Pobieranie prezentacji. Proszę czekać

Pobieranie prezentacji. Proszę czekać

3. SOCJOLOGICZNE ASPEKTY BEZPIECZEŃSTWA SYSTEMÓW I SIECI KOMPUTEROWYCH Rodzaje sprawców zagrożeń i motywy ich postępowania 1) Zwykli użytkownicy (nie wykazujący.

OpublikowałAndrzej Bednarczyk Został zmieniony 8 lat temu

Podobne prezentacje

Prezentacja na temat: "3. SOCJOLOGICZNE ASPEKTY BEZPIECZEŃSTWA SYSTEMÓW I SIECI KOMPUTEROWYCH Rodzaje sprawców zagrożeń i motywy ich postępowania 1) Zwykli użytkownicy (nie wykazujący."— Zapis prezentacji:

1 3. SOCJOLOGICZNE ASPEKTY BEZPIECZEŃSTWA SYSTEMÓW I SIECI KOMPUTEROWYCH Rodzaje sprawców zagrożeń i motywy ich postępowania 1) Zwykli użytkownicy (nie wykazujący złej woli) Statystyki podają, że wśród wszystkich sprawców zagrożeń dominują liczebnie zwykli, zarejestrowani użytkownicy systemów komputerowych w sieciach lokalnych, którzy nie wykazują się złą wolą, a jedynie takimi cechami charakteru, jak nieuwaga, niestaranność, łatwowierność czy lenistwo w wypełnianiu obowiązków służbowych. Użytkownik nieuprzywilejowany (taki, który nie posiada praw administratora) wbrew pozorom ma dość duże możliwości wyrządzania nieumyślnych szkód – fizyczne uszkodzenie sprzętu lub łącz na terenie firmy, usunięcie lub nadpisanie danych, na których pracuje, przekazanie osobie nieupoważnionej swojego hasła dostępu do systemu komputerowego lub informacji na temat wersji i konfiguracji sprzętu i oprogramowania używanego w firmie, rozprzestrzenianie złośliwego oprogramowania przez niewłaściwe używanie nośników wymiennych lub poczty elektronicznej, i wiele innych.

2 Szczególnie duże możliwości wyrządzania szkód mają (z oczywistych powodów) administratorzy zasobów informatycznych firmy, dlatego też wymagania wobec jakości ich pracy muszą być szczególnie wysokie. Interesujące spostrzeżenia są zawarte w materiałach Cisco 2011 Annual Security Report odnośnie typowych cech pracowników nowego pokolenia, kończących obecnie studia i przyjmowanych do pracy. Według powyższego raportu przeciętny młody pracownik: – preferuje elastyczny tryb pracy – możliwość pracy zdalnej w dowolnym miejscu i czasie;  oczekuje swobody dostępu do mediów publicznych oraz prywatnych stron domowych przy użyciu sprzętu komputerowego swojej firmy;  odwiedza Facebook przynajmniej raz dziennie;  nie ma ochoty przebywać w swoim zakładzie pracy w stałych porach dnia;  przyjmuje, że to dział IT, a nie on, jest odpowiedzialny za bezpieczeństwo informacji;  jest gotów przeciwstawić się zaleceniom działu IT, jeśli umożliwi mu to wykonanie zleconego zadania;  posiada wiele urządzeń przenośnych (laptop, tablet, telefon) – czasem po kilka egzemplarzy.

3 Podobnie przeciętna młoda pracownica:  niechętnie podjęłaby pracę w firmie, w której zakazany jest dostęp do mediów publicznych;  chciałaby mieć swobodę przynoszenia i używania w pracy swojego prywatnego sprzętu (na przykład laptopa);  nie chciałaby wykonywać całej pracy na terenie zakładu pracy – uważa, że może być bardziej wydajna mogąc pracować w dowolnym miejscu i czasie;  zmuszona do dokonania wyboru, wolałaby mieć dostęp do Internetu, niż posiadać samochód;  nie przywiązuje szczególnej wagi do zabezpieczania haseł dostępu;  odwiedza Facebook przynajmniej raz dziennie;  pozwala innym ludziom (nawet obcym) używać swojego komputera i innych urządzeń. Powyższe dane powinny być poważnie potraktowane przez pracodawców (i wzięte pod uwagę w organizacji pracy).

