ne, bezpečnoSt! bezpečný e-mail pro miliony

Transkript

ZÁŘÍ 2010 / ročník XI, č. 3
Sociální sítě úhlem
bezpečnostních rizik
Mravnost nadevše?
Ne, bezpečnost!
Bezpečný e-mail
pro miliony uživatelů
Sociální sítě, jejichž synonymem se stal
Facebook nebo Twitter, jsou už naplno
v hledáčku firem, které zde objevily zajímavý marketingový a obchodní potenciál. V podstatě jde o sen všech marketérů, protože mohou přesně zacílit
a oslovit určitou cílovou skupinu. Na
druhé straně je nadšení ze sociálních
sítí vyvažováno obavami IT administrátorů z bezpečnostních rizik a úniků informací, které jsou prostřednictvím těchto
sítí dostupnější, než tomu bylo dřív.
Lidé se smiřují se všudy přítomnými kamerami a svá rodná čísla by nejraději
zatajili i před svými životními partnery.
„Osobně s rodným číslem žádné tajnosti nedělám, ale na druhou stranu,
heslo svého počítače bych skutečně nepošeptal ani manželce,“ řekl na
úvod našeho setkání Martin Meduna,
bezpečnostní expert společnosti Symantec. Druhý účastník naší besedy,
Michal Hroch, produktový manažer
serverové divize Microsoftu, jen souhlasně pokýval hlavou …
Sofistikovanost bezpečnostních hrozeb
rok od roku roste a nutí organizace zvyšovat úroveň bezpečnosti informačních
systémů. Narůstající objem technologií
s sebou přináší potřebu aktivního přístupu k odhalování případných zranitelností v infrastruktuře firemních sítí.
Jedním z řešení je nasazení antivirové
ochrany, a to především na klíčových
serverech sítě. Menší firmy antivirovou
ochranu stále podceňují, což je v kontrastu s chováním velkých společností.
Ochrání vaše informace
Zajistěte bezpečnost vašich počítačů a komunikace pomocí
sofistikované technologie šifrování, elektronického podpisu
a silné autentizace.
IT BEZPEČNOST S ČIPOVOU KARTOU
 šifrování a podpis e-mailů jedním kliknutím myši
 přihlašování k Windows a libovolným aplikacím
 čipová karta jako bezpečné úložiště hesel a PIN kódů
 bezpečný přístup k internetu a do vzdálených informačních systémů
 šifrování souborů i celého logického disku
 využití v docházkových, stravovacích a přístupových systémech
Na Pankráci 125 
140 21 Praha 4 
tel: 244 021 111
fax: 244 021 112 
www.oksystem.cz
20 nalet trhu
EDITORIAL
Vážení čtenáři,
vážené čtenářky,
pozoruji-li život kolem sebe, neujde mi, že lidé většinou žijí klidně, bezstarostně a s trochu falešným pocitem bezpečí. A to i přesto, že mnozí z nich si
nedokážou představit, že by nebyli se světem napřímo spojení čtyřiadvacet
hodin denně, 365 dnů v roce. Ohrožení, které na ně na každém kroku v internetovém světě číhá, prostě nevnímají. Vnímat by ale raději měli. Internetoví útočníci-zloději jsou šíbři daleko jiného kalibru než lapkové, kteří u bytu
vylomí zámek a vyplení byt.
V průběhu posledních pěti let se objevilo mnoho
zpráv, které odhalují motivaci současných internetových útočníků a jejich činnosti. Doby, kdy
hackerům stačila mediální sláva, jsou definitivně
minulostí. Dnes jsou cílem zlodějů peníze. Zisk.
Zisk ročně počítaný v miliardách dolarů. Počítače už nenapadají jednotlivci, nýbrž velmi dobře
vnitřně organizované gangy s přísnou vnitřní
hierarchií, kde vysoce erudovaní pěšáci nemají
ani ponětí, kdo jsou vlastně jejich kápa. Kde sídlí,
jakým jazykem hovoří, jde-li o muže či ženu, bílý
límeček…
A co vlastně kyberzločince zajímá? Všechno, neboť dnes se prý dá dobře zpeněžit opravdu všechno. Osobní data, tedy rodná čísla, čísla kreditních
karet, přístupová hesla k internetbankingu,
Professional Computing Speciál
Bezpečnost a zabezpečení
Vyšlo 30. září 2010
Samostatně neprodejná příloha ekonomických
časopisů
Vydavatel:
DCD Publishing
Komprdova 20, 615 00 Brno
IČO: 25560701
ředitelka: Kateřina Černovská
www.dcd.cz
Adresa redakce:
Lublaňská 21, 120 00 Praha 2
tel.: 224 936 895, fax: 224 936 908
www.procomputing.cz
Redakce
PhDr. Vlaďka Bezecná, [email protected]
Grafika a sazba
Aetna, www.aetna.cz
firemní účetnictví, seznam zákazníků, dlužníků,
důvěrná e-mailová korespondence a koneckonců i samotný přístup k jednotlivým počítačům.
A nástrojů, jak se k poptávaným informacím dostat, je také vějíř.
Jen například společnost AVG – jedna z mnoha
světových firem zabývajících se počítačovou bezpečností – monitorovala 165 domén ovládaných
internetovými útočníky, kterým se podařilo během dvou měsíců infikovat více než 1,2 milionu
počítačů. Více než dvanáct milionů uživatelů po
celém světě navštívilo jejich infikované webové
stránky a úspěšnost napadení byla asi desetiprocentní. (Jen tak mimochodem – nejnebezpečnější webovou stránkou v Čechách je stránka žalostně proslulé Ivety Bartošové
…)
Kdo se může chtít dostat do počítače? Jaké nástroje a metody využívá? Jak jsou úspěšné? Kde
se skrývají? Co můžeme udělat proto, aby náš
počítač neovládal nikdo jiný, než my sami osobně? Odpovědi na tyto znepokojující otázky byste
měli nalézt na následujících stránkách. A věřím,
že stručné recepty vám pomohou v nezbytné
základní orientaci. Čtěte proto, prosím, pozorně,
jde o vaše data a vaše peníze…
Takže hodně inspirace přeji!
OBSAH
Editorial
(Vlaďka Bezecná)
1
Zpravodajství
2
Mravnost nadevše? Ne, bezpečnost!
(Vlaďka Bezecná)
5
Sociální sítě úhlem bezpečnostních rizik
(AVG)
Případové studie
10
Centrální správa bezpečnostních produktů
(Robert Šefr)
12
Role CISO v malé a střední firmě
(Daniel Chromek)
14
Nové síťové záznamové zařízení
(Koukaam)
16
Banky v ČR začínají hrát aktivní roli
v boji proti phishingu a trojským koním
(EMC)
17
Bezpečný e-mail pro miliony uživatelů
(ESET)
18
Jak řídí přístup k síti na
Úřadu pro civilní letectví
(Siemens)
19
Řízené dokumenty pod kontrolou
(IXTENT)
20
© DCD Publishing, s. r. o.
Professional Computing
1
ZPRAVODAJSTVÍ
Tři roky bezpečí
za cenu dvou
Každý den vzniká více než 200 tisíc nových virových infiltrací, které se snaží napadnout nechráněný počítač. Ať už se uživatel pohybuje pouze na
Facebooku, nebo si prohlíží stránky s nelegálním
obsahem, všude číhá nebezpečí.
Jedna z největších antivirových firem na světě, slovenský ESET, nově nabízí výhodnou akci
zajišťující bezstarostnou ochranu počítače na tři
roky za cenu dvou. Programy ESET Smart Security nebo ESET NOD32 Antivirus jsou kompletně v češtině a patří k nejoceňovanější antivirové
ochraně, která zabezpečí počítač před internetovými útoky, škodlivými kódy, hackery a nevyžádanou poštou (spam). Technologie ThreatSense
odhalí i neznámé hrozby, které produkty konkurenčních výrobců nemusejí poznat. Citlivé údaje
jako hesla, čísla bankovních účtů nebo kontakty se
tak nedostanou do rukou počítačových zločinců.
Akce je platná dle podmínek zveřejněných na
www.eset.cz/3za2 a lze ji kombinovat se slevami
pro školství, zdravotnictví, veřejnou správu a neziskové organizace!
Samsung představuje
úsporné TFT LCD monitory
pro systémy průmyslové televize, ovšem bez jakýchkoliv kompromisů v kvalitě.
Řada dále zahrnuje modely SMT-1722
a SMT-1922 s vestavěnými reproduktory, řadou
dalších vstupů a napájením síťovou šňůrou. Modely SMT-1723 a SMT-1923 pak jsou napájené
externím síťovým zdrojem. Robustnost nových
modelů podtrhuje použití odolného tvrzeného
skla na obrazovce, snadnému uvedení do provozu a instalaci pak napomůže vícejazyčné menu
na obrazovce, kompatibilita s VESA uchycením
a podstavec umožňující plné naklonění.
Nové monitory řady SMT je možné zakoupit
u všech distributorů Samsung a jsou nabízeny
s plnou podporou služeb, zajišťovanou společností
Samsung Techwin Europe, včetně bezplatného návrhu systému, bezplatné technické podpory a plné
tříleté záruky.
AVG má českou stránku
Facebooku
Společnost AVG Technologies spustila svou českou Facebookovou stránku. Jejím hlavním smyslem je komunikace s českou komunitou a zákazníky. Obsah se bude postupně rozrůstat a fanoušci
zde dostanou nejaktuálnější informace a varování
před internetovými hrozbami. Velká část obsahu
bude rovněž věnována specificky českým tématům a všemu, co je v oblasti antivirové ochrany
spojeno s Českou republikou a může se dotknout
uživatelů v ČR.
Ve chvíli, kdy se komunita fanoušků rozroste,
budou jejich příspěvky společnosti AVG sloužit
také jako zpětná vazba a informace o útocích přímo od uživatelů, což umožní rychlejší
Sociální média
firmy přehlížejí
Modernizovaná řada TFT LCD monitorů Samsung SMT osloví zejména ty uživatele, kteří berou
v úvahu životní prostředí i náklady. Monitory totiž
mají přibližně o 35 % nižší spotřebu energie než
předchozí modely.
Nové 17” monitory SMT-1712 a 19” SMT-1912
jsou navržené speciálně pro použití v profesionálních bezpečnostních systémech. Monitory, které
disponují rozlišením až 1 280 x 1 024, dynamickým kontrastem 1 000:1, VGA vstupem a odezvou
5 ms, představují cenově efektivní zobrazovače
2
Firmy nevyužívající sociální média v komunikaci
se zákazníky a zaměstnanci se vystavují značnému
riziku! To ukazují závěry studie o významu sociálních médií ve firemní a zákaznické komunikaci.
Společnost Siemens Enterprise Communications
a výzkumná a poradenská firma Yankee Group
zjistily, že valná většina zaměstnanců a spotřebitelů by preferovala využití sociálních sítí ve firemní
komunikaci.
Podle studie dosahuje spokojenost zákazníků
se současným stavem komunikace firem prostřednictvím sociálních médií v průměru pouhých
65 procent. Třetina firem nijak formálně neupra-
vuje svůj vztah ke komunikaci v sociálních sítích, nepovoluje užívání sociálních médií na pracovišti, či si
není vědoma své participace v sociálních sítích.
Opomíjení potenciálu sociálních sítí ve firemní komunikaci vede ke ztrátě možností zkvalitnit
spolupráci se zákazníky a zvýšit produktivitu vlastních zaměstnanců. Za účelem integrace sociálních
médií v komunikačních a firemních procesech
vyvinula společnost Siemens Enterprise Communications novou sadu řešení OpenScape Fusion
Social Media Integrations, jež umožňuje těsné
propojení veřejných i korporátních sociálních médií s kontaktními zákaznickými centry a sys-témy
sjednocené komunikace a spolupráce.
Dvě licence
antiviru zdarma
ESET spustil v ČR akci na podporu prodeje svých
bezpečnostních řešení ESET Smart Security
a ESET NOD32 Antivirus. Při zakoupení krabicové verze jednoho z uvedených produktů ve
vybraných ESET partner prodejnách, získá každý
zákazník další dvě licence zdarma. Akce je výhodná hlavně pro domácnosti. Produkty ESET čtvrté
generace přinášejí všem uživatelům kromě svých
známých předností například ještě chytřejší kontrolu komunikace počítače s ostatními počítači
v síti, zdokonalenou ochranu proti nevyžádané
poště (spamu) nebo větší bezpečnost přenosných
médií (CD, DVD, flash disky).
