ne, bezpečnoSt! bezpečný e-mail pro miliony
Transkript
ne, bezpečnoSt! bezpečný e-mail pro miliony
ZÁŘÍ 2010 / ročník XI, č. 3 Sociální sítě úhlem bezpečnostních rizik Mravnost nadevše? Ne, bezpečnost! Bezpečný e-mail pro miliony uživatelů Sociální sítě, jejichž synonymem se stal Facebook nebo Twitter, jsou už naplno v hledáčku firem, které zde objevily zajímavý marketingový a obchodní potenciál. V podstatě jde o sen všech marketérů, protože mohou přesně zacílit a oslovit určitou cílovou skupinu. Na druhé straně je nadšení ze sociálních sítí vyvažováno obavami IT administrátorů z bezpečnostních rizik a úniků informací, které jsou prostřednictvím těchto sítí dostupnější, než tomu bylo dřív. Lidé se smiřují se všudy přítomnými kamerami a svá rodná čísla by nejraději zatajili i před svými životními partnery. „Osobně s rodným číslem žádné tajnosti nedělám, ale na druhou stranu, heslo svého počítače bych skutečně nepošeptal ani manželce,“ řekl na úvod našeho setkání Martin Meduna, bezpečnostní expert společnosti Symantec. Druhý účastník naší besedy, Michal Hroch, produktový manažer serverové divize Microsoftu, jen souhlasně pokýval hlavou … Sofistikovanost bezpečnostních hrozeb rok od roku roste a nutí organizace zvyšovat úroveň bezpečnosti informačních systémů. Narůstající objem technologií s sebou přináší potřebu aktivního přístupu k odhalování případných zranitelností v infrastruktuře firemních sítí. Jedním z řešení je nasazení antivirové ochrany, a to především na klíčových serverech sítě. Menší firmy antivirovou ochranu stále podceňují, což je v kontrastu s chováním velkých společností. Ochrání vaše informace Zajistěte bezpečnost vašich počítačů a komunikace pomocí sofistikované technologie šifrování, elektronického podpisu a silné autentizace. IT BEZPEČNOST S ČIPOVOU KARTOU šifrování a podpis e-mailů jedním kliknutím myši přihlašování k Windows a libovolným aplikacím čipová karta jako bezpečné úložiště hesel a PIN kódů bezpečný přístup k internetu a do vzdálených informačních systémů šifrování souborů i celého logického disku využití v docházkových, stravovacích a přístupových systémech Na Pankráci 125 140 21 Praha 4 tel: 244 021 111 fax: 244 021 112 www.oksystem.cz 20 nalet trhu EDITORIAL Vážení čtenáři, vážené čtenářky, pozoruji-li život kolem sebe, neujde mi, že lidé většinou žijí klidně, bezstarostně a s trochu falešným pocitem bezpečí. A to i přesto, že mnozí z nich si nedokážou představit, že by nebyli se světem napřímo spojení čtyřiadvacet hodin denně, 365 dnů v roce. Ohrožení, které na ně na každém kroku v internetovém světě číhá, prostě nevnímají. Vnímat by ale raději měli. Internetoví útočníci-zloději jsou šíbři daleko jiného kalibru než lapkové, kteří u bytu vylomí zámek a vyplení byt. V průběhu posledních pěti let se objevilo mnoho zpráv, které odhalují motivaci současných internetových útočníků a jejich činnosti. Doby, kdy hackerům stačila mediální sláva, jsou definitivně minulostí. Dnes jsou cílem zlodějů peníze. Zisk. Zisk ročně počítaný v miliardách dolarů. Počítače už nenapadají jednotlivci, nýbrž velmi dobře vnitřně organizované gangy s přísnou vnitřní hierarchií, kde vysoce erudovaní pěšáci nemají ani ponětí, kdo jsou vlastně jejich kápa. Kde sídlí, jakým jazykem hovoří, jde-li o muže či ženu, bílý límeček… A co vlastně kyberzločince zajímá? Všechno, neboť dnes se prý dá dobře zpeněžit opravdu všechno. Osobní data, tedy rodná čísla, čísla kreditních karet, přístupová hesla k internetbankingu, Professional Computing Speciál Bezpečnost a zabezpečení Vyšlo 30. září 2010 Samostatně neprodejná příloha ekonomických časopisů Vydavatel: DCD Publishing Komprdova 20, 615 00 Brno IČO: 25560701 ředitelka: Kateřina Černovská www.dcd.cz Adresa redakce: Lublaňská 21, 120 00 Praha 2 tel.: 224 936 895, fax: 224 936 908 www.procomputing.cz Redakce PhDr. Vlaďka Bezecná, [email protected] Grafika a sazba Aetna, www.aetna.cz firemní účetnictví, seznam zákazníků, dlužníků, důvěrná e-mailová korespondence a koneckonců i samotný přístup k jednotlivým počítačům. A nástrojů, jak se k poptávaným informacím dostat, je také vějíř. Jen například společnost AVG – jedna z mnoha světových firem zabývajících se počítačovou bezpečností – monitorovala 165 domén ovládaných internetovými útočníky, kterým se podařilo během dvou měsíců infikovat více než 1,2 milionu počítačů. Více než dvanáct milionů uživatelů po celém světě navštívilo jejich infikované webové stránky a úspěšnost napadení byla asi desetiprocentní. (Jen tak mimochodem – nejnebezpečnější webovou stránkou v Čechách je stránka žalostně proslulé Ivety Bartošové …) Kdo se může chtít dostat do počítače? Jaké nástroje a metody využívá? Jak jsou úspěšné? Kde se skrývají? Co můžeme udělat proto, aby náš počítač neovládal nikdo jiný, než my sami osobně? Odpovědi na tyto znepokojující otázky byste měli nalézt na následujících stránkách. A věřím, že stručné recepty vám pomohou v nezbytné základní orientaci. Čtěte proto, prosím, pozorně, jde o vaše data a vaše peníze… Takže hodně inspirace přeji! OBSAH Editorial (Vlaďka Bezecná) 1 Zpravodajství 2 Mravnost nadevše? Ne, bezpečnost! (Vlaďka Bezecná) 5 Sociální sítě úhlem bezpečnostních rizik (AVG) Případové studie 10 Centrální správa bezpečnostních produktů (Robert Šefr) 12 Role CISO v malé a střední firmě (Daniel Chromek) 14 Nové síťové záznamové zařízení (Koukaam) 16 Banky v ČR začínají hrát aktivní roli v boji proti phishingu a trojským koním (EMC) 17 Bezpečný e-mail pro miliony uživatelů (ESET) 18 Jak řídí přístup k síti na Úřadu pro civilní letectví (Siemens) 19 Řízené dokumenty pod kontrolou (IXTENT) 20 © DCD Publishing, s. r. o. Professional Computing 1 ZPRAVODAJSTVÍ Tři roky bezpečí za cenu dvou Každý den vzniká více než 200 tisíc nových virových infiltrací, které se snaží napadnout nechráněný počítač. Ať už se uživatel pohybuje pouze na Facebooku, nebo si prohlíží stránky s nelegálním obsahem, všude číhá nebezpečí. Jedna z největších antivirových firem na světě, slovenský ESET, nově nabízí výhodnou akci zajišťující bezstarostnou ochranu počítače na tři roky za cenu dvou. Programy ESET Smart Security nebo ESET NOD32 Antivirus jsou kompletně v češtině a patří k nejoceňovanější antivirové ochraně, která zabezpečí počítač před internetovými útoky, škodlivými kódy, hackery a nevyžádanou poštou (spam). Technologie ThreatSense odhalí i neznámé hrozby, které produkty konkurenčních výrobců nemusejí poznat. Citlivé údaje jako hesla, čísla bankovních účtů nebo kontakty se tak nedostanou do rukou počítačových zločinců. Akce je platná dle podmínek zveřejněných na www.eset.cz/3za2 a lze ji kombinovat se slevami pro školství, zdravotnictví, veřejnou správu a neziskové organizace! Samsung představuje úsporné TFT LCD monitory pro systémy průmyslové televize, ovšem bez jakýchkoliv kompromisů v kvalitě. Řada dále zahrnuje modely SMT-1722 a SMT-1922 s vestavěnými reproduktory, řadou dalších vstupů a napájením síťovou šňůrou. Modely SMT-1723 a SMT-1923 pak jsou napájené externím síťovým zdrojem. Robustnost nových modelů podtrhuje použití odolného tvrzeného skla na obrazovce, snadnému uvedení do provozu a instalaci pak napomůže vícejazyčné menu na obrazovce, kompatibilita s VESA uchycením a podstavec umožňující plné naklonění. Nové monitory řady SMT je možné zakoupit u všech distributorů Samsung a jsou nabízeny s plnou podporou služeb, zajišťovanou společností Samsung Techwin Europe, včetně bezplatného návrhu systému, bezplatné technické podpory a plné tříleté záruky. AVG má českou stránku Facebooku Společnost AVG Technologies spustila svou českou Facebookovou stránku. Jejím hlavním smyslem je komunikace s českou komunitou a zákazníky. Obsah se bude postupně rozrůstat a fanoušci zde dostanou nejaktuálnější informace a varování před internetovými hrozbami. Velká část obsahu bude rovněž věnována specificky českým tématům a všemu, co je v oblasti antivirové ochrany spojeno s Českou republikou a může se dotknout uživatelů v ČR. Ve chvíli, kdy se komunita fanoušků rozroste, budou jejich příspěvky společnosti AVG sloužit také jako zpětná vazba a informace o útocích přímo od uživatelů, což umožní rychlejší Sociální média firmy přehlížejí Modernizovaná řada TFT LCD monitorů Samsung SMT osloví zejména ty uživatele, kteří berou v úvahu životní prostředí i náklady. Monitory totiž mají přibližně o 35 % nižší spotřebu energie než předchozí modely. Nové 17” monitory SMT-1712 a 19” SMT-1912 jsou navržené speciálně pro použití v profesionálních bezpečnostních systémech. Monitory, které disponují rozlišením až 1 280 x 1 024, dynamickým kontrastem 1 000:1, VGA vstupem a odezvou 5 ms, představují cenově efektivní zobrazovače 2 Firmy nevyužívající sociální média v komunikaci se zákazníky a zaměstnanci se vystavují značnému riziku! To ukazují závěry studie o významu sociálních médií ve firemní a zákaznické komunikaci. Společnost Siemens Enterprise Communications a výzkumná a poradenská firma Yankee Group zjistily, že valná většina zaměstnanců a spotřebitelů by preferovala využití sociálních sítí ve firemní komunikaci. Podle studie dosahuje spokojenost zákazníků se současným stavem komunikace firem prostřednictvím sociálních médií v průměru pouhých 65 procent. Třetina firem nijak formálně neupra- vuje svůj vztah ke komunikaci v sociálních sítích, nepovoluje užívání sociálních médií na pracovišti, či si není vědoma své participace v sociálních sítích. Opomíjení potenciálu sociálních sítí ve firemní komunikaci vede ke ztrátě možností zkvalitnit spolupráci se zákazníky a zvýšit produktivitu vlastních zaměstnanců. Za účelem integrace sociálních médií v komunikačních a firemních procesech vyvinula společnost Siemens Enterprise Communications novou sadu řešení OpenScape Fusion Social Media Integrations, jež umožňuje těsné propojení veřejných i korporátních sociálních médií s kontaktními zákaznickými centry a sys-témy sjednocené komunikace a spolupráce. Dvě licence antiviru zdarma ESET spustil v ČR akci na podporu prodeje svých bezpečnostních řešení ESET Smart Security a ESET NOD32 Antivirus. Při zakoupení krabicové verze jednoho z uvedených produktů ve vybraných ESET partner prodejnách, získá každý zákazník další dvě licence zdarma. Akce je výhodná hlavně pro domácnosti. Produkty ESET čtvrté generace přinášejí všem uživatelům kromě svých známých předností například ještě chytřejší kontrolu komunikace počítače s ostatními počítači v síti, zdokonalenou ochranu proti nevyžádané poště (spamu) nebo větší bezpečnost přenosných médií (CD, DVD, flash disky). Akce platí od září až do vyprodání zásob ve vybraných ESET partner prodejnách. Jejich seznam naleznete na www.eset.cz/3za1. COMGUARD s