Prawa i przepisy regulujące bezpieczeństwo cybernetyczne

Środki techniczne, wraz ze środkami organizacyjnymi, stanowią podstawowe elementy środków bezpieczeństwa. Podczas gdy środki organizacyjne koncentrują się przede wszystkim na ustalaniu zasad i polityki w organizacji, środki techniczne dotyczą przede wszystkim zasad tworzenia systemów i usług informacyjno-komunikacyjnych.

W ramach każdego działania technicznego przedstawione zostaną ewentualne narzędzia open source mające zastosowanie do danego działania.

6.8.1 Bezpieczeństwo fizyczne

Bezpieczeństwo fizyczne koncentruje się przede wszystkim na ochronie zasobów technicznych jednostki. W odniesieniu do bezpieczeństwa fizycznego Maisner stwierdza, że "celem tego środka jest przede wszystkim uniemożliwienie osobom nieupoważnionym dostępu do poszczególnych elementów infrastruktury, serwerowni, miejsc pracy administratorów systemu itp. Celem jest zapobieganie kradzieży aktywów bezpośrednio i pośrednio związanych z systemem informatycznym lub zapobieganie uszkodzeniom sprzętu materialnego i niematerialnego oraz wyposażenia pomieszczeń. Ponadto stara się zapobiegać wyciekom informacji i danych".[1]

Osoba zobowiązana jest w ramach bezpieczeństwa fizycznego:

·       zapobiegać uszkodzeniu, kradzieży lub niewłaściwemu wykorzystaniu aktywów albo przerwaniu świadczenia usług systemu teleinformatycznego,

·       ustanowić fizyczną granicę bezpieczeństwa ograniczającą obszar, na którym przechowywane i przetwarzane są informacje oraz znajdują się zasoby techniczne systemu teleinformatycznego,

·       stosować środki ochrony fizycznej na granicy fizycznej:

-       aby zapobiec nieautoryzowanemu dostępowi,

-       aby zapobiec uszkodzeniom i ingerencjom osób niepowołanych,

-       aby zapewnić ochronę na poziomie obiektu i wewnątrz obiektów.

Termin obwód bezpieczeństwa fizycznego określa wyznaczony obszar lub granice tego obszaru. Przestrzenią tą może być na przykład zbiór obiektów, sam obiekt lub jego część.

Budynek oznacza obiekt budowlany lub inną zamkniętą przestrzeń. Granica obiektu oznacza przegrodę budowlaną, barierę fizyczną (ogrodzenie) lub inną widocznie określoną granicę obszaru. Obszar zabezpieczony oznacza strukturalnie lub w inny widoczny sposób wydzieloną przestrzeń w obrębie obiektu.

Środkami bezpieczeństwa fizycznego mogą być:

·       urządzenia do barier mechanicznych (np. zamki, drzwi, kraty, folie, szkło i inne elementy konstrukcyjne i budowlane związane z bezpieczeństwem, sejfy gabinetowe, drzwi skarbców i sejfy komorowe,

·       system kontroli dostępu do zabezpieczonego obszaru [alarmowe i elektroniczne systemy bezpieczeństwa, czujki (ruchu, zbicia szyby itp.) określające warunki wejścia: element identyfikacyjny, PIN, dane biometryczne (lub ich kombinacja)],

·       elektryczne urządzenia sygnalizacyjne bezpieczeństwa (systemy alarmowe i awaryjne - panele sterowania elektrycznymi urządzeniami sygnalizacyjnymi bezpieczeństwa, czujki elektrycznych urządzeń sygnalizacyjnych bezpieczeństwa, czujki wstrząsowe, systemy detekcji obwodowej, systemy awaryjne itp,)

·       specjalne systemy telewizyjne (systemy kamer, systemy nadzoru CCTV itp.),

·       elektryczny system alarmu pożarowego (podłączenie do centrali alarmu pożarowego lub do centrali alarmu pożarowego),

·       środki ograniczające skutki pożarów i klęsk żywiołowych (systemy alarmowe, czujniki dymu, systemy tryskaczowe itp.),

·       sprzęt zapewniający ochronę przed awarią zasilania (źródła rezerwowe - UPS, generatory diesla itp.).

