Tölvumál - 01.06.1997, Blaðsíða 19
TÖLVUMÁL
sýslulýsingar)
6. Birgðir (t.d. pappír, form,
segulbönd)
Þegar þessi atriði eru skráð
þarf að meta hættuna sem steðjar
að hverju fyrir sig. Svo sem áhættu
vegna óheimils aðgangs að búnaði,
upplýsingastulds eða hindrunar á
eðlilegri þjónustu fyrirtækisins.
Stefnuatriði
Atriði sem taka þarf afstöðu til
og skrá við mótun öryggisstefnu
geta verið:
1. Hverjir hafa heimild til að nota
tilteknar auðlindir.
2. Hver eru eðlileg not á þessum
auðlindum.
3. Hverjir mega veita heimildir til
aðgangs og notkunar.
4. Hverjirfáréttinditil kerfisum-
sjónar, hversu ítarleg og upp-
skipt þau eru.
5. Hver er réttur notenda og skyld-
ur.
6. Hver eru réttindi og skyldur
kerfisstjóra umfram almenna
notendur.
7. Hvemig eru viðkvæmar upp-
lýsingar meðhöndlaðar.
Leiðir tii að raungera
öryggisstefnu
Þar sem öryggisstefnan sjálf
kveður almennt á um HVAÐ skuli
gera þarf í framhaldinu að koma á
lýsingum á því HVERNIG í við-
eigandi smáatriðum á að fram-
kvæma öryggisstefnuna í einstök-
um liðum. Framkvæmdin þarf að
taka mið af því hvað er hagkvæmt
kostnaðarlega miðað við þau verð-
mæti sem eru í hættu.
Það þarf að skilgreina aðgerðir
sem gripið er til ef óheimilla
aðgerða verður vart. Einn mikil-
vægasti þátturinn til að koma í veg
fyrir óeðlilegt ástand er að öllum
sé ljóst innihald öryggisstefnunnai'.
Þetta verður að gera með mark-
vissri kynningu stefnunnar, bæði
fyrir almennum notendum og þeim
sem sinna kerfishluta tölvuum-
hverfisins.
Öryggismarkmið
Þótt e.t.v. væri göfugt markmið
að reyna að ná fullkomnu öryggi í
tölvuumhverfi samtímans þá er
það engan vegin raunhæft. Virk
vitund um hætturnar, forvarnar-
aðgerðir og fyrstu fyrirbyggjandi
viðbrögð eru áhrifamest og kosta
minnst. Þegar kröfur um öryggi
aukast vex jaðarkostnaður marg-
falt við hvert viðbótar öryggisstig,
auk þess sem algerlega öruggur
búnaður verður að öllum líkindum
ekki nothæfur með góðu móti
vegna hafta og reglna sem þarf að
framfylgja.
Tæknin til að verjast og byggja
upp öryggi verður æ fullkomnari,
en jafnframt þróast ört tæknin og
þekkingin til að brjóta öryggið.
Þekking á öryggismálum krefst æ
meiri sérhæfingar og byggir bæði
á þekkingu á mannlegri hegðun og
sértækri þekkingu á innstu eigind-
um tölvusamskipta og nettenginga.
Reyndin er sú að mikið af til-
raunum til innbrota eru gerðar
þegar unglingar eru að fikta með
aðfengnum hugbúnaðartólum.
Þetta má gjarnan merkja af því
hversu viðvaningslegar aðgerð-
irnar eru, t.d. er oft reynt að gefa
dæmigerðar PC skipanir þótt brot-
ist sé inn á Unix vél.
í umhverfi þar sem öryggis-
varnir eru þokkalegar er oft mun
fyrirhafnarminna að brjótast inn á
tölvukerfi með því að beita félags-
legum brellum en tæknilegum.
Þetta á einkum við um fyrirtæki
þar sem fræðslu hefur verið lítt
sinnt og þekking og ábyrgð starfs-
fólks hefur ekki verið vakin eða
viðhaldið. Dæmi um notkun fél-
agslegra tengsla er þegar tölvu-
þrjótur notar kunningsskap til að
komast að nafnareglum á tölvu-
búnaði einhvers fyrirtækis og
styttir sér þannig leið til að nálgast
lykilorð löglegs notanda. Önnur
dæmi eru um tölvuþrjóta sem
senda eins konar ‘Tróju hesta’ í
tölvupósti til valins eða valinna
starfsmanna fyrirtækis sem þeir
sækjast eftir gögnum frá. Þessi
„falski“ tölvupóstur gæti innihald-
ið skjal sem keyrir forrit, þegar
farið er eftir saklausum leiðbein-
ingum og smellt á viðeigandi íkon
þannig að inn á einhverja tölvu
laumast t.d. netsnuðrarabúnaður
sem er sérlega ætlað að safna
nöfnum og lykilorðum af staðar-
netum og senda svo út úr húsi með
tölvupósti.
Tölvubúnaður
afhentur án varna
Tölvubúnaður er enn fram-
leiddur og afhentur notendum op-
inn og óvarinn, tilbúinn að tengjast
öllum á sem auðveldastan hátt.
Eðlilegra er að lokað sé fyrir sem
flesta möguleika, og þeir sérstak-
lega opnaðir fyrir þær tengingar
sem formlega er ákveðið að nota
og þörf er fyrir. Þetta ástand stafar
líklega af því að tæknin á sér
gjarnan uppruna í fílabeinstumum
stórfyrirtækja og háskóla, þar sem
þessi öryggisvitund hefur ekki fest
rætur.
Það er mikilvægt strax í upp-
hafi við hönnun og uppsetningu á
tölvubúnaði á hverjum vinnustað
að hafa það sem meginreglu að
allar tengingar og þjónustur séu
lokaðar nema þær séu sérstaklega
opnaðar. Með slíkum vinnubrögð-
um ætti að liggja fyrir meðvituð
ákvörðun um allar þjónustur og
tengingar sem komið er á. Það er
hins vegar staðreynd að hverri
JÚNÍ1997 - 19