novou verzí McAfee Enterprise Firewall Sidewinder v8 Nová verze hardwarových firewallů nabízí administrátorům rozpoznávání a vynucování politik přes tisíce aplikací, které jsou pro tradiční firewally, založené na tradičních technologiích, neviditelné. Rozpozná díky více než 1 500 signaturám aplikace jako jsou Skype, Citrix-ICA, Citrix browser, facebook, ftp, gmail chat, google books, IBM Lotus Notes a mnohé další. Zásadní novinky: přímé svázání pravidel s identitou uživatele (skupin) v Active Directory, kontrola šifrovaného provozu, McAfee Domain Login Collector a úplná ochrana v ceně řešení! Nově je v ceně řešení zahrnuto řízení přístupů na web pomocí kategorizované URL > Professional Computing WDR Široký dynamický rozsah Perfektní vyvážení světlých a tmavých ploch pro zobrazení detailu v popředí i pozadí obrazu za obtížných světelných podmínek Bez WDR Video analýza obrazu — Optické sledování vstupu/výstupu ze zvolené oblasti — Zanechání / Odebraní — Sledování předmětu — Detekce pohybu S WDR Virtuální progresivní sken Poskytuje ostré, dobře definované okraje všech pohybujících se předmětů k vylepšení detailů a reprodukce snímku Bez VPS S VPS Nastavení profilů kamery Předem nakonfigurovaná nastavení pro širokou škálu podmínek usnadňují nastavení kamery inzerce Polygonální privatni zóny SSNRIII Bez Citlivé plochy můžete ochráňit před zobrazením plně škálovatelným a upravitelným maskováním privátních zón. S Ovladaní po koaxiálním kabelu Nastavení a ovladaní kamer po koaxiálním kabelu z pohodlí řídícího střediska Bez SSNRIII Třetí generace Super redukce šumu Samsungu eliminuje šum v obraze za nepříznivých světelných podmínek bez efektu zdvojování či rozmazávání, a tak výrazně zvyšuje kvalitu obrazu a zároveň snižuje Se SSNRIII velikost souborů Dome kamery Představení SV-5 DSP, hybné síly společnosti Samsung SV-5 DSP je nejnovější a nejvýkonnější čipová sada společnosti Samsung schopná poskytovat až 650 TV řádků v barevném rozlišení. Inteligentní analýza obrazu je jednou funkcí z širokého seznamu vlastností kamery, která byla postavena tak, aby přinesla vyjímečnou kvalitu obrazu i do těch nejnáročnějších aplikací. SV-5 DSP Čipová sada je součástí celé hlavní řady kamer a dome kamer společnosti Samsung a uživatelům umožňuje plně využít výborné kvality a funkcí a zároveň si vybrat optimální produkt pro daný úkol. T +420 222 866 002, +420 602 532 103 E [email protected] W www.samsungsecurity.com Samsung Techwin Europe Ltd Římská 20, 120 00, Praha 2 Antivandal Kamery ZPRAVODAJSTVÍ Filtrace (SmartFilter), IPS, Encrypted Filtering, McAfee Antivirus, TrustedSource, Firewall & Web Reporter. McAfee Firewall Profiler poskytuje unikátní náhled na změny chování v síti včetně zachování historie provozu a propojuje aplikační discovery s identitami. Více na www.comguard.cz. špičkovou technologii zabezpečení podle hodnocení, která pomáhá zajistit ochranu uživatelů před stažením škodlivých souborů bez ohledu na to, jak se soubor do počítače dostane. Norton Internet Security spolu s PC Fujitsu Zatěžkávací zkoušce na pražském silničním obchvatu bude podroben i kamerový systém, na jehož realizaci se podílely společnosti Schneider Electric a Integoo. Ty na okruhu instalovaly třiadvacet kamer Pelco Esprit. Jmenované kamery už jsou nasazeny v dopravních aplikacích nejen v České republice, ale i jinde ve světě. Oproti běžným otočným kamerám poskytují funkce, které jsou v dopravních systémech důležité. Mají možnost pohledu nad horizont v úhlu až 33 stupňů, integrovaný stěrač předního skla a mají robustní provedení, které zajistí funkčnost kamery i při větru o rychlosti 145 kilometrů v hodině. Maximální výdrž kamery je při rychlosti větru 210 kilometrů v hodině. Kamera je vybavena Norton Internet Security bude dodáván ve všech spotřebitelských a podnikových osobních počítačích značky Fujitsu. Fujitsu bude nabízet plnohodnotné bezplatné šedesáti nebo devadesátidenní přihlášení k odběru aplikace Norton Internet Security ve více jazycích. Norton Internet Security je rychlá a efektivní sada ubezpečení. Zajišťuje a eliminuje on-line hrozby a zabraňuje počítačovým zlodějům v krádeži identity a těžce vydělaných peněz uživatelů, takže mohou bezpečně procházet internet, nakupovat a používat internetové bankovnictví. Aplikace Bortin Internet Security také využívá Kamerový systém pro pražský okruh Propojení autentizace a autorizace Rychlý rozvoj webu, extranetů a intranetů výrazným způsobem zjednodušuje sdílení a přístup k informacím. Stejným tempem se ovšem zvyšuje komplexnost tohoto prostředí a důležitost jeho správného zabezpečení před neoprávněným přístupem. K tomu slouží systémy pro autentizaci a autorizaci uživatelů. Většinou jsou však tyto dva systémy reprezentovány samostatným řešením či produkty od různých dodavatelů, což následně protahuje a prodražuje jejich vzájemnou integraci. Pojďme se nyní podívat na řešení společnosti RSA s názvem RSA Adaptive Authorization, kterému se podařilo spojit obě dvě části procesu, tedy autentizaci a autorizaci, do jednoho integrovaného balíku, a tím vyjít vstříc mnoha zákazníkům požadujících integrované řešení od jednoho dodavatele. Ve své podstatě jde o integraci produktů RSA Adaptive Authentication, který provádí autentizaci uživatele, a RSA Access Manager, který je zodpovědný za jeho autorizaci. Autentizační část založená na řešení RSA Adaptive Authentication nabízí, na rozdíl od 4 jiných autentizačních systémů, širokou škálu autentizačních metod, které lze navíc kombinovat a volit dynamicky dle aktuální potřeby. Jde zejména o: • neviditelnou autentizaci založenou na mnoha faktorech (identifikace počítače použitého pro přihlášení a lokalizace jeho umístění, chování uživatele atd.), • „site-to-user“ autentizaci založenou na personalizované přihlašovací stránce pro daného uživatele (osobní fotka, uživatelský text atd.), • „out-of-band“ autentizaci založenou na zpětném zaslání SMS, e-mailu nebo automatizovaného telefonátu, • „knowledge-based“ autentizaci založenou na odpovědích na několik náhodně vybraných bezpečnostních otázek, čtvrtpalcovým CCD čipem, který zajišťuje vysokou citlivost i při snížených světelných podmínkách, je vybavena 35násobným optickým zoomem a její součástí je optická stabilizace obrazu pro eliminaci otřesů způsobených projíždějícími vozidly. • dvoufaktorou autentizaci založenou na jednorázových heslech (OTP – one time password) generovaných hardwarovými či softwarovými tokeny, mobilními tokeny či CAP/EMV systémy. Za vlastní autorizaci uživatele je pak zodpovědný RSA Access Manager, který již autentikovaného uživatele autorizuje pro vstup do webových aplikací, portálů, intranetů a extranetů. Jeho hlavní výhodou je přímé propojení správy uživatelů (nad adresářovým serverem či databází) a definice granulárních autorizačních pravidel společně se širokou podporou databází, adresářových služeb, webových a aplikačních serverů. Výsledkem kombinovaného řešení RSA Adaptive Authorization je tedy mnohem jednodušší přenos bezpečnostní politiky do praxe a zvýšení bezpečnosti při zachování uživatelského komfortu. Každá autentizace uživatele je totiž v reálném čase posouzena z pohledu její rizikovosti a pouze v ojedinělých případech (jednotky procent) je s ohledem na vyšší riziko zvolena další úroveň autentizace. Tím lze velmi efektivně bojovat proti dnes již zcela běžnému zcizování a následnému zneužívání uživatelských přihlašovacích údajů, ať už na bázi keyloggerů nebo hishingových a pharmingovým útoků. (red) Professional Computing BESEDA Mravnost nadevše? Ne, bezpečnost! Určitě to není náhoda, že dnešní společnost skloňuje slovo „bezpečnost“ ve všech pádech snad čtyřiadvacet hodin denně a 365 dnů v roce. Lidé si kolem domů stavějí vysoké zdi, pořizují si statná bojová plemena, na dveře montují superbezpečné zámky, smiřují se s téměř všudy přítomnými kamerami a svá rodná čísla by nejraději zatajili i před svými životními partnery. „Osobně s rodným číslem žádné tajnosti nedělám, připadá mi to směšné, ale na druhou stranu, heslo svého počítače bych skutečně nepošeptal ani manželce,“ řekl na úvod našeho setkání Martin Meduna, bezpečnostní expert společnosti Symantec. Druhý muž našeho setkání, Michal Hroch, produktový manažer serverové divize společnosti Microsoft, jen s jednoznačným souhlasem pokýval hlavou. Pánové, čeho se tedy máme opravdu obávat? Velkého bratra, zlodějů … strašně malý, neboť bezpečnost počítačového světa je komplikovaná. Michal Hroch, Microsoft: Problémy týkající se Velkého bratra bych ponechal filozofům a politikům, zloděje policii. Osobně se zabývám informační bezpečností, která na sebe podle mne stále nestrhává takovou pozornost, kterou by si zasloužila. Martin Meduna, Symantec: Situace se přece jen mění. Lidé si hrozeb, které pocházejí z počítačového světa, začínají všímat a více je vnímají. Na druhé straně je z mého pohledu zájem Lidé si možná říkají, že antivir a nějaký firewall má snad už každý. Ve velkých a středních firmách určitě, vzácností zdaleka nejsou ani v malých kancelářích a domácnostech … Professional Computing Martin Meduna: Ano, ale bezpečnost dnes nespočívá jen v antivirovém řešení. To má, ať už dobré, nebo špatné, už opravdu kdokoliv. Viry už nejsou tím, co nás ohrožuje. Nebezpečí přichází z webového rozhraní. A jak jednotlivci, tak firmy, si začínají uvědomovat, co ztrácejí, když nemají své systémy dobře zabezpečené. Že přicházejí o svá data. Bohužel však je stále dost těch, a setkávám se s nimi osobně, kteří jen mávnou rukou se slovy, vždyť já na podnikové síti nic důležitého nemám. Ale každá informace je důležitá. Možná ne pro vás, možná ne pro mne, ale pro někoho na světě určitě a ten, kdo o tuto informaci přijde, může ve výsledku zjistit, že jde o ztrátu navýsost bolestnou. Možná ten problém tkví ve skutečnosti, že ti, kdo se o bezpečnost nestarají, ještě o žádná data či informace nepřišli. A přitom v důsledku jde jen o rozumné chování s vědomím, co se všechno může stát. Tím, že se bezpečností zabývám tak dlouho, tak mé názory mohou pro někoho zavánět až paranoií, ale tak to prostě vidím. Michal Hroch: Souhlasím, že se situace zlepšuje. Skutečně dneska si už nikdo, ať je ze soukromého sektoru nebo z domácnosti, nedovolí koupit nový počítač a nezajímat se přitom o antivir. Odpovědnost lidí, stejně jako firem, je už dále. Co ale chybí, je komplexnost přístupu k bezpečnosti. Z praxe dobře vím, že mnozí zabezpečení skládají jakoby ze střípků. „Tady potřebuji zabezpečit e-mailovou komunikaci, protože jsem koupil e-mailový server, tady potřebuji nějaký firewall, protože teďka pouštím lidi z venku do korporátní sítě, tak to potřebuji nějakým způsobem zabezpečit.