Akce platí od září až do vyprodání zásob ve vybraných ESET partner prodejnách. Jejich seznam
naleznete na www.eset.cz/3za1.
COMGUARD s novou verzí
McAfee Enterprise Firewall
Sidewinder v8
Nová verze hardwarových firewallů nabízí administrátorům rozpoznávání a vynucování politik
přes tisíce aplikací, které jsou pro tradiční firewally, založené na tradičních technologiích, neviditelné. Rozpozná díky více než 1 500 signaturám aplikace jako jsou Skype, Citrix-ICA, Citrix browser,
facebook, ftp, gmail chat, google books, IBM Lotus
Notes a mnohé další.
Zásadní novinky: přímé svázání pravidel
s identitou uživatele (skupin) v Active Directory, kontrola šifrovaného provozu, McAfee Domain Login Collector a úplná ochrana v ceně
řešení! Nově je v ceně řešení zahrnuto řízení
přístupů na web pomocí kategorizované URL >
WDR Široký
dynamický
rozsah
Perfektní vyvážení světlých
a tmavých ploch pro
zobrazení detailu v popředí i
pozadí obrazu za obtížných
světelných podmínek
Bez WDR
Video analýza obrazu
— Optické sledování vstupu/výstupu ze
zvolené oblasti
— Zanechání / Odebraní
— Sledování předmětu
— Detekce pohybu
S WDR
Virtuální
progresivní sken
Poskytuje ostré, dobře
definované okraje všech
pohybujících se předmětů
k vylepšení detailů a
reprodukce snímku
Bez VPS
S VPS
Nastavení profilů
kamery
Předem nakonfigurovaná nastavení
pro širokou škálu podmínek usnadňují
nastavení kamery
inzerce
Polygonální
privatni zóny
SSNRIII
Bez
Citlivé plochy můžete ochráňit
před zobrazením plně
škálovatelným a upravitelným
maskováním privátních zón.
S
Ovladaní po
koaxiálním kabelu
Nastavení a ovladaní kamer po koaxiálním
kabelu z pohodlí řídícího střediska
Bez SSNRIII
Třetí generace Super
redukce šumu Samsungu
eliminuje šum v obraze za
nepříznivých světelných
podmínek bez efektu
zdvojování či rozmazávání,
a tak výrazně zvyšuje kvalitu
obrazu a zároveň snižuje
Se SSNRIII
velikost souborů
Dome kamery
Představení SV-5 DSP, hybné síly společnosti Samsung
SV-5 DSP je nejnovější a nejvýkonnější čipová sada společnosti Samsung schopná
poskytovat až 650 TV řádků v barevném rozlišení. Inteligentní analýza obrazu je jednou
funkcí z širokého seznamu vlastností kamery, která byla postavena tak, aby přinesla
vyjímečnou kvalitu obrazu i do těch nejnáročnějších aplikací.
SV-5 DSP Čipová sada je součástí celé hlavní řady kamer a dome kamer společnosti
Samsung a uživatelům umožňuje plně využít výborné kvality a funkcí a zároveň si
vybrat optimální produkt pro daný úkol.
T +420 222 866 002, +420 602 532 103
E [email protected]
W www.samsungsecurity.com
Samsung Techwin Europe Ltd
Římská 20, 120 00, Praha 2
Antivandal
Kamery
ZPRAVODAJSTVÍ
Filtrace (SmartFilter), IPS, Encrypted Filtering,
McAfee Antivirus, TrustedSource, Firewall & Web
Reporter. McAfee Firewall Profiler poskytuje unikátní náhled na změny chování v síti včetně zachování historie provozu a propojuje aplikační discovery s identitami. Více na www.comguard.cz.
špičkovou technologii zabezpečení podle hodnocení, která pomáhá zajistit ochranu uživatelů před
stažením škodlivých souborů bez ohledu na to, jak
se soubor do počítače dostane.
Norton Internet Security
spolu s PC Fujitsu
Zatěžkávací zkoušce na pražském silničním obchvatu bude podroben i kamerový systém, na
jehož realizaci se podílely společnosti Schneider
Electric a Integoo. Ty na okruhu instalovaly třiadvacet kamer Pelco Esprit.
Jmenované kamery už jsou nasazeny v dopravních aplikacích nejen v České republice, ale i jinde
ve světě. Oproti běžným otočným kamerám poskytují funkce, které jsou v dopravních systémech
důležité. Mají možnost pohledu nad horizont
v úhlu až 33 stupňů, integrovaný stěrač předního
skla a mají robustní provedení, které zajistí funkčnost kamery i při větru o rychlosti 145 kilometrů
v hodině. Maximální výdrž kamery je při rychlosti
větru 210 kilometrů v hodině. Kamera je vybavena
Norton Internet Security bude dodáván ve všech
spotřebitelských a podnikových osobních počítačích značky Fujitsu. Fujitsu bude nabízet plnohodnotné bezplatné šedesáti nebo devadesátidenní přihlášení k odběru aplikace Norton Internet
Security ve více jazycích.
Norton Internet Security je rychlá a efektivní sada ubezpečení. Zajišťuje a eliminuje on-line
hrozby a zabraňuje počítačovým zlodějům v krádeži identity a těžce vydělaných peněz uživatelů,
takže mohou bezpečně procházet internet, nakupovat a používat internetové bankovnictví.
Aplikace Bortin Internet Security také využívá
Kamerový systém
pro pražský okruh
Propojení autentizace a autorizace
Rychlý rozvoj webu, extranetů a intranetů výrazným způsobem zjednodušuje sdílení a přístup
k informacím. Stejným tempem se ovšem zvyšuje komplexnost tohoto prostředí a důležitost
jeho správného zabezpečení před neoprávněným přístupem. K tomu slouží systémy pro autentizaci a autorizaci uživatelů. Většinou jsou však tyto dva systémy reprezentovány samostatným
řešením či produkty od různých dodavatelů, což následně protahuje a prodražuje jejich vzájemnou integraci.
Pojďme se nyní podívat na řešení společnosti
RSA s názvem RSA Adaptive Authorization,
kterému se podařilo spojit obě dvě části procesu, tedy autentizaci a autorizaci, do jednoho
integrovaného balíku, a tím vyjít vstříc mnoha
zákazníkům požadujících integrované řešení od
jednoho dodavatele. Ve své podstatě jde o integraci produktů RSA Adaptive Authentication,
který provádí autentizaci uživatele, a RSA Access Manager, který je zodpovědný za jeho autorizaci.
Autentizační část založená na řešení RSA
Adaptive Authentication nabízí, na rozdíl od
4
jiných autentizačních systémů, širokou škálu autentizačních metod, které lze navíc kombinovat
a volit dynamicky dle aktuální potřeby.
Jde zejména o:
• neviditelnou autentizaci založenou na mnoha faktorech (identifikace počítače použitého
pro přihlášení a lokalizace jeho umístění, chování uživatele atd.),
• „site-to-user“ autentizaci založenou na personalizované přihlašovací stránce pro daného
uživatele (osobní fotka, uživatelský text atd.),
• „out-of-band“ autentizaci založenou na
zpětném zaslání SMS, e-mailu nebo automatizovaného telefonátu,
• „knowledge-based“ autentizaci založenou
na odpovědích na několik náhodně vybraných
bezpečnostních otázek,
čtvrtpalcovým CCD čipem, který zajišťuje vysokou
citlivost i při snížených světelných podmínkách, je
vybavena 35násobným optickým zoomem a její
součástí je optická stabilizace obrazu pro eliminaci otřesů způsobených projíždějícími vozidly.
• dvoufaktorou autentizaci založenou na
jednorázových heslech (OTP – one time
password) generovaných hardwarovými či
softwarovými tokeny, mobilními tokeny
či CAP/EMV systémy.
Za vlastní autorizaci uživatele je pak zodpovědný RSA Access Manager, který již autentikovaného uživatele autorizuje pro vstup do webových aplikací, portálů, intranetů a extranetů. Jeho
hlavní výhodou je přímé propojení správy uživatelů (nad adresářovým serverem či databází)
a definice granulárních autorizačních pravidel
společně se širokou podporou databází, adresářových služeb, webových a aplikačních serverů.
Výsledkem kombinovaného řešení RSA
Adaptive Authorization je tedy mnohem jednodušší přenos bezpečnostní politiky do praxe
a zvýšení bezpečnosti při zachování uživatelského komfortu. Každá autentizace uživatele je totiž
v reálném čase posouzena z pohledu její rizikovosti a pouze v ojedinělých případech (jednotky
procent) je s ohledem na vyšší riziko zvolena
další úroveň autentizace. Tím lze velmi efektivně
bojovat proti dnes již zcela běžnému zcizování
a následnému zneužívání uživatelských přihlašovacích údajů, ať už na bázi keyloggerů nebo
hishingových a pharmingovým útoků.
(red)
BESEDA
Mravnost nadevše?
Ne, bezpečnost!
Určitě to není náhoda, že dnešní společnost skloňuje slovo „bezpečnost“
ve všech pádech snad čtyřiadvacet hodin denně a 365 dnů v roce. Lidé si
kolem domů stavějí vysoké zdi, pořizují si statná bojová plemena, na dveře
montují superbezpečné zámky, smiřují se s téměř všudy přítomnými kamerami a svá rodná čísla by nejraději zatajili i před svými životními partnery.
„Osobně s rodným číslem žádné tajnosti nedělám, připadá mi to směšné, ale
na druhou stranu, heslo svého počítače bych skutečně nepošeptal ani manželce,“ řekl na úvod našeho setkání Martin Meduna, bezpečnostní expert
společnosti Symantec. Druhý muž našeho setkání, Michal Hroch, produktový manažer serverové divize společnosti Microsoft, jen s jednoznačným
souhlasem pokýval hlavou.
Pánové, čeho se tedy máme opravdu obávat?
Velkého bratra, zlodějů …
strašně malý, neboť bezpečnost počítačového
světa je komplikovaná.
Michal Hroch, Microsoft: Problémy týkající se Velkého bratra bych ponechal filozofům
a politikům, zloděje policii. Osobně se zabývám informační bezpečností, která na sebe
podle mne stále nestrhává takovou pozornost,
kterou by si zasloužila.
Martin Meduna, Symantec: Situace se přece
jen mění. Lidé si hrozeb, které pocházejí z počítačového světa, začínají všímat a více je vnímají. Na druhé straně je z mého pohledu zájem
Lidé si možná říkají, že antivir a nějaký firewall má snad už každý. Ve velkých a středních firmách určitě, vzácností zdaleka nejsou
ani v malých kancelářích a domácnostech …
Martin Meduna: Ano, ale bezpečnost dnes nespočívá jen v antivirovém řešení. To má, ať už
dobré, nebo špatné, už opravdu kdokoliv. Viry
už nejsou tím, co nás ohrožuje. Nebezpečí přichází z webového rozhraní. A jak jednotlivci,
tak firmy, si začínají uvědomovat, co ztrácejí,
když nemají své systémy dobře zabezpečené.
Že přicházejí o svá data. Bohužel však je stále
dost těch, a setkávám se s nimi osobně, kteří jen
mávnou rukou se slovy, vždyť já na podnikové
síti nic důležitého nemám. Ale každá informace je důležitá. Možná ne pro vás, možná ne pro
mne, ale pro někoho na světě určitě a ten, kdo
o tuto informaci přijde, může ve výsledku zjistit, že jde o ztrátu navýsost bolestnou. Možná
ten problém tkví ve skutečnosti, že ti, kdo se
o bezpečnost nestarají, ještě o žádná data či informace nepřišli. A přitom v důsledku jde jen
o rozumné chování s vědomím, co se všechno
může stát. Tím, že se bezpečností zabývám tak
dlouho, tak mé názory mohou pro někoho zavánět až paranoií, ale tak to prostě vidím.
