdobycia dzięki monitoringowi sieci informatycznych, zaczyna towarzyszyć refleksja nad tym, czy monitorowanie sieci, to efektywna i zgodna z prawem metoda. Refleksja ta jest jak najbardziej zasadna, gdyż proste formy monitoringu są tanie i możliwe do zastosowania w każdej instytucji - sklepie, biurze, uczelni itd. Zaawansowany monitoring od dawna prowadzony jest w bankach i innych instytucjach finansowych.

Z drugiej strony pojawiają się informacje o ujawnianiu poufnych informacji. Najbardziej głośna to sprawa ujawnienia listy IPN błędnie zwanej listą Wildsteina. Mniej głośne sprawy to co pewien czas pojawiające się informacje o znalezieniu na śmietniku wydruków zawierających listy adresów klientów banku czy też możliwość kupna dysku z tajnymi danymi ministerstwa czy informacjami o stanach kont klientów banku.

Niniejszy esej nie ma charakteru politycznego, technicznego czy naukowego. Jego celem jest skłonienie do refleksji nad istotą i sensem monitoringu.

Na początek parę pytań:

  • Czy gdyby nie monitoring możliwe byłoby postawienie jakichkolwiek zarzutów i przeprowadzenie rozpraw sądowych w/w aferach?
  • Czy powinno się monitorować działania osób mających dostęp do poufnych informacji ?
  • Czy ujawnianie przez operatorów telekomunikacyjnych informacji o połączeniach telefonicznych i ujawnianie treści SMSów jest działaniem zgodnym z prawem?
  • Ile kosztował nas wszystkich brak odpowiednich mechanizmów ochrony danych w IPN?

Monitoring ma wielu przeciwników, którzy z reguły odwołują się do trudno mierzalnych i ogólnikowych "wartości humanistycznych". W szczególności zwolennicy "wartości humanistycznych" twierdzą, że zwiększona kontrola, a zwłaszcza monitoring pracowników wcale nie muszą poprawiać efektywności pracy. Twierdzą oni, że błędne jest przekonanie, że dzięki wszechstronnej obserwacji i ocenie aktywności pracowników, co technologie teleinformatyczne bardzo ułatwiają, można spowodować, że będą pracować wydajniej.

Przeciwnicy monitoringu próbują uzasadnić, że tak nie jest. Odwołują się do zjawisk psychospołecznych, które są dalece bardziej złożone i w których rzadko występują zależności prostoliniowe. Zwolennicy wolności w pracy twierdzą, że miast poprawiać efektywność, monitorowanie w wielu przypadkach może ją obniżać. Powołują się np. na znane psychologom społecznym zjawiskiem facylitacji społecznej. Obecność innych osób i obserwacja z ich strony rzeczywiście prowadzi do wzrostu poziomu wykonania zadania, ale tylko w przypadku zadań prostych. Przy zadaniach trudnych, wymagających m.in. kreatywności i rozwiązywania złożonych problemów, zależność jest odwrotna - obserwacja przez innych zmniejsza efektywność. Przeciwnicy monitoringu za kluczowy argument podają fakt, że nie lubimy mierzyć się ze skomplikowanymi zadaniami pod okiem innych ludzi. Pozornie słusznie twierdzą, że niemal każdy preferuje w takiej sytuacji samotność pozwalającą na skupienie, powołując się na badania, które ponoć udowodniły, że zależność ta dotyczy także monitoringu z użyciem kamer i komputerów.

Być może badania takie rzeczywiście zostały zrobione, ale idę o zakład, że prowadzone były one przez psychologów na populacji studentów, którzy z definicji nie lubią być kontrolowani i monitorowani. Czy jednak psycholodzy prowadzą badania w środowisku biznesowym? Czy badają, ile firma traci na utracie danych czy też np. ile traci bank na trwającej 2 godziny awarii sieci bankomatów, a może badają, ile traci supermarket w niedzielę w godz. 11:00 - 14:00 na skutek zablokowania systemu obsługującego kasy przez bardzo twórczo pracującego, który w sobotę otrzymał zwolnienie z pracy, gdyż supermarket oddał swoje zasoby informatyczne w outsourcing?

Mimo wszystko przeciwnicy monitoringu cały czas nawołują do zastanowienia się, czy na pewno monitoring się opłaca, zwłaszcza w przypadku tzw. pracowników wiedzy? Co więcej twierdzą, że wprowadzenie tego typu mechanizmów kontroli wiąże się z ukrytymi kosztami psychospołecznymi. Nasilona kontrola powoduje stres i dyskomfort psychiczny kontrolowanych oraz obniża ich satysfakcję, co w dalszej perspektywie może prowadzić do wzmożonych absencji, wzrostu fluktuacji kadr czy otwartej konfrontacji pracowników z niesprawiedliwie, ich zdaniem, postępującym pracodawcą. Innym mechanizmem psychologicznym, o którym niestety często się zapomina, jest reaktancja i dążenie do odzyskania wolności wyboru.

W tym momencie chciałem zauważyć, że kontrola wcale nie jest niesprawiedliwa. Po prostu jest częścią zawodowego stresu, tak samo, jak kontroluje się lekarza, czy wyjął wszystkie narzędzia z operowanego pacjenta. I chirurg się o to nie obraża!

Psychologowie twierdzą, że wprowadzanie zbytnich ograniczeń może przejawić się we wzroście atrakcyjności zabronionego zachowania, w dążeniu do podejmowania go na przekór presji oraz w atakach na czynnik ograniczający wolność. Mogą to być na przykład próby obejścia i oszukania kontroli czy dogadania się z kontrolującymi. W ekstremalnych sytuacjach może to prowadzić do patologicznej sytuacji, kiedy to pracownicy będą poświęcali czas i energię na obejście zabezpieczeń.

Psychologowie jako koronny argument podają to, że ludzie nie lubią kontroli, zwłaszcza gdy uznają ją za nieuzasadnioną, nawołują więc do zastanowienia się, czy wprowadzający szeroko zakrojony monitoring szef nie zostanie uznany za miłośnika Wielkiego Brata i metod rodem ze służb specjalnych, a firma - za miejsce nieodpowiednie dla kompetentnego i twórczego pracownika wiedzy.

Zwolennicy monitoringu argumentują, że jest on po prostu obroną przed ciemnymi stronami zachowań ludzkich. W dzisiejszym świecie nie dyskutuje się, czy monitorować pracowników, którzy "obracają" nie swoimi towarami, czy też nie swoimi pieniędzmi. Dlatego bez żadnej dyskusji kontroluje się: kasjerki, ochroniarzy, magazynierów, celników, policjantów, kontrolerów na lotniskach, konwojentów, urzędników bankowych, ... . Co najwyżej dyskutuje się, jak w sposób najbardziej efektywny ich kontrolować? Ponieważ informacja jest również cennym lub nawet w pewnych sytuacjach bezcennym towarem należy w odpowiedni sposób monitorować i kontrolować wszystkie osoby (pracowników, kontrahentów, partnerów biznesowych i innych), które się z nią stykają.

Uzasadnieniem takiego podejścia jest wymowna statystyka dotycząca wykroczeń i przestępstw dotyczących poufności i ochrony danych. Tylko 10-15 % dotyczy penetracji zasobów z zewnątrz. Pozostałe 80-90 % niecnych postępków dokonywanych jest z wewnątrz sieci. Ok. 60 % związanych jest z nieautoryzowanym dostępem, ok. 15% to wynoszenie na zewnątrz korporacji danych (przez osoby, które maja do nich autoryzowany dostęp) a ok. 11 % to sabotaż sieciowy. Tak więc ulubione rozwiązanie ostatnich lat - firewall zewnętrzny chroni sieć jedynie w 10 - 15%. Nieco lepiej jest z firewallami wewnętrznymi.

Część użytkowników sieci twierdzi, że dużo problemów związanych z jej bezpieczeństwem rozwiązują w oparciu o systemy zarządzania zasobami sieciowymi. Przedstawicielami takich systemów są Open View firmy Hewlett Packard, IBM Tivoli czy też MS SMS. Należy jednak pamiętać, że systemy te dobrze monitorują działanie sieci co najwyżej do poziomu warstwy IV. To co się dzieje w warstwach wyższych widziane jest bardzo wyrywkowo. Dodatkowo ich wadą jest to, że nie posiadają możliwości realizacji wielu zadań ważnych do zapewnienia bezpieczeństwa, gdyż po prostu nie są do tego przeznaczone.

Rzeczywistość jest jak zwykle brutalna. Chcąc mówić o bezpieczeństwie systemu IT, trzeba śledzić wszystko, co się w nim dzieje. Przede wszystkim należy przypomnieć sobie z czego składa się sieć komputerowa. Jeszcze raz genialnym do tego okazuje się siedmiowarstwowy model sieci. Przypominam na sieci można spojrzeć jak na system składający się z siedmiu warstw: fizycznej, łącza danych, sieciowej, transportowej, sesji, prezentacji i aplikacji.