“ A pak se ty jednotlivé střípky slepují, kombinují a výsledkem je mnohdy bezpečnostní systém, který má kvůli své nedokonalé integritě sám o sobě bezpečností problém. Firma může mít perfektně vymyšlenou bezpečnostní politiku, může mít perfektně vymyšlený způsob zabezpečení všech vlast- 5 BESEDA něných technologií, ale na druhou stranu se nezajímá o lidský faktor. Michal Hroch: Bohužel. Ano, nehlídá zaměstnance, aby při odchodu z pracoviště zamykali své notebooky. Nešifrují data na harddiscích, nedbají, že monitory zdobí lístky s hesly apod. Martin Meduna: Ano, mají perfektně zaheslované servery nebo switche, vyspělou firemní kulturu, ale klíč od serverovny jim visí na chodbě. Michal Hroch: Je to o disciplíně jednotlivých uživatelů a ta disciplína se dá vynutit. Osvětou, zpracováním bezpečnostní politiky, která určuje zaměstnancům pravidla hry. Porušují-li je, tak nastupují restrikce. Existují i pokročilé nástroje – spíše z rodiny pro správu infrastruktury –, které si disciplínu vynutí samy. Např. nedovolují zadávat jednoduchá hesla, ta hesla nutí uživatele pravidelně měnit a nedovolí je určitý počet cyklů po sobě opakovat. Jsou nástroje, které znemožňují instalovat si jakýkoliv software, nástroje pro inteligentní skenování a řízení webového provozu, prostě instrumentů, jak pomoci disciplíně a omezit vliv lidského faktoru, existuje řada. Do jaké míry hrají v tomto kontextu roli peníze? Martin Meduna: Jako vždy velkou, nicméně firmy budou muset do bezpečnosti investovat neustále. Nedá se nic jiného dělat, protože se 6 vyvíjejí stále nové technologie a nová bezpečnostní řešení. Na druhé straně se vyvíjejí nové hrozby. A bohužel, hrozby mají vždy náskok a jsou stále sofistikovanější. Pak takoví vendoři, jakými jsou naše společnosti, musejí reagovat na aktuální stav, a to pro zákazníky bohužel, pro nás bohudík, znamená, že musejí do bezpečnosti dál a dál investovat. To není tak, že by to bylo jednou provždy vyřešeno. Vyřešeno je to pro tuto chvíli, pro tuto vteřinu, ale za okamžik už to platit nemusí. Dobře, co tedy je nyní v tomto okamžiku z vašeho pohledu i pohledu obou společností, za které hovoříte, považováno za nejnebezpečnější? Michal Hroch: Stále to, co je nejznámější – viry a škodlivý software obecně. K tomu ale nově a rychle přistupuje sociální inženýrství, tedy phishing apod. Skutečným dnešním problémem velkých firem i malých společností je fyzická ochrana, ochrana jednotlivých informací a především pokročilá ochrana přístupových práv jednotlivců k jednotlivým souborům. Na ústupu jsou podle mého názoru razantní útoky hackerů. To jsme zažívali tak před pěti lety, kdy byly takové útoky velmi populární. Je to asi tím, že pravděpodobně neexistuje nikdo, kdo by svou síť nechránil kvalitním firewallem. Martin Meduna: Nejzákeřnější hrozby, nerad používám slova jako viry apod., neboť jsou zavádějící, přicházejí dnes převážně přes webové rozhraní. A webová komunikace je tím, co firmy ohrožuje. Nejde o to, že by si zaměstnanci prohlížením pochybných stránek na firemní počítač stáhli pochybný kód, naopak problém spočívá v návštěvách oblíbených a legitimních stránek. Ty mohou být pramenem pochybných kódů a přitom ani správce této legitimní stránky ani neví, že slouží jako zdroj napadení. Zdrojem hrozeb jsou v posledním půlroce také kritické zranitelnosti v aplikacích Adobe, útoky na PDF a flashe. A druhou kritickou oblastí jsou samotné webové aplikace, které jsou jasným zdrojem problémů, a navíc je obtížné se jim ubránit. Útoky jsou totiž vedeny naprosto legitimními cestami a zneužívají chyb napsaných v té samotné aplikaci na úrovni kódování přístupu k databázím. Těch aplikací je neuvěřitelné množství, neboť upřímně – dnes programuje kdekdo. Odpovědí na tyto hrozby může být jen neustálé důsledné testování. Existují sice určité technologie, které dokážou sledovat provoz a hlídat, zdali je běžný, či nikoliv, ale inteligentní technologie, jež by samy odhalily útok, k dispozici v současnosti nemáme. A konečně kritickou hrozbou je samotné chování uživatelů, ale to není nic nového. Pomohlo by, kdyby společnosti měly ve svých datech pořádek? Martin Meduna: Z našeho pohledu určitě. Setkáváme se s tím, že hlavně ve velkých korporacích data putují nekontrolovatelně a IT oddělení nemá ani ponětí, kde se nacházejí. Jedné americké firmě unikla citlivá data, ač měla perfektně zabezpečené servery. Moji kolegové následně zjistili, že si ostrá citlivá data „půjčilo“ testovací oddělení, aby mohlo otestovat nové webové aplikace. Přitom jaksi zapomnělo, že jeho servery už nemají takový dohled a jsou zvenčí zranitelné. Znalost uložení dat, umění je kvalifikovat, to je součástí bezpečnostní politiky. Michal Hroch: Souhlasím, otázka dat musí být řešena v prvotní analýze. Pořádek v datech je důležitý, ale jejich množství už nerozhoduje. Je to stejné jako u business inteligence. Tam také platí: Mám-li v datech pořádek, mám-li je čistá, pak je lépe analyzuji a dostávám lepší informace. Čím více jich ale mám, tím kvalitnější perspektivy a výstupy dostávám. Nejsem zastáncem toho, obětovat data pro bezpečnost. Professional Computing BESEDA Existuje rozdíl mezi úrovní zabezpečení malé a velké firmy? Martin Meduna: Nelze rozdělovat bezpečnost pro malou firmu a bezpečnost pro velkou firmu. Obě skupiny potřebují shodnou bezpečnost, i když bezpečnostní problém velké firmy se od malé liší a podle toho se bude odvíjet výběr technologií. Třeba už jen proto, že některé technologie nejsou pro malou firmu dostupné. Ale skutečně platí – jednotlivec, malá firma i velká firma – potřebují stejnou bezpečnost, ale mohou na ni dosáhnout jinými prostředky. Michal Hroch: Ochrana e-mailu, identity managementu, to už pro malou firmu asi není, konkrétně ale ochrana webového provozu je nezbytná. A tady i malé firmy na bezpečnost dosáhnou, protože existují produkty, ať už Microsoft nebo našich konkurentů, které jsou poskytovány formou předplatného na uživatele nebo zařízení, neplatím tedy většinou žádné počáteční náklady, nýbrž kupuji službu přesně na míru odpovídající velikosti mé firmy. Martin Meduna: Víte, vždycky říkám, že pokud chráním svůj systém, tak chráním systémy i svých známých, zákazníků i zaměstnavatele. Jsem-li útočník a budu-li chtít zaútočit tady na pana kolegu, na jeho počítač nezaútočím přímo, protože jako zkušený uživatel by mě dřív nebo později odhalil. Zkusím si raději vytipovat někoho z jeho přátel, dodavatelů apod., o nichž vím, že tak zkušení nejsou a pokusím se napadnout jejich počítač. Pomocí jejich účtů pak budu třeba přistupovat na účet na pana Hrocha, třeba na Facebooku, a snažit se o něm něco vyzvědět. Malé firmy jsou však omezeny množstvím finančních prostředků. Dobře, vámi zmiňované „předplatné“ jim vyřeší otázku softwarové ochrany, ale na potřebný hardware už dosáhnout velmi obtížně … Martin Meduna: Ale i tady existuje řešení, i když upřímně řečeno, hardware už dneska moc nestojí. Nicméně hlavně malým firmám nabízíme řešení v tzv. cloudu. Tedy koupi celého bezpečnostního řešení jako službu. Pak je implementace otázkou patnácti minut a vše chodí, tak jak má. Michal Hroch: Pokud tohle firma udělá, pak ušetří na hardwaru, na následné správě, údrž- Professional Computing bě, školení. O vše se stará se stará vendor, který také zaručuje dostupnost služeb. A získáte také smlouvu o garantované úrovni služeb (SLA). Martin Meduna: Ano, fantastický SLA, a to by zákazník nikdy nezaplatil. Michal Hroch: Svěřit se providerovi, který se o mou bezpečnost postará, je nakonec levnější a bezpečnější, než věc řešit na koleně nebo s někým, kdo není tak zkušený a odborně zdatný, nebo s tím, kdo jen cítí obchodní příležitost. Zvolit hotové řešení prostřednictvím providera je levnější a technologicky stoprocentně kvalitnější. Jedinou nevýhodou je závislost na internetu, bez té linky ven outsourcing nefunguje … Michal Hroch: Jistě, pro jeden počítač nebo dva tři počítače v SOHO síti má smysl mít v nabídce určité řešení zdarma. Na druhé straně by si každý měl uvědomit, že tyto věci mají svá omezení. Stahuji-li si nějaký shareware antivir, musím očekávat, že mě budou po čase neustále „prudit“, abych si jej zlegalizoval, že mi budou chybět aktualizace atd. Ovšem firemní sektor, kde hrozí ztráta životně důležitých dat, už investovat musí. Většina velkých firemních bezpečnostních řešení je stavěna tak, že se dají pořídit jen formou komerčních licencí. Jen tak mimochodem, víte že ICQ nesmí být podle licenčního ujednání nasazováno na firemních počítačích? Také jsem to donedávna nevěděl. Martin Meduna: Ale bez té linky ven pak nečelím bezpečnostním rizikům. Kam linka nevede, tam většina bezpečnostních rizik neexistuje! Možná by tedy stálo za to přečíst si licenční ujednání namátkou vybraných „free“ bezpečnostních řešení a diskuze o jejich použití v korporátním segmentu pak získá jiný rozměr. Martin Meduna: Jak chcete mít kvalitní obranu zadarmo, když vašimi protivníky jsou vysoce výkonné a erudované vývojářské týmy? Například v Symantecu během jediného dne zachytíme od jedné hrozby deset až patnáct variant. Zeptejte se schválně jakékoliv softwarové firmy, co by následovalo, jestliže byste jí dali zakázku: „Udělejte mi deset až patnáct variant daného kódu v průběhu jediného dne!“ Hovořili jsme, že je lepší vsadit na kováře, než kovaříčka. Ale přece jen na trhu je poměrně bohatá nabídka bezplatných bezpečnostních nástrojů, která může oslovovat především malé firmičky a domácnosti. Je dobré chytit se na vějičku zaklínadla „zadarmo“, obzvláště, přichází-li se „zadarmo“ i takový gigant, jakým je Microsoft? 