Michal Hroch: Souhlasím, že se situace zlepšuje. Skutečně dneska si už nikdo, ať je ze soukromého sektoru nebo z domácnosti, nedovolí
koupit nový počítač a nezajímat se přitom
o antivir. Odpovědnost lidí, stejně jako firem,
je už dále. Co ale chybí, je komplexnost přístupu k bezpečnosti. Z praxe dobře vím, že mnozí
zabezpečení skládají jakoby ze střípků. „Tady
potřebuji zabezpečit e-mailovou komunikaci,
protože jsem koupil e-mailový server, tady potřebuji nějaký firewall, protože teďka pouštím
lidi z venku do korporátní sítě, tak to potřebuji nějakým způsobem zabezpečit.“ A pak se ty
jednotlivé střípky slepují, kombinují a výsledkem je mnohdy bezpečnostní systém, který
má kvůli své nedokonalé integritě sám o sobě
bezpečností problém.
Firma může mít perfektně vymyšlenou
bezpečnostní politiku, může mít perfektně
vymyšlený způsob zabezpečení všech vlast-
5
BESEDA
něných technologií, ale na druhou stranu se
nezajímá o lidský faktor.
Michal Hroch: Bohužel. Ano, nehlídá zaměstnance, aby při odchodu z pracoviště zamykali
své notebooky. Nešifrují data na harddiscích,
nedbají, že monitory zdobí lístky s hesly apod.
Martin Meduna: Ano, mají perfektně zaheslované servery nebo switche, vyspělou firemní kulturu, ale klíč od serverovny jim visí na
chodbě.
Michal Hroch: Je to o disciplíně jednotlivých
uživatelů a ta disciplína se dá vynutit. Osvětou, zpracováním bezpečnostní politiky, která
určuje zaměstnancům pravidla hry. Porušují-li
je, tak nastupují restrikce. Existují i pokročilé
nástroje – spíše z rodiny pro správu infrastruktury –, které si disciplínu vynutí samy. Např.
nedovolují zadávat jednoduchá hesla, ta hesla
nutí uživatele pravidelně měnit a nedovolí je
určitý počet cyklů po sobě opakovat. Jsou nástroje, které znemožňují instalovat si jakýkoliv
software, nástroje pro inteligentní skenování
a řízení webového provozu, prostě instrumentů, jak pomoci disciplíně a omezit vliv lidského
faktoru, existuje řada.
Do jaké míry hrají v tomto kontextu roli peníze?
Martin Meduna: Jako vždy velkou, nicméně
firmy budou muset do bezpečnosti investovat
neustále. Nedá se nic jiného dělat, protože se
6
vyvíjejí stále nové technologie a nová bezpečnostní řešení. Na druhé straně se vyvíjejí nové
hrozby. A bohužel, hrozby mají vždy náskok
a jsou stále sofistikovanější. Pak takoví vendoři, jakými jsou naše společnosti, musejí reagovat na aktuální stav, a to pro zákazníky bohužel, pro nás bohudík, znamená, že musejí do
bezpečnosti dál a dál investovat. To není tak,
že by to bylo jednou provždy vyřešeno. Vyřešeno je to pro tuto chvíli, pro tuto vteřinu, ale za
okamžik už to platit nemusí.
Dobře, co tedy je nyní v tomto okamžiku z vašeho pohledu i pohledu obou společností, za
které hovoříte, považováno za nejnebezpečnější?
Michal Hroch: Stále to, co je nejznámější – viry
a škodlivý software obecně. K tomu ale nově
a rychle přistupuje sociální inženýrství, tedy
phishing apod. Skutečným dnešním problémem velkých firem i malých společností je fyzická ochrana, ochrana jednotlivých informací
a především pokročilá ochrana přístupových
práv jednotlivců k jednotlivým souborům. Na
ústupu jsou podle mého názoru razantní útoky hackerů. To jsme zažívali tak před pěti lety,
kdy byly takové útoky velmi populární. Je to asi
tím, že pravděpodobně neexistuje nikdo, kdo
by svou síť nechránil kvalitním firewallem.
Martin Meduna: Nejzákeřnější hrozby, nerad
používám slova jako viry apod., neboť jsou zavádějící, přicházejí dnes převážně přes webové
rozhraní. A webová komunikace je tím, co firmy ohrožuje. Nejde o to, že by si zaměstnanci
prohlížením pochybných stránek na firemní
počítač stáhli pochybný kód, naopak problém
spočívá v návštěvách oblíbených a legitimních
stránek. Ty mohou být pramenem pochybných kódů a přitom ani správce této legitimní
stránky ani neví, že slouží jako zdroj napadení.
Zdrojem hrozeb jsou v posledním půlroce také
kritické zranitelnosti v aplikacích Adobe, útoky na PDF a flashe. A druhou kritickou oblastí
jsou samotné webové aplikace, které jsou jasným zdrojem problémů, a navíc je obtížné se
jim ubránit. Útoky jsou totiž vedeny naprosto
legitimními cestami a zneužívají chyb napsaných v té samotné aplikaci na úrovni kódování
přístupu k databázím. Těch aplikací je neuvěřitelné množství, neboť upřímně – dnes programuje kdekdo. Odpovědí na tyto hrozby může
být jen neustálé důsledné testování. Existují
sice určité technologie, které dokážou sledovat
provoz a hlídat, zdali je běžný, či nikoliv, ale
inteligentní technologie, jež by samy odhalily
útok, k dispozici v současnosti nemáme. A konečně kritickou hrozbou je samotné chování
uživatelů, ale to není nic nového.
Pomohlo by, kdyby společnosti měly ve svých
datech pořádek?
Martin Meduna: Z našeho pohledu určitě. Setkáváme se s tím, že hlavně ve velkých
korporacích data putují nekontrolovatelně
a IT oddělení nemá ani ponětí, kde se nacházejí. Jedné americké firmě unikla citlivá data,
ač měla perfektně zabezpečené servery. Moji
kolegové následně zjistili, že si ostrá citlivá
data „půjčilo“ testovací oddělení, aby mohlo
otestovat nové webové aplikace. Přitom jaksi
zapomnělo, že jeho servery už nemají takový
dohled a jsou zvenčí zranitelné. Znalost uložení dat, umění je kvalifikovat, to je součástí
bezpečnostní politiky.
Michal Hroch: Souhlasím, otázka dat musí
být řešena v prvotní analýze. Pořádek v datech
je důležitý, ale jejich množství už nerozhoduje.
Je to stejné jako u business inteligence. Tam
také platí: Mám-li v datech pořádek, mám-li je
čistá, pak je lépe analyzuji a dostávám lepší informace. Čím více jich ale mám, tím kvalitnější perspektivy a výstupy dostávám. Nejsem zastáncem toho, obětovat data pro bezpečnost.
BESEDA
Existuje rozdíl mezi úrovní zabezpečení malé
a velké firmy?
Martin Meduna: Nelze rozdělovat bezpečnost
pro malou firmu a bezpečnost pro velkou firmu. Obě skupiny potřebují shodnou bezpečnost, i když bezpečnostní problém velké firmy
se od malé liší a podle toho se bude odvíjet výběr technologií. Třeba už jen proto, že některé
technologie nejsou pro malou firmu dostupné.
Ale skutečně platí – jednotlivec, malá firma
i velká firma – potřebují stejnou bezpečnost,
ale mohou na ni dosáhnout jinými prostředky.
Michal Hroch: Ochrana e-mailu, identity managementu, to už pro malou firmu asi není,
konkrétně ale ochrana webového provozu je
nezbytná. A tady i malé firmy na bezpečnost
dosáhnou, protože existují produkty, ať už
Microsoft nebo našich konkurentů, které jsou
poskytovány formou předplatného na uživatele nebo zařízení, neplatím tedy většinou žádné
počáteční náklady, nýbrž kupuji službu přesně
na míru odpovídající velikosti mé firmy.
Martin Meduna: Víte, vždycky říkám, že pokud chráním svůj systém, tak chráním systémy
i svých známých, zákazníků i zaměstnavatele.
Jsem-li útočník a budu-li chtít zaútočit tady
na pana kolegu, na jeho počítač nezaútočím
přímo, protože jako zkušený uživatel by mě
dřív nebo později odhalil. Zkusím si raději vytipovat někoho z jeho přátel, dodavatelů apod.,
o nichž vím, že tak zkušení nejsou a pokusím
se napadnout jejich počítač. Pomocí jejich účtů
pak budu třeba přistupovat na účet na pana
Hrocha, třeba na Facebooku, a snažit se o něm
něco vyzvědět.
Malé firmy jsou však omezeny množstvím
finančních prostředků. Dobře, vámi zmiňované „předplatné“ jim vyřeší otázku softwarové ochrany, ale na potřebný hardware už
dosáhnout velmi obtížně …
Martin Meduna: Ale i tady existuje řešení,
i když upřímně řečeno, hardware už dneska
moc nestojí. Nicméně hlavně malým firmám
nabízíme řešení v tzv. cloudu. Tedy koupi celého bezpečnostního řešení jako službu. Pak
je implementace otázkou patnácti minut a vše
chodí, tak jak má.
Michal Hroch: Pokud tohle firma udělá, pak
ušetří na hardwaru, na následné správě, údrž-
bě, školení. O vše se stará se stará vendor, který
také zaručuje dostupnost služeb. A získáte také
smlouvu o garantované úrovni služeb (SLA).
Martin Meduna: Ano, fantastický SLA, a to by
zákazník nikdy nezaplatil.
Michal Hroch: Svěřit se providerovi, který se
o mou bezpečnost postará, je nakonec levnější a bezpečnější, než věc řešit na koleně nebo
s někým, kdo není tak zkušený a odborně zdatný, nebo s tím, kdo jen cítí obchodní příležitost. Zvolit hotové řešení prostřednictvím providera je levnější a technologicky stoprocentně
kvalitnější. Jedinou nevýhodou je závislost na
internetu, bez té linky ven outsourcing nefunguje …
Michal Hroch: Jistě, pro jeden počítač nebo
dva tři počítače v SOHO síti má smysl mít v nabídce určité řešení zdarma. Na druhé straně by
si každý měl uvědomit, že tyto věci mají svá
omezení. Stahuji-li si nějaký shareware antivir, musím očekávat, že mě budou po čase neustále „prudit“, abych si jej zlegalizoval, že mi
budou chybět aktualizace atd. Ovšem firemní
sektor, kde hrozí ztráta životně důležitých dat,
už investovat musí. Většina velkých firemních
bezpečnostních řešení je stavěna tak, že se dají
pořídit jen formou komerčních licencí. Jen tak
mimochodem, víte že ICQ nesmí být podle licenčního ujednání nasazováno na firemních
počítačích? Také jsem to donedávna nevěděl.
Martin Meduna: Ale bez té linky ven pak
nečelím bezpečnostním rizikům. Kam linka
nevede, tam většina bezpečnostních rizik neexistuje!
Možná by tedy stálo za to přečíst si licenční
ujednání namátkou vybraných „free“ bezpečnostních řešení a diskuze o jejich použití v korporátním segmentu pak získá jiný rozměr.
Martin Meduna: Jak chcete mít kvalitní obranu zadarmo, když vašimi protivníky jsou vysoce výkonné a erudované vývojářské týmy?
Například v Symantecu během jediného dne
zachytíme od jedné hrozby deset až patnáct
variant. Zeptejte se schválně jakékoliv softwarové firmy, co by následovalo, jestliže byste
jí dali zakázku: „Udělejte mi deset až patnáct
variant daného kódu v průběhu jediného dne!“
Hovořili jsme, že je lepší vsadit na kováře, než
kovaříčka. Ale přece jen na trhu je poměrně
bohatá nabídka bezplatných bezpečnostních
nástrojů, která může oslovovat především
malé firmičky a domácnosti. Je dobré chytit
se na vějičku zaklínadla „zadarmo“, obzvláště, přichází-li se „zadarmo“ i takový gigant,
jakým je Microsoft?
7
BESEDA
To je projekt, který musí mít šéfa, plán a velmi
dobře koordinovaný a zaplacený tým. Dobře
placeným profesionálům mohou čelit zase jen
dobře placení profesionálové. Skutečné bezpečí
není nikdy zadarmo, a to platí jak pro firmy,
tak pro jednotlivce. Citlivost mého počítače je
stejně důležitá, jako citlivost dat a serverů ve
firemních sítích. I ten domácí uživatel by měl
spoléhat, stejně jako malé firmy, na profesionální ochranu. Není drahá, mluvím řádově
o patnácti stovkách za rok. Jezdíme-li autem,
každý platíme povinné ručení, chceme-li bezpečný počítač, pojďme si také platit povinné
ručení.
