Podatność informatyczna
Podatność informatyczna słabość danego systemu informatycznego wynikająca z błędów wewnętrznych lub błędów użytkownika. Poziom bezpieczeństwa jest jednym z aspektów użyteczności systemów informatycznych, które są gromadzone i eksploatowane przez podmioty gospodarcze oraz prywatnych użytkowników. Przydatność aplikacji jest tym większa im większy zapewnia poziom bezpieczeństwa. W XXI wieku istnieje wiele organizacji rozproszonych, biur wirtualnych ze strukturą sieciową gdzie bezpieczeństwo danych i komunikacji jest sprawą najwyższej rangi. Informacja w organizacji stanowi strategiczny komponent, gromadzenie, przetwarzanie i udostępnianie, wszystko co wpływa na wzrost ilości danych komplikuje kwestie automatyzacji procesów informatycznych, które wymagają odpowiednich środków ochrony. Z perspektywy czasu określono, że jakość systemu informatycznego określa skalę efektu synergii, tym samym pozycję konkurencyjną firmy. Podejście procesowe obecne w systemach transakcyjnych, informatyczno-raportujących, systemach wspomagania decyzji oraz sztucznej inteligencji wymaga integracji danych i usług, gdzie platformą integracji są systemy zintegrowane.
TL;DR
Artykuł omawia podatność informatyczną, czyli słabość systemu wynikającą z błędów wewnętrznych lub błędów użytkownika. Bezpieczeństwo informacji jest ważnym czynnikiem dla organizacji, a przechowywane dane muszą spełniać kryteria poufności, integralności, dostępności, autentyczności, rozliczalności, niezaprzeczalności i niezawodności. Do ochrony danych stosuje się normy bezpieczeństwa, takie jak PN-ISO/IEC 27001:2014, standardy Common Criteria, publikacje NIST, standardy COBIT i ITIL. Artykuł przedstawia również przykłady podatności, takie jak ataki hakerskie, zalanie, pożar, kradzież danych czy wyciek danych osobowych, oraz metody oceny zagrożeń i testów penetracyjnych.
Zasoby informacyjne i ich funkcje
Informacje należy traktować jako kategorię ekonomiczną , może być towarem bądź dobrem publicznym. Stwierdza się, że informacje są czynnikiem wytwórczym jak również wartością wyjściową działającego systemu.
Identyfikujemy zasoby informacji:
- niezbędnym do wyprodukowania wartości wyjściowej
- określającym sprawność działania całego systemu
- posiada swoją wartość
- powstaje w wyniku procesów transformacji
- zasoby sprzętowe
Zasoby informacyjne w kontekście funkcji:
- informacyjnej, odpowiedzialnej za rozpoznanie możliwości i potrzeb odbiorcy
- decyzyjnej, dokonanie wyboru przez wariantowanie
- motywująco-sterującej, wywołującej określonej reakcji u odbiorcy, wpływającej na zmianę otoczenia
- modelującej, obrazującej przepływ informacji w ramach organizacji
Bezpieczeństwo informacji
Zasoby informacyjne postrzegane jako strategiczny zasób organizacji oraz czynnik określający skuteczność procesów biznesowych, oraz środek sterowania , kierowania, zarządzania wymagają odpowiedniego poziomu bezpieczeństwa. Bezpieczeństwo informacji , czyli stan zaufania dotyczy systemu informacyjnego ale również człowieka, który operuje informacjami.
Przechowywane dane muszą spełniać kryteria:
- poufności (wykorzystywanie tylko przez uprawnione osoby)
- integralności (nienormalizowane i niemodyfikowane)
- dostępności (zgodnie z zasadami wiedzy uzasadnionej)
- autentyczności (możliwość zidentyfikowania podmiotu dostarczającego dane)
- rozliczalności (możliwość identyfikowania użytkownika oraz zakresu dostępnych dla niego informacji)
- niezaprzeczalności (użytkownik zweryfikowany w dostępie do procesu informatycznego)
- niezawodności (bezawaryjne działanie zapewniające stały dostęp w ustalonych przedziałach czasu)
Ochrona danych wymaga podejścia systemowego. Dotyczy to środowiska, w którym działa system. Różne środowiska będą obarczone lukami, które są konsekwencją błędów w projektowaniu systemu oraz niezapewnienia dostatecznych środków zabezpieczenia. Jednocześnie dynamika rozwoju systemów oraz zagrożeń powoduje konieczność wytwarzania elastycznych i podatnych na zmiany rozwiązań zabezpieczających, które pozwolą na modyfikację w krótkim czasie w przypadku zmiany środowiskowej. Zagrożenia stanowią działania ukierunkowane na składowe systemu informatycznego mogące powodować szkody. W celu zwiększenia bezpieczeństwa danych opisuje się zabezpieczenia normami i standardami bezpieczeństwa.
