obsah

11. Bezpečnosť informačných systémovInformačné systémy v medicíne

Obsah

11. Bezpečnosť informačných systémov Bezpečnostná politika Voľba bezpečnostných funkcií Analýza rizík

• Identifikácia modulov aktív a ich klasifikácia• Identifikácia hrozieb pôsobiacich na aktíva• Identifikácia zraniteľností a ochranných opatrení

Metódy identifikácie a autentizácie • Autentizácia heslom• Autentizácia predmetom • Biometrická autentizáci• Súčasný stav

Programy ohrozujúce bezpečnosť• Útoky proti integrite a utajeniu dát• Útoky proti dosiahnuteľnosti služieb systému

Metódy vývoja bezpečného programového vybavenia


Bezpečnosť informačných systémov

• problematika pomerne nová a málo rozšírená • náklady investované do bezpečnosti IS - zbytočne investované

peniaze • často živelná implementácia bezpečnostných mechanizmov • náklady na dodatočné zabudovanie - neprimerane vysoké• snaha aby bezpečnostné mechanizmy boli do IS

implementované už pri jeho tvorbe a boli integrálnou súčasťou systému

• základný kameň bezpečnosti IS - bezpečnostná politika


Bezpečnostná politika

• predstavuje súhrn pravidiel pre prístup subjektov k informáciám a prostriedkom IS

• určuje, akým spôsobom budú vo vnútri IS distribuované, uchovávané, organizované a spracovávané nielen informácie, ale aj samotné prostriedky IS

• neoddeliteľnou súčasťou je určenie bezpečnostných cieľov

a definovanie rizík • treba stanoviť nielen predmet ochrany, ale špecifikovať aj možné

spôsoby, ktorými sa budú viesť „útoky“ proti tejto ochrane

• ochrana IS by mala byť organickou súčasťou komplexu všetkých ochranných opatrení


Bezpečnostná politika

Škody, ktoré môžu vzniknúť:• priame straty • nepriame straty • nekvalitné alebo zlé rozhodovanie • zvýšené náklady


Voľba bezpečnostných funkcií

Aké bezpečnostné funkcie je vhodné do systému integrovať, aby sme v čo najväčšej miere eliminovali riziko možného prieniku bezpečnostným systémom?

• k dispozícii sú bezpečnostné funkcie, procedúry a mechanizmy


Voľba bezpečnostných funkcií

Detailný návrh(bezpečnostné mechanizmy)

Stanovenie požiadaviek(bezpečnostné ciele)

Návrh architektúry(bezpečnostné funkcie)

Implementácia

Každý klient má prístup iba k svojmu účtuPrenášané informácie sú utajenéPrenášané informácie nie je možné modifikovaťKlient nemôže poprieť zaslanie príkazu na úhradu

Identifikácia a autentizácia klientaDôvernosť (utajenie) prenášaných informáciiIntegrita prenášaných informáciíNeodmietnuteľnosť zodpovednosti klienta

void main( int argc, char **argv ) {

// zdrojový kód

}

Obr. 11.1. Príklad bezpečnostných komponentov


Bezpečnostné funkcie

• identifikácia • autentizácia • riadenie prístupu dôveryhodnosť údajov • integrita údajov • opakované použitie • presnosť • spoľahlivosť služieb • bezpečnosť prenosu údajov • potvrdenie prijatia údajov • identifikácia zdroja údajov • audit


Bezpečnostné mechanizmy

• môžu sa realizovať na viacerých úrovniach: • sofwarovej• technickej • fyzickej • personálnej• organizačnej• administratívnej

• v závislosti od požadovaných bezpečnostných funkcií a mechanizmov pristupujeme k výberu bezpečnostných produktov

• tomuto kroku predchádza fáza analýzy rizík a ich ocenenia


Analýza rizík (Risk Analysis)

• je základným predpokladom na vytvorenie efektívneho a účinného systému ochrany informačných technológií