Możliwe jest także wdrożenie np:

·      urządzenia chroniącego przed pasywnym i aktywnym podsłuchem.[2]

Obszary, do których dostęp powinien być ograniczony lub uregulowany z punktu widzenia bezpieczeństwa systemów teleinformatycznych, to w szczególności serwerownie (podstawowe, zapasowe), obszary z elementami sieci (routery, przełączniki itp.), obszary przechowywania danych (szafy na dokumenty, pamięci NAS itp.), pomieszczenia administratorów teleinformatycznych itp.

Przykład: bezpieczeństwo fizyczne jest jednym z obszarów, w których zazwyczaj dochodzi do naruszeń zasad organizacyjnych i w których konieczne jest przeprowadzanie okresowych audytów. Podczas gdy większość pozostałych czynności w organizacji jest wykonywana przez administratorów, zarządzanie dostępem fizycznym jest często powierzane, na przykład ze względu na oszczędności, mniej wykwalifikowanym pracownikom, którzy mogą nie mieć takiej samej świadomości rzeczywistych problemów związanych z bezpieczeństwem.

Autor spotkał się z kilkoma sytuacjami, w których po pewnym czasie osoba odpowiedzialna za fizyczną kontrolę dostępu, choć nie miała wystarczających uprawnień do udzielenia pozwolenia, zaczęła przyznawać uprawnienia do dostępu osobom, które nie powinny mieć dostępu do danych obszarów (np. serwerowni), na przykład tylko dlatego, że przełożony poprosił o dostęp do obszaru chronionego.

Narzędzia typu open source mogą być również wykorzystywane do zapewniania bezpieczeństwa fizycznego. W szczególności będzie to przypadek "wdrożenia centralnych konsoli bezpieczeństwa, w tym systemów nadzoru CCTV". Do tego celu można wykorzystać narzędzia przeznaczone do monitorowania elementów sieci (Icinga, Nagios itp.), uzupełnione o interfejsy dla odpowiednich czujników, połączone z programami do przesyłania i przechwytywania sygnałów wideo z kamer bezpieczeństwa."[3]

6.8.2 Narzędzia do ochrony integralności sieci komunikacyjnych

Niektórzy administratorzy są zobowiązani:

·      zapewnić segmentację sieci komunikacyjnej,

·      zapewnić kontrolę komunikacji w obrębie sieci komunikacyjnej i na obwodzie sieci komunikacyjnej (tzn. kontrolować bezpieczny dostęp między siecią wewnętrzną i zewnętrzną),

·      stosować kryptografię w celu zapewnienia poufności i integralności danych podczas zdalnego dostępu, zdalnego zarządzania lub dostępu do sieci komunikacyjnej z wykorzystaniem technologii bezprzewodowych (np. użycia kryptografii by zapewnić połączenie sieci teleinformatycznej VPN z siecią Wi-Fi itp,)

·      aktywnie blokować niechcianą komunikację (np. filtry spamu itp.),

·      zapewnić segmentację sieci i zarządzać komunikacją między segmentami sieci z użyciem narzędzi zapewniających ochronę integralności sieci komunikacyjnej.

"Narzędzie do ochrony integralności sieci komunikacyjnych jest tu rozumiane jako odpowiednio zaprojektowana topologia sieci, w tym zastosowanie elementów sieciowych, które umożliwiają wymaganą segmentację sieci i filtrowanie ruchu między poszczególnymi elementami. Urządzenia stosowane do spełnienia tych wymagań to przełączniki Ethernet, routery i zapory sieciowe. Jeśli segmentacja sieci nie może być zapewniona przez sieci VLAN na zarządzalnym przełączniku, może być zapewniona przez kilka mniejszych, niezarządzalnych przełączników, z których każdy realizuje pojedynczą fizyczną sieć LAN.

W przypadku segmentacji niektórych sieci możliwe jest także zastosowanie np. routerów Turris (https://www.turris.cz/cs/ ), które gwarantują wysoki poziom bezpieczeństwa (dzięki oprogramowaniu sprzętowemu, które zostało zaprojektowane z myślą o maksymalnym bezpieczeństwie) oraz niskie zużycie energii.

Routery programowe/ zapory sieciowe: www.ipcop.org/ ; https://www.ipfire.org/

Przełącznik Ethernet dla środowisk zwirtualizowanych: http://www.openvswitch.org/".[4]

6.8.3 Narzędzie do weryfikacji tożsamości użytkownika

W ramach bezpieczeństwa fizycznego niektórzy administratorzy są zobowiązani do korzystania z narzędzia do zarządzania tożsamością użytkowników, administratorów i aplikacji systemu teleinformatycznego oraz do weryfikowania ich tożsamości.

Narzędzie to jest obecnie de facto częścią wszystkich powszechnie używanych systemów operacyjnych (Linux, iOS, Windows). Jak podaje VoKB, narzędzie to ma zapewnić:

·      weryfikację tożsamości osoby (przed rozpoczęciem działań w systemie teleinformatycznym),

·      kontrolę liczby możliwych nieudanych prób logowania,

·      odporność przechowywanych lub przesyłanych danych uwierzytelniających na kradzież i niewłaściwe wykorzystanie,

·      przechowywanie danych uwierzytelniających w formie odpornej na ataki offline,

·      ponowne uwierzytelnianie tożsamości po określonym czasie bezczynności,

·      zachowanie poufności danych uwierzytelniających podczas przywracania dostępu,

·      scentralizowane zarządzanie tożsamością.

Osoba zobowiązana wykorzystuje następujące elementy do weryfikacji tożsamości użytkowników, administratorów i aplikacji:

1.     mechanizm uwierzytelniania, który nie opiera się wyłącznie na użyciu identyfikatora konta i hasła, ale na uwierzytelnianiu wieloczynnikowym z użyciem co najmniej dwóch różnych typów czynników,

2.     narzędzie do weryfikacji tożsamości użytkowników, administratorów i aplikacji, wykorzystujące uwierzytelnianie za pomocą klucza kryptograficznego i gwarantujące podobny poziom bezpieczeństwa[5] ,

3.     Narzędzie do uwierzytelniania użytkowników, administratorów i aplikacji, które do uwierzytelniania wykorzystuje identyfikator konta i hasło.[6]

Jeśli do uwierzytelniania używane są konto i hasło, muszą być spełnione następujące warunki:

·      minimalna długość hasła:

·      możliwość wprowadzenia hasła składającego się z co najmniej 64 znaków,

·      możliwość stosowania w haśle dużych i małych liter, cyfr i znaków specjalnych,

·      możliwość zmiany hasła, z zachowaniem co najmniej 30-minutowych odstępów między zmianami hasła,

·      niezezwalanie użytkownikom i administratorom na:

·      obowiązkowa zmiany hasła w odstępach nie dłuższych niż 18 miesięcy, z wyjątkiem kont używanych do odzyskiwania danych po awarii,

·      wymuszenie natychmiastowej zmianę domyślnego hasła po pierwszym użyciu,

·      natychmiastowe unieważnienie hasła użytego do przywrócenia dostępu po jego pierwszym użyciu lub po upływie maksymalnie 60 minut od jego utworzenia,

·      uwzględnienie zasad tworzenia bezpiecznych haseł w planie zwiększania świadomości bezpieczeństwa.

Przykład: podczas szkolenia użytkowników zaleca się korzystanie z praktycznych przykładów. Na przykład narzędzia CEWL lub CUPP. Oba te rozwiązania można znaleźć na przykład w dystrybucji Linuksa Kali. Narzędzie CEWL może utworzyć słownik do ataku słownikowego dostosowany do konkretnej organizacji na podstawie zawartości jej strony internetowej. Narzędzie CUPP może wówczas utworzyć słownik dostosowany do potrzeb konkretnego użytkownika. Te praktyczne demonstracje są, jak wynika z doświadczeń autorów, bardzo przydatne dla użytkowników, ponieważ mogą oni praktycznie przekonać się, że ich wcześniej używane hasło składające się na przykład z daty urodzenia i imienia rodzinnego psa może zostać wygenerowane, jeśli atakujący posiada wystarczające informacje na ich temat.