4 Przeciwdziałanie zagrożeniom wynikającym z niedoskonałości charakteru pracowników polega głównie na opracowaniu i konsekwentnym egzekwowaniu polityki bezpieczeństwa firmy. Polityka bezpieczeństwa jest dokumentem określającym zasady zapewniania bezpieczeństwa zasobom informatycznym firmy. Dokument ten zazwyczaj jest opracowywany przez dział IT danej firmy (w przypadku braku takiego działu lub niewystarczającej wiedzy pracowników w nim zatrudnionych można zlecić opracowanie wyspecjalizowanej firmie zewnętrznej) i zatwierdzony przez kierownictwo firmy. Powinien być zgodny z aktualną wersją normy PN - ISO/IEC. Polityka bezpieczeństwa jest zwykle dość złożonym dokumentem, określającym obowiązki w zakresie ochrony informacji zarówno szeregowych pracowników, jak i kierowników poszczególnych jednostek organizacyjnych firmy oraz pracowników działu IT. Dotyczy między innymi takich spraw, jak polityka haseł dostępu, zasady technicznej ochrony lokalnej sieci komputerowej i jej zasobów, częstość i zakres tworzenia oraz sposób przechowywania kopii zapasowych danych (backup) czy procedury postępowania w sytuacjach awaryjnych (na przykład zanik zasilania sprzętu, pożar lub włamanie do sieci komputerowej). Bardziej szczegółowe przykłady zasad polityki bezpieczeństwa będą podane później (po omówieniu różnych rodzajów zagrożeń i sposobów przeciwdziałania).

5 Po opracowaniu i zatwierdzeniu polityki bezpieczeństwa musi być ona podana przez kierownictwo firmy do wiadomości wszystkich pracowników (w takim zakresie, w jakim ich dotyczy), jak również muszą być jasno określone sposoby jej egzekwowania (w szczególności wyciągania konsekwencji służbowych i karnych wobec pracowników, którzy nie będą jej przestrzegali). Ogólną zasadą obowiązującą w tworzeniu polityki bezpieczeństwa jest zasada minimalnych przywilejów. Oznacza ona, że żaden pracownik firmy nie powinien posiadać szerszego zakresu praw dostępu do zasobów informatycznych firmy, niż jest to niezbędne do wykonania wydanych mu poleceń służbowych. Zasada ta dotyczy też udostępniania informacji na zewnątrz firmy – klientom, firmom współpracującym oraz publikowania informacji w Internecie. Na koniec warto wspomnieć, że na bezpieczeństwo zasobów firmy w pierwszym rzędzie ma wpływ właściwy dobór pracowników. Jeśli tylko wielkość i zasobność firmy pozwala na to, korzystne jest zaangażowanie fachowego psychologa w procesie doboru nowych pracowników, aby określił, którzy z kandydatów na pracowników rokują największe nadzieje na zdyscyplinowanie i przestrzeganie zasad podanych w polityce bezpieczeństwa.

6 2) Użytkownicy wykazujący złą wolę Do tej kategorii sprawców zagrożeń należy zaliczyć: a) pracowników mających coś za złe swojej firmie (w szczególności pracowników w okresie wypowiedzenia, którzy są zwalniani, w ich odczuciu, z niesłusznych powodów); b) pracowników świadomie współpracujących z konkurencją bądź przeciwnikami ideowymi swojej firmy lub instytucji. Jeśli chodzi o przypadek a), to pracodawca przede wszystkim powinien starać się, żeby takie zjawisko w ogóle w jego firmie nie występowało – dbanie o zadowolenie pracowników i zapewnianie sobie ich lojalności jest bardzo wysoko procentującą inwestycją. Jeśli już ktoś z jakichś powodów jest zwalniany z pracy, należy możliwie szybko (najlepiej na samym początku okresu wypowiedzenia) pozbawić go dostępu do zasobów informatycznych firmy w takim zakresie, jaki będzie możliwy. Należy pamiętać, że (w celu uniknięcia odpowiedzialności) użytkownicy tacy dość często instalują złośliwe oprogramowanie jako „bombę z opóźnionym zapłonem” (tak zwaną bombę logiczną), która uaktywnia się dopiero po pewnym czasie (na przykład kilka miesięcy po odejściu pracownika) i sieje spustoszenie w zasobach informatycznych.