7 BESEDA To je projekt, který musí mít šéfa, plán a velmi dobře koordinovaný a zaplacený tým. Dobře placeným profesionálům mohou čelit zase jen dobře placení profesionálové. Skutečné bezpečí není nikdy zadarmo, a to platí jak pro firmy, tak pro jednotlivce. Citlivost mého počítače je stejně důležitá, jako citlivost dat a serverů ve firemních sítích. I ten domácí uživatel by měl spoléhat, stejně jako malé firmy, na profesionální ochranu. Není drahá, mluvím řádově o patnácti stovkách za rok. Jezdíme-li autem, každý platíme povinné ručení, chceme-li bezpečný počítač, pojďme si také platit povinné ručení. Michal Hroch: Komerční firmy, které stojí za útočníky, to dělají s nějakým záměrem. Komerčním, předpokládám, takže většina těchto obchodně řízených útoků zase míří na korporátní oblast, málokdy se objeví tak sofistikované řešení, které by ohrozilo internet plošně. Martin Meduna: Stačí napadnout třeba počítač syna ředitele velké firmy. Michal Hroch: Pro SOHO nelze úplně zavrhovat volně dostupná řešení. Martin Meduna: S tím se nemohu smířit. Nedokážu si představit, že bych soukromý počítač chránil volně staženým prográmkem. Už jen pro ten čas, který bych strávil jeho konfigurací, nasazením a doladěním. Michal Hroch: Pozor, nemluvím o open-source řešeních a na kolenou spíchnutých prográmcích. Vím o systémech zdarma, především větších firem, které zároveň disponují i komerčním řešením, které bych mohl s čistým svědomím doporučit. Ovšem co tací, kteří z domácího vlastního notebooku přistupují vzdáleně do podnikové sítě? Michal Hroch: To už je jiná historka. Tady „zadarmo“ v žádném případě. Jaká je současná nabídka bezpečnostních řešení na trhu? Podle čeho by se firmy měly při výběru orientovat a existují nějaká kritéria, která přivedou zájemce ke správnému výsledku? Martin Meduna: Osobně bych se zaměřil na světově uznávaná řešení celosvětově uznávané firmy. Pokoušel bych se najít komplexní řešení, nikoliv řešení, které pokrývá – byť geniálně – jen malinkou část firemní sítě. Tak získám jeden systém, budu vyznávat jednu filozofii. Při výběru může také rozhodnout i mínění administrátorů, kteří vědí, co jim lépe „sedne do ruky“. Nezavrhoval bych ani výsledky nezá- vislých testovacích společnosti. Rád bych ale upozornil, že testování softwaru je velmi individuální a těžko empiricky měřitelné. Michal Hroch: Výsledky testování také ovlivňuje rychlý rozvoj hrozeb. Tak není divu, že je v lednu považováno za nejlepší bezpečnostní řešení X a v únoru Y. Testy jsou dokreslující. Osobně bych dával přednost firmě, která může být dražší, ale o které vím, že investuje do dalšího vývoje. Také bych vsázel na komplexnost a dával bych si pozor, abych jen nehasil požáry. Pak by se mi mohlo stát, že nakoupím nástroje s rozdílným rozhraním, navíc vzájemně nekompatibilní. A co hlavně, na začátku musím mít zpracovanou jasnou bezpečnostní strategii firmy. Musím vědět, co má bezpečnostní řešení pokrýt a pak teprve mohu vybírat dodavatele. Strategie – to je výchozí bod. Už jsme zmiňovali, že o peníze jde v první řadě. Existuje metodika, podle níž si spočítám, kdy se mi peníze vložené do bezpečnostních nástrojů vlastně vrátí? Martin Meduna: Bezpečnost se měří poměrně obtížně. Nicméně, dá se přesně spočítat ztráta, která vznikne minutovým výpadkem provozu třeba e-shopu, těžko se ale spočítá ztráta reputace firmy … Michal Hroch: Když konkurent vaší firmě ukradne databázi zákazníků a ty osloví konkurenční nabídkou, o kolik zákazníků přijdete? O dvacet, třicet procent? ROI (Return On Investments, návratnost investic) si může, nebo spíše musí, spočítat každý sám. Martin Meduna: Při hledání odpovědi je potřeba nebát se až paranoidních představ. Třeba jaký dopad na firmu bude mít skutečnost, že mi někdo čte e-maily. Setkali jsme se s tím v Německu, kde jedna zbrojařská firma pravidelně prohrávala tendry řádově o pár tisícovek eur, protože pokaždé někdo úspěšně přečetl její nabídky. Jestliže firma prohraje ročně tři tendry, každý v hodnotě milionu eur, pak ztratí tři miliony eur. Pár desítek tisíc eur vydaných za bezpečnostní software je proti tomu maličkost. VLAĎKA BEZECNÁ 8 Professional Computing Kompletní IP a síťová řešení společnosti Samsung WiseNet1 nová čipová DSP sada Výhody tak jasné, jako zachycený obraz Integrovaný slot SD karty Hybridní duální výstup - Ethernet a BNC Zobrazovací software NET-i Skutečná vysoká definice a rozlišení 1,3 megapixelů ONVIF podpora inzerce Samsung super redukce šumu Inteligentní video analýza obrazu (IVA) H.264 komprese Představujeme H.264 megapixelové kamery s vysokým rozlišením a WiseNet1 čipovou DSP sadou Povrchová montáž Zápustná montáž Samsung iPOLiS nabídka IP a síťových produktů nyní zahrnuje H.264 HD megapixelové kamery a dome kamery s DSP čipovou sadou Samsung WiseNet1. S rozlišením až čtyřikrát vetším než u tradičních analogových kamer jsou tyto produkty schopné simultánního přenosu dat v rozlišení VGA, SVGA, QVGA, skutečnými 720p HD a plným rozlišením 1,3MP k poskytnutí obrazu pro širokou řadu aplikací vhodných od obsluhy kontrolních středisek až po uživatele chytrých mobilních telefonů. Ploché dome provedení Antivandal Nabídka z řady Samsung autonomních síťových záznamových zařízení, záznamového softwaru NET-i a bezlicenčního zobrazovacího softwaru NET-i, nabízí snadnou integraci, zařízení také podporuji ONVIF standard a jsou kompatibilní s celou řadou špičkových platforem řízení od jiných výrobců. Čipová sada WiseNet1 přináší celou řadu pokročilých funkcí pro vaše zabezpečovací aplikace, včetně Samsung Super redukce šumu - třetí generace pro lepší výkon za nepříznivého světla, vysoké komprese H.264 a video analýzy obrazu přímo z krabice bez potřeby platit za licenci. Proč se sami nepřesvědčíte, že tyto výhody jsou tak jasné jako zachycený obraz? T +420 222 866 002, +420 602 532 103 E [email protected] W www.samsungsecurity.com 2.0, 413 Samsung Techwin Europe Ltd Římská 20, 120 00, Praha 2 BEZPEČNOST A ZABEZPEČENÍ Sociální sítě úhlem bezpečnostních rizik Sociální sítě, jejichž synonymem se dnes pro většinu obyčejných lidí stal Facebook nebo Twitter, jsou už naplno v hledáčku firem, které zde objevily velice zajímavý marketingový a obchodní potenciál. V podstatě jde o sen všech marketérů, protože mohou opravdu levně přesně zacílit a oslovit určitou cílovou skupinu. Na druhé straně je nadšení marketérů ze sociálních sítí vyvažováno obavami IT administrátorů a majitelů společností z bezpečnostních rizik a úniků informací, které jsou prostřednictvím těchto sítí mnohem dostupnější, než tomu bylo v minulosti. Před několik lety si sociální sítě teprve razily svou cestu na výsluní a manažeři úzkostlivě dbali, aby jejich zaměstnanci netrávili svůj pracovní čas těmito „soukromými“ aktivitami. Není to nic nového, neboť kupříkladu ICQ mělo stejný začátek, než se z něj stal pro mnoho společností naprosto plnohodnotný a často upřednostňovaný komunikační kanál. Avšak zanedlouho se ukázalo, že „vymoženosti“ typu Facebooku nebo Twitteru tolik pozornosti od pracovních úkolů neodvádějí 10 a že se dají i celkem rozumně využít pro pracovní aktivity. Ruku v ruce s masovým využíváním sociálních sítí společnostmi rostl i zájem těch, kteří správně vytušili možnost vlastního obohacení, a to ne zrovna v souladu s dobrými mravy a legislativou. V počátcích Facebooku si firmy začaly pomalu uvědomovat neuvěřitelně velké riziko světa sociálních médií a hlavně nemožnost kontroly informací, které do něj proudí. O to horší je fakt, že díky své uživatelské přívětivosti většina lidí naprosto ignoruje rizika vznikající sdílením informací. Často tak došlo kvůli nepozornosti a lhostejnosti zaměstnanců k úniku citlivých dat, která byla předmětem obchodního tajemství. Řada společností tak byla, nebo v brzké době bude, donucena přijmout interní pravidla, kterými svým zaměstnancům určí mantinely témat, o jakých mohou na sociálních sítích hovořit a jaké chování je v této souvislosti nepřípustné. Ohrožení firemní bezpečnosti Hackeři a další internetoví útočníci dávají sociálním sítím zcela jiný rozměr. Ti si jsou hodnoty osobních nebo firemních dat náhodně zveřejněných velice dobře vědomi. Problémem je, že si většina uživatelů ani nepřipouští, jak zranitelné a napadnutelné jsou jejich osobní profily a data ze strany hackerů a počítačových virů. Jen opravdu mizivé procento lidí si přečte licenční podmínky, a tak vlastně nemá žádnou představu, jak může být s jejich údaji nakládáno. Hackeři se samozřejmě naučili se sociálními sítěmi pracovat velice obratně, a proto se ve stále více začínají objevovat specializované útočné aplikace. Podle průzkumů společnosti AVG mnoho lidí ani netuší, že některé aplikace v rámci sociálních sítí mohou sloužit internetovým útočníkům k získávání osobních dat a informací. Přestože Facebook dbá na bezpečnost své sociální sítě, počítačoví hackeři jsou rafinovaní, a proto je nutné, aby si uživatelé dávali pozor na původ aplikace. Právě zde je značné riziko a nebezpečí sociálních sítí. Dosud měla hlavní slovo klasická média, avšak dnes jsou to přátelé a různé profesní nebo zájmové skupiny. V rámci jakékoli sociální sítě je nadmíru snadné ztratit přehled mezi stovkami Professional Computing BEZPEČNOST A ZABEZPEČENÍ jmen a událostí, které se na zdech a ve schránkách objevují doslova každou vteřinou. Není jednoduché se orientovat, kdo je důvěryhodným kontaktem a kdo je neznámý člověk, o kterém nevíte v podstatě vůbec nic. Dnešní uživatelé internetu si již zvykli na spamové útoky. V případě, když antispamová ochrana propustí nějakou zprávu o výhře v loterii nebo o slevě na modré pilulky, většina z nich zprávu bez váhání smaže. U aplikací a odkazů, které se k lidem dostanou právě prostřednictvím nějaké sociální sítě, hraje velikou roli neznalost skutečných rizik a právě faktor „důvěry“ v někoho „známého“. ochranu během brouzdání po internetu a díky svému principu i v rámci pohybu na sociálních sítích. Jakýkoli odkaz a stránka, kam se uživatel chystá vstoupit, je v reálném čase prověřena proti exploitům a před samotným načtením do prohlížeče je vyhodnoceno případné riziko a potřeba blokace. Jde o efektivní systém, který chrání počítače i celou podnikovou síť. Testuje každou stránku, na kterou se uživatel chystá vstoupit a každý soubor, který má v úmyslu stáhnout. Avšak stejně důležitá je osvěta a prevence. V zaměstnání by měli uživatelé při práci s inter- netem dodržovat nejen standardní bezpečnostní postupy, ale hlavně používat zdravý rozum. Stejně jako jsou již děti odmalička upozorňovány, aby se nebavily s cizími lidmi, tak i uživatelé by neměli komunikovat s někým, jehož totožnost neznají. Spolu s obezřelostí ke všem informačním kanálům na internetu patří toto pravidlo k základům internetové ochrany nejen ve firmách, ale i celé společnosti. Existuje účinná ochrana? Právě firmy jsou jedny z nejzranitelnějších subjektů. Zaměstnavatelé spolu se správci IT nemají tušení o znalostech a míře zodpovědnosti svých zaměstnanců. Kvalitní a spolehlivé zabezpečení využívající pokročilé technologie je tedy naprostou nutností. AVG LinkScanner je právě takovým pokročilým nástrojem, který nabízí rozšířenou Professional Computing 11 BEZPEČNOST A ZABEZPEČENÍ Centrální správa bezpečnostních produktů ROBERT ŠEFR Bezpečnostní produkty jsou ideálním příkladem nutnosti nasazení centrální správy. Tradičně jsou nasazeny napříč celou organizací, na různých strojích a pro odlišné skupiny uživatelů. Kvalitní centrální správa musí sledovat celý životní cyklus klientské aplikace – od nasazení, přes úpravu politik a instalace aktualizací až po případné odebrání aplikace. Většinou není třeba udržovat duplicitní databázi strojů a uživatelů, která je již spravována existující adresářovou službou. Každá centrální správa ale vyžaduje školení administrátorů, liší se v technickém