"W zakresie praktycznego uwierzytelniania tożsamości użytkowników społeczność open source oferuje wiele programów zgodnych z ich komercyjnymi odpowiednikami. Należą do nich:

FreeRADIUS - http://freeradius.org/ /RADIUS

OpenLDAP - http://www.openldap.org/ /Microsoft AD, Oracle Internet Directory

Kerberos - https://www.gnu.org/software/shishi/

OpenDiameter - https://sourceforge.net/projects/diameter/

Wszystkie te narzędzia zapewniają możliwość egzekwowania określonej złożoności hasła oraz innych atrybutów wymaganych przez ZoKB, albo samodzielnie poprzez login.conf, albo przy użyciu zewnętrznych mechanizmów, takich jak cracklib i słowniki popularnych "haseł".[7]

6.8.4 Narzędzie kontroli uprawnień dostępu

Niektórzy administratorzy są zobowiązani do stosowania scentralizowanego narzędzia kontroli dostępu w ramach bezpieczeństwa fizycznego.

Termin "zezwolenie" oznacza prawo dostępu do zasobu (zazwyczaj systemu informatycznego lub komunikacyjnego, aplikacji itp.) W praktyce jest to narzędzie do "zarządzania użytkownikami i grupami" oraz narzędzie do ustawiania uprawnień do plików i katalogów. Narzędzia te są zastrzeżoną częścią wszystkich standardowych systemów operacyjnych.

Scentralizowane narzędzie do zarządzania uprawnieniami dostępu, zapewniające zarządzanie uprawnieniami:

·       w celu uzyskania dostępu do poszczególnych zasobów systemu teleinformatycznego; oraz

·       do odczytu danych, zapisu danych i zmiany uprawnień.

Wskazane jest zastosowanie narzędzi do scentralizowanego zarządzania uprawnieniami dostępu, które będą komunikować się z centralnym serwerem AAA (Authentication, Authorization, Accounting).

Przykład: podczas projektowania oprogramowania należy pamiętać o zarządzaniu uprawnieniami dostępu. Autor zna aplikację, która miała bardzo ogólne uprawnienia i w zasadzie posiadała tylko role administratora i użytkownika. Administrator został upoważniony do dodawania innych użytkowników i administratorów, a użytkownik został upoważniony do wykonywania innych czynności. Aplikacja ta zawierała jednak ważne informacje o klientach organizacji. Ponieważ aplikacja ta nie pozwalała na żadną granulację uprawnień, wszyscy użytkownicy, niezależnie od ich rzeczywistych potrzeb, byli uprawnieni do dostępu do dowolnej części informacji o kliencie. Sytuacja ta doprowadziła w końcu do wycieku danych dotyczących konkretnego klienta.

6.8.5 Narzędzie do ochrony przed złośliwym kodem

Niektórzy administratorzy wprowadzają ochronę przed złośliwym kodem jako część systemu bezpieczeństwa fizycznego mającego:

·      zapewnić (biorąc pod uwagę znaczenie aktywów) stosowanie narzędzia do ciągłej automatycznej ochrony

·      monitorować i kontrolować korzystanie z urządzeń wymiennych i nośników danych,

·      kontrolować automatyczne uruchamianie zawartości urządzeń wymiennych i nośników danych,

·      kontrolować uprawnienia do wykonywania kodu,

·      przeprowadzać regularne i skuteczne aktualizacje narzędzia do ochrony przed złośliwym kodem.

"Ochrona przed złośliwym oprogramowaniem rozpowszechnianym za pośrednictwem poczty elektronicznej. Rozwiązaniem typu open source zapewniającym ochronę przed złośliwym oprogramowaniem jest projekt ASSP (AntiSpam SMTP Proxy, https://sourceforge.net/projects/assp/), który umożliwia złożoną konfigurację zachowania serwera proxy za pomocą interfejsu WWW.