7 Jeśli chodzi o przypadek b) (szpiedzy lub dywersanci przemysłowi, polityczni lub ideologiczni), wykrywanie ich jest zazwyczaj bardzo trudne, gdyż często ich celem jest jedynie skopiowanie informacji i przekazanie jej na zewnątrz firmy, a nie uszkodzenie czegokolwiek. Mogą kryć się na wszystkich szczeblach hierarchii służbowej firmy - od kadry kierowniczej aż do personelu pomocniczego (uwaga: sprzątanie w serwerowni powinno odbywać się wyłącznie pod nadzorem osoby odpowiedzialnej za nią !). Zagrożenie tego rodzaju może częściowo zmniejszyć okresowy audyt bezpieczeństwa przeprowadzany przez niezależną, wyspecjalizowaną firmę zewnętrzną. Szczególnym przypadkiem jest zwalnianie się z pracy administratora miejscowych zasobów informatycznych. Jest to naprawdę trudny moment w funkcjonowaniu firmy – należy starać się, aby było to przewidziane z możliwie dużym wyprzedzeniem w czasie, i aby następca był znaleziony i wyszkolony jeszcze w czasie pracy dotychczasowego pracownika. Po odejściu dotychczasowego administratora i przejęciu obowiązków przez nowego jest wskazane zreinstalowanie przez niego funkcjonującego w firmie oprogramowania w takim zakresie, w jakim nie zakłóci to działania firmy.

8 3) Sprawcy zewnętrzni (działający spoza sieci lokalnej firmy) Tego rodzaju sprawcy zagrożeń podejmują świadomą działalność mającą na celu przełamanie zabezpieczeń i nieuprawniony dostęp do zasobów sieci lokalnej. Motywy ich postępowania mogą być rozmaite i zazwyczaj wyróżnia się następujące ich kategorie: a) amatorzy W żargonie często określani są jako „dzieciaki” lub „dzieci skryptowe” (script kiddies). Są osobami o dość niskim poziomie wiedzy informatycznej, korzystającymi wyłącznie z cudzych narzędzi służących do włamywania się do systemów (zwykle pobranych z nielegalnych stron domowych). Ataki przez nich przeprowadzane są często nazywane „niestrukturalnymi” z powodu ich chaotycznego, przypadkowego charakteru. Służą na ogół głównie zaspokajaniu ciekawości. Jeśli atak nie powiedzie się, zwykle atakujący zniechęca się i próbuje znaleźć inny cel. W większości przypadków wystarczającą obroną przed tego rodzaju atakami jest prawidłowa konfiguracja zapory sieciowej (firewall’a) i należyte zabezpieczenie udostępnianych na zewnątrz usług sieciowych (w szczególności nakładanie aktualnych łat na oprogramowanie serwerów).

9 b) włamywacze profesjonalni nie wykazujący złej woli Są osobami dysponującymi dużą wiedzą informatyczną i znajomością aktualnie używanego oprogramowania. Zwykle sami przygotowują narzędzia służące do włamań (dysponują umiejętnością czytania kodu źródłowego programów i znajdywania w nim luk w bezpieczeństwie, umieją często przeprowadzić dezasemblację programu binarnego). Ataki w ich wykonaniu (w przeciwieństwie do amatorskich) są często nazywane „strukturalnymi” (ukierunkowanymi). Główne motywy ich postępowania to zwykle chęć sprawdzenia własnych umiejętności (i poszerzenia wiedzy) oraz zdobycie sławy i rozgłosu. Włamywacze tego rodzaju (choć działają niezgodnie z prawem) często przyczyniają się w rezultacie do poprawy bezpieczeństwa, gdyż po udanych atakach publikują później sposoby zapobiegania takim atakom w przyszłości. W ostatnich 20 latach znanych było wiele przypadków, kiedy sprawcy wyjątkowo pomysłowych ataków (świadczących o bardzo dużej wiedzy) byli następnie (po ujawnieniu się) zatrudniani przez duże firmy informatyczne jako (bardzo dobrze opłacani) specjaliści do spraw bezpieczeństwa zasobów informatycznych.

10 c) włamywacze profesjonalni działający z pobudek negatywnych Są sprawcami ataków strukturalnych, dla których istotne jest osiągnięcie celu, a nie zastosowana metoda. Często starają się przedostać do atakowanej sieci zarówno od wewnątrz (stosując inżynierię społeczną lub przekupując bądź szantażując pracowników), jak i od zewnątrz (jeśli atak od wewnątrz okaże się niemożliwy). Motywy ataków mogą być finansowe (na przykład działanie na rzecz firmy konkurencyjnej), polityczne (na przykład działanie na rzecz wrogiego państwa) lub ideologiczne (na przykład działania antyglobalistów lub fanatyków religijnych). Możliwe jest też działanie z powodu nieukierunkowanej chęci niszczenia (wandalizm). Ze względu na wielokierunkowość ataków tego rodzaju sprawców zabezpieczanie przed nimi również musi odbywać na wielu płaszczyznach jednocześnie – dbanie o dobre imię firmy/organizacji, unikanie konfliktów z innymi firmami i organizacjami oraz z własnymi pracownikami, opracowanie właściwej polityki bezpieczeństwa i konsekwentne egzekwowanie jej, jak również zastosowanie wszystkich uzasadnionych kosztowo środków technicznych do zabezpieczenia sieci i systemów komputerowych.

