T tengingu og þjónustu fylgja ekki bara þægindi, heldur líka ákveðnar hættur og líkur á að hver um sig geti valdið þekktum og óþekktum öryggisholum. Það er því mikils vert að strax í upphafi sé metið hvort þessar þjónustur séu þess virði fyrir fyrirtækið og starfsemina að þær séu settar upp. Nýjar hættur Gríðarleg samkeppni kyndir undir glannaskap í útgáfu hugbún- aðar sem settur er á almennan markað. Nýlegt dæmi um slíkt er vef- ráparinn Intemet Explorer frá stór- fyrirtækinu Microsoft, sem berst grimmilega fyrir markaðshlutdeild sinni á Internetinu. Að því komust háskólapiltar í Bandaríkjunum fyrir tilviljun að með einfaldri að- gerð getur hver sem er sett upp sérstaklega útbúna vefsíðu, sem inniheldur „illa innrættar" skrár eða forrit. Þegar notandi smellir á viðkomandi netslóð er hægt að útfæra aðgerðir þannig að forritið flytjist inn á tölvu hans og keyri þar. Þetta forrit getur verið af hvaða tagi sem er, t.d. eyðilagt öll gögn á diskum eða snuðrað á net- búnaði fyