Nr 7/2006 (77), Technologie informacyjne. Artykuł |
Magdalena Zych
| |||
Polityka bezpieczeństwa i bezpieczeństwo w sieciBezpieczeństwo staje się w ostatnim czasie coraz ważniejszą sprawą. Często słyszymy o udanych włamaniach na strony www i do systemów różnych firm. Przeglądając strony i portale internetowe wielu firm prywatnych, mamy do czynienia z tzw. polityką prywatności. Natomiast żadna z odwiedzonych stron www instytucji publicznych, zarówno bibliotek, instytutów naukowych, ośrodków akademickich, urzędów miejskich i gminnych nie posiada opracowanej takiej polityki. Większość z internautów nie zwraca na ten aspekt uwagi, ale w dobie olbrzymiego postępu teleinformatycznego oraz dynamicznego rozwoju społeczeństwa informacyjnego powinno się zasygnalizować problem związany z bezpieczeństwem danych w sieci. Strony internetowe obok warstwy informacyjnej posiadają także możliwość pozostawiania danych osobowych (logowanie się do baz danych, odpowiedzi na ankiety czy konkursy prowadzone na stronach www). Czy jako użytkownicy Internetu możemy bez obaw odwiedzać strony internetowe różnych instytucji, w tym bibliotek, mając przez nie zagwarantowane, że nasze dane nie zostaną wykorzystane w inny sposób? Możemy więc zadać pytanie, co to jest polityka prywatności, czemu służy i kogo chroni? Obecnie nie mamy problemu ze zdefiniowaniem, czym jest polityka bezpieczeństwa, jednakże pojęcie polityki prywatności w polskich źródłach zarówno w postaci tradycyjnej, jak i elektronicznej nie występuje. W niniejszym artykule postaramy się podać definicję polityki prywatności. Aby lepiej zrozumieć problem, przyjrzyjmy się bliżej, czym jest polityka bezpieczeństwa i bezpieczeństwo teleinformatyczne. Polityka bezpieczeństwa (z języka angielskiego security policy) jest zbiorem spójnych, precyzyjnych i zgodnych z obowiązującym prawem przepisów, reguł i procedur, według których dana organizacja buduje, zarządza oraz udostępnia zasoby i systemy informacyjne i informatyczne. Określa ona, które zasoby i w jaki sposób mają być chronione[1]. Polityka bezpieczeństwa powinna obejmować wskazanie możliwych rodzajów naruszenia bezpieczeństwa (np. utrata danych, nieautoryzowany dostęp), scenariusze postępowania w takich sytuacjach i działania, które pozwolą uniknąć powtórzenia się danego incydentu. Polityka bezpieczeństwa definiuje ponadto poprawne i niepoprawne korzystanie z zasobów (np. kont użytkowników, danych, oprogramowania). Istotne jest, aby polityka bezpieczeństwa była dokumentem spisanym i znanym oraz zrozumianym przez pracowników organizacji korzystających z zasobów informatycznych. Dotyczy to także klientów organizacji (użytkowników jej zasobów). Przy jej projektowaniu należy rozważyć, czy organizacja wdrażająca politykę bezpieczeństwa będzie w stanie ponieść koszty jej wprowadzania w życie. Podwyższanie poziomu bezpieczeństwa organizacji czy systemu odbywa się najczęściej kosztem wygody i efektywności działania. Dlatego, opierając się na zalecanych modelach czy standardach w tej dziedzinie, należy pamiętać o dostosowaniu rozwiązania do specyfiki organizacji, tak aby nadać jej cechy ułatwiające zastosowanie w praktyce. Polityka bezpieczeństwa powinna adresować następujące zagadnienia:
Projektując mechanizmy ochrony informacji, należy określić natomiast następujące elementy:
Bezpieczeństwo teleinformatyczne to inaczej bezpieczeństwo informacji i systemy teleinformatyczne rozpatrywane w odniesieniu do instytucji wykorzystującej lub udostępniającej infrastrukturę teleinformatyczną, aby osiągnąć wyznaczone cele[2] Zarządzanie bezpieczeństwem w organizacji to ciągły i złożony proces umożliwiający bezpieczną realizację misji, do której instytucję powołano. Proces ten zachodzi w stale zmieniającym się środowisku, przy występowaniu coraz to nowych form zagrożeń i wyzwań dla instytucji, a także przy szybkim postępie technologicznym. Bezpieczeństwo w ujęciu całościowym powinno obejmować aspekt organizacyjny, techniczny i prawny. Zarządzanie bezpieczeństwem to szereg uzupełniających się procesów:
Bezpieczeństwo rozpatrywać można na trzech poziomach:
Problem ochrony prywatności w polskich serwisach internetowych pojawił się niedawno. Podane w artykule definicje mogą nam w dużym stopniu pomóc w zdefiniowaniu pojęcia polityki prywatności serwisów internetowych:
Kolejnym krokiem do poznania pojęcia polityki prywatności jest sposób gromadzenia i wykorzystania informacji o użytkownikach przez serwisy internetowe. Wiele serwisów ogranicza wykorzystanie i zbieranie informacji o klientach do niezbędnego minimum wymaganego do świadczenia usług na najwyższym poziomie, co obejmuje m.in. informowanie naszych klientów o oferowanych przez nas produktach i usługach. W niektórych przypadkach (np. badania ankietowe, konkursy, formularze zamówień) zbierane są informacje o użytkownikach, takie jak adresy poczty elektronicznej lub dane osobowo-adresowe. Informacje te nie są udostępniane osobom trzecim, chyba że po uzyskaniu zgody użytkownika lub jeżeli wymagają tego przepisy obowiązującego prawa i służą głównie do realizacji zobowiązań wobec użytkowników, obejmujących m.in. dostarczaniem zamawianych pozycji i subskrybowanych wiadomości. Serwisy internetowe, w tym strony www firm i instytucji np. bibliotek, zapewniają swoim użytkownikom całkowitą anonimowość tak długo, aż sami nie zdecydują inaczej, a także dokonując działań właściwych dla konkretnych usług serwisu (np. logowanie się do katalogów OPAC), z którymi związana jest konieczność ujawnienia niektórych danych, wówczas ujawniane są tylko hasło oraz login. Strony www wykorzystują również adresy IP użytkowników w diagnozowaniu problemów związanych z pracą serwerów, analizą naruszeń bezpieczeństwa oraz w zarządzaniu stronami www. Adres IP jest wykorzystywany najczęściej do identyfikacji i gromadzenia danych demograficznych od osób odwiedzających witrynę (np. informacje o regionie, z którego nastąpiło połączenie). Informacje te nie powinny być w żaden sposób łączone z danymi osobowymi użytkowników. Wszyscy użytkownicy stron www mają możliwość bezpośredniego kontaktu mailowego z pracownikami poprzez dostępne na stronach www adresy korespondencyjne. Instytucje posiadające taką możliwość przechowują korespondencję ze swoimi użytkownikami dla celów statystycznych oraz jak najlepszej i najszybszej reakcji na pojawiające się zapytania. Jednocześnie gwarantują, że adresy w ten sposób gromadzone nie będą wykorzystywane do komunikacji z użytkownikami w celu innym niż przez niego określony. Ewentualna komunikacja w innych kwestiach może się odbywać tylko za uprzednią zgodą użytkowników. Na podstawie uzyskanych informacji w szczególnych przypadkach sporządzane są zbiorcze, ogólne zestawienia statystyczne, które mogą być ujawniane osobom trzecim. Obejmują one zwykle informacje dotyczące oglądalności