Michal Hroch: Komerční firmy, které stojí za
útočníky, to dělají s nějakým záměrem. Komerčním, předpokládám, takže většina těchto
obchodně řízených útoků zase míří na korporátní oblast, málokdy se objeví tak sofistikované řešení, které by ohrozilo internet plošně.
Martin Meduna: Stačí napadnout třeba počítač syna ředitele velké firmy.
Michal Hroch: Pro SOHO nelze úplně zavrhovat volně dostupná řešení.
Martin Meduna: S tím se nemohu smířit. Nedokážu si představit, že bych soukromý počítač
chránil volně staženým prográmkem. Už jen
pro ten čas, který bych strávil jeho konfigurací,
nasazením a doladěním.
Michal Hroch: Pozor, nemluvím o open-source řešeních a na kolenou spíchnutých prográmcích. Vím o systémech zdarma, především
větších firem, které zároveň disponují i komerčním řešením, které bych mohl s čistým
svědomím doporučit.
Ovšem co tací, kteří z domácího vlastního
notebooku přistupují vzdáleně do podnikové
sítě?
Michal Hroch: To už je jiná historka. Tady „zadarmo“ v žádném případě.
Jaká je současná nabídka bezpečnostních
řešení na trhu? Podle čeho by se firmy měly
při výběru orientovat a existují nějaká kritéria, která přivedou zájemce ke správnému
výsledku?
Martin Meduna: Osobně bych se zaměřil na
světově uznávaná řešení celosvětově uznávané
firmy. Pokoušel bych se najít komplexní řešení,
nikoliv řešení, které pokrývá – byť geniálně –
jen malinkou část firemní sítě. Tak získám
jeden systém, budu vyznávat jednu filozofii.
Při výběru může také rozhodnout i mínění
administrátorů, kteří vědí, co jim lépe „sedne
do ruky“. Nezavrhoval bych ani výsledky nezá-
vislých testovacích společnosti. Rád bych ale
upozornil, že testování softwaru je velmi individuální a těžko empiricky měřitelné.
Michal Hroch: Výsledky testování také ovlivňuje rychlý rozvoj hrozeb. Tak není divu, že je
v lednu považováno za nejlepší bezpečnostní
řešení X a v únoru Y. Testy jsou dokreslující.
Osobně bych dával přednost firmě, která může
být dražší, ale o které vím, že investuje do dalšího vývoje. Také bych vsázel na komplexnost
a dával bych si pozor, abych jen nehasil požáry.
Pak by se mi mohlo stát, že nakoupím nástroje
s rozdílným rozhraním, navíc vzájemně nekompatibilní. A co hlavně, na začátku musím
mít zpracovanou jasnou bezpečnostní strategii
firmy. Musím vědět, co má bezpečnostní řešení
pokrýt a pak teprve mohu vybírat dodavatele.
Strategie – to je výchozí bod.
Už jsme zmiňovali, že o peníze jde v první
řadě. Existuje metodika, podle níž si spočítám, kdy se mi peníze vložené do bezpečnostních nástrojů vlastně vrátí?
Martin Meduna: Bezpečnost se měří poměrně
obtížně. Nicméně, dá se přesně spočítat ztráta,
která vznikne minutovým výpadkem provozu
třeba e-shopu, těžko se ale spočítá ztráta reputace firmy …
Michal Hroch: Když konkurent vaší firmě
ukradne databázi zákazníků a ty osloví konkurenční nabídkou, o kolik zákazníků přijdete?
O dvacet, třicet procent? ROI (Return On Investments, návratnost investic) si může, nebo
spíše musí, spočítat každý sám.
Martin Meduna: Při hledání odpovědi je potřeba nebát se až paranoidních představ. Třeba jaký dopad na firmu bude mít skutečnost,
že mi někdo čte e-maily. Setkali jsme se s tím
v Německu, kde jedna zbrojařská firma pravidelně prohrávala tendry řádově o pár tisícovek
eur, protože pokaždé někdo úspěšně přečetl
její nabídky. Jestliže firma prohraje ročně tři
tendry, každý v hodnotě milionu eur, pak ztratí
tři miliony eur. Pár desítek tisíc eur vydaných
za bezpečnostní software je proti tomu maličkost.
VLAĎKA BEZECNÁ
8
Kompletní IP a síťová řešení společnosti Samsung
WiseNet1 nová čipová DSP sada
Výhody tak jasné, jako zachycený obraz
Integrovaný
slot SD karty
Hybridní duální
výstup - Ethernet
a BNC
Zobrazovací
software NET-i
Skutečná
vysoká definice
a rozlišení 1,3
megapixelů
ONVIF
podpora
inzerce
Samsung super
redukce šumu
Inteligentní video
analýza obrazu
(IVA)
H.264
komprese
Představujeme H.264 megapixelové kamery s
vysokým rozlišením a WiseNet1 čipovou DSP sadou
Povrchová montáž
Zápustná montáž
Samsung iPOLiS nabídka IP a síťových produktů nyní zahrnuje H.264 HD megapixelové kamery a dome
kamery s DSP čipovou sadou Samsung WiseNet1.
S rozlišením až čtyřikrát vetším než u tradičních analogových kamer jsou tyto produkty schopné
simultánního přenosu dat v rozlišení VGA, SVGA, QVGA, skutečnými 720p HD a plným rozlišením
1,3MP k poskytnutí obrazu pro širokou řadu aplikací vhodných od obsluhy kontrolních středisek až po
uživatele chytrých mobilních telefonů.
Ploché dome
provedení
Antivandal
Nabídka z řady Samsung autonomních síťových záznamových zařízení, záznamového softwaru NET-i
a bezlicenčního zobrazovacího softwaru NET-i, nabízí snadnou integraci, zařízení také podporuji ONVIF
standard a jsou kompatibilní s celou řadou špičkových platforem řízení od jiných výrobců.
Čipová sada WiseNet1 přináší celou řadu pokročilých funkcí pro vaše zabezpečovací aplikace, včetně
Samsung Super redukce šumu - třetí generace pro lepší výkon za nepříznivého světla, vysoké komprese
H.264 a video analýzy obrazu přímo z krabice bez potřeby platit za licenci. Proč se sami nepřesvědčíte,
že tyto výhody jsou tak jasné jako zachycený obraz?
T +420 222 866 002, +420 602 532 103
E [email protected]
2.0, 413
BEZPEČNOST A ZABEZPEČENÍ
Sociální sítě úhlem
bezpečnostních rizik
Sociální sítě, jejichž synonymem se dnes pro většinu obyčejných lidí stal Facebook nebo Twitter, jsou už naplno v hledáčku firem, které zde objevily velice zajímavý marketingový a obchodní potenciál. V podstatě jde o sen všech
marketérů, protože mohou opravdu levně přesně zacílit a oslovit určitou cílovou skupinu.
Na druhé straně je nadšení marketérů ze sociálních sítí vyvažováno obavami IT administrátorů
a majitelů společností z bezpečnostních rizik
a úniků informací, které jsou prostřednictvím
těchto sítí mnohem dostupnější, než tomu bylo
v minulosti.
Před několik lety si sociální sítě teprve razily
svou cestu na výsluní a manažeři úzkostlivě dbali,
aby jejich zaměstnanci netrávili svůj pracovní čas
těmito „soukromými“ aktivitami. Není to nic nového, neboť kupříkladu ICQ mělo stejný začátek,
než se z něj stal pro mnoho společností naprosto
plnohodnotný a často upřednostňovaný komunikační kanál. Avšak zanedlouho se ukázalo, že
„vymoženosti“ typu Facebooku nebo Twitteru
tolik pozornosti od pracovních úkolů neodvádějí
10
a že se dají i celkem rozumně využít pro pracovní
aktivity. Ruku v ruce s masovým využíváním sociálních sítí společnostmi rostl i zájem těch, kteří
správně vytušili možnost vlastního obohacení,
a to ne zrovna v souladu s dobrými mravy a legislativou.
V počátcích Facebooku si firmy začaly pomalu uvědomovat neuvěřitelně velké riziko světa
sociálních médií a hlavně nemožnost kontroly informací, které do něj proudí. O to horší je
fakt, že díky své uživatelské přívětivosti většina
lidí naprosto ignoruje rizika vznikající sdílením
informací. Často tak došlo kvůli nepozornosti a lhostejnosti zaměstnanců k úniku citlivých
dat, která byla předmětem obchodního tajemství. Řada společností tak byla, nebo v brzké
době bude, donucena přijmout interní pravidla,
kterými svým zaměstnancům určí mantinely témat, o jakých mohou na sociálních sítích hovořit
a jaké chování je v této souvislosti nepřípustné.
Ohrožení firemní bezpečnosti
Hackeři a další internetoví útočníci dávají sociálním sítím zcela jiný rozměr. Ti si jsou hodnoty
osobních nebo firemních dat náhodně zveřejněných velice dobře vědomi. Problémem je, že si
většina uživatelů ani nepřipouští, jak zranitelné
a napadnutelné jsou jejich osobní profily a data
ze strany hackerů a počítačových virů. Jen opravdu mizivé procento lidí si přečte licenční podmínky, a tak vlastně nemá žádnou představu, jak
může být s jejich údaji nakládáno.
Hackeři se samozřejmě naučili se sociálními sítěmi pracovat velice obratně, a proto se ve
stále více začínají objevovat specializované útočné aplikace. Podle průzkumů společnosti AVG
mnoho lidí ani netuší, že některé aplikace v rámci sociálních sítí mohou sloužit internetovým
útočníkům k získávání osobních dat a informací.
Přestože Facebook dbá na bezpečnost své sociální sítě, počítačoví hackeři jsou rafinovaní, a proto
je nutné, aby si uživatelé dávali pozor na původ
aplikace. Právě zde je značné riziko a nebezpečí
sociálních sítí.
Dosud měla hlavní slovo klasická média,
avšak dnes jsou to přátelé a různé profesní nebo
zájmové skupiny. V rámci jakékoli sociální sítě je
nadmíru snadné ztratit přehled mezi stovkami
jmen a událostí, které se na zdech a ve schránkách objevují doslova každou vteřinou. Není
jednoduché se orientovat, kdo je důvěryhodným
kontaktem a kdo je neznámý člověk, o kterém
nevíte v podstatě vůbec nic.
Dnešní uživatelé internetu si již zvykli na
spamové útoky. V případě, když antispamová
ochrana propustí nějakou zprávu o výhře v loterii nebo o slevě na modré pilulky, většina z nich
zprávu bez váhání smaže. U aplikací a odkazů,
které se k lidem dostanou právě prostřednictvím
nějaké sociální sítě, hraje velikou roli neznalost
skutečných rizik a právě faktor „důvěry“ v někoho „známého“.
ochranu během brouzdání po internetu a díky
svému principu i v rámci pohybu na sociálních
sítích. Jakýkoli odkaz a stránka, kam se uživatel
chystá vstoupit, je v reálném čase prověřena proti
exploitům a před samotným načtením do prohlížeče je vyhodnoceno případné riziko a potřeba
blokace. Jde o efektivní systém, který chrání
počítače i celou podnikovou síť. Testuje každou
stránku, na kterou se uživatel chystá vstoupit
a každý soubor, který má v úmyslu stáhnout.
Avšak stejně důležitá je osvěta a prevence.
V zaměstnání by měli uživatelé při práci s inter-
netem dodržovat nejen standardní bezpečnostní
postupy, ale hlavně používat zdravý rozum. Stejně
jako jsou již děti odmalička upozorňovány, aby se
nebavily s cizími lidmi, tak i uživatelé by neměli
komunikovat s někým, jehož totožnost neznají.
Spolu s obezřelostí ke všem informačním kanálům na internetu patří toto pravidlo k základům
internetové ochrany nejen ve firmách, ale i celé
společnosti.
Existuje účinná ochrana?
Právě firmy jsou jedny z nejzranitelnějších subjektů. Zaměstnavatelé spolu se správci IT nemají
tušení o znalostech a míře zodpovědnosti svých
zaměstnanců. Kvalitní a spolehlivé zabezpečení
využívající pokročilé technologie je tedy naprostou nutností. AVG LinkScanner je právě takovým
pokročilým nástrojem, který nabízí rozšířenou
11
Centrální správa
bezpečnostních produktů
ROBERT ŠEFR
Bezpečnostní produkty jsou ideálním příkladem nutnosti nasazení centrální
správy. Tradičně jsou nasazeny napříč celou organizací, na různých strojích
a pro odlišné skupiny uživatelů. Kvalitní centrální správa musí sledovat celý
životní cyklus klientské aplikace – od nasazení, přes úpravu politik a instalace aktualizací až po případné odebrání aplikace.