Aby sieć mogła funkcjonować, konieczne jest działanie na poziomie każdej warstwy. Jest to oczywiste. Żeby wiedzieć, co się w sieci dzieje, trzeba wiedzieć co się dzieje na każdym poziomie. To też jasne. Jak się jednak okazuje, nie jest oczywiste, że na poziomie każdej warstwy można dokonać włamania do sieci. Występuje tutaj zjawisko chowania głowy w piasek. Nawet ci, którzy są tego świadomi nie podejmują skutecznych działań argumentując, że sieć jest tak złożona, że niemożliwe jest zabezpieczenie każdego miejsca przed intruzami.

Wcale tak nie jest. Jedynym sposobem chronienia sieci przed włamaniem jest osiągniecie przeświadczenia osób, które mają z nią kontakt, iż każde ich posunięcie jest śledzone. Bardzo użyteczne do osiągnięcia takiego stanu są przykładowo następujące posunięcia security oficera: wyświetlenie się komunikatu typu "Dlaczego przynosisz kotku z domu dyskietki, przecież jest zabronione ?" na monitorze użytkownika dokonującego tego niecnego czynu. A jak się będzie czuł inny użytkownik, któremu ukaże się komunikat "Rozpoczynasz kopiowanie pliku, co nie należy do twoich obowiązków. Za drzwiami twojego gabinetu stoi ochroniarz, któremu złożysz wyjaśnienia"?

Sceptycy mówią w tym momencie, że śledzenie wszystkiego, co się dzieje w sieci jest niemożliwe organizacyjnie, gdyż trzeba by stworzyć ogromnie drogi system który by to robił. Przypominam, że:

  1. mamy przecież cos tak genialnego, jak komputer, który wykona za nas "murzyńską robotę";
  2. najważniejsze jest przeświadczenie użytkowników, że ich posunięcia śledzi Wielki Brat;
  3. ograniczamy użytkownikom dostęp jedynie do zasobów niezbędnych do ich pracy.

Można również argumentować, że nie ma systemów inwigilacji sieci. A wcale tak nie jest. Mechanizm tego typu można zbudować, wykorzystując systemy służące do zarządzania siecią typu Unicenter TNG firmy Computer Associates czy Tivoli IBM. Potrzeba tylko trochę wysiłku. Systemy typu "global IT resources management", czy tez "asset management" dostarczają wspaniałych narzędzi do realizacji polityki bezpieczeństwa. Z reguły składają się z następujących modułów:

  1. ewidencja zasobów sprzętowych i oprogramowania;
  2. ochrona przed wirusami;
  3. zarządzanie siecią;
  4. organizacja i archiwizowanie danych;
  5. prawa dostępu, hasła i kodowanie przesyłania danych;
  6. praca grupowa;
  7. helpdesk.

Biorąc pod uwagę, że moduły pozwalają na monitoring prawie wszystkiego, co dzieje się z zasobami, stanowią one wspaniałe narzędzie do zorganizowania globalnej polityki bezpieczeństwa. Wystarczy jedynie określić:

  1. kto i w jakim zakresie ma dostęp do zasobów;
  2. jak kodujemy przesyłane informacje;
  3. jak bronimy się przed wirusami;
  4. które sytuacje uznajemy za niebezpieczne i wymagające natychmiastowej reakcji;
  5. kiedy i jak archiwizujemy dane;
  6. które urządzenia i oprogramowanie są krytyczne dla sytemu i jak je chronimy.

Następnie tworzymy gruby dokument pt. Polityka bezpieczeństwa korporacji i postępujemy zgodnie z opisanymi w nim procesami. Jest to droga do rzetelnego zapewnienia prawdziwego bezpieczeństwa działania zasobów IT.

Polityki bezpieczeństwa nie można stworzyć w jednym momencie. Tworzymy ja etapami. Architektura systemów zarządzających zasobami IT wychodzi tutaj naprzeciw potrzebom. Nie trzeba kupować od razu całego systemu, ale można to robić (a nawet jest wskazane) krokowo. Większość systemów informatycznych, które temu służą, zawiera moduły, które mogą być wdrażane osobno np.:

  1. ochrony antywirusowej;
  2. centralnego tworzenia kopii zapasowych i archiwizacji;
  3. kontroli i monitoringu kopiowania i drukowania plików.