serwisu. Zestawienia te nie zawierają jednak żadnych danych pozwalających na identyfikację pojedynczych użytkowników witryn internetowych. Znacznie rzadziej wykorzystywane są pliki cookies, które ułatwiają korzystanie z zasobów serwisu. Cookies zawierają użyteczne informacje i są przechowywane na komputerze użytkownika - serwery, na których działają serwisy firmowe mogą je odczytać dopiero w momencie ponownego połączenia się z tym komputerem. Wyłączenie informacji cookies w przeglądarce nie pozbawia użytkownika dostępu do zasobów witryny www. Strony www wykorzystują "ciasteczka", aby dostarczać zawartość najbardziej odpowiadającą zainteresowaniom użytkowników oraz w innych celach (np. ustalenia rankingu najczęściej pobieranych programów). Wiele serwisów internetowych wykorzystuje formularze zamówień, który umożliwia klientom złożenie zamówienia na informacje oraz usługi. Takie formularze stosują również biblioteki. Formularze te pozwalają na zbieranie informacji kontaktowych od odwiedzających (np. adres poczty elektronicznej użytkowników). Informacje pochodzące z formularzy zamówień są wykorzystywane do realizacji zamówień, wysyłania informacji, np. o ciekawych imprezach, konferencjach, sympozjach. Informacje teleadresowe użytkowników są także wykorzystywane do nawiązywania z nimi kontaktu, jeżeli zaistnieje taka konieczność. W podobny sposób wykorzystywane są dane pochodzące z przeprowadzanych konkursów oraz badań ankietowych. Serwisy internetowe i strony www zaopatrzone są również w środki bezpieczeństwa, mające na celu ochronę danych osobowych przed utratą, niewłaściwym wykorzystaniem i modyfikacją. Zobowiązują się chronić wszelkie informacje ujawnione przez użytkowników zgodnie z normami ochrony bezpieczeństwa i zachowania poufności. Prawa dostępu do danych osobowych użytkowników serwisu zostają w restrykcyjny sposób ograniczone, tak aby informacje te nie znalazły się w rękach osób niepowołanych. Dostęp do danych osobowo-adresowych powinna mieć tylko ograniczona liczba uprawnionych pracowników obsługujących serwisy na zasadach zgodnych z Rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 3 czerwca 1998 r. w sprawie określenia podstawowych warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.[3] Na stronach internetowych powinny być także podane dane do kontaktów, jeżeli użytkownicy mają jakieś pytania dotyczące deklaracji ochrony prywatności, praktyk stosowanych stronie, czy też sposobów utrzymywania z nią kontaktów, najczęściej podawaną osobą do kontaktu jest administrator witryny. Podstawowe założenia polityki prywatności:
Bezpieczeństwo z poziomu użytkownika i komunikacjiProblem bezpieczeństwa w sieci to ostatnio gorący temat. Jak wspomina Eric Maiwald, jest bardzo możliwe, że w najbliższej przyszłości zostaną ustanowione prawa definiujące sposób, w jaki firmy i instytucje powinny obchodzić się z informacjami o klientach. Informacje tego typu nie należą, bowiem do firmy, lecz do samego użytkownika. W związku z tym instytucje powinny przedsięwziąć odpowiednie kroki chroniące dane przed nieautoryzowanym ujawnieniem. Oczywiście nie chodzi o to, że nie należy ich wykorzystywać, ale należy dopilnować, aby zostały wykorzystane właściwie. Wiele instytucji i firm powiadamia swoich użytkowników w opracowanej przez siebie polityce prywatności, że część lub całość danych może zostać wykorzystana do celów związanych z prawidłowym funkcjonowaniem instytucji czy firmy. Użytkownicy zostają w niej poinformowani również o możliwości nie wyrażenia zgody na jakiekolwiek użycie informacji na temat pozostawionych danych. W rozdziale pierwszym omówione zostały aspekty bezpieczeństwa zagwarantowane ze strony instytucji, natomiast sam użytkownik również może zastosować system odpowiednich zabezpieczeń. Luki po stronie użytkownika są, bowiem najwygodniejszym sposobem obejścia zapory sieciowej wykorzystywanych przez serwery zarówno użytkownika, jak i instytucji. Luki takie są obecne nie tylko w przeglądarkach www, ale również w klientach usług, takich jak: telnet, FTP, IRC, MSN Chat. Bezpieczeństwo od strony użytkownika dotyczy zabezpieczeń od systemu użytkownika do serwera danej instytucji. Ta część systemu obejmuje komputer użytkownika, oprogramowanie do przeglądania Internetu i połączenie komunikacyjne z serwerem (patrz rys. 1). W tej części istnieje kilka problemów[5]:
Kolejnym ważnym aspektem omówionym w artykule jest bezpieczeństwo komunikacji. Bezpieczeństwo komunikacji dla aplikacji zamówień/wypożyczeń elektronicznych obejmuje kwestie bezpieczeństwa informacji przesyłanej pomiędzy systemem użytkownika i serwerem instytucji. Może tu chodzić również o cenne informacje, takie jak loginy czy hasła. Może także chodzić o utajnione informacje wysyłane z serwera do systemu użytkownika, jak np. pliki użytkownika. Jest na to tylko jedno realistyczne rozwiązanie: szyfrowanie. Większość standardowych przeglądarek sieci zawiera funkcję szyfrowania przekazu. Jest to ustawienie domyślne w przypadku korzystania z HTTPS zamiast HTTP. W HTTPS zastosowane jest połączenie SSL (Secure Socket Layer) pomiędzy użytkownikiem i serwerem. Cały ruch przechodzący przez to połączenie jest szyfrowany. W tym miejscu powinniśmy poświęcić trochę czasu na omówienie długości klucza SSL. W literaturze fachowej dotyczącej bezpieczeństwa danych w sieci znajdziemy bardziej szczegółowe omówienie algorytmów szyfrowania i długości kluczy. Długość klucza ma bezpośredni wpływ na czas i wysiłek, jaki trzeba włożyć w atak na zaszyfrowany przekaz, a tym samym uzyskanie dostępu do informacji. Zważywszy na ryzyko związane z wysyłaniem cennych informacji przez Internet, szyfrowanie jest zdecydowanie bardzo dobrym rozwiązaniem. Szyfrowanie w HTTPS ochroni informacje od momentu, kiedy opuści ona komputer użytkownika do momentu jej dotarcia do serwera sieciowego. Korzystanie z HTTPS stało się koniecznością, kiedy okazało się, jakie są niebezpieczeństwa tego, że ktoś uzyska np. dostęp do naszych danych przez Internet[6]. Protokoły HTTP i HTTPS nie są zapamiętywane, to znaczy, że po załadowaniu strony www do przeglądarki, serwer nie zapamiętuje, że załadował daną stronę do danej przeglądarki. Jednym ze sposobów, żeby to osiągnąć (to także najpowszechniejszy sposób) jest zastosowanie omówionych w części pierwszej cookies, czyli tzw. ciasteczek. "Ciasteczko" jako mała porcja informacji przechowywana jest w systemie klienta przez serwer sieciowy. Tylko ten serwer, który je umieścił powinien móc je odzyskać, a "ciasteczko" powinno po pewnym czasie stracić ważność (zazwyczaj jest to mniej niż rok). Cookies mogą być zaszyfrowane lub nie. Mogą być również trwałe (tzn. pozostają po zamknięciu przeglądarki przez klienta) lub nietrwałe (tzn. nie są zapisywane na dysku, lecz pozostają w pamięci podczas otwarcia przeglądarki). Pliki cookies mogą dla serwera sieciowego wyśledzić wszystko (przykładowo jedna instytucja może stosować je do śledzenia zamówienia, podczas gdy użytkownik wybiera różne produkty). Inna może stosować je do śledzenia informacji uwierzytelniającej klienta tak, że nie musi się on logować na każdą stronę. Ryzyko związane z "ciasteczkami" dotyczy umożliwienia klientowi, lub komuś innemu posiadającemu dostęp do jego komputera, wgląd w treść "ciasteczka". Jeśli zawiera ono hasła lub inne informacje uwierzytelniające, może to pozwolić nieautoryzowanej osobie na wstęp na stronę. Zarządzanie ryzykiem w tej dziedzinie może odbywać się za pomocą szyfrowania także nietrwałych ciasteczek. Jeśli zamówienie klienta lub informacje dotyczące uwierzytelnienia znajdują się w nietrwałym "ciasteczku", nie zostają one zapisane na dysk systemowym użytkownika. Intruz nadal może uzyskać dostęp do tych danych, umieszczając system pośredniczący pomiędzy klientem i serwerem i tym samym przechwytując "ciasteczko" (odpowiednio je modyfikując). Jeśli jednak ciasteczka są zaszyfrowane, takie przechwycenie staje się niemożliwe. Jednym z obszarów ryzyka związanych z bezpieczeństwem zamówień elektronicznych ze strony użytkownikajest możliwość, że użytkownik zaprzeczy transakcji. Oczywiście, jeśli klient rzeczywiście nie zainicjował transakcji, instytucja nie powinna do niej dopuścić. Jak jednak zdecydować, czy klient naprawdę jest tym, za kogo się podaje? Odpowiedzią jest uwierzytelnianie. Stosowana metoda uwierzytelniania zależy od ryzyka związanego z pomyłką. W takim przypadku lepiej może zastosować identyfikatory i hasła czy nawet dwuczynnikowe uwierzytelnianie. W każdym z tych przypadków zasady świadczenia usług wysłane do użytkownika powinny wyszczególniać wymogi zabezpieczenia identyfikatora i hasła. Jeśli stosuje się identyfikator i hasło do uzyskania informacji o użytkowniku instytucja zakłada, że informacje udostępniane są uprawnionemu użytkownikowi. Jeśli hasło zostanie zapomniane, zgubione lub ujawnione, należy natychmiast skontaktować się z instytucją[7]. Pomimo, że zasady bezpieczeństwa są różne w różnych serwisach należy zawsze pamiętać:
Poruszony w artykule problem bezpieczeństwa i prywatności w serwisach www polskich bibliotek może nam pomóc zdefiniować, czym jest polityka prywatności stron www oraz odpowiedzieć na pytanie, czemu służy i kogo chroni? Podsumowując, polityka prywatności stron www to zbiór reguł ułatwiających i umożliwiających użytkownikowi bezpieczne korzystanie z odwiedzanego serwisu. Użytkownik zostaje poinformowany, w jakim celu zbierane są jego dane osobowe, w jaki sposób są przechowywane i do jakich celów oraz przez kogo są wykorzystywane. Przypisy[1] Hasło "Polityka bezpieczeństwa": Wikipedia [on-line]. [dostęp 7 lipca 2006]. "Polityka bezpieczeństwa". Dostępny w World Wide Web: http://pl.wikipedia.org/wiki/Polityka_bezpiecze%C5%84stwa. [2] Hasło "Bezpieczeństwo teleinformatyczne ": Wikipedia [on-line]. [dostęp 7 lipca 2006]. "Bezpieczeństwo teleinformatyczne". Dostępny w World Wide Web: http://pl.wikipedia.org/wiki/Bezpiecze%C5%84stwo_teleinformatyczne [3] Dziennik Ustaw, 1998, Nr 80, poz. 521 [4] Dziennik Ustaw, 1997, Nr 133, poz. 883 [5] MAIWALD, E. Bezpieczeństwo w sieci: kurs podstawowy. Kraków: Wydaw. Edition, 2001. s. 199. [6] Tamże, s. 201. [7] Tamże, s. 202. [8] KLANDER, L. Hacker Proof czyli jak się bronić przed intruzami. Warszawa: Mikom, 1998. s. 750. |
| |||