Většinou není třeba udržovat duplicitní databázi strojů a uživatelů, která je již spravována
existující adresářovou službou. Každá centrální
správa ale vyžaduje školení administrátorů, liší
se v technickém zpracování, používá jiné postupy pro instalaci a vynucování politik nebo vyžaduje vlastní databázový stroj pro ukládání dat.
Větší počet produktů a jejich centrálních správ
tak dospěje do stadia, kdy je nejjednodušší mít
jednotnou centrální správu, která zaštítí všechny
ostatní.
Cestu jednotné centrální správy pro všechny
produkty vyznává společnost McAfee produktem ePolicy Orchestrator (ePO), jenž se instaluje jako serverová aplikace na Windows Server
a vyžaduje pro svou práci MS SQL Server (2005
nebo 2008, lze nainstalovat i na Express Edition).
Využitím služeb Windows Cluster Service lze instalovat ePO na více serverů pro zvýšení dostupnosti a rozložení zátěže. Propojení se službou
LDAP umožňuje synchronizovat stroje pro správu (včetně dělení do organizačních jednotek),
podporuje autentizaci administrátorů ePO vůči
LDAP. Přístup k ePO je přes webové rozhraní,
které je založeno na Ajaxu a uživatelské rozhraní
tedy zahrnuje i funkce jako drag-and-drop nebo
interaktivní formuláře.
Prvním krokem pro správu stroje je instalace
McAfee agenta, což je miniaturní program, který
se stará o komunikaci s ePO, instalaci softwaru,
aktualizace, vynucování politik a odesílání událostí. Instalace agenta na koncové stroje přímo
pomocí ePO lze za předpokladu, že má administrátor dostatečná oprávnění v Active Directory. Jakmile je agent na stanici nainstalovaný, je
stroj ve správě ePO a následující přidávání nebo
12
odebírání softwaru již probíhá přes něj (tedy
přes oprávnění v ePO a ne v Active Directory).
Spravované stroje jsou ukládány do stromové
struktury. Na jednotlivé větve lze aplikovat odlišné politiky, instalovat na ně
odlišný software a přiřazovat různé
správce. Tímto způsobem se dají oddělit např. servery a klientské počítače
nebo jednotlivé pobočky a oddělení.
ePo je aktuálně ve verzi 4.5 a právě od verze 4.0 je uživatelské rozhraní
čistě webové, dříve správa probíhala
pomocí klientské aplikace. Verze 4.5
nemění logiku správy, ale nabízí několik nových funkcí a podporu dalších protokolů. Nově je k dispozici tzv. Agent Handler, který
může suplovat funkce ePO pro vybrané agenty.
Pomocí jednoho Agent Handleru tak můžete
obsluhovat pobočku nebo celé oddělení, aniž
by všechny stanice musely nezávisle na sobě
přistupovat přímo do ePO. Agent Handler jim
zprostředkovává aktualizace dat a politik výměnou za souhrn událostí, které se staly od poslední
komunikace.
Jednou z dalších novinek je úprava komunikace mezi agentem a serverem, která je od
verze 4.5 šifrována pomocí TLS a již je plně
podporován i protokol IPv6. V možnostech centrální správy jsou dvě nové sekce – Automatic
Responses a Policy Asignment Rules. Automatic
Responses spouští předdefinované akce, pokud
nastanou podmínky definované logickým výrokem. Pro definici logického výroku je k dispozici množství proměnných a událostí, se kterými
ePO pracuje. Jako následná akce může být zvolena některá z naplánovaných úloh, vytvoření
tiketu, zaslání e-mailu nebo SNMP trapu. Policy
Asignment Rules provazují politiky se skupinami
a uživateli z Active Directory. To lze využít např.
při filtrování webového obsahu (např. zakázat
vybrané skupině sociální sítě) nebo šifrování dat
(např. zpřístupnit vedení šifrovací klíče ke strategickým dokumentům).
Které bezpečnostní nástroje McAfee se pomocí ePO dají spravovat? Samozřejmostí je antivirus VirusScan Enterprise a firewall s integrovaným IPS – Host Intrusion Prevention System.
Další nástroje jsou zaměřeny na ochranu dat
– Host Data Loss Prevention monitoruje pohyb
citlivých dat po společnosti a hlídá odchozí vektory. Endpoint Encryption šifruje transparentně
buď celé oddíly disku, nebo jednotlivé soubory
a složky. Spravovat lze i šifrované USB disky (flash nebo klasické) Encrypted USB. Další sada produktů se soustředí na integritu dat, konfigurací
a spuštěných aplikací za pomoci tří produktů
z oblasti Risk & Compliance. Integrity Monitor
a Change Control se soustředí na audit a autorizaci při změně dat (na souborovém systému
nebo v databázích) a konfigurací. Application
Control uzamkne softwarové vybavení stroje
a blokuje neautorizované procesy. Efektivně tak
blokuje nežádoucí software, aniž by se musel zabývat signaturami jako např. antivir.
ePolicy Orchestrator je koncipován jako
centrální bod správy bezpečnostního softwaru
McAfee a díky jeho návrhu je možné jej využívat
ve společnostech nejrůznějších velikostí a struktur. Stromová struktura zařízení a na ní navázané
delegování oprávnění dalším administrátorům,
dědění politik, distribuce bezpečnostního softwaru a vytváření reportů umožňuje vytvořit
prostředí virtuální správy, které odpovídá reálné
struktuře a procesům ve společnosti.
Mgr. Robert Šefr je IT Security konzultant
společnosti COMGUARD
Objevte neočekávané ...
SRD je nová série H.264 digitálních video
záznamových zařízení od společnosti Samsung
Řada SRD společnosti Samsung obsahuje vše, co byste mohli očekávat od digitálních
záznamových zařízení. Mysleli jsme tedy, že vám povíme o věcech, které možná nečekáte.
Jsou to vlastnosti jako například: použití vlastní Samsung H.264 vysoce výkonné metody
komprese k úspoře kapacity disku a zároveň zvýšení kvalitu obrazu • HDMI výstup
poskytující zvětšený obrazový výstup do 1080P • Plně odnímatelný zadní panel, takže
pevné disky lze vyměnit a rozšířit bez toho, abyste napřed museli složitě odpojit kabely
• Integrovaná funkce Virtuálního Progresivniho Skenu (VPS), která eliminuje problémy s
rozmazanými okraji pohybujících se předmětů k získání perfektních jednotlivých snímků.
Integrovaný webový server umožňuje volby živého zobrazení či přehrávání záznamu s
možností zálohování událostí přes rozhraní webového prohlížeče, zatímco plná kompatibilita
s centralizovaným řídícím softwarem (CMS), Samsung SVM-S1 který nevyžaduje licenci
a je zdarma, poskytuje pokročilé síťové funkce jako součást kompletního integrovaného
systému.
Navíc všech šestnáct jednotek této řady využívá stejnou vysoce intuitivní strukturu
nabídky grafického rozhraní uživatele (GUI), která neočekávaně usnadní nastavení i
používání.
SRD řada
T +420 222 866 002, +420 602 532 103
E [email protected]
SRD-1670(D)
SRD-1650(D)
SRD-1630(D)
SRD-1610(D)
SRD-870(D)
SRD-850(D)
SRD-830(D)
SRD-470(D)
H.264
H.264
H.264
H.264
H.264
H.264
H.264
H.264
16
16
16
16
8
8
8
4
Ne(Ano)
Ne(Ano)
Ne(Ano)
Ne(Ano)
Ne(Ano)
Ne(Ano)
Ne(Ano)
Ne(Ano)
6(5)
6(5)
6(5)
6(5)
6(5)
6(5)
6(5)
2(1)
Rychlost záznamu
Integrované sloty pro
pevné disky
(přípona D)
Mechanika DVD
(přípona D)
Kanály
Komprese
Označení produktu
Úplná zabezpečovací řešení. Za hranicí vašich představ.
4-CIF =
4-CIF =
4-CIF =
4-CIF =
4-CIF =
4-CIF =
4-CIF =
4-CIF =
400ips
100ips
50ips
25ips
200ips
50ips
25ips
100ips
2-CIF = 200ips CIF = 400ips
Role CISO
v malé a střední firmě
Daniel Chromek
V současnosti jsou organizace závislé na informacích, které zpracovávají.
Proto by měla být informační bezpečnost předmětem zájmu každé firmy
nebo organizace státní či veřejné správy. Efektivní řízení informační bezpečnosti umožňuje efektivní rozložení výdajů na informační bezpečnost.
Z pohledu prosazování a řízení informační bezpečnosti tvoří malé a střední firmy (dále jen
„SMB“) specifické prostředí. Rozdíly oproti velkým společnostem jsou následující, přičemž tyto
rozdíly jsou tím větší, čím je společnost menší.
• Žádný nebo minimální bezpečnostní tým;
• rozpočet na bezpečnost je součástí rozpočtuna IT nebo není vytvářen vůbec;
• rozsah finančních, časových a lidských zdrojů přidělených na informační bezpečnost je
nižší, kvůli minimalizaci výdajů je potřeba
využívat open-source projekty;
• bezpečnost řídí oddělení IT.
Vytvoření pozice zodpovědné za řízení informační bezpečnosti přináší organizacím posun
od náhodného reagování na vzniklé problémy
a bezpečnostní incidenty k systematickému řízení a účelnému vynakládání výdajů na informační bezpečnost. Název této pozice se v různých
publikacích liší, proto budeme dále v článku používat název Chief Information Security Officer
(CISO).
Řízení bezpečnosti a role CISO
V rámci informační bezpečnosti v SMB organizaci je zapotřebí provádět širokou škálu činností, které může, ale i nemusí dělat přímo CISO:
• Řídit bezpečnostní rizika, což znamená pravidelně analyzovat rizika a přiměřeně reagovat na zjištěná rizika.
• Provádět publikační činnost, vydávat, revidovat a aktualizovat interní předpisy, které
vytvářejí firemní kulturu ve vztahu k informační bezpečnosti.
• Vzdělávat zaměstnance v oblasti informační
bezpečnosti a provozovat program budování
povědomí o informační bezpečnosti.
14
• Řídit a implementovat projekty v rámci
informační bezpečnosti, které jsou odvozeny
z reakce na zjištěná rizika a obchodních a legislativních potřeb. CISO může vystupovat
v roli projektového manažera, bezpečnostního specialisty, nebo nemusí být vůbec zahrnut do implementace daného projektu.
• Provozovat bezpečnostní technologie. Zejména v menších firmách může CISO vystupovat i jako bezpečnostní administrátor, který
provozuje bezpečnostní technologie a pomáhá ostatním členům IT personálu aplikovat
bezpečnostní opatření na systémech mimo
jeho správu.
• Zjišťovat a reportovat stav bezpečnosti vedení společnosti. SMB organizace si zřídkakdy
mohou dovolit pravidelný celoplošný bezpečnostní audit. Proto je CISO nucen sáhnout po
jiných metrikách bezpečnosti – logy, výstupy
z IDS a VA nástrojů, tickety na helpdesku…
• Řešit bezpečnostní incidenty ve spolupráci
se všemi dotčenými organizačními jednotkami a externími subjekty.
Tyto činnosti je možné všeobecně rozdělit na:
• Činnosti související s řízením bezpečnosti; tyto činnosti zahrnují analýzu rizik, návrh
ošetření zjištěných rizik a pravidelné reportování stavu.
• Ostatní činnosti, které zahrnují tvorbu firemní bezpečnostní kultury pomocí interních standardů a vzdělávání, implementaci
projektů, provoz bezpečnostních opatření
a řešení bezpečnostních incidentů.
Všechny tyto činnosti nemusí nutně dělat
přímo CISO, ale mohou být pokryty vícero rolemi v rámci organizace, nebo mohou být zabez-
pečovány externími službami. Rozdělení náplně
práce CISO mezi více osob ale přináší riziko, že
v konečném důsledku nebude za informační
bezpečnost odpovědný nikdo1). Pokud má CISO
efektivně řídit bezpečnost, je vhodné, aby byl
zodpovědný za výkon činností souvisejících s řízením bezpečnosti a měl pravomoc vyžádat si
jejich vykonání prostřednictvím managementu
společnosti v potřebném čase, rozsahu a kvalitně
v případě, že je sám nevykonává. Přidělení ostatních činností mezi odpovědnosti CISO je přínosem při budování jednotné bezpečnostní strategie a architektury SMB organizace, není však
nevyhnutelně potřebné pro řízení bezpečnosti.