Oczywiście nie są to moduły, które przez samo zainstalowanie załatwią wszystkie problemy związane z bezpieczeństwem. Wymagają dużo pracy. Dla ambitnego oficera bezpieczeństwa sieciowego są prawdziwą skarbnicą pomysłów. Wspominane systemy pozwala przykładowo stosunkowo łatwo rozwiązać takie problemy jak:

  1. kontrola praw dostępu do zasobów:
    • monitorowanie i raportowanie dostępu;
    • single sign-on (jednokrotna rejestracja dostępu w sieci);
  2. organizację i ochronę zasobów taśmowych.

Należy podkreślić, że systemy tego typu cały czas prowadzą monitoring zdarzeń we wszystkich zasobach IT, umożliwiają diagnostykę oraz pozwalają na predefiniowanie automatycznych reakcji. Monitoring odbywa się również w warstwie systemów i aplikacji. Chodzi tutaj o oprogramowanie systemowe i narzędziowe (również typu Exchange czy Lotus Notes), baz danych i aplikacje np. klasy ERP. Można więc śledzić, co się dzieje z utajnianymi zwykle danymi dotyczącymi cenników, sprzedaży czy raportów finansowych generowanych przez aplikacje typy R3 czy Baan i przechowywanych w bazach danych Oracle czy Informix.

Zarządy firm nielubiące wydawać pieniędzy chciałyby zabezpieczać swoje korporacyjne zasoby IT, nie wydając przy tym ani złotówki. Dlatego taką popularnością cieszy się pomysł skalkulowanego ryzyka. Ponosząc mniejsze nakłady, pozwala się, by część danych była po prostu nie chroniona, część chroniona lepiej, natomiast pozostałe przechodziły okresowe testy, pozwalające określić, czy należy wprowadzać nowe procedury lub czy należy wprowadzone mechanizmy (sprzęt, oprogramowanie, organizacja ) zmodyfikować.

Stosuje się różnego rodzaju zabezpieczenia: programy antywirusowe, firewalle, kontrole wejścia/wyjścia do firmy itp. Kontrolowane włamania pozwalają przygotować zestaw zaleceń dla działu ochrony, umożliwiający podniesienie poziomu zabezpieczeń tak, aby odpowiadały aktualnie obowiązującym normom i potrzebom. Działania takie uspokajają zarząd i wszystko wydaje się OK. Jest to jednak złudzenie tak jak złudzeniem uspokajającym komitety przeciwpowodziowe był pomysł wysadzenia wałów. Jak kończą się takie pomysły, Wrocław wie najlepiej.

W tym miejscu odpowiedź na jedno z zadanych na początku pytań. Prawdopodobnie brak odpowiedniej kontroli i monitoringu pracowników i gości IPN umożliwił opublikowanie przez Bronisława Wildsteina znanej listy, co kosztuje nas wszystkich 2 mln zł. Tyle środków przeznaczono z budżetu państwa na zapewnienie zainteresowanym osobom (których liczba po opublikowaniu listy znacznie wzrosła) szybszego dostępu do akt.

Na koniec tym wszystkim, którzy mówią, że mimo wszystko nie są przekonani do konieczności wprowadzenia monitoringu sieci przytaczam następujące fakty:

  1. prewencja przynosi zawsze lepsze efekty niż ściganie i karanie przestępców;
  2. CITYBANK stracił 10 mln dolarów na skutek włamania do systemu IT;
  3. Omega Engineering straciła 9 mln dolarów na w wyniku "bomby programistycznej" z opóźnionym zapłonem, przygotowanej przez zwolnionego pracownika.

Może jednak wydać trochę pieniędzy i wprowadzić odpowiednie mechanizmy procedury ochrony danych, aby nie stracić dużo więcej.

 Początek strony



Przełom wieków w sieciach a orwellowski rok 1984 / Leszek Grocholski// W: Biuletyn EBIB [Dokument elektroniczny] / red. naczelny Bożena Bednarek-Michalska. - Nr 5/2005 (66) maj. - Czasopismo elektroniczne. - [Warszawa] : Stowarzyszenie Bibliotekarzy Polskich KWE, 2005. - Tryb dostępu: http://www.ebib.pl/2005/66/orwell.php. - Tyt. z pierwszego ekranu. - ISSN 1507-7187