Cieľ analýzy rizík:• identifikovať a ohodnotiť hrozby, ktorým je IS vystavený tak, aby

mohli byť vybraté relevantné ochranné opatrenia

• skúma zraniteľnosť systému a možnú stratu hodnôt spravovaných pomocou IS, ako aj hodnotu jeho samého

• skúma sa každá súčasť IS, pričom sa preveruje jej kvalita z hľadiska všetkých bezpečnostných mechamizmov

• vyšpecifikujú sa zariadenia, ktoré sa z pohľadu bezpečnosti zdajú ako kritické a vyžadujú ďalšie zabezpečenie


Analýza rizík

• v kontexte bezpečnosti IS analýza rizík zahŕňa:• analýzu modulov aktív• analýzu hrozieb • analýzu zraniteľnosti


Identifikácia modulov aktív a ich klasifikácia

• jednotlivé prvky IS by nemali byť hodnotené samostatne, ale v rámci tzv. modulov aktív: procesy >> informácie >> dáta >> software >> hardware >> budova >> ľudské zdroje

• pri zostavovaní modulov aktív sa môže vychádzať zo základných cieľov podniku (napr. zisk)

• zisk môže vychádzať z produktovej tvorby alebo poskytovania služieb zákazníkom - rôzne informácie/procesy

• informácie/procesy sú vo väčšine prípadov spracovávané v digitálnej forme

• aby používateľ IS získal z dát potrebné informácie, potrebuje príslušný operačný a aplikačný nástroj/software

• všetky dáta a softwarové nástroje/aplikácie musia byť uložené na digitálnom alebo inom záznamovom médiu

• z uvedenej postupnosti vidieť prepojenosť jednotlivých prvkov IS



• po identifikovaní jednotlivých modulov aktív je potrebné ohodnotiť ich podľa významnosti

• modulom aktív sa prideľuje tzv. celková výsledná hodnota: • môže sa rovnať maximálnej hodnote zo všetkých získaných

čiastkových hodnôt, alebo môže byť ich súčtom

• kritéria pre ohodnotenie jednotlivých aktív:• porušenie všeobecne záväzných právnych predpisov• strata dobrého mena / negatívny vplyv na dobrú povesť• ohrozenie osobnej bezpečnosti• narušenie obchodného tajomstva, narušenie verejného poriadku• prerušenie obchodnej činnosti• strategický význam• užitočnosť, prospešnosť, nahraditeľnosť• význam pre konkurenciu• náklady na obnovu, prevádzkový dopad alebo následok straty


Identifikácia hrozieb pôsobiacich na aktíva

Hrozba - označenie konkrétneho fyzicky existujúceho subjektu, javu alebo udalosti, schopného spôsobiť stratu integrity, dostupnosti alebo dôvernosti aktív IS

• existuje veľké množstvo hrozieb • líšia sa svojím: zdrojom, spôsobom prejavu, frekvenciou výskytu

alebo prípadným dopadom

Vo všeobecnosti môžeme hrozby rozdeliť na:• úmyselné a neúmyselné

• vonkajšie a vnútorné

• východiskový zoznam hrozieb je uvedený v medzinárodnej norme ISO/IEC TR 13335-3

• je všeobecný a závisí od každého bezpečnostného manažéra, ako si ho upraví a doplní


Identifikácia zraniteľností a ochranných opatrení

Zraniteľnosti - zahŕňajú slabé miesta, ktoré možno využiť ako zdroje hrozby a spôsobiť tak nepriaznivé následky na aktívach

• hlavný faktor, pomocou ktorého možno ovplyvniť úroveň rizika - zraniteľnosť

Cieľ podniku:• prijať také opatrenia, ktoré znížia riziko minimálne na úroveň

akceptovateľného rizika

• zanedbanie alebo opomenutie niektorého z ochranných opatrení, môže zapríčiniť oslabenie alebo až kolaps celého ochranného systému