Závisí na požadavcích každé SMB organizace, zda CISO bude odpovídat za provádění všech
uvedených činností nebo jejich částí, nebo zda
kromě vyjmenovaných činností budou do jeho
odpovědnosti zahrnuty i jiné činnosti. Průzkum
stavu informační bezpečnosti za rok 20092) uvádí následující znalosti a schopnosti, které jsou
u role CISO nejvíc oceňovány (uvedlo více než
20 % respondentů):
• věcná znalost problematiky informační bezpečnosti,
• technologické znalosti IS/IT,
• flexibilita a konstruktivní přístup k řešení
problémů,
• schopnost efektivní komunikace s vedením
organizace,
• analytické schopnosti,
z čehož pak vyplývají požadavky na náplň práce
CISO.
Některé z uvedených činností jsou ale nárazové (např. provedení auditu nebo implementace
opatření) a jmenování zaměstnance pouze do
role CISO může znamenat jeho neefektivní využívání v průběhu roku. Pokud se SMB organizace rozhodla řídit bezpečnost a zřídit roli CISO,
je velmi pravděpodobné, že první analýza rizik
nebo audit odkryje problémy ve všech oblastech
popisovaných normou ISO 270023). Pokud organizace dynamicky nevyroste, bude po odstranění
počátečních problémů rozsah činností CISO snížen na udržování dosažené úrovně bezpečnosti.
V takovém případě jsou dvě možnosti:
• kombinovat roli CISO s jinou rolí v rámci
organizace,
• outsourcing CISO.
Přístupy k obsazení role CISO
CISO může být obsazen interním zaměstnancem
nebo externím konzultantem. V případě SMB
organizací s menšími kapacitními požadavky na
roli CISO může být problém udržet a vytížit zaměstnance, který má požadované znalosti a výše
uvedené schopnosti. O to víc, jestliže má být
CISO kombinací technika (správa bezp. technologií), manažera (vedení projektů, komunikace
s vedením) a odborníka na bezpečnost (řízení
rizik, tvorba interních předpisů a vzdělávání).
Výhodou naopak je, že zaměstnanec je interní
a je tedy více spjatý s lidmi v organizaci, bude
u nich jednodušeji prosazovat zásady informační
bezpečnosti a bude citlivěji vnímat jejich potřeby a problémy, protože je s nimi v každodenním
kontaktu. Dobré vztahy se zaměstnanci společnosti se ale stávají problémem v okamžiku, kdy
je potřeba vyvodit odpovědnost a sankce za způsobený bezpečnostní incident, nebo implementovat tvrdší pravidla v rámci organizace.
Role CISO může být obsazena následujícími
interními zaměstnanci:
• Vedoucí IT – výhodou je znalost IT a manažerské schopnosti. Nevýhodou může být
znalost řešení bezpečnostních problémů
mimo IT – např. v oblasti personální a fyzické bezpečnosti. Navíc je takový člověk v první
řadě vedoucím IT a až potom CISO. Protože
se u SMB organizací předpokládá, že vedoucí IT má v týmu více specialistů, není provoz
bezpečnostních technologií problémem.
• IT specialista – výhodou IT specialistů je
hluboká znalost IT a rychlé pochopení možností technických bezpečnostních opatření.
Nevýhodou mohou být manažerské schopnosti a komunikace, ať už při vzdělávání zaměstnanců nebo s vedením organizace.
• Bezpečnostní administrátor – podobná
možnost jako IT specialista s hlubokou znalostí bezpečnostních technologií. I zde mo-
hou být nedostatkem manažerské schopnosti
a komunikace.
• Dedikovaný manažer bezpečnosti – podobná možnost jako vedoucí IT, avšak dedikovaný pouze na řízení bezpečnosti. Nevýhodou
může být provádění provozu bezpečnostních
technologií a využitelnost i mimo nárazové
činnosti.
• Finanční ředitel – výhodou této možnosti
je přímý kontakt na vrcholný management.
V případě, že organizace řídí např. finanční
rizika, má finanční ředitel dobré předpoklady k řízení bezpečnostních rizik. Nevýhodou
může být znalost IT a bezpečnostních technologií, především v případě, kdy CISO odpovídá také za provoz bezpečnostních technologií.
• Neobsazeno – nejhorší z možností, která
znamená, že za řízení informační bezpečnosti
není odpovědný nikdo.
V případě personálního sourcingu CISO jsou
odpovědnosti a pravomoci stanoveny smlouvou.
Ta by měla zaručit, že CISO je využíván podle
potřeb organizace k dohodnutým aktivitám a za
přijatelnou cenu. Smluvně by měla být definována odpovědnost za vykonávání řídících činností,
které byly zmíněny výše. Zařazení ostatních činností je možné realizovat např. možností volitelně
doplňovat činnosti CISO podle aktuální potřeby.
Pokrytí požadavků SMB organizace ze strany
sourcingové firmy by mělo být samozřejmostí, především co se týká zkušeností, vědomostí
a schopností outsourcovaného CISO. Odpadají
problémy s nárazovými činnostmi, protože při
flexibilní smlouvě není problém doobjednat
Pokud organizace dynamicky nevyroste,
bude po odstranění počátečních problémů rozsah činností CISO snížen na udržování dosažené úrovně bezpečnosti.
činnosti CISO. Ale to, že CISO není součástí organizace, může přinést problémy s orientací
v kultuře společnosti, problémy ve spolupráci
s organizačními jednotkami v rámci společnosti
a vázání činností a odpovědností na uzavřenou
smlouvu.
•••
Řízení bezpečnosti je nutno svěřit do rukou
zkušené osobě, která dokáže přetavit i menší
zdroje, které má SMB organizace k dispozici, do
efektivního bezpečnostního programu. To, jakou
kvalitu, zkušenosti a efektivitu při provádění
svěřených činností CISO přinese, vždy závisí na
konkrétním člověku, který je do této pozice vybrán.
Poznámky:
1)
ISO/IEC 13335-2:1997
2)
Průzkum stavu informační bezpečnosti za rok 2009
3)
ISO/IEC 27002
Tento článek v upraveném znění vyšel v časopise
Security World č. 3/2010
Daniel Chromek, CISA, je IS Security Consultant společnosti ESET software
Shrnutí kladných a záporných stránek obsazení role CISO
Řízení bezp.
rizik
Publikační
činnost
Vzdělávání
Řízení a impl.
projektů
Provoz bezp.
technologií
Reportování
stavu
bezpečnosti
Řízení
incidentů
Vedoucí IT
+
-
-
+
+
+
+
IT specialista
-
-
-
-
+
-
+
Bezpečnostní
administrátor
-
-
-
-
+
-
+
Manažer
bezpečnosti
+
+
+
+
-
+
+
Finanční ředitel
+
-
-
+
-
+
-
Outsourcovaný
CISO
+
+
+
+
+
+
+
15
PŘÍPADOVÁ STUDIE
Nové síťové
záznamové zařízení
Na trh přichází nové NVR vyvinuté společností KOUKAAM – IPCorder
KNR–090. Jde o unikátní samostatné nahrávací zařízení určené pro sledování a ukládání záznamů z IP kamer, jejich snadné vyhledávání, přehrávání
nebo export. Jde o cenově dostupné zařízení, které umožňuje ovládat až čtyři
kamery či videoservery současně a umí kompletně komunikovat v českém
jazyce. Jednoduché a intuitivní ovládání je nastaveno tak, aby vycházelo
vstříc všem uživatelům.
Od sledování netopýrů
k čerpacím stanicím
IPCorder KNR-090
IPCorder KNR-090 je využitelný hlavně pro kanceláře, domy, parkoviště a třeba vzdělávací nebo
vědecké účely.
Nezávislost jako
přidaná hodnota
Díky unikátnímu firmwaru a rozhraní založeném na Javě je IPCorder, na rozdíl od ostatních
podobných zařízení, kompatibilní jak s Microsoft Windows, tak i s Linuxem nebo Apple
Mac OS X.
Pro sledování obrazu z kamer, přehrávání
záznamů a veškerou správu zařízení stačí běžný
internetový prohlížeč. K IPCorderu tedy můžete
snadno přistupovat i na cestách, například z počítače v internetové kavárně.
Úsporně i ekologicky
Širokou využitelnost tohoto unikátního záznamového zařízení demonstruje výčet některých
případových studií. IPCorder nachází své místo
v malých i velkých systémech.
Pro kamerový systém dlouhodobě monitorující kolonie netopýrů v jeskyních a na půdách
si IPCorder jako součást systému vybrala např.
Přírodovědecká fakulta MU v Brně. Při automatickém sledování netopýrů se používá kamerový
systém sestávající z dvou IP kamer, IPCorderu
KNR-100, IR přísvitu a kabeláže. IPCorder je
v tomto případě napájen z 12V baterie.
Síť bezobslužných čerpacích stanic Čepro využívá systém složený z většího počtu IP kamer
a IPCorderů umístěných na jednotlivých čerpacích stanicích. Pro správu kamer a nahrávání
obrazu jsou použity IPCordery KNR-100.
Velký počet kamer (40) je ovládán jedním IPCorderem v pražských garážích nového bytového komplexu na Barrandově. V bezpečnostním
systému použitý IPCorder KNR-412 je schopný
správy, nahrávání a sledování až 48 IP kamer
nebo videoserverů současně.
„Největší počet realizovaných kamerových systémů využívá čtyři kamery.
IPCorder KNR-090 jsme tedy vyvinuli tak, aby jeho jednoduché ovládání,
nezávislost a dostupná cena oslovily
právě uživatele menších IP kamerových systémů.“
Petr Seliger,
ředitel společnosti KOUKAAM
•
•
•
•
•
•
•
•
•
•
Pro malé kanceláře a domov,
až 4 IP kamery/videoservery,
vzdálený přístup,
nízká cena,
nezávislé na operačním systému,
snadná instalace a použití,
malé a kompaktní rozměry,
nízká spotřeba,
tichý provoz,
český výrobek a podpora.
O společnosti KOUKAAM
Společnost KOUKAAM je certifikovaným dovozcem a distributorem pro IP
kamerových zabezpečovacích systémů
od firem VIVOTEK, IQnVision, ACTi,
Axis, Sony a dalších. V roce 2007 na
trh poprvé uvedla své unikátní samostatné nahrávací zařízení pro IP kamery – IPCorder, o dva roky později pak
inteligentní ovladač napájení – NETIO.
Standardem je pro společnost zákaznicky orientovaný přístup a vysoká flexibilita. Partnerům poskytuje odbornou
technickou podporu na vysoké úrovni.
Společnost je členem Asociace Grémium
Alarm a držitelem prestižních ocenění
VIVOTEK Top Distribution Award.
Všechny funkce IPCorderu jsou součástí základního balíku. Žádné příplatky za licence pro
kamery, přídavné funkce nebo aktualizace. Kvůli
nízké spotřebě energie šetří IPCorder peněženku
i přírodu a náklady na jeho pořízení se vrátí za
necelý rok.
Oproti systémům založeným na PC je provoz
IPCorderu také mnohem tišší.
16
PŘÍPADOVÁ STUDIE
Banky v ČR začínají hrát
aktivní roli v boji
proti phishingu
a trojským koním
V létě tohoto roku posílila Česká spořitelna, z pohledu počtu klientů rozhodně největší banka v České republice, aktivní boj proti stále se zvyšujícím
phishingovým a „trojským“ útokům na klienty internetového bankovnictví. Tím rozšířila seznam evropských finančních ústavů, které se touto cestou již vydaly. Ve spolupráci s RSA, bezpečnostní divizí společnosti EMC,
spustila Česká spořitelna od 1. srpna nový bezpečnostní systém s názvem
RSA Fraud Action Antiphishing & Antitrojan, čímž podstatně rozšířila již
existující bezpečnostní opatření proti kyberkriminalitě.