11 Inżynieria społeczna (social engineering) Pod tą poprawną politycznie nazwą kryją się różne metody manipulacji pracownikami atakowanej firmy przez osoby o złych zamiarach, w celu zdobycia informacji o hasłach dostępu do zasobów informatycznych lub informacji o używanym w firmie sprzęcie i oprogramowaniu (i ich konfiguracji). Atakujący zwykle dysponują dość dużymi zdolnościami psychologicznymi (są przekonujący, wydają się być wiarygodni). Typowe stosowane metody (poczynając od najprostszych): – zatelefonowanie do pracownika (rzekomo jako administrator) i poproszenie o podanie hasła w celu naprawy konta pracownika; – udawanie pracownika policji lub prokuratury i zażądanie od pracownika podania rozmaitych danych w celu umożliwienia przeprowadzenia śledztwa; – nakłonienie pracownika (w przyjacielskiej rozmowie) do przechwałek na temat sprzętu i oprogramowania zainstalowanego w jego firmie; – udawanie pracownika serwisu i wymiana (rzekomo uszkodzonego) twardego dysku w komputerze pracownika.

12 Jednym z bardziej niebezpiecznych sposobów jest zainstalowanie tak zwanego „fałszywego ekranu logowania” w komputerze kolegi bądź koleżanki w pracy. Nieduży i nie zwracający na siebie uwagi program działa w taki sposób, że wyświetla na monitorze obraz identyczny z tym, który wyświetla prawdziwy program logowania do systemu, a następnie, po wprowadzeniu przez użytkownika loginu i hasła (i zapamiętaniu ich przez fałszywy program) wyświetla komunikat o błędzie i przekazuje sterowanie do prawdziwego programu logowania. Na ogół użytkownik w takim przypadku daje przekonać się, że rzeczywiście popełnił błąd, i loguje się ponownie, zapominając o tym zdarzeniu. Podstawową metodą zabezpieczania przeciwko inżynierii społecznej są szkolenia pracowników (zarówno wstępne, jak i okresowe), przedstawianie im różnych możliwości ataków i staranne instruowanie, jak należy postępować w przypadku jakichkolwiek podejrzeń. Zapisy na temat okresów i sposobów przeprowadzania szkoleń powinny zostać umieszczone w polityce bezpieczeństwa danej firmy.

13 Polityka haseł Stopień komplikacji i okres ważności haseł dostępu do zasobów informatycznych firmy zależy od administratora tych zasobów. Powinien on prowadzić w tym zakresie rozsądną politykę, stosując zasadę „złotego środka”. Z punktu widzenia bezpieczeństwa hasła powinny być możliwie skomplikowane i możliwie często wymieniane, ale jest to niechętnie widziane przez pracowników, gdyż utrudnia im zapamiętywanie ich (a tym samym skłania do zapisywania haseł na papierze, co stanowi zagrożenie ich poufności). Obecnie przyjmuje się, że przy założeniu standardowego poziomu bezpieczeństwa hasło powinno mieć przynajmniej 8 znaków, i że powinny być to znaki z szerszego zestawu, niż tylko zbiór małych liter na klawiaturze. W alfabecie angielskim jest 26 małych liter, ale jeśli uwzględnimy, że małe i duże litery są rozróżnialne, to dysponujemy zestawem 52 znaków, jeśli dodamy do tego jeszcze cyfry, to mamy już 62 znaki, a jeśli symbole specjalne, to jeszcze więcej. Obliczenia kombinatoryczne związane z hasłami będą przeprowadzone przy okazji późniejszych rozważań kryptograficznych.

14 Hasła powinny być zmieniane co okres zależny od założonego poziomu bezpieczeństwa. Nie powinno to być zbyt często, gdyż pracownicy odbierają to wtedy jako formę dokuczania im, ale co pewien czas jednak powinno to następować (na przykład raz w roku). Nie powinien być możliwy powrót do przynajmniej trzech ostatnio używanych haseł. Zalecane jest stosowanie w danej sieci lokalnej scentralizowanego systemu uwierzytelniania użytkowników (serwer uwierzytelniania), gdyż umożliwia to użytkownikom posiadanie jednego hasła do wszystkich zasobów, do których mogą mieć dostęp, a tym samym odciąża ich pamięć. Na ogół wymuszanie na użytkownikach okresowej zmiany haseł (przy jednoczesnym sprawdzeniu ich stopnia komplikacji oraz niezgodności z ostatnio używanymi hasłami) wykonywane jest automatycznie przez odpowiedni program – administrator nie musi robić tego „ręcznie”.

Pobierz ppt "3. SOCJOLOGICZNE ASPEKTY BEZPIECZEŃSTWA SYSTEMÓW I SIECI KOMPUTEROWYCH Rodzaje sprawców zagrożeń i motywy ich postępowania 1) Zwykli użytkownicy (nie wykazujący."

Podobne prezentacje

Bezpieczeństwo informatyczne Informatyka śledcza

Bezpieczeństwo informatyczne Informatyka śledcza
Kompleksowe zarządzanie bezpieczeństwem informacji

Kompleksowe zarządzanie bezpieczeństwem informacji
BEZPIECZEŃSTWO DANYCH W KOMPUTERZE

BEZPIECZEŃSTWO DANYCH W KOMPUTERZE
Sieci komputerowe.

Sieci komputerowe.
16-11-2004 1 SIECI KOMPUTEROWE (SieKom) PIOTR MAJCHER WYŻSZA SZKOŁA ZARZĄDZANIA I MARKETINGU W SOCHACZEWIE Zarządzanie.

SIECI KOMPUTEROWE (SieKom) PIOTR MAJCHER WYŻSZA SZKOŁA ZARZĄDZANIA I MARKETINGU W SOCHACZEWIE Zarządzanie.
E ASY R EMOTE T ERMINAL C ONTROLER ERTC. C EL PRODUKTU ERTC jest to aplikacja, która umożliwia bezpośrednią pracę na zdalnym komputerze. Dzięki niej można.

E ASY R EMOTE T ERMINAL C ONTROLER ERTC. C EL PRODUKTU ERTC jest to aplikacja, która umożliwia bezpośrednią pracę na zdalnym komputerze. Dzięki niej można.
WITAM NA SZKOLENIU Porady na dziś i jutro.

WITAM NA SZKOLENIU Porady na dziś i jutro.
Systemy operacyjne.

Systemy operacyjne.
1 Kryteria wyboru systemów: Przystępując do procesu wdrażania zintegrowanego systemu zarządzania, należy odpowiedzieć na następujące pytania związane z.

1 Kryteria wyboru systemów: Przystępując do procesu wdrażania zintegrowanego systemu zarządzania, należy odpowiedzieć na następujące pytania związane z.
Kodeks świadomego użytkownika internetu

Kodeks świadomego użytkownika internetu
Administracja zintegrowanych systemów zarządzania

Administracja zintegrowanych systemów zarządzania
Artur Szmigiel Paweł Zarębski Kl. III i

Artur Szmigiel Paweł Zarębski Kl. III i
1 Podstawy informatyki H. P. Janecki- 2006_2007 30.11.2006 Systemy Operacyjne W6.

1 Podstawy informatyki H. P. Janecki- 2006_ Systemy Operacyjne W6.
Bezpieczeństwo w sieci

Bezpieczeństwo w sieci
SIEĆ P2P 1. Definicja sieci równouprawnionej. To taka sieć, która składa się z komputerów o takim samym priorytecie ważności, a każdy z nich może pełnić.

SIEĆ P2P 1. Definicja sieci równouprawnionej. To taka sieć, która składa się z komputerów o takim samym priorytecie ważności, a każdy z nich może pełnić.
Środki bezpieczeństwa

Środki bezpieczeństwa
Konfiguracja kont w programie Adobe Dreamweaver

Konfiguracja kont w programie Adobe Dreamweaver
E-Safety.

E-Safety.
„Wirusy i inne zarazki”

„Wirusy i inne zarazki”
Tworzenie nowych kont lokalnych i domenowych, oraz zarządzanie nimi

Tworzenie nowych kont lokalnych i domenowych, oraz zarządzanie nimi

Podobne prezentacje

Reklamy Google