Ochrona przed złośliwym oprogramowaniem rozpowszechnianym za pośrednictwem Internetu. Dobrym rozwiązaniem jest na przykład projekt HTTP AntiVirus Proxy (http://www.havp.org/) lub www.cacheguard.com. Również w tym przypadku należy zapewnić odpowiednią ochronę stacji roboczych punktów końcowych, ponieważ zaszyfrowany ruch nie może być skanowany w czasie rzeczywistym w trybie "man-in-the-middle".

Blokowanie jego ruchu sieciowego, zarówno na poziomie infrastruktury danych, jak i na poziomie "osobistych zapór ogniowych" stacji końcowych. Zasady komunikacji sieciowej powinny być ustawione w sposób "paranoidalny", tzn. zezwalać tylko na ruch niezbędny do działania legalnego oprogramowania, nie zezwalać na wszystko inne. Jednak środki po stronie serwera, serwera proxy lub elementów infrastruktury sieciowej w żadnym wypadku nie zastępują w pełni ochrony przed złośliwym oprogramowaniem na stacjach roboczych punktów końcowych, zwłaszcza że nie zawsze są one w stanie przechwycić ruch szyfrowany, który jest odszyfrowywany dopiero w programie klienckim. "[8]

6.8.6 Narzędzie do wykrywania zdarzeń związanych z bezpieczeństwem cybernetycznym

W ramach bezpieczeństwa fizycznego niektórzy administratorzy są zobowiązani do wdrożenia w sieci komunikacyjnej, której częścią jest system teleinformatyczny, narzędzia do wykrywania zdarzeń związanych z bezpieczeństwem cybernetycznym w celu zapewnienia:

·      weryfikacji i kontroli przesyłanych danych w sieciach komunikacyjnych i pomiędzy nimi,

·      weryfikacji i kontroli przesyłanych danych na granicy sieci komunikacyjnej; oraz

·      blokowania niechcianej komunikacji.

"Do wykrywania zdarzeń związanych z bezpieczeństwem cybernetycznym można wykorzystać dane wyjściowe wielu narzędzi programowych, takich jak Logwatch (https://sourceforge.net/projects/logwatch/files/), Epylog (https://fedoraproject.org/wiki/Infrastructure/Fedorahosted-retirement), systemy wykrywania włamań, takie jak OpenVAS (http://openvas.org/), Suricata (https://suricata-ids.org/), Snort (https://www.snort.org/) czy Samhain (la-samhna.de/Samoin). "[9]

6.8.7 Narzędzie do zbierania i oceny zdarzeń związanych z bezpieczeństwem cybernetycznym

W ramach bezpieczeństwa fizycznego niektórzy administratorzy są zobowiązani do stosowania narzędzia do gromadzenia i ciągłej oceny zdarzeń związanych z bezpieczeństwem cybernetycznym, aby umożliwić

·      gromadzenie i ocenę zdarzeń,

·      wyszukiwanie i grupowanie powiązanych rekordów,

·      przekazywanie wyznaczonym osobom odpowiedzialnym za bezpieczeństwo informacji o wykrytych zdarzeniach związanych z bezpieczeństwem cybernetycznym,

·      ocenianie zdarzeń związanych z bezpieczeństwem cybernetycznym w celu identyfikacji incydentów związanych z bezpieczeństwem cybernetycznym, w tym wczesne ostrzeganie wyznaczonych osób odpowiedzialnych za bezpieczeństwo,

·      ograniczanie przypadków nieprawidłowej oceny zdarzeń poprzez regularne aktualizowanie ustawień reguł dla:

·      wykorzystanie informacji uzyskanych przez narzędzie do gromadzenia i oceny zdarzeń związanych z bezpieczeństwem cybernetycznym w celu optymalnego ustawienia środków bezpieczeństwa systemu teleinformatycznego.

Narzędzia służące do gromadzenia i oceny zdarzeń związanych z bezpieczeństwem cybernetycznym określa się mianem SIEM (Security Incident and Event Management).

W ramach rozwiązania SIEM typu open source można wykorzystać na przykład OSSIM/USM (https://www.alienvault.com/products/usm-anywhere/try-it-now), OSSEC (www.ossec.net/) lub Logalyze (www.logalyze.com).[10]

6.8.8 Bezpieczeństwo aplikacji

W przypadku bezpieczeństwa aplikacji uwagę zwraca się na aplikacje wykorzystywane w systemach informatycznych (w ramach systemu komputerowego, urządzenia mobilnego lub jako aplikacja internetowa). Bezpieczeństwo aplikacji zapewnia się m.in. poprzez testy penetracyjne aplikacji lub zapory aplikacji.