zpracování, používá jiné postupy pro instalaci a vynucování politik nebo vyžaduje vlastní databázový stroj pro ukládání dat. Větší počet produktů a jejich centrálních správ tak dospěje do stadia, kdy je nejjednodušší mít jednotnou centrální správu, která zaštítí všechny ostatní. Cestu jednotné centrální správy pro všechny produkty vyznává společnost McAfee produktem ePolicy Orchestrator (ePO), jenž se instaluje jako serverová aplikace na Windows Server a vyžaduje pro svou práci MS SQL Server (2005 nebo 2008, lze nainstalovat i na Express Edition). Využitím služeb Windows Cluster Service lze instalovat ePO na více serverů pro zvýšení dostupnosti a rozložení zátěže. Propojení se službou LDAP umožňuje synchronizovat stroje pro správu (včetně dělení do organizačních jednotek), podporuje autentizaci administrátorů ePO vůči LDAP. Přístup k ePO je přes webové rozhraní, které je založeno na Ajaxu a uživatelské rozhraní tedy zahrnuje i funkce jako drag-and-drop nebo interaktivní formuláře. Prvním krokem pro správu stroje je instalace McAfee agenta, což je miniaturní program, který se stará o komunikaci s ePO, instalaci softwaru, aktualizace, vynucování politik a odesílání událostí. Instalace agenta na koncové stroje přímo pomocí ePO lze za předpokladu, že má administrátor dostatečná oprávnění v Active Directory. Jakmile je agent na stanici nainstalovaný, je stroj ve správě ePO a následující přidávání nebo 12 odebírání softwaru již probíhá přes něj (tedy přes oprávnění v ePO a ne v Active Directory). Spravované stroje jsou ukládány do stromové struktury. Na jednotlivé větve lze aplikovat odlišné politiky, instalovat na ně odlišný software a přiřazovat různé správce. Tímto způsobem se dají oddělit např. servery a klientské počítače nebo jednotlivé pobočky a oddělení. ePo je aktuálně ve verzi 4.5 a právě od verze 4.0 je uživatelské rozhraní čistě webové, dříve správa probíhala pomocí klientské aplikace. Verze 4.5 nemění logiku správy, ale nabízí několik nových funkcí a podporu dalších protokolů. Nově je k dispozici tzv. Agent Handler, který může suplovat funkce ePO pro vybrané agenty. Pomocí jednoho Agent Handleru tak můžete obsluhovat pobočku nebo celé oddělení, aniž by všechny stanice musely nezávisle na sobě přistupovat přímo do ePO. Agent Handler jim zprostředkovává aktualizace dat a politik výměnou za souhrn událostí, které se staly od poslední komunikace. Jednou z dalších novinek je úprava komunikace mezi agentem a serverem, která je od verze 4.5 šifrována pomocí TLS a již je plně podporován i protokol IPv6. V možnostech centrální správy jsou dvě nové sekce – Automatic Responses a Policy Asignment Rules. Automatic Responses spouští předdefinované akce, pokud nastanou podmínky definované logickým výrokem. Pro definici logického výroku je k dispozici množství proměnných a událostí, se kterými ePO pracuje. Jako následná akce může být zvolena některá z naplánovaných úloh, vytvoření tiketu, zaslání e-mailu nebo SNMP trapu. Policy Asignment Rules provazují politiky se skupinami a uživateli z Active Directory. To lze využít např. při filtrování webového obsahu (např. zakázat vybrané skupině sociální sítě) nebo šifrování dat (např. zpřístupnit vedení šifrovací klíče ke strategickým dokumentům). Které bezpečnostní nástroje McAfee se pomocí ePO dají spravovat? Samozřejmostí je antivirus VirusScan Enterprise a firewall s integrovaným IPS – Host Intrusion Prevention System. Další nástroje jsou zaměřeny na ochranu dat – Host Data Loss Prevention monitoruje pohyb citlivých dat po společnosti a hlídá odchozí vektory. Endpoint Encryption šifruje transparentně buď celé oddíly disku, nebo jednotlivé soubory a složky. Spravovat lze i šifrované USB disky (flash nebo klasické) Encrypted USB. Další sada produktů se soustředí na integritu dat, konfigurací a spuštěných aplikací za pomoci tří produktů z oblasti Risk & Compliance. Integrity Monitor a Change Control se soustředí na audit a autorizaci při změně dat (na souborovém systému nebo v databázích) a konfigurací. Application Control uzamkne softwarové vybavení stroje a blokuje neautorizované procesy. Efektivně tak blokuje nežádoucí software, aniž by se musel zabývat signaturami jako např. antivir. ePolicy Orchestrator je koncipován jako centrální bod správy bezpečnostního softwaru McAfee a díky jeho návrhu je možné jej využívat ve společnostech nejrůznějších velikostí a struktur. Stromová struktura zařízení a na ní navázané delegování oprávnění dalším administrátorům, dědění politik, distribuce bezpečnostního softwaru a vytváření reportů umožňuje vytvořit prostředí virtuální správy, které odpovídá reálné struktuře a procesům ve společnosti. Mgr. Robert Šefr je IT Security konzultant společnosti COMGUARD Professional Computing Objevte neočekávané ... SRD je nová série H.264 digitálních video záznamových zařízení od společnosti Samsung Řada SRD společnosti Samsung obsahuje vše, co byste mohli očekávat od digitálních záznamových zařízení. Mysleli jsme tedy, že vám povíme o věcech, které možná nečekáte. Jsou to vlastnosti jako například: použití vlastní Samsung H.264 vysoce výkonné metody komprese k úspoře kapacity disku a zároveň zvýšení kvalitu obrazu • HDMI výstup poskytující zvětšený obrazový výstup do 1080P • Plně odnímatelný zadní panel, takže pevné disky lze vyměnit a rozšířit bez toho, abyste napřed museli složitě odpojit kabely • Integrovaná funkce Virtuálního Progresivniho Skenu (VPS), která eliminuje problémy s rozmazanými okraji pohybujících se předmětů k získání perfektních jednotlivých snímků. Integrovaný webový server umožňuje volby živého zobrazení či přehrávání záznamu s možností zálohování událostí přes rozhraní webového prohlížeče, zatímco plná kompatibilita s centralizovaným řídícím softwarem (CMS), Samsung SVM-S1 který nevyžaduje licenci a je zdarma, poskytuje pokročilé síťové funkce jako součást kompletního integrovaného systému. Navíc všech šestnáct jednotek této řady využívá stejnou vysoce intuitivní strukturu nabídky grafického rozhraní uživatele (GUI), která neočekávaně usnadní nastavení i používání. SRD řada T +420 222 866 002, +420 602 532 103 E [email protected] W www.samsungsecurity.com Samsung Techwin Europe Ltd Římská 20, 120 00, Praha 2 SRD-1670(D) SRD-1650(D) SRD-1630(D) SRD-1610(D) SRD-870(D) SRD-850(D) SRD-830(D) SRD-470(D) H.264 H.264 H.264 H.264 H.264 H.264 H.264 H.264 16 16 16 16 8 8 8 4 Ne(Ano) Ne(Ano) Ne(Ano) Ne(Ano) Ne(Ano) Ne(Ano) Ne(Ano) Ne(Ano) 6(5) 6(5) 6(5) 6(5) 6(5) 6(5) 6(5) 2(1) Rychlost záznamu Integrované sloty pro pevné disky (přípona D) Mechanika DVD (přípona D) Kanály Komprese Označení produktu Úplná zabezpečovací řešení. Za hranicí vašich představ. 4-CIF = 4-CIF = 4-CIF = 4-CIF = 4-CIF = 4-CIF = 4-CIF = 4-CIF = 400ips 100ips 50ips 25ips 200ips 50ips 25ips 100ips 2-CIF = 200ips CIF = 400ips 2-CIF = 100ips CIF = 200ips 2-CIF = 50ips CIF = 100ips 2-CIF = 100ips CIF = 200ips 2-CIF = 50ips CIF = 100ips BEZPEČNOST A ZABEZPEČENÍ Role CISO v malé a střední firmě Daniel Chromek V současnosti jsou organizace závislé na informacích, které zpracovávají. Proto by měla být informační bezpečnost předmětem zájmu každé firmy nebo organizace státní či veřejné správy. Efektivní řízení informační bezpečnosti umožňuje efektivní rozložení výdajů na informační bezpečnost. Z pohledu prosazování a řízení informační bezpečnosti tvoří malé a střední firmy (dále jen „SMB“) specifické prostředí. Rozdíly oproti velkým společnostem jsou následující, přičemž tyto rozdíly jsou tím větší, čím je společnost menší. • Žádný nebo minimální bezpečnostní tým; • rozpočet na bezpečnost je součástí rozpočtuna IT nebo není vytvářen vůbec; • rozsah finančních, časových a lidských zdrojů přidělených na informační bezpečnost je nižší, kvůli minimalizaci výdajů je potřeba využívat open-source projekty; • bezpečnost řídí oddělení IT. Vytvoření pozice zodpovědné za řízení informační bezpečnosti přináší organizacím posun od náhodného reagování na vzniklé problémy a bezpečnostní incidenty k systematickému řízení a účelnému vynakládání výdajů na informační bezpečnost. Název této pozice se v různých publikacích liší, proto budeme dále v článku používat název Chief Information Security Officer (CISO). Řízení bezpečnosti a role CISO V rámci informační bezpečnosti v SMB organizaci je zapotřebí provádět širokou škálu činností, které může, ale i nemusí dělat přímo CISO: • Řídit bezpečnostní rizika, což znamená pravidelně analyzovat rizika a přiměřeně reagovat na zjištěná rizika. • Provádět publikační činnost, vydávat, revidovat a aktualizovat interní předpisy, které vytvářejí firemní kulturu ve vztahu k informační bezpečnosti. • Vzdělávat zaměstnance v oblasti informační bezpečnosti a provozovat program budování povědomí o informační bezpečnosti. 14 • Řídit a implementovat projekty v rámci informační bezpečnosti, které jsou odvozeny z reakce na zjištěná rizika a obchodních a legislativních potřeb. CISO může vystupovat v roli projektového manažera, bezpečnostního specialisty, nebo nemusí být vůbec zahrnut do implementace daného projektu. • Provozovat bezpečnostní technologie. Zejména v menších firmách může CISO vystupovat i jako bezpečnostní administrátor, který provozuje bezpečnostní technologie a pomáhá ostatním členům IT personálu aplikovat bezpečnostní opatření na systémech mimo jeho správu. • Zjišťovat a reportovat stav bezpečnosti vedení společnosti. SMB organizace si zřídkakdy mohou dovolit pravidelný celoplošný bezpečnostní audit. Proto je CISO nucen sáhnout po jiných metrikách bezpečnosti – logy, výstupy z IDS a VA nástrojů, tickety na helpdesku… • Řešit bezpečnostní incidenty ve spolupráci se všemi dotčenými organizačními jednotkami a externími subjekty. Tyto činnosti je možné všeobecně rozdělit na: • Činnosti související s řízením bezpečnosti; tyto činnosti zahrnují analýzu rizik, návrh ošetření zjištěných rizik a pravidelné reportování stavu. • Ostatní činnosti, které zahrnují tvorbu firemní bezpečnostní kultury pomocí interních standardů a vzdělávání, implementaci projektů, provoz bezpečnostních opatření a řešení bezpečnostních incidentů. Všechny tyto činnosti nemusí nutně dělat přímo CISO, ale mohou být pokryty vícero rolemi v rámci organizace, nebo mohou být zabez- pečovány externími službami. Rozdělení náplně práce CISO mezi více osob ale přináší riziko, že v konečném důsledku nebude za informační bezpečnost odpovědný nikdo1). Pokud má CISO efektivně řídit bezpečnost, je vhodné, aby byl zodpovědný za výkon činností souvisejících s řízením bezpečnosti a měl pravomoc vyžádat si jejich vykonání prostřednictvím managementu společnosti v potřebném čase, rozsahu a kvalitně v případě, že je sám