Normy bezpieczeństwa:
- PN-ISO/IEC 27001:2014
- standard Common Criteria z normy PN-ISO/IEC 15408-1:2016
- publikacje NIST - seria 800 (National Institute of Standards and Technology)
- standardy COBIT (Control Objectives for Information and Related Technology)
- ITIL (Information Technology Infrastructure Library)
Przykłady podatności
Każdy zasób jest wrażliwy na szereg potencjalnych zagrożeń, problemy które dany zasób może realnie napotkać spisuje się i ocenia pod kątem możliwości wystąpienia i konsekwencji jakie im towarzyszą. Lista powstaje w oparciu o wiedzę ekspercką kierowaną zdrowym rozsądkiem. Analiza podatności jest trudna i żmudna ponieważ dla różnych zasobów zagrożenia powtarzają się ale wymagają kontekstowej analizy. Dlatego przyjmuje się poziom szczegółowości na jakim dokonuje się analizy. Wstępnie najlepiej jest zacząć od poziomu ogólnego, a w przypadku stwierdzenia konieczności przejść do bardziej szczegółowej analizy.
W pierwszej kolejności określa się listę potencjalnych zagrożeń dla różnych zasobów:
- zalanie (w wyniku powodzi lub awarii sieci wodociągowej)
- pożar (wynikający z awarii lub podpalenia)
- atak grupy hackerskiej,
- kradzież danych przez osoby uprawnione i nieuprawnione
- fizyczne uszkodzenie nośników danych,
- awaria sprzętu towarzyszącego,
- brak zasilania,
- zagubienie / kradzież sprzętu zawierającego istotne dane,
- wyciek danych osobowych.
- Zasób "strona internetowa" został oznaczony zagrożeniem "atak grupy hackerskiej".
Sprawdzamy czy i w jakim stopniu nasz zasób jest podatny na takie zagrożenie. W tym przypadku do oceny zagrożenia wykonuje się testy penetracyjne, będące symulacją ataku hackerskiego, którego zadaniem jest obnażenie słabości (podatności) zasobu.
- Zasób "serwerownia", zagrożenie "pożar".
Jeśli pomieszczenie znajduje się w starym budynku, bez odpowiedniej wentylacji, z przestarzałą instalacją elektryczną wskazuje to, że pomieszczenie jest potencjalnie obarczone wystąpieniem takiego zagrożenia.
- Zasób "biznes portal", zagrożenie "wyciek danych osobowych".
Jeśli portal umożliwia nieautoryzowany dostęp do informacji np. przez dostęp bez logowania to wskazuje to na potencjalną podatność.
Podatność informatyczna — artykuły polecane |
Bezpieczeństwo informacji — Polityka bezpieczeństwa informacji — Monitoring — Integralność danych — Disaster recovery — Cechy stanowiska pracy — Metoda BPM — System informacji strategicznej — Chmura obliczeniowa — Ekwifinalność |
Bibliografia
- Cieciura M. (2012), Wybrane problemy społeczne i zawodowe informatyki, Warszawa
- Łydziński D. (2014), Analiza ryzyka w środowisku informatycznym
- Rot A. (2016), Wybrane podatności i zagrożenia bezpieczeństwa środowiska wirtualnego w organizacji, Informatyka ekonomiczna, nr 3
- Ryba M. (2017), Analiza i zarządzanie ryzykiem systemów informatycznych, wykłady
- Zaskórski P., Szwarc K. (2013), Bezpieczeństwo zasobów informacyjnych, Zeszyty Naukowe Warszawskiej Wyższej Szkoły Informatyki, Nr 9
Autor: Grzegorz Jaworek