W ramach bezpieczeństwa fizycznego niektórzy administratorzy są zobowiązani do przeprowadzania testów penetracyjnych systemu teleinformatycznego, koncentrując się na krytycznych zasobach, tj:

·       przed ich uruchomieniem oraz

·       w związku z istotną zmianą.

Osoba zobowiązana musi również zapewnić stałą ochronę wniosków, informacji i transakcji przed:

·       niedozwolonym działaniem,

·       przeciwdziałaniem podjętym działaniom.

"Do zapór aplikacji należą na przykład moduły bezpieczeństwa webservera (www.modsecurity.org) lub OWASP Web Application Firewall. Komercyjne narzędzia do testowania bezpieczeństwa aplikacji to między innymi Nessus (www.tenable.com/products/nessusvulnerability-scanner). Jego otwartą alternatywą jest projekt Open-VAS (www.openvas.org/)."[11]

6.8.9 Zasoby kryptograficzne

Kryptografia (szyfrowanie) to dziedzina nauki zajmująca się przekształcaniem zrozumiałych informacji w formę, która jest niezrozumiała dla odbiorcy, chyba że posiada on klucze, które mogą być użyte do odszyfrowania informacji.

W związku z przekazywaniem znacznej ilości danych i informacji do systemów teleinformatycznych należy zwrócić większą uwagę na możliwości szyfrowania (utajniania treści) przesyłanych danych.

Od niektórych administratorów wymaga się, aby w ramach bezpieczeństwa fizycznego chronili zasoby systemu teleinformatycznego:

·      wykorzystywali obecnie sprawdzone algorytmy kryptograficzne i klucze kryptograficzne,

·      stosowali system zarządzania kluczami i certyfikatami, który:

·      promowali bezpieczne posługiwanie się zasobami kryptograficznymi,

·      uwzględniali zalecenia dotyczące środków kryptograficznych wydane przez Urząd (NUCIB), opublikowane na jego stronie internetowej.

"Biblioteki OpenSSL (openssl.org) są wykorzystywane do zapewnienia wystarczająco solidnego szyfrowania ruchu sieciowego, ale konieczne jest zapewnienie, że są one aktualne i odpowiednio skonfigurowane, aby spełnić wymagania tego dekretu. Konieczne jest monitorowanie bieżących raportów o lukach w zabezpieczeniach i niezwłoczne uaktualnianie niezgodnych wersji bibliotek do wariantów bez znanych luk. W tym zakresie można polecić projekt bettercrypto (https://bettercrypto.org/), który ma pomóc administratorom w jak najlepszym zabezpieczeniu usług i kryptografii, z których korzystają. "[12]

6.8.10 Narzędzie do zapewniania poziomu dostępności informacji

W ramach bezpieczeństwa fizycznego niektórzy administratorzy są zobowiązani do wdrożenia środków zapewniających odpowiedni poziom dostępności:

·      dostępność systemu informacji i komunikacji,

·      odporność systemu teleinformatycznego na incydenty związane z bezpieczeństwem cybernetycznym, które mogłyby ograniczyć jego dostępność,

·      dostępność krytycznych zasobów technicznych systemu teleinformatycznego,

·      nadmiarowość zasobów niezbędnych do zapewnienia dostępności systemu teleinformatycznego.

Wdrożenie narzędzia służącego do zapewnienia poziomu dostępności informacji prowadzi do realizacji wartości organizacyjnej: zarządzania ciągłością działania (BCM).

"Aby osiągnąć wymagany poziom dostępności, można wykorzystać technologie klastrowe i chmurowe opracowane jako open source (KVM, OpenStack) lub oprogramowanie do tworzenia kopii zapasowych/odtwarzania (https://sourceforge.net/projects/bacula/), które zapewnia dostępność zastępczego zasobu w określonym czasie. "[13]