nevykonává. Přidělení ostatních činností mezi odpovědnosti CISO je přínosem při budování jednotné bezpečnostní strategie a architektury SMB organizace, není však nevyhnutelně potřebné pro řízení bezpečnosti. Závisí na požadavcích každé SMB organizace, zda CISO bude odpovídat za provádění všech uvedených činností nebo jejich částí, nebo zda kromě vyjmenovaných činností budou do jeho odpovědnosti zahrnuty i jiné činnosti. Průzkum stavu informační bezpečnosti za rok 20092) uvádí následující znalosti a schopnosti, které jsou u role CISO nejvíc oceňovány (uvedlo více než 20 % respondentů): • věcná znalost problematiky informační bezpečnosti, • technologické znalosti IS/IT, • flexibilita a konstruktivní přístup k řešení problémů, • schopnost efektivní komunikace s vedením organizace, • analytické schopnosti, z čehož pak vyplývají požadavky na náplň práce CISO. Některé z uvedených činností jsou ale nárazové (např. provedení auditu nebo implementace opatření) a jmenování zaměstnance pouze do role CISO může znamenat jeho neefektivní využívání v průběhu roku. Pokud se SMB organizace rozhodla řídit bezpečnost a zřídit roli CISO, je velmi pravděpodobné, že první analýza rizik nebo audit odkryje problémy ve všech oblastech popisovaných normou ISO 270023). Pokud organizace dynamicky nevyroste, bude po odstranění počátečních problémů rozsah činností CISO snížen na udržování dosažené úrovně bezpečnosti. V takovém případě jsou dvě možnosti: • kombinovat roli CISO s jinou rolí v rámci organizace, • outsourcing CISO. Professional Computing BEZPEČNOST A ZABEZPEČENÍ Přístupy k obsazení role CISO CISO může být obsazen interním zaměstnancem nebo externím konzultantem. V případě SMB organizací s menšími kapacitními požadavky na roli CISO může být problém udržet a vytížit zaměstnance, který má požadované znalosti a výše uvedené schopnosti. O to víc, jestliže má být CISO kombinací technika (správa bezp. technologií), manažera (vedení projektů, komunikace s vedením) a odborníka na bezpečnost (řízení rizik, tvorba interních předpisů a vzdělávání). Výhodou naopak je, že zaměstnanec je interní a je tedy více spjatý s lidmi v organizaci, bude u nich jednodušeji prosazovat zásady informační bezpečnosti a bude citlivěji vnímat jejich potřeby a problémy, protože je s nimi v každodenním kontaktu. Dobré vztahy se zaměstnanci společnosti se ale stávají problémem v okamžiku, kdy je potřeba vyvodit odpovědnost a sankce za způsobený bezpečnostní incident, nebo implementovat tvrdší pravidla v rámci organizace. Role CISO může být obsazena následujícími interními zaměstnanci: • Vedoucí IT – výhodou je znalost IT a manažerské schopnosti. Nevýhodou může být znalost řešení bezpečnostních problémů mimo IT – např. v oblasti personální a fyzické bezpečnosti. Navíc je takový člověk v první řadě vedoucím IT a až potom CISO. Protože se u SMB organizací předpokládá, že vedoucí IT má v týmu více specialistů, není provoz bezpečnostních technologií problémem. • IT specialista – výhodou IT specialistů je hluboká znalost IT a rychlé pochopení možností technických bezpečnostních opatření. Nevýhodou mohou být manažerské schopnosti a komunikace, ať už při vzdělávání zaměstnanců nebo s vedením organizace. • Bezpečnostní administrátor – podobná možnost jako IT specialista s hlubokou znalostí bezpečnostních technologií. I zde mo- Professional Computing hou být nedostatkem manažerské schopnosti a komunikace. • Dedikovaný manažer bezpečnosti – podobná možnost jako vedoucí IT, avšak dedikovaný pouze na řízení bezpečnosti. Nevýhodou může být provádění provozu bezpečnostních technologií a využitelnost i mimo nárazové činnosti. • Finanční ředitel – výhodou této možnosti je přímý kontakt na vrcholný management. V případě, že organizace řídí např. finanční rizika, má finanční ředitel dobré předpoklady k řízení bezpečnostních rizik. Nevýhodou může být znalost IT a bezpečnostních technologií, především v případě, kdy CISO odpovídá také za provoz bezpečnostních technologií. • Neobsazeno – nejhorší z možností, která znamená, že za řízení informační bezpečnosti není odpovědný nikdo. V případě personálního sourcingu CISO jsou odpovědnosti a pravomoci stanoveny smlouvou. Ta by měla zaručit, že CISO je využíván podle potřeb organizace k dohodnutým aktivitám a za přijatelnou cenu. Smluvně by měla být definována odpovědnost za vykonávání řídících činností, které byly zmíněny výše. Zařazení ostatních činností je možné realizovat např. možností volitelně doplňovat činnosti CISO podle aktuální potřeby. Pokrytí požadavků SMB organizace ze strany sourcingové firmy by mělo být samozřejmostí, především co se týká zkušeností, vědomostí a schopností outsourcovaného CISO. Odpadají problémy s nárazovými činnostmi, protože při flexibilní smlouvě není problém doobjednat Pokud organizace dynamicky nevyroste, bude po odstranění počátečních problémů rozsah činností CISO snížen na udržování dosažené úrovně bezpečnosti. činnosti CISO. Ale to, že CISO není součástí organizace, může přinést problémy s orientací v kultuře společnosti, problémy ve spolupráci s organizačními jednotkami v rámci společnosti a vázání činností a odpovědností na uzavřenou smlouvu. ••• Řízení bezpečnosti je nutno svěřit do rukou zkušené osobě, která dokáže přetavit i menší zdroje, které má SMB organizace k dispozici, do efektivního bezpečnostního programu. To, jakou kvalitu, zkušenosti a efektivitu při provádění svěřených činností CISO přinese, vždy závisí na konkrétním člověku, který je do této pozice vybrán. Poznámky: 1) ISO/IEC 13335-2:1997 2) Průzkum stavu informační bezpečnosti za rok 2009 3) ISO/IEC 27002 Tento článek v upraveném znění vyšel v časopise Security World č. 3/2010 Daniel Chromek, CISA, je IS Security Consultant společnosti ESET software Shrnutí kladných a záporných stránek obsazení role CISO Řízení bezp. rizik Publikační činnost Vzdělávání Řízení a impl. projektů Provoz bezp. technologií Reportování stavu bezpečnosti Řízení incidentů Vedoucí IT + - - + + + + IT specialista - - - - + - + Bezpečnostní administrátor - - - - + - + Manažer bezpečnosti + + + + - + + Finanční ředitel + - - + - + - Outsourcovaný CISO + + + + + + + 15 PŘÍPADOVÁ STUDIE Nové síťové záznamové zařízení Na trh přichází nové NVR vyvinuté společností KOUKAAM – IPCorder KNR–090. Jde o unikátní samostatné nahrávací zařízení určené pro sledování a ukládání záznamů z IP kamer, jejich snadné vyhledávání, přehrávání nebo export. Jde o cenově dostupné zařízení, které umožňuje ovládat až čtyři kamery či videoservery současně a umí kompletně komunikovat v českém jazyce. Jednoduché a intuitivní ovládání je nastaveno tak, aby vycházelo vstříc všem uživatelům. Od sledování netopýrů k čerpacím stanicím IPCorder KNR-090 IPCorder KNR-090 je využitelný hlavně pro kanceláře, domy, parkoviště a třeba vzdělávací nebo vědecké účely. Nezávislost jako přidaná hodnota Díky unikátnímu firmwaru a rozhraní založeném na Javě je IPCorder, na rozdíl od ostatních podobných zařízení, kompatibilní jak s Microsoft Windows, tak i s Linuxem nebo Apple Mac OS X. Pro sledování obrazu z kamer, přehrávání záznamů a veškerou správu zařízení stačí běžný internetový prohlížeč. K IPCorderu tedy můžete snadno přistupovat i na cestách, například z počítače v internetové kavárně. Úsporně i ekologicky Širokou využitelnost tohoto unikátního záznamového zařízení demonstruje výčet některých případových studií. IPCorder nachází své místo v malých i velkých systémech. Pro kamerový systém dlouhodobě monitorující kolonie netopýrů v jeskyních a na půdách si IPCorder jako součást systému vybrala např. Přírodovědecká fakulta MU v Brně. Při automatickém sledování netopýrů se používá kamerový systém sestávající z dvou IP kamer, IPCorderu KNR-100, IR přísvitu a kabeláže. IPCorder je v tomto případě napájen z 12V baterie. Síť bezobslužných čerpacích stanic Čepro využívá systém složený z většího počtu IP kamer a IPCorderů umístěných na jednotlivých čerpacích stanicích. Pro správu kamer a nahrávání obrazu jsou použity IPCordery KNR-100. Velký počet kamer (40) je ovládán jedním IPCorderem v pražských garážích nového bytového komplexu na Barrandově. V bezpečnostním systému použitý IPCorder KNR-412 je schopný správy, nahrávání a sledování až 48 IP kamer nebo videoserverů současně. „Největší počet realizovaných kamerových systémů využívá čtyři kamery. IPCorder KNR-090 jsme tedy vyvinuli tak, aby jeho jednoduché ovládání, nezávislost a dostupná cena oslovily právě uživatele menších IP kamerových systémů.“ Petr Seliger, ředitel společnosti KOUKAAM • • • • • • • • • • Pro malé kanceláře a domov, až 4 IP kamery/videoservery, vzdálený přístup, nízká cena, nezávislé na operačním systému, snadná instalace a použití, malé a kompaktní rozměry, nízká spotřeba, tichý provoz, český výrobek a podpora. O společnosti KOUKAAM Společnost KOUKAAM je certifikovaným dovozcem a distributorem pro IP kamerových zabezpečovacích systémů od firem VIVOTEK, IQnVision, ACTi, Axis, Sony a dalších. V roce 2007 na trh poprvé uvedla své unikátní samostatné nahrávací zařízení pro IP kamery – IPCorder, o dva roky později pak inteligentní ovladač napájení – NETIO. Standardem je pro společnost zákaznicky orientovaný přístup a vysoká flexibilita. Partnerům poskytuje odbornou technickou podporu na vysoké úrovni. Společnost je členem Asociace Grémium Alarm a držitelem prestižních ocenění VIVOTEK Top Distribution Award. Všechny funkce IPCorderu jsou součástí základního balíku. Žádné příplatky za licence pro kamery, přídavné funkce nebo aktualizace. Kvůli nízké spotřebě energie šetří IPCorder peněženku i přírodu a náklady na jeho pořízení se vrátí za necelý rok. Oproti systémům založeným na PC je provoz IPCorderu také mnohem tišší. 