Od jakiegoś czasu działy IT w jednostkach administracji publicznej nie mają zbyt wielu powodów do narzekania. Informatyzacja postępuje. Wymagają tego klienci, codzienna komunikacja ze światem i innymi instytucjami oraz regulacje prawne. Budżety są spore, a wdrażane projekty bardzo ciekawe! Jednak wraz ze zwiększającą się liczbą systemów informatycznych rośnie też potrzeba właściwego ich zabezpieczenia. Stworzenie odpowiedniego poziomu zabezpieczeń zarówno samych systemów, jak i danych na nich przechowywanych może przyprawić o ból głowy niejednego informatyka czy administratora. Jak więc chronić skutecznie i bez przesadnego komplikowania życia sobie i innym?

Przede wszystkim należy przeprowadzić analizę potrzeb. Wszystkie podejmowane przez nas działania dotyczące bezpieczeństwa muszą, a przynajmniej powinny, wynikać z potrzeb urzędu, w którym są przeprowadzane. Powinniśmy przeanalizować zasoby instytucji zarówno pod względem ich wartości, jak i strat, na które mogą być narażone. Wyniki takiej oceny warto oczywiście udokumentować, a odpowiednie środki zaradcze precyzyjnie określić w polityce bezpieczeństwa instytucji.

Co, dlaczego i jak bardzo chronić

Jeżeli przeszliśmy przez ten etap, wiemy już co, dlaczego i jak bardzo chcemy chronić (wszak nigdy nie jesteśmy w stanie zapewnić naszym zasobom stuprocentowego bezpieczeństwa). Chronić należy przede systemy, punkt styku z Internetem, serwery aplikacyjne i pocztowe. Zapewne w przytłaczającej większości przypadków zalecenia polityki bezpieczeństwa w urzędach będą dotyczyły nie tylko ochrony systemów, ale i danych. Jest wiele powodów, dla których o dane musimy zadbać w szczególny sposób. Do najważniejszych zaliczyć można konieczność ochrony własności - jeśli nasz dział IT tworzy projekty, których ujawnienie lub przekazanie naraziłoby instytucję na straty zarówno finansowe, jak i utratę reputacji czy zaufania. Innym ważnym powodem jest ochrona danych osobowych - dotyczących zarówno obywateli, jak i pracowników urzędu. Ważnym powodem do dbałości o bezpieczeństwo informacji są regulacje prawne - także związane z prawem Unii Europejskiej czy ochroną informacji o kluczowym znaczeniu dla działania instytucji (umowy, kontrakty, oferty handlowe, oferty przetargowe, dane finansowe itp.).

Kluczowa ochrona

Jak ustaliliśmy - dane trzeba chronić. Pozostaje pytanie - jak? W przypadku instytucji, która posiada styk z Internetem, niezbędne jest wdrożenie zapory ogniowej - firewalla. Jeśli w naszym urzędzie nie ma specjalistów w tym zakresie, a kierownictwo nie planuje rozwoju kadry, warto zastanowić się nad zakupem urządzenia łączącego funkcję zapory ogniowej z możliwością tworzenia szyfrowanych tuneli VPN. W ten sposób zabezpieczymy zdalny dostęp do naszej sieci. Całościowe wsparcie dla takiego urządzenia powinien zapewnić producent. Zaleca się również korzystanie ze stałej pomocy lokalnego dostawcy takich urządzeń.

Warto podkreślić, że każda usługa dostępna z zewnątrz i z wnętrza sieci stanowi dla niej dodatkowe zagrożenie, niezależnie od tego, jak bardzo zachwalaliby ją dostawcy. Jeśli zaplanowaliśmy już ruch na zaporze ogniowej i przypadkiem na liście dopuszczonych protokołów znajdują się HTTP/FTP oraz SMTP/POP3, to należałoby się zastanowić nad zabezpieczeniem użytkowników tych usług.

Punkt styku z Internetem jest najlepszym miejscem na filtrowanie ruchu webowego i pocztowego. Dane należy filtrować zawsze pod kątem obecności złośliwego kodu (wirusy, spyware itd.) i zagrożeń dla produktywności pracowników (spam, niepożądane strony WWW, streamingi audio czy wideo itd.). Na szczególną uwagę zasługują nowe, inne niż sygnaturowe, metody detekcji zagrożeń. Nowoczesne systemy wykorzystują techniki reputacyjne ruchu webowego i pocztowego. Techniki te mogą dostarczyć nam wszelkich informacji o urządzeniu, z którym nawiązujemy komunikację w czasie rzeczywistym. Pozwalają również na automatyczne blokowanie komunikacji z serwerami, które mogą stanowić zagrożenie. Tak jak w przypadku zapór ogniowych, także i w tej sytuacji można rozważyć zakup gotowego urządzenia u producenta, co pozwoli na uproszczenie sposobów uzyskiwania wsparcia.

Kolejnym elementem układanki są serwery pocztowe. Powinny być one chronione niezależnie. Dostępne na rynku rozwiązania są w stanie zabezpieczyć niemalże każdą dostępną platformę. Stosują one techniki podobne do wykorzystywanych w bramce internetowej, niestety w przypadku ochrony serwerów pocztowych nie jest możliwe wykorzystanie usług reputacyjnych.

Warto również zabezpieczyć same stacje robocze i serwery aplikacyjne. W tym przypadku poza standardową ochroną zapewnianą przez sygnatury antywirusowe warto zwrócić uwagę także na inne rozwiązania. Chodzi o usługi reputacyjne (szczególnie w przypadku komputerów przenośnych), jak również mechanizmy Host Intrusion Prevention wraz z Vulnerability Shielding - stosowane do ochrony przed wykorzystaniem luk bezpieczeństwa w aplikacjach i samym systemie operacyjnym.

Przeciwko wyciekowi danych

Co może stanowić największe zagrożenie dla bezpieczeństwa danych? Oddajmy głos samym zainteresowanym. Z badań firmy sondażowej Market Research International wynika, że przedsiębiorstwa zainteresowane rozwiązaniami Data Leakage Prevention (DLP) najbardziej obawiają się wycieku danych poprzez porty USB, służbową pocztę
e-mailową i przez prywatne konta pocztowe pracowników.

Do ochrony przed dwoma pierwszymi zagrożeniami niezbędne jest rozwiązanie działające w komputerach użytkowników - host based DLP.

W odróżnieniu od rozwiązań sieciowych DLP bazuje na agentach działających w poszczególnych stacjach roboczych i serwerach, monitorując to wszystko, co dzieje się z chronionymi danymi, niezależnie od miejsca, w którym przeprowadzane są operacje. Co więcej, mamy możliwość wdrożenia różnych polityk w zależności od tego, czy chroniony komputer znajduje się w naszej sieci, czy też nie (on i off-network policies).

Wyobraźmy sobie, że ktoś zabiera urzędowy komputer z danymi do domu. Tam edytuje poufny dokument i wysyła go dokądkolwiek przez prywatne konto webmail. Czy będziemy wiedzieli, że takie zdarzenie miało miejsce? Tak, gdyż agent "przebywający" w chronionym komputerze wie, czy znajduje się w sieci wewnętrznej, czy nie, i może chronić komputer niezależnie od swojej lokalizacji.

Skąd agent będzie wiedział, czy dokument jest tajnym dokumentem urzędowym, a nie prywatnym listem miłosnym? Rozwiązania host-based, tak jak i rozwiązania sieciowe, korzystają z sygnatur dla danych, więc są w stanie zidentyfikować, czy wysyłany tekst powinien być chroniony, czy też nie. Oczywiście sygnatury danych muszą być przechowywane w stacjach roboczych. Mogłoby to być problematyczne, jeśli byłyby one tworzone przy użyciu techniki "sliding window", ale na szczęście są inne, niemal równie dokładne metody uzyskiwania fingerpointów.

Taką techniką jest na przykład Data DNA (patrz: rysunek obok). Jest ona oparta na algorytmie, który najpierw poszukuje znaków szczególnych dla danego dokumentu (niezależnie od języka, w jakim jest napisany, np. polskim, chińskim, C++), a później określa ich wzajemne położenie. Pozwala to na stworzenie bardzo małych sygnatur (poniżej 1 kb), których transfer do agentów nie stanowi żadnego obciążenia dla sieci i samych komputerów. Oczywiście samo tworzenie sygnatur - tak jak w przypadku rozwiązań sieciowych - ma miejsce na dedykowanym urządzeniu rezydującym w sieci.

Agent, rozpoznając sygnaturę chronionych danych, może wdrożyć odpowiednią politykę zachowania. Plusem tego typu mechanizmów jest to, że są one odporne na oszukiwanie poprzez edycję dokumentów - na przykład usunięcie ich części, zamianę kolejności czy też doklejenie nowej treści.

Wracając do naszego scenariusza - czy działanie użytkownika dało się zatrzymać? Jak najbardziej! Zastosowanie agenta daje nam możliwość blokowania transmisji szyfrowanej zarówno przez klienta poczty, jak i komunikator internetowy. Co więcej, możemy wybrać sposób interakcji z użytkownikiem. Jesteśmy w stanie zablokować i zalogować tę próbę, dać szansę użytkownikowi na wpisanie uzasadnienia swojego działania lub poinformować go, dlaczego jego działanie nie jest zablokowane i że wynika to ze stosowanej w urzędzie polityki bezpieczeństwa. A jeśli chcemy dać użytkownikowi możliwość przeprowadzenia działania wraz z uzasadnieniem? Agent jest elastyczny - pozwala na to, daje możliwość ochrony, edukuje oraz pozwala uzasadnić swoje działanie. Ile nas to kosztuje? Niecałe 9 kb pamięci operacyjnej i około 2,5 procent mocy procesora.

Oprócz stosowania sygnatur, możemy filtrować dane za pomocą szablonów
i - w końcu - za pomocą wyrażeń regularnych.

Stosując opisane metody, kontrolujemy też coś, czego nie możemy zrobić przy okazji sieciowego DLP. Możemy zablokować dostęp do kluczy USB całkowicie lub tylko w przypadku transferu chronionych dokumentów. Jesteśmy też w stanie uniemożliwić tworzenie zrzutów ekranowych.

Pozostaje jeszcze jedno pytanie. Czy jeśli w stacji roboczej działa agent, to użytkownik może po prostu go wyłączyć i bezkarnie korzystać z komputera?

Niestety - nie zawsze. Dobre produkty DLP wykorzystują technologie "Stealth", będące mechanizmem typu rootkit ukrywającym pliki i serwisy agenta przed użytkownikiem komputera. Tylko administrator systemu DLP może podjąć decyzję, czy mają być one widoczne z poziomu systemu, czy też nie.

Jak widać, do ochrony infrastruktury IT w urzędach warto podejść kompleksowo: przeanalizować punkty ryzyka i zaprojektować odpowiednie mechanizmy bezpieczeństwa. Powinniśmy zlokalizować dane kluczowe dla naszej instytucji i zapewnić im ochronę. Z pewnością warto rozmawiać z ekspertami z dziedziny zabezpieczeń, zarówno producentami, jak i integratorami rozwiązań bezpieczeństwa, których na naszym rynku jest wielu, a ich kompetencje są duże. Trzeba chronić każdy system i każdą warstwę dostępu, ponieważ jedno słabe ogniwo może spowodować niewydolność całej infrastruktury IT w urzędzie.

Autor pełni stanowisko Technical Channel Manager w firmie Trend Micro, specjalizującej się w dostawie zabezpieczeń internetowych i usługach bezpieczeństwa wymiany informacji. Od 10 lat wdraża i konsultuje