RSA Fraud Action Antiphishing & Antitrojan
rozšiřuje současná bezpečnostní opatření České
spořitelny o tři důležité oblasti:
• Monitorování a případnou blokaci nebezpečných webových serverů, které prokazatelně
obsahují škodlivý kód,
• vyhledávání a případnou blokaci podvodných
phishingových e-mailů a webových stránek,
• vzdálený monitoring klientských stanic za
účelem nalezení škodlivého kódu ve formě
trojského koně společně s poradenstvím, jak
se v případě nákazy zachovat.
Cíl je ve všech třech oblastech jediný – minimalizovat či úplně eliminovat krádeže identit klientů
České spořitelny, které pak slouží k provedení
neautorizovaných finančních transakcí.
Jak je již zřejmé z předešlého textu, zvolený
bezpečnostní systém RSA se v boji proti kyberkriminalitě zaměřuje primárně na prevenci
útoků. Systém aktivně vyhledává potenciálně
nebezpečné webové servery, které monitoruje
a informace o nich pak odesílá do celosvětových
databází. Díky tomu jsou klienti včas informováni a varováni před vstupem na tyto servery přímo ve svém internetovém prohlížeči, a to ještě
předtím, než na ně hodlají vstoupit.
RSA bojuje i s podvodnými e-maily (phishing), které mají vzbudit dojem, že byly odeslány
z e-mailové adresy České spořitelny, a vyzývají
klienta k potvrzení svých osobních bankovních
údajů. Bezpečnostní systém tyto e-maily sleduje a po jejich identifikaci je zasílá do databází
poskytovatelům e-mailových schránek. Dochází
tak k minimalizaci či úplné eliminaci doručení
phishingových zpráv klientům banky.
RSA se také zaměřuje na boj proti bankovním
počítačovým virům, zejména trojským koním.
Na počítače klientů není třeba nic instalovat,
systém tento škodlivý kód v počítači klienta rozpozná vzdáleně, a to mnohem dříve, než si jich
stihne všimnout sám klient. V tomto případě pak
specialisté České spořitelny kontaktují klienta
a odborně mu poradí, jak postupovat v odstranění viru a jak si změnit bezpečnostní údaje.
Uvedený systém bezpečnostní divize RSA
doplňují další bezpečnostní prvky jako je například přihlášení za pomoci klientského čísla
a hesla (v případě prvního přihlášení nebo změny nastavení se používá ještě bezpečnostní kód),
užití autorizační SMS k potvrzení aktivní transakce, případně užití přihlašovací SMS. V současné době tak celá sada bezpečnostních opatření
chrání přes milion klientů České spořitelny, kteří
využívají internetové bankovnictví.
,,Jsem velmi rád, že nám všem se otevřely nové
obzory v oblasti prevence a ochrany klientů České
spořitelny. Zvláště, jde-li o způsob, který nezatěžuje počítač uživatele elektronického bankovnictví
České spořitelny žádnou instalací dodatečného
software,“ popisuje své zkušenosti Oldřich Smola, ředitel společnosti Smola Consulting, která je
partnerem RSA pro oblast antifraudových služeb
v České republice. „Díky podrobnému monitoringu vidíme rychle rostoucí počty útoků typu trojský kůň právě v zemích střední a východní Evropy,
a je proto pozitivní, že místní banky neberou tato
rizika na lehkou váhu. Těší nás, že Česká spořitelna, společně s řadou dalších bank v okolních zemích, zvolila služby RSA Security FraudAction,“
dodává Ivan Svoboda, RSA Account Manager.
A jak řešení hodnotí přímo zástupci České
spořitelny? „RSA systém společně s dalšími bezpečnostními prvky internetového bankovnictví
účinně doplňuje škálu bezpečnostních opatření, která nám pomáhají chránit data a finanční
prostředky našich klientů,“ řekl David Lorenc,
ředitel přímého bankovnictví České spořitelny.
Ani sebelepší systém však nedokáže stoprocentně zamezit zneužití identity klienta, pokud
sám klient nebude respektovat alespoň základní
bezpečnostní pravidla. K těm pan Lorenc dodává: „Abychom mohli eliminovat útoky hackerů na
minimum, je důležitá i aktivita samotného klienta. Ten by se neměl do svého internetového bankovnictví přihlašovat z neznámých nebo veřejně
dostupných počítačů a stahovat do svého počítače
soubory z neznámých zdrojů. Zároveň je důležité,
aby si pečlivě chránil své přihlašovací údaje a věnoval dostatečnou pozornost aktuálnímu antivirovému nastavení ve svém počítači.“
Více informací o řešeních RSA naleznete na www.rsa.com
17
PŘÍPADOVÁ STUDIE
Bezpečný e-mail
pro miliony uživatelů
Sofistikovanost bezpečnostních hrozeb rok od roku roste a nutí organizace
zvyšovat úroveň bezpečnosti informačních systémů. Narůstající objem technologií s sebou přináší potřebu přistupovat aktivně k odhalování případných
zranitelností v infrastruktuře firemních sítí. Jedním z řešení je nasazení
antivirové ochrany, a to především na klíčových serverech sítě.
Menší firmy antivirovou ochranu stále podceňují, což je v kontrastu s opatřeními, která přijímají
velké organizace. Příkladem může být Centrum
Holdings, netmediální společnost s působností ve střední a východní Evropě. V Česku osloví
měsíčně 3,8 milionu on-line uživatelů. Provozuje
například značky Atlas.cz, Centrum.cz, Aktuálně.cz, ICQ, Xchat.cz nebo Stahuj.cz. Centrum
Holdings vzniklo v roce 2008 sloučením dvou
společností Atlas.cz a NetCentrum.
Výzva
U společností podnikajících v internetovém prostředí je zajištění bezpečnosti uživatelů důležité.
Obzvlášť jde-li o e-mailové schránky milionů
uživatelů nebo stahování tisíců souborů denně. Centrum Holdings chtělo ochránit uživatele
e-mailových služeb před internetovými hrozba-
mi v podobě virových infiltrací tak, aby nebyli
žádným způsobem rušeni a nepřicházeli do
styku s žádným druhem nebezpečného kódu.
Kromě spolehlivé ochrany uživatelů bylo nutné
zabezpečit e-mailové schránky na portálech.
Centrum.cz a Atlas.cz potřebovalo systémově
nenáročné, ale zato vysoce výkonné řešení. Například i proto, že každou vteřinu musejí e-mail
servery vyřídit více než sto příchozích či odcho-
18
zích e-mailů. V případě portálu Stahuj.cz bylo
nutné zajistit bezpečnost obrovské koncentrace
dat tak, aby měl uživatel stoprocentní jistotu, že
stahovaný soubor či program neobsahuje virovou infiltraci. Konkrétně u Stahuj.cz bylo vzhledem ke stupňujícím se požadavkům na bezpečnost nutné nasadit komplexní antivirové řešení
v podobě přímého testování na file serverech
Stahuj.cz.
IT oddělení také požadovalo zajištění co
možná nejrychlejší implementace nové antivirové kontroly na straně file serveru, což v důsledku
vyřadilo z výběrového řízení mnohá řešení s časově náročnou instalací.
Řešení
Vítězem výběrových řízení na zajištění antivirové bezpečnosti služeb serverů Centrum Holdings se staly produkty společnosti
ESET, které splnily náročné a specifické
požadavky IT oddělení, a to především
systémovou nenáročnost, kvalitu detekce virových hrozeb, vysoký výkon, kvalitní nástroj vzdálené správy a zajištění
rychlé implementace řešení. Důležitou
roli při výběru produktů ESET hrálo
i doporučení nezávislých srovnávacích
testů, v nichž produkty ESET pravidelně získávají maximální možná hodnocení. V srpnu 2010 získal ESET za svá řešení již
63. ocenění VB100 v řadě od renomovaného magazínu Virus Bulletin.
E-mailové schránky na Centrum.cz a Atlas.cz
jsou prostřednictvím produktů ESET kontrolovány od roku 2004 a aktuálně je ochrana zajištěna pomocí řešení ESET Mail Security pro
Linux/BSD. E-maily skenuje unikátní technologie ThreatSense, která má bezkonkurenční úro-
veň aktivní detekce. Veškerá příchozí i odchozí
pošta je kontrolována na jakákoliv bezpečnostní
rizika (viry, trojské koně, spyware atd.). Funkce
transparentního skenování umožňuje kontrolu
protokolů POP3, SMTP a IMAP. Implementace
antispamové kontroly s citlivě nastavitelnou konfigurací v závislosti na využití serveru umožňuje
lokální analýzu e-mailové komunikace s možností „net-check“ kontroly vůči internetovým
serverům, což zaručuje ještě kvalitnější detekci
nevyžádané pošty.
Ochranu dat na čtveřici linuxových souborových serverů portálu Stahuj.cz zajišťuje od roku
2007 řešení ESET File Security pro Linux. Mezi
jeho klíčové funkce patří kromě on-demand
kontroly také nepřetržitá kontrola souborového systému (on-access skenování). Uživatel má
možnost zvolit si rozsah kontroly podle aktuální
potřeby. ESET File Security pro Linux obsahuje
nejnovější ThreatSense technologii, podporu
aplikace ESET Remote Administrator nejnovější
verze 4.
O společnosti
Společnost ESET (www.eset.cz), založená v roce 1992, je světovým výrobcem
bezpečnostního softwaru pro firemní
klientelu a domácnosti. Je lídrem na trhu
aktivní detekce počítačových hrozeb.
Díky technologii ThreatSense.Net sbírá
ESET data od dobrovolných uživatelů
z celého světa, a tak okamžitě reaguje na
nové hrozby. Produkty ESET Smart Security a ESET NOD32 Antivirus patří mezi
technologickou špičku, protože negenerují téměř žádné falešné poplachy. ESET
NOD32 Antivirus je podle nezávislé
organizace AV-Comparatives nejlepším
antivirovým produktem na světovém trhu
za roky 2006 a 2007. ESET sídlí v Bratislavě, pobočky má v Praze, Buenos Aires
(Argentina), San Diegu (USA) a zastoupení ve více než 180 zemích světa. V roce
2008 otevřel ESET vývojové centrum
v polském Krakově. Firma patří podle
žebříčku Deloitte Technology Fast 500
mezi nejrychleji rostoucí technologické
společnosti v regionu Evropy, Blízkého
východu a Afriky.
PŘÍPADOVÁ STUDIE
Jak řídí přístup k síti na
Úřadu pro civilní letectví
Úřad pro civilní letectví není příliš velkou organizací, ale požadavky na ICT
jsou zde vysoké hlavně z důvodu velkého množství citlivých informací a napojení na jiné podobné organizace a subjekty. Síť ÚCL postupně rostla a zpočátku nebylo potřeba realizovat bezpečnostní aplikace, ani patch management. Z důvodů vyšší bezpečnosti a omezení broadcast komunikace, byla síť
rozdělena do různých VLAN (IEEE 802.1q) dle použití a typu komunikace.
Zavedením VLAN se však zvýšila náročnost správy a rekonfigurace zařízení v případě stěhování
či pohybu uživatelů a zařízení v síti. Administrátoři byli nuceni dohledávat zapojení jednotlivých kabelů k příslušným zásuvkám. V případě
chybného dohledání a přepojení vznikaly nové
problémy. Další nepříjemná záležitost, která stěžovala práci, byly staticky nakonfigurované porty pro různé systémy. Vzhledem k malému počtu
administrátorů bylo nutné nalézt automatizované řešení, které vyřeší stávající problémy a navíc
přinese jednoduchou a intuitivní obsluhu a nové
funkce.
Úřad pro civilní letectví (ÚCL) také potřeboval nabídnout hostům přístup na internet, ale
zároveň zachovat vysokou bezpečnost sítě. Před
nasazením řízení přístupu k síti byl kterýkoliv
z hostů hrozbou nejen pro síť ÚCL, ale v jisté
míře i pro obchodní partnery, jako jsou například řízení letového provozu, letiště po celé ČR či
nadnárodní letecké asociace.
Řešení
Hlavním cílem řešení je, aby pouze oprávnění
uživatelé dostali přístup pouze k jim oprávněné
informaci z oprávněného místa v síti a v oprávněném čase. Zavedením řešení Enterasys Network
Access Control, tak zákazník získal stoprocentní viditelnost na koncové systémy připojené do
sítě, zejména pak informace typu:
• kde je zařízení připojeno = přepínač, port,
• jakou má IP, MAC adresu,
• jaký má dané zařízení síťový profil = host,
student, kamera, telefon,
• kdy bylo zařízení viděno poprvé a kdy naposledy,
• histogram připojeného zařízení = kdy, kde,
jak.