16 Professional Computing PŘÍPADOVÁ STUDIE Banky v ČR začínají hrát aktivní roli v boji proti phishingu a trojským koním V létě tohoto roku posílila Česká spořitelna, z pohledu počtu klientů rozhodně největší banka v České republice, aktivní boj proti stále se zvyšujícím phishingovým a „trojským“ útokům na klienty internetového bankovnictví. Tím rozšířila seznam evropských finančních ústavů, které se touto cestou již vydaly. Ve spolupráci s RSA, bezpečnostní divizí společnosti EMC, spustila Česká spořitelna od 1. srpna nový bezpečnostní systém s názvem RSA Fraud Action Antiphishing & Antitrojan, čímž podstatně rozšířila již existující bezpečnostní opatření proti kyberkriminalitě. RSA Fraud Action Antiphishing & Antitrojan rozšiřuje současná bezpečnostní opatření České spořitelny o tři důležité oblasti: • Monitorování a případnou blokaci nebezpečných webových serverů, které prokazatelně obsahují škodlivý kód, • vyhledávání a případnou blokaci podvodných phishingových e-mailů a webových stránek, • vzdálený monitoring klientských stanic za účelem nalezení škodlivého kódu ve formě trojského koně společně s poradenstvím, jak se v případě nákazy zachovat. Cíl je ve všech třech oblastech jediný – minimalizovat či úplně eliminovat krádeže identit klientů České spořitelny, které pak slouží k provedení neautorizovaných finančních transakcí. Jak je již zřejmé z předešlého textu, zvolený bezpečnostní systém RSA se v boji proti kyberkriminalitě zaměřuje primárně na prevenci útoků. Systém aktivně vyhledává potenciálně nebezpečné webové servery, které monitoruje a informace o nich pak odesílá do celosvětových databází. Díky tomu jsou klienti včas informováni a varováni před vstupem na tyto servery přímo ve svém internetovém prohlížeči, a to ještě předtím, než na ně hodlají vstoupit. RSA bojuje i s podvodnými e-maily (phishing), které mají vzbudit dojem, že byly odeslány Professional Computing z e-mailové adresy České spořitelny, a vyzývají klienta k potvrzení svých osobních bankovních údajů. Bezpečnostní systém tyto e-maily sleduje a po jejich identifikaci je zasílá do databází poskytovatelům e-mailových schránek. Dochází tak k minimalizaci či úplné eliminaci doručení phishingových zpráv klientům banky. RSA se také zaměřuje na boj proti bankovním počítačovým virům, zejména trojským koním. Na počítače klientů není třeba nic instalovat, systém tento škodlivý kód v počítači klienta rozpozná vzdáleně, a to mnohem dříve, než si jich stihne všimnout sám klient. V tomto případě pak specialisté České spořitelny kontaktují klienta a odborně mu poradí, jak postupovat v odstranění viru a jak si změnit bezpečnostní údaje. Uvedený systém bezpečnostní divize RSA doplňují další bezpečnostní prvky jako je například přihlášení za pomoci klientského čísla a hesla (v případě prvního přihlášení nebo změny nastavení se používá ještě bezpečnostní kód), užití autorizační SMS k potvrzení aktivní transakce, případně užití přihlašovací SMS. V současné době tak celá sada bezpečnostních opatření chrání přes milion klientů České spořitelny, kteří využívají internetové bankovnictví. ,,Jsem velmi rád, že nám všem se otevřely nové obzory v oblasti prevence a ochrany klientů České spořitelny. Zvláště, jde-li o způsob, který nezatěžuje počítač uživatele elektronického bankovnictví České spořitelny žádnou instalací dodatečného software,“ popisuje své zkušenosti Oldřich Smola, ředitel společnosti Smola Consulting, která je partnerem RSA pro oblast antifraudových služeb v České republice. „Díky podrobnému monitoringu vidíme rychle rostoucí počty útoků typu trojský kůň právě v zemích střední a východní Evropy, a je proto pozitivní, že místní banky neberou tato rizika na lehkou váhu. Těší nás, že Česká spořitelna, společně s řadou dalších bank v okolních zemích, zvolila služby RSA Security FraudAction,“ dodává Ivan Svoboda, RSA Account Manager. A jak řešení hodnotí přímo zástupci České spořitelny? „RSA systém společně s dalšími bezpečnostními prvky internetového bankovnictví účinně doplňuje škálu bezpečnostních opatření, která nám pomáhají chránit data a finanční prostředky našich klientů,“ řekl David Lorenc, ředitel přímého bankovnictví České spořitelny. Ani sebelepší systém však nedokáže stoprocentně zamezit zneužití identity klienta, pokud sám klient nebude respektovat alespoň základní bezpečnostní pravidla. K těm pan Lorenc dodává: „Abychom mohli eliminovat útoky hackerů na minimum, je důležitá i aktivita samotného klienta. Ten by se neměl do svého internetového bankovnictví přihlašovat z neznámých nebo veřejně dostupných počítačů a stahovat do svého počítače soubory z neznámých zdrojů. Zároveň je důležité, aby si pečlivě chránil své přihlašovací údaje a věnoval dostatečnou pozornost aktuálnímu antivirovému nastavení ve svém počítači.“ Více informací o řešeních RSA naleznete na www.rsa.com 17 PŘÍPADOVÁ STUDIE Bezpečný e-mail pro miliony uživatelů Sofistikovanost bezpečnostních hrozeb rok od roku roste a nutí organizace zvyšovat úroveň bezpečnosti informačních systémů. Narůstající objem technologií s sebou přináší potřebu přistupovat aktivně k odhalování případných zranitelností v infrastruktuře firemních sítí. Jedním z řešení je nasazení antivirové ochrany, a to především na klíčových serverech sítě. Menší firmy antivirovou ochranu stále podceňují, což je v kontrastu s opatřeními, která přijímají velké organizace. Příkladem může být Centrum Holdings, netmediální společnost s působností ve střední a východní Evropě. V Česku osloví měsíčně 3,8 milionu on-line uživatelů. Provozuje například značky Atlas.cz, Centrum.cz, Aktuálně.cz, ICQ, Xchat.cz nebo Stahuj.cz. Centrum Holdings vzniklo v roce 2008 sloučením dvou společností Atlas.cz a NetCentrum. Výzva U společností podnikajících v internetovém prostředí je zajištění bezpečnosti uživatelů důležité. Obzvlášť jde-li o e-mailové schránky milionů uživatelů nebo stahování tisíců souborů denně. Centrum Holdings chtělo ochránit uživatele e-mailových služeb před internetovými hrozba- mi v podobě virových infiltrací tak, aby nebyli žádným způsobem rušeni a nepřicházeli do styku s žádným druhem nebezpečného kódu. Kromě spolehlivé ochrany uživatelů bylo nutné zabezpečit e-mailové schránky na portálech. Centrum.cz a Atlas.cz potřebovalo systémově nenáročné, ale zato vysoce výkonné řešení. Například i proto, že každou vteřinu musejí e-mail servery vyřídit více než sto příchozích či odcho- 18 zích e-mailů. V případě portálu Stahuj.cz bylo nutné zajistit bezpečnost obrovské koncentrace dat tak, aby měl uživatel stoprocentní jistotu, že stahovaný soubor či program neobsahuje virovou infiltraci. Konkrétně u Stahuj.cz bylo vzhledem ke stupňujícím se požadavkům na bezpečnost nutné nasadit komplexní antivirové řešení v podobě přímého testování na file serverech Stahuj.cz. IT oddělení také požadovalo zajištění co možná nejrychlejší implementace nové antivirové kontroly na straně file serveru, což v důsledku vyřadilo z výběrového řízení mnohá řešení s časově náročnou instalací. Řešení Vítězem výběrových řízení na zajištění antivirové bezpečnosti služeb serverů Centrum Holdings se staly produkty společnosti ESET, které splnily náročné a specifické požadavky IT oddělení, a to především systémovou nenáročnost, kvalitu detekce virových hrozeb, vysoký výkon, kvalitní nástroj vzdálené správy a zajištění rychlé implementace řešení. Důležitou roli při výběru produktů ESET hrálo i doporučení nezávislých srovnávacích testů, v nichž produkty ESET pravidelně získávají maximální možná hodnocení. V srpnu 2010 získal ESET za svá řešení již 63. ocenění VB100 v řadě od renomovaného magazínu Virus Bulletin. E-mailové schránky na Centrum.cz a Atlas.cz jsou prostřednictvím produktů ESET kontrolovány od roku 2004 a aktuálně je ochrana zajištěna pomocí řešení ESET Mail Security pro Linux/BSD. E-maily skenuje unikátní technologie ThreatSense, která má bezkonkurenční úro- veň aktivní detekce. Veškerá příchozí i odchozí pošta je kontrolována na jakákoliv bezpečnostní rizika (viry, trojské koně, spyware atd.). Funkce transparentního skenování umožňuje kontrolu protokolů POP3, SMTP a IMAP. Implementace antispamové kontroly s citlivě nastavitelnou konfigurací v závislosti na využití serveru umožňuje lokální analýzu e-mailové komunikace s možností „net-check“ kontroly vůči internetovým serverům, což zaručuje ještě kvalitnější detekci nevyžádané pošty. Ochranu dat na čtveřici linuxových souborových serverů portálu Stahuj.cz zajišťuje od roku 2007 řešení ESET File Security pro Linux. Mezi jeho klíčové funkce patří kromě on-demand kontroly také nepřetržitá kontrola souborového systému (on-access skenování). Uživatel má možnost zvolit si rozsah kontroly podle aktuální potřeby. ESET File Security pro Linux obsahuje nejnovější ThreatSense technologii, podporu aplikace ESET Remote Administrator nejnovější verze 4. O společnosti Společnost ESET (www.eset.cz), založená v roce 1992, je světovým výrobcem bezpečnostního softwaru pro firemní klientelu a domácnosti. Je lídrem na trhu aktivní detekce počítačových hrozeb. Díky technologii ThreatSense.Net sbírá ESET data od dobrovolných uživatelů z celého světa, a tak okamžitě reaguje na nové hrozby. Produkty ESET Smart Security a ESET NOD32 Antivirus patří mezi technologickou špičku, protože negenerují téměř žádné falešné poplachy. ESET NOD32 Antivirus je podle nezávislé organizace AV-Comparatives nejlepším antivirovým produktem na světovém trhu za roky 2006 a 2007. ESET sídlí v Bratislavě, pobočky má v Praze, Buenos Aires (Argentina), San Diegu (USA) a zastoupení ve více než 180 zemích světa. V roce 2008 otevřel ESET vývojové centrum v polském Krakově. Firma patří podle žebříčku Deloitte Technology Fast 500 mezi nejrychleji rostoucí technologické společnosti v regionu Evropy, Blízkého východu a Afriky. Professional Computing PŘÍPADOVÁ STUDIE Jak řídí přístup k síti na Úřadu pro civilní letectví Úřad pro civilní letectví není příliš velkou organizací, ale požadavky na ICT jsou zde vysoké hlavně z důvodu velkého množství citlivých informací a napojení na jiné podobné organizace a subjekty. Síť ÚCL postupně rostla a zpočátku nebylo potřeba realizovat bezpečnostní aplikace, ani patch management. Z důvodů vyšší bezpečnosti a omezení broadcast komunikace, byla síť rozdělena do různých VLAN (IEEE 802.1q) dle použití a typu komunikace. Zavedením VLAN se však zvýšila náročnost správy a rekonfigurace zařízení v případě stěhování či pohybu uživatelů a zařízení v síti. Administrátoři byli nuceni dohledávat zapojení jednotlivých kabelů k příslušným zásuvkám. V případě chybného dohledání a přepojení vznikaly nové problémy. Další nepříjemná záležitost, která stěžovala práci, byly staticky nakonfigurované porty pro různé systémy. Vzhledem k malému počtu administrátorů bylo nutné nalézt automatizované řešení, které vyřeší stávající problémy a navíc přinese jednoduchou a intuitivní obsluhu a nové funkce. Úřad pro civilní letectví (ÚCL) také potřeboval nabídnout hostům přístup na internet, ale zároveň zachovat vysokou bezpečnost sítě. Před nasazením řízení přístupu k síti byl kterýkoliv z hostů hrozbou nejen pro síť ÚCL, ale v jisté míře i pro obchodní partnery, jako jsou například řízení letového provozu, letiště po celé ČR či nadnárodní letecké asociace. Řešení Hlavním cílem řešení je, aby pouze oprávnění uživatelé dostali přístup pouze k jim oprávněné informaci z oprávněného místa v síti a v oprávněném čase. Zavedením řešení Enterasys Network Professional Computing Access Control, tak zákazník získal stoprocentní viditelnost na koncové systémy připojené do sítě, zejména pak informace typu: • kde je zařízení