Identifikácia zraniteľností a ochranných opatrení

• tri zdroje pre navrhované ochranné opatrenia:• právne aspekty bezpečnosti IS

• nezávislé ohodnotene hrozieb a ich rizík (bezpečnostný audit)• súhrn princípov, cieľov a požiadaviek na spracovanie informácií

• vzájomne sa prelínajú (dopĺňajú)

• softwarové aplikácie určené na analýzu rizík informačných technológií:

• CRAMM, COBRA - využívajú kvalitatívne metódy postavené na vhodne formulovaných vstupných otázkach expertných odhadov

• RiskPAC, RecoveryPAC - využívajú matematickú pravdepodobnosť a štatistiku (napr. systém @RISK využíva metódu Monte Carlo)



• fáza ocenenia rizík (Risk Assesment) - slúži na zistenie efektívnosti zabezpečenia daného komponentu IS

• zisťuje predpokladaný rozsah škôd pri rôznych udalostiach• zvažuje sa, či by prípadné náklady na realizáciu bezpečnostného

systému nepresiahli hodnotu prípadných strát spôsobených jeho zavedením

• ide vlastne o hľadanie optimálneho riešenia

Pri zavedení bezpečnostného systému sa treba vyrovnať s problémami súvisiacimi s:

• výberom dodávateľa• implementáciou do IS• výchovou pracovníkov a mnohými ďalšími

• budovanie bezpečného IS je proces, ktorý treba periodicky opakovať


Metódy identifikácie a autentizácie

Identifikácia – prihlásenie sa používateľa do systému (napr. zadaním mena)

Autentizácia – overenia totožnosti používateľa

Metódy autentizácie:• na základe znalosti – heslom• na základe vlastníctva – predmetom• na základe našich vlastností – biometrickými vlastnosťami


Autentizácia heslom

• najjednoduchší, najstarší, najflexibilnejší a najlacnejší spôsob autentizácie

• veľmi rozšírený• založený na softwarovom riešení bez hardwarových doplnkov• veľmi zraniteľný

• používatelia sa dopúšťajú mnohých priestupkov:• svoje heslá značia na tie najprístupnejšie miesta, často si ich

medzi sebou navzájom vymieňajú, nie sú ochotní ich pravidelne obmieňať a nedbajú na zásady tvorby hesiel pri ich určovaní


Autentizácia heslom

• väčšina ochranných prostriedkov je založená na softwarových riešeniach - množstvo útokov proti nim

• špeciálne programy, ktorými možno heslá zadávané používateľmi „odchytávať“ pomocou rezidentných programov

• program generuje kombinácie, s ktorými sa pokúsi o prienik cez ochrannú bariéru atď.

• pokúsiť sa „získať“ heslo pomocou najrôznejších trikov či špionáže

• najväčšie nebezpečenstvo hrozí od pracovníkov vlastnej firmy


Autentizácia predmetom

• je podstatne spoľahlivejší ako predchádzajúci• používa sa viacero typov predmetov:

• magnetické alebo čipové karty• zariadenia typu Touch Memory • rôzne klávesnicové miniterminály

• zariadenia tohto typu sú podstatne účinnejšie • napriek tomu môže dôjsť k narušeniu bezpečnostného systému

– ak sa prístupové heslá z týchto zariadení prenášajú počítačovou sieťou alebo komunikačným prostriedkom, ktorý nie je nijako chránený


Biometrická autentizácia

• ide o najbezpečnejšiu metódu autentizácie• používa sa na automatizované zistenie alebo overenie

totožnosti osoby podľa jej jedinečných telesných charakteristík:• odtlačky prstov

• geometria dlane

• črty tváre

• kresba a tvar rohovky

• očné pozadie

• alebo podľa charakteristických znakov správania sa človeka, t.j. podľa hlasu, dynamike podpisu, či používania klávesnice či myši

• používateľ nemusí nosiť nijaký predmet a nemusí si pamätať heslá



• princíp fungovania biometrických systémov je spoločný:• z nasnímaných vzoriek sa na základe sofistikovaných

matematických algoritmov vyberú charakteristické prvky a vytvorí sa tzv. šablóna umožňujúca automatizované spracovanie

• slúži ako podklad, ku ktorému sa neskôr prirovnávajú nasnímané vzorky pri overovaní alebo určovaní totožnosti

• má najlepšie vyhliadky do budúcnosti• kľúčovým problémom je cena

• v súčasnosti sa experimentuje s viacerými systémami založenými na tomto type autentizácie



Kde sa biometria používa v štátnom sektore:• nová generácia elektronických dokladov

cestovné doklady ID karty zdravotné karty poistenecké karty

• identifikácia osôb používajúcich sociálne výhody• mnohoúčelové preukazy na kontrolu vstupov do budov,

zabezpečených priestorov, prostriedkov výpočtovej techniky, počítačových sietí a aplikácií

• identifikácia osôb pri živelných pohromách a katastrofách,• identifikácia rizikových skupín (členovia extrémistických skupín

a pod.)



• kriminalistické identifikačné systémy• zabezpečenie väzníc a utečeneckých táborov• zabezpečenie vojenských objektov pri zahraničných vojenských

misiách



Kde sa biometria používa v súkromnom sektore:• kontrola vstupov do budov, zabezpečených priestorov• prístup k prostriedkom výpočtovej techniky, do počítačových

sietí a aplikácií• overovanie klientov v samoobslužných aplikáciách:

bankomaty služby cez telefón a cez internet internetové bankovníctvo platobné systémy v obchodných reťazcoch

• overovanie totožnosti klientov v súvislosti so sezónnymi lístkami (zábavné parky, športoviská, zoo)

• identifikácia VIP a neželaných osôb v kasínach a kluboch


Súčasný stav

• väčšina poškodených systémov bola chránená iba pomocou hesla

• 70 až 80% úspešných útokov proti bezpečnostným systémom pochádza od vlastných zamestnancov

• významný krok vedúci k zvýšeniu bezpečnosti IS je zavedenie kvalitnejšieho spôsobu autentizácie


Programy ohrozujúce bezpečnosť

• aplikačné programy, ktoré môžu poškodiť alebo celkom zničiť dáta, spôsobiť kompromitáciu utajovaných skutočností a obmedziť poprípade vylúčiť funkčnosť celého IS

Útoky proti integrite a utajeniu dát:

Trapdoors – nedokumentovaný vstup do programového modulu:• doplnenie príkazu do množiny príkazov, ktoré modul

normálne vykonáva

• obvykle sú odstránené pred dokončením modulu• môžu byť ponechané za účelom ladenia ďalších modulov

Trójske kone (trojan horses) – vykonáva ešte ďalšie skryté akcie


Útoky proti integrite a utajeniu dát

Salámový útok (salami attack) – využíva chyby pri zaokrúhľovaní• je veľmi ťažko detekovateľný

• používaný vo veľkých SW systémoch

• nespôsobuje viditeľné problémy

• jeho zistenie je často iba náhodné

Skryté kanály (covert channels) – vytvorenie skrytého kanála• spôsob vhodný pre únik malého množstva informácií

• prakticky nedetekovateľné


Programy ohrozujúce bezpečnosť

Útoky proti dosiahnuteľnosti služieb systému

Hladové programy (greedy programs):• programy s veľmi nízkou prioritou

• vykonávajú najrôznejšie zdĺhavé výpočty

• môžu spôsobiť zahltenie celého systému

• programy, ktoré generujú veľké množstvo synovských procesov,

• programy bežiace v nekonečnej slučke



Vírusy – programy s autoreprodukčnou schopnosťou:• pripojí sa alebo nahradí časť kódu napadnutého programu• obsahujú obranné mechanizmy proti detekcii• svoju reprodukciu vykonávajú bez akýchkoľvek vedľajších

prejavov• následky vírusovej nákazy majú najrôznejšie podoby• podmienkou je neopatrná manipulácia s programovým

vybavením, prenášanie väčšinou nelegálneho software apod.

• ochrana: preškolenie personálu, rozdelenie všetkých programov a súvisiacich dát do oddielov



Červy (worms) – sieťová obdoba vírusov, majú schopnosť prostredníctvom komunikačných liniek sa šíriť z jedného počítača na druhý:

• rovnaké zhubné účinky ako vírusy, ale ich expanzia je ďaleko rýchlejšia (rádovo hodiny !!!)

• obranou je kvalitná správa programového vybavenia, používanie iba dobre otestovaných programov a rozdelenie siete na domény, medzi ktorými dochádza k minimálnemu zdieľaniu informácií, ktoré je ešte podrobené dôkladnej kontrole



Peer reviews – dokončený návrh riešení a dokončený kód sú podrobené oponentúre ostatných členov tímu

Modularita, zapuzdrenie, ukrytie informácií – program má byť rozdelený na malé navzájom nezávislé moduly

Výhoda: • ľahká údržba, zrozumiteľnosť, znovu použiteľnosť, opraviteľnosť

a testovateľnosť

• moduly majú medzi sebou minimum väzieb, všetky interakcie sa odohrávajú cez presne definované a zdokumentované rozhranie

• stačí, aby všetky moduly mali definovaný vstup, výstup a funkciu

• je nevhodné šíriť spôsob, ako modul svoju funkciu vykonáva



Nezávislé testovanie – testovanie by mal vykonávať nezávislý tím

Správa konfigurácií (Configuration management) – hlavným cieľom je zaistenie dostupnosti a používanie správnych verzií software

• zaisťuje udržovanie integrity programov a dokumentácie

• všetky zmeny sú vyhodnocované a zaznamenané

• zabraňuje úmyselným dodatočným zmenám už odskúšaných programov

• správca konfigurácií prijíma programy výlučne v zdrojovom kóde so súpisom a popisom vykonaných zmien

• je nutné viesť detailné informácie čo, kto, kedy urobil



Dôkazy správnosti programov – neexistuje obecná metóda ako overiť správnosť programu

• existuje metóda spočívajúca v transformácii programu do sústavy logických formúl, pomocou ktorých je možné overiť, či istým vstupom odpovedajú požadované výsledky

Kontrolné mechanizmy operačného systému – mnohé nedostatky môže pokryť vhodne navrhnutý operačný systém



Spoľahlivý software (trusted software) – sú programy, pri ktorých predpokladáme, že sú funkčne korektné a že túto korektnosť žiadajú aj od modulov, ktoré samé spúšťajú

• program je funkčne korektný, pokiaľ vykonáva správne všetky očakávané funkcie a nič viac

• spoľahlivý software zaisťuje prístup k citlivým dátam pre užívateľov, ktorým nie je možné dať priamy prístup k prvotnej reprezentácii dát

Vzájomné podozrievanie (Mutual suspicion) – programy pracujú ako keby ostatné moduly boli chybné

• neveria volajúcim, že odovzdávajú korektné vstupy

• overujú, že volaná rutina odovzdala správne dáta

• s ostatnými komunikujú iba prostredníctvom dobre chráneného rozhrania



Obmedzenia (Confinement) – používajú operačné systémy proti podozrivým programom

• podozrivý program má prísne vymedzené, aké systémové zdroje smie používať

Parcelizácia informácií (Information compartement) – každá informácia leží práve v jednej oblasti, každý program môže pracovať s dátami z najviac jednej oblasti, do ktorej sám patrí

Access Log - systém musí zaznamenávať čo, kto, kedy a ako dlho robil

• podľa stupňa utajenia sa volí množina zaznamenávaných aktivít

obsah

Documents