Zavedením řešení Enterasys Network Access
Control Úřad pro civilní letectví získal možnost rozlišovat mezi jednotlivými typy zařízení
(kamera, tiskárna, PC, notebook, telefon, fax,
server…), a také možnost nabídnout bezpečně
oddělený přístup pro hosty.
Řešení bylo pro jeho flexibilitu a komplexnost implementováno společností GERKIN,
která má certifikaci „Silver Partner“. Pro ÚCL je
úroveň certifikace zárukou, že bude implementace v pořádku, pro výrobce je certifikace zárukou,
že bude zákazník spokojený.
Hlavní výhody:
Ochrana investic
•Cisco infrastruktura zůstala zachována, včetně
VoIP.
•Schopnost využít stejné WiFi pro přístup pro
hosty i pro vnitřní uživatele.
Jednoduchý management
•Možnost dohlížet i konfigurovat řešení přes
webové rozhraní.
•Možnost dohlížet i konfigurovat řešení přes tlustého klienta.
Rozšiřitelnost řešení
•Nasazení bylo rozfázováno dle aktuálních
finančních možností. V budoucnu je naplánováno rozšíření o skenování zranitelností a rozšíření
na plně redundantní HA řešení.
Jednoduchost nasazení
•Řešení bylo nasazováno postupně a navíc byla
každá dílčí část/funkčnost důkladně otestována, aby uživatelé nebyli vlastní implementací
zatíženi.
Výkon
•Řešení je navrženo tak, aby zvládlo pokrýt
i budoucí růst.
• Schopnost ukázat a nasadit testovací provoz.
Infrastruktura:
Cisco Catalyst 4506, Cisco Catalyst 3560G, Cisco
Catalyst 3750, Cisco IP telefonie, Kamerový
systém
Cca 200 uživatelů, cca 650 zařízení
Flexibilita nastavení a možnosti:
Řešení Enterasys NAC je schopno plně vyhovět
požadavkům ÚCL na flexibilitu použitelnosti,
mezi které patří například rozdílné chování pro
zařízení v různých učebnách, odlišné chování pro
hosty, odlišné chování pro zařízení různých typů,
rozdílné chování dle typu autentizace apod.
Viditelnost do sítě:
Řešení poskytuje stoprocentní viditelnost na koncová zařízení.
Seznam produktů:
•NS-AB-50
NetSight Advanced Bundle 50-devices
•SNS-TAG-LPA NAC Gateway, 2000 user
Údržba systému a náklady na provoz:
Zavedením řešení Enterasys Network Access Control ÚCL získal nové možnosti a velmi významně
zvýšil zabezpečení sítě. Při každém přesunu uživatelů či zařízení nemusí administrátoři nic rekonfigurovat, vše je řešeno automaticky. V případě instalace nového systému musí administrátor nový
systém pouze přiřadit do správné skupiny.
19
PŘÍPADOVÁ STUDIE
Řízené dokumenty
pod kontrolou
Společnost WALMARK, založena v roce 1990, je největším výrobcem doplňků stravy ve střední a východní Evropě. Své dceřiné společnosti již umístila
v osmi evropských zemích a s týmem téměř 900 zaměstnanců vyváží své produkty do více než 20 zemí světa. Vedle doplňků stravy, vyrábí WALMARK od
roku 2004 také léčivé přípravky.
V roce 2007 společnost vyráběla více než
200 produktů a pracovní týmy podílející se na
jejich přípravě, výrobě a distribuci, jsou dislokovány po celé Evropě. Tato situace však není finálním cílem. WALMARK dlouhodobě směřuje
k pozici evropského lídra na trhu doplňků stravy
a rozvíjí také svou účast na trhu s léčivy.
Situace
V rámci farmaceutické výroby platí přísná pravidla pro správnou výrobní praxi. Tato pravidla
jsou proto realizována a monitorována prostřednictvím propracovaného systému řízení jakosti,
který je závazný pro celou společnost a je tvořen
množstvím standardních operačních postupů.
Udržení rozvoje společnosti směrem k dlouhodobým cílům v kontrastu ke zvyšování jakosti
výroby a rozšiřování portfolia se tak stalo klíčem
k úspěchu. Vedení společnosti proto identifikovalo potřeby, které bylo nutné podpořit pomocí
efektivní automatizace procesů a jednotným
systémem pro sdílení informací. V primární fázi
bylo jako základní definováno sjednocení elektronického managementu dokumentace sloužící
k zákonné registraci léčiv, fytofarmak a doplňků stravy včetně integrace příslušných procesů,
automatizace schvalovacích procesů a sjednocení sdílení dat v oblasti DTP dokumentů jako
jsou např. obaly a příbalové letáky produktů
a komplexní podpora systému řízení jakosti
zahrnující kompletní životní cyklus předpisové
dokumentace.
Řešení
Pro realizaci řešení uvedených potřeb si společnost WALMARK ve výběrovém řízení zvolila
řešení na bázi Enterprise Content Management
systému společnosti Open Text dodávané spo-
20
lečností IXTENT. Klíčovou komponentu řešení
přitom tvoří technologie Livelink ECM – Enterprise Server, který prostřednictvím tenkého
klienta (webového prohlížeče) umožňuje přístup
k aplikacím i z dislokovaných pracovišť po celém
světě.
Kromě standardních funkcí ECM systému
(fulltextové vyhledávání, zabezpečení přístupových oprávnění pro jednotlivé dokumenty apod.)
jsou součástí dodaného řešení též specializované komponenty pro elektronické podpisování
dokumentů a elektronickou přípravu registrační dokumentace dle požadavků regulačních
autorit.
V oblasti řízené dokumentace v souladu
s GMP je jednou s podstatných podmínek jeho
funkčnosti prokazatelnost schvalovacího procesu – jinak řečeno, vlastní „úkon schválení“
zodpovědnými osobami. Tuto oblast řešení realizoval IXTENT s využitím modulu eSign, který
nabízí podpis schvalovaných dokumentů, na bázi
elektronického podpisu s interní autorizační
autoritou. Každý podepisující pracovník se tak
v rámci schválení musí dodatečně autentizovat
vůči databázi podpisů eSign. Výhodou modulu
je jeho plná integrace do prostředí Livelink ECM
a možnost realizovat konverzi do formátu PDF
jako součást procesu podepisování. Schválení
a podpis je pak paralelně ke schvalovacímu záznamu v systému, také automaticky, importován
do PDF dokumentu jako schvalovací doložka.
Registrace léčiv – tato oblast je ve farmacii
jasně definována požadavky na formát registrační dokumentace a též požadavky na formát
a kontrolní mechanizmy poskytování této dokumentace registračním autoritám v elektronickém tvaru. Dodané řešení podporuje tvorbu
dokumentace v přípravné fázi (tvorba dílčích
registračních dokumentů s využitím workflow,
přístupových práv, řazení do pracovních adresářů) a zároveň plně podporuje definovaný formát registrační dokumentace (jak pro EU, tak
pro USA, Kanadu atd.) včetně práce s kompletní
registrační složkou v průběhu jejího sestavování,
kompletace, publikace a předání registrační autoritě.
Podpora DTP procesu je součástí automatizace přípravy dokumentace pro potravinové
doplňky. Navržené řešení zrychluje přípravu
a schvalovací proces textových a grafických předloh (TGP) lékové dokumentace a lékových obalů.
V každém okamžiku je lze získat přehled o stavu
přípravy podkladů pro jednotlivé preparáty a to
v situaci, kdy požadavky na zpracování TGP jsou
zadávány nezávisle pracovníky v několika různých zemích.
Naplněný cíl
Implementace platformy Livelink ECM přinesla společnosti WAKMARK podporu pro hlavní
procesy v oblasti výroby léčiv a potravinových
doplňků a sjednotila tak pracovní prostředí
pro cílovou skupinu více než 100 pracovníků.
Výsledkem je zpřehlednění a zrychlení přípravy
předpisové dokumentace, včetně její distribuce
v souladu s požadavky správné výrobní praxe
v rámci celé společnosti,automatizace a zrychlení procesu přípravy registrační dokumentace pro
potravinové doplňky, automatizace a urychlení
procesu přípravy DTP podkladů pro příbalové
letáky a obaly potravinových doplňků s modifikacemi pro potřeby zastoupení v jednotlivých
zemích, sjednocení přípravy registrační dokumentace léčiv.
Partneři časopisu Professional Computing Speciál
Bezpečnost a zabezpečení
Zlatý partner
Stříbrný partner
Samsung Techwin Europe
AVG Technologies CZ
Římská 20
120 00 Praha 2
Tel.:
+420 222 866 002,
+420 602 532 103
E-mail: [email protected]
www.samsungsecurity.com
Lidická 965/31
602 00 Brno
Tel.:
+420 549 524 011
Fax:
+420 541 211 432
www.agv.cz
Partner
Partner
COMGUARD
EMC Czech Republic
Vídeňská 119b
619 00 Brno
Tel.:
+420 544 509 059
Fax:
+420 544 509 079
www.comguard.cz
kontaktní adresa:
Freyova 27
190 00 Praha 9
Tel.:
+420 266 721 833
V parku 2335/20
148 00 Praha 4-Chodov
Tel.:
+420 272 089 410
Fax:
+420 272 089 411
http://czech.emc.com
Stříbrný partner
Partner
Eset software
IBM Česká republika
Jankovcova 1037/49 (Classic 7 Business Park)
170 00 Praha 7-Holešovice
Tel.:: +420 233 090 233
V Parku 2294/4
148 00 Praha 4-Chodov
Tel.:
+420 272 131 111
Fax: +420 272 131 401
www.eset.cz
www.ibm.com/cz/cs/
Partner
Partner
IXTENT, s. r. o
KOUKAAM
Lighthouse Towers
Jankovcova 1569/2c
170 00 Praha 7-Holešovice
Tel.:
+420 234 379 330
Fax:
+420 234 379 331
www.ixtent.com/cs
U Vinných sklepů 7
190 00 Praha 9
Kontaktní adresa:
Kaplanova 2252/8
148 00 Praha 4
Tel.:
+420 226 015 556
Fax:
+420 226 015 749
www.koukaam.se
Partner
Partner
OKsystem
Siemens Enterprise
Communications
Na Pankráci 1690/125
140 00 Praha 4
Tel.:
+420 244 021 111
Fax:
+420 244 021 112
www.oksystem.cz
Průmyslová 1306/7
102 00 Praha 10-Hostivař
Tel.:
+420 266 066 606
Fax:
+420 266 063 030
www.enterasys.com
Chytřejší technologie pro chytřejší planetu:
Jak řídit tisíce věcí, kterých
se nelze dotknout
Řada firem dnes bolestně poznává, že prudký rozmach virtuálních obrazů disků může přinášet stejné
komplikace jako rychlý růst počtu fyzických serverů, který měla vyřešit právě virtualizace. IBM vám pomůže
řídit, zjednodušit či dokonce zautomatizovat virtuální prostředí prostřednictvím široké nabídky řešení. Jsou
navržena speciálně k tomu, aby vaší firmě umožnila sledovat a kontrolovat veškeré firemní virtuální prostředky –
servery, úložiště dat, aplikace apod. Budete tak schopni získávat a konfigurovat prostředky v řádu minut
namísto dnů, zlepšíte efektivitu práce a vytvoříte základ nových řešení, např. cloud computingu. Náš otevřený
přístup k virtualizaci pomáhá zákazníkům snížit investiční a provozní náklady až o 30 % a představuje základní
kámen chytřejší a dynamičtější infrastruktury.
IBM, logo IBM, ibm.com, Chytřejší planeta a ikona planety jsou ochrannými známkami společnosti International Business Machines registrované v řadě zemí světa. Ostatní názvy produktů a služeb
mohou být ochrannými známkami společnosti IBM nebo jiných ﬁrem. Aktuální seznam ochranných známek společnosti IBM naleznete na webových stránkách www.ibm.com/legal/copytrade.shtml.
Chytřejší firma potřebuje chytřejší software, systémy a služby.
Pojďme budovat chytřejší planetu. ibm.com/cz/virtualizace

ne, bezpečnoSt! bezpečný e-mail pro miliony

Transkript

Podobné dokumenty