připojeno = přepínač, port, • jakou má IP, MAC adresu, • jaký má dané zařízení síťový profil = host, student, kamera, telefon, • kdy bylo zařízení viděno poprvé a kdy naposledy, • histogram připojeného zařízení = kdy, kde, jak. Zavedením řešení Enterasys Network Access Control Úřad pro civilní letectví získal možnost rozlišovat mezi jednotlivými typy zařízení (kamera, tiskárna, PC, notebook, telefon, fax, server…), a také možnost nabídnout bezpečně oddělený přístup pro hosty. Řešení bylo pro jeho flexibilitu a komplexnost implementováno společností GERKIN, která má certifikaci „Silver Partner“. Pro ÚCL je úroveň certifikace zárukou, že bude implementace v pořádku, pro výrobce je certifikace zárukou, že bude zákazník spokojený. Hlavní výhody: Ochrana investic •Cisco infrastruktura zůstala zachována, včetně VoIP. •Schopnost využít stejné WiFi pro přístup pro hosty i pro vnitřní uživatele. Jednoduchý management •Možnost dohlížet i konfigurovat řešení přes webové rozhraní. •Možnost dohlížet i konfigurovat řešení přes tlustého klienta. Rozšiřitelnost řešení •Nasazení bylo rozfázováno dle aktuálních finančních možností. V budoucnu je naplánováno rozšíření o skenování zranitelností a rozšíření na plně redundantní HA řešení. Jednoduchost nasazení •Řešení bylo nasazováno postupně a navíc byla každá dílčí část/funkčnost důkladně otestována, aby uživatelé nebyli vlastní implementací zatíženi. Výkon •Řešení je navrženo tak, aby zvládlo pokrýt i budoucí růst. • Schopnost ukázat a nasadit testovací provoz. Infrastruktura: Cisco Catalyst 4506, Cisco Catalyst 3560G, Cisco Catalyst 3750, Cisco IP telefonie, Kamerový systém Cca 200 uživatelů, cca 650 zařízení Flexibilita nastavení a možnosti: Řešení Enterasys NAC je schopno plně vyhovět požadavkům ÚCL na flexibilitu použitelnosti, mezi které patří například rozdílné chování pro zařízení v různých učebnách, odlišné chování pro hosty, odlišné chování pro zařízení různých typů, rozdílné chování dle typu autentizace apod. Viditelnost do sítě: Řešení poskytuje stoprocentní viditelnost na koncová zařízení. Seznam produktů: •NS-AB-50 NetSight Advanced Bundle 50-devices •SNS-TAG-LPA NAC Gateway, 2000 user Údržba systému a náklady na provoz: Zavedením řešení Enterasys Network Access Control ÚCL získal nové možnosti a velmi významně zvýšil zabezpečení sítě. Při každém přesunu uživatelů či zařízení nemusí administrátoři nic rekonfigurovat, vše je řešeno automaticky. V případě instalace nového systému musí administrátor nový systém pouze přiřadit do správné skupiny. 19 PŘÍPADOVÁ STUDIE Řízené dokumenty pod kontrolou Společnost WALMARK, založena v roce 1990, je největším výrobcem doplňků stravy ve střední a východní Evropě. Své dceřiné společnosti již umístila v osmi evropských zemích a s týmem téměř 900 zaměstnanců vyváží své produkty do více než 20 zemí světa. Vedle doplňků stravy, vyrábí WALMARK od roku 2004 také léčivé přípravky. V roce 2007 společnost vyráběla více než 200 produktů a pracovní týmy podílející se na jejich přípravě, výrobě a distribuci, jsou dislokovány po celé Evropě. Tato situace však není finálním cílem. WALMARK dlouhodobě směřuje k pozici evropského lídra na trhu doplňků stravy a rozvíjí také svou účast na trhu s léčivy. Situace V rámci farmaceutické výroby platí přísná pravidla pro správnou výrobní praxi. Tato pravidla jsou proto realizována a monitorována prostřednictvím propracovaného systému řízení jakosti, který je závazný pro celou společnost a je tvořen množstvím standardních operačních postupů. Udržení rozvoje společnosti směrem k dlouhodobým cílům v kontrastu ke zvyšování jakosti výroby a rozšiřování portfolia se tak stalo klíčem k úspěchu. Vedení společnosti proto identifikovalo potřeby, které bylo nutné podpořit pomocí efektivní automatizace procesů a jednotným systémem pro sdílení informací. V primární fázi bylo jako základní definováno sjednocení elektronického managementu dokumentace sloužící k zákonné registraci léčiv, fytofarmak a doplňků stravy včetně integrace příslušných procesů, automatizace schvalovacích procesů a sjednocení sdílení dat v oblasti DTP dokumentů jako jsou např. obaly a příbalové letáky produktů a komplexní podpora systému řízení jakosti zahrnující kompletní životní cyklus předpisové dokumentace. Řešení Pro realizaci řešení uvedených potřeb si společnost WALMARK ve výběrovém řízení zvolila řešení na bázi Enterprise Content Management systému společnosti Open Text dodávané spo- 20 lečností IXTENT. Klíčovou komponentu řešení přitom tvoří technologie Livelink ECM – Enterprise Server, který prostřednictvím tenkého klienta (webového prohlížeče) umožňuje přístup k aplikacím i z dislokovaných pracovišť po celém světě. Kromě standardních funkcí ECM systému (fulltextové vyhledávání, zabezpečení přístupových oprávnění pro jednotlivé dokumenty apod.) jsou součástí dodaného řešení též specializované komponenty pro elektronické podpisování dokumentů a elektronickou přípravu registrační dokumentace dle požadavků regulačních autorit. V oblasti řízené dokumentace v souladu s GMP je jednou s podstatných podmínek jeho funkčnosti prokazatelnost schvalovacího procesu – jinak řečeno, vlastní „úkon schválení“ zodpovědnými osobami. Tuto oblast řešení realizoval IXTENT s využitím modulu eSign, který nabízí podpis schvalovaných dokumentů, na bázi elektronického podpisu s interní autorizační autoritou. Každý podepisující pracovník se tak v rámci schválení musí dodatečně autentizovat vůči databázi podpisů eSign. Výhodou modulu je jeho plná integrace do prostředí Livelink ECM a možnost realizovat konverzi do formátu PDF jako součást procesu podepisování. Schválení a podpis je pak paralelně ke schvalovacímu záznamu v systému, také automaticky, importován do PDF dokumentu jako schvalovací doložka. Registrace léčiv – tato oblast je ve farmacii jasně definována požadavky na formát registrační dokumentace a též požadavky na formát a kontrolní mechanizmy poskytování této dokumentace registračním autoritám v elektronickém tvaru. Dodané řešení podporuje tvorbu dokumentace v přípravné fázi (tvorba dílčích registračních dokumentů s využitím workflow, přístupových práv, řazení do pracovních adresářů) a zároveň plně podporuje definovaný formát registrační dokumentace (jak pro EU, tak pro USA, Kanadu atd.) včetně práce s kompletní registrační složkou v průběhu jejího sestavování, kompletace, publikace a předání registrační autoritě. Podpora DTP procesu je součástí automatizace přípravy dokumentace pro potravinové doplňky. Navržené řešení zrychluje přípravu a schvalovací proces textových a grafických předloh (TGP) lékové dokumentace a lékových obalů. V každém okamžiku je lze získat přehled o stavu přípravy podkladů pro jednotlivé preparáty a to v situaci, kdy požadavky na zpracování TGP jsou zadávány nezávisle pracovníky v několika různých zemích. Naplněný cíl Implementace platformy Livelink ECM přinesla společnosti WAKMARK podporu pro hlavní procesy v oblasti výroby léčiv a potravinových doplňků a sjednotila tak pracovní prostředí pro cílovou skupinu více než 100 pracovníků. Výsledkem je zpřehlednění a zrychlení přípravy předpisové dokumentace, včetně její distribuce v souladu s požadavky správné výrobní praxe v rámci celé společnosti,automatizace a zrychlení procesu přípravy registrační dokumentace pro potravinové doplňky, automatizace a urychlení procesu přípravy DTP podkladů pro příbalové letáky a obaly potravinových doplňků s modifikacemi pro potřeby zastoupení v jednotlivých zemích, sjednocení přípravy registrační dokumentace léčiv. Professional Computing Partneři časopisu Professional Computing Speciál Bezpečnost a zabezpečení Zlatý partner Stříbrný partner Samsung Techwin Europe AVG Technologies CZ Římská 20 120 00 Praha 2 Tel.: +420 222 866 002, +420 602 532 103 E-mail: [email protected] www.samsungsecurity.com Lidická 965/31 602 00 Brno Tel.: +420 549 524 011 Fax: +420 541 211 432 E-mail: [email protected] www.agv.cz Partner Partner COMGUARD EMC Czech Republic Vídeňská 119b 619 00 Brno Tel.: +420 544 509 059 Fax: +420 544 509 079 E-mail: [email protected] www.comguard.cz kontaktní adresa: Freyova 27 190 00 Praha 9 Tel.: +420 266 721 833 V parku 2335/20 148 00 Praha 4-Chodov Tel.: +420 272 089 410 Fax: +420 272 089 411 E-mail: [email protected] http://czech.emc.com Stříbrný partner Partner Eset software IBM Česká republika Jankovcova 1037/49 (Classic 7 Business Park) 170 00 Praha 7-Holešovice Tel.:: +420 233 090 233 V Parku 2294/4 148 00 Praha 4-Chodov Tel.: +420 272 131 111 Fax: +420 272 131 401 E-mail: [email protected] www.eset.cz www.ibm.com/cz/cs/ Partner Partner IXTENT, s. r. o KOUKAAM Lighthouse Towers Jankovcova 1569/2c 170 00 Praha 7-Holešovice Tel.: +420 234 379 330 Fax: +420 234 379 331 E-mail: [email protected] www.ixtent.com/cs U Vinných sklepů 7 190 00 Praha 9 Kontaktní adresa: Kaplanova 2252/8 148 00 Praha 4 Tel.: +420 226 015 556 Fax: +420 226 015 749 E-mail: [email protected] www.koukaam.se Partner Partner OKsystem Siemens Enterprise Communications Na Pankráci 1690/125 140 00 Praha 4 Tel.: +420 244 021 111 Fax: +420 244 021 112 E-mail: [email protected] www.oksystem.cz Průmyslová 1306/7 102 00 Praha 10-Hostivař Tel.: +420 266 066 606 Fax: +420 266 063 030 E-mail: [email protected] www.enterasys.com Chytřejší technologie pro chytřejší planetu: Jak řídit tisíce věcí, kterých se nelze dotknout Řada firem dnes bolestně poznává, že prudký rozmach virtuálních obrazů disků může přinášet stejné komplikace jako rychlý růst počtu fyzických serverů, který měla vyřešit právě virtualizace. IBM vám pomůže řídit, zjednodušit či dokonce zautomatizovat virtuální prostředí prostřednictvím široké nabídky řešení. Jsou navržena speciálně k tomu, aby vaší firmě umožnila sledovat a kontrolovat veškeré firemní virtuální prostředky – servery, úložiště dat, aplikace apod. Budete tak schopni získávat a konfigurovat prostředky v řádu minut namísto dnů, zlepšíte efektivitu práce a vytvoříte základ nových řešení, např. cloud computingu. Náš otevřený přístup k virtualizaci pomáhá zákazníkům snížit investiční a provozní náklady až o 30 % a představuje základní kámen chytřejší a dynamičtější infrastruktury. IBM, logo IBM, ibm.com, Chytřejší planeta a ikona planety jsou ochrannými známkami společnosti International Business Machines registrované v řadě zemí světa. Ostatní názvy produktů a služeb mohou být ochrannými známkami společnosti IBM nebo jiných firem. Aktuální seznam ochranných známek společnosti IBM naleznete na webových stránkách www.ibm.com/legal/copytrade.shtml. Chytřejší firma potřebuje chytřejší software, systémy a služby. Pojďme budovat chytřejší planetu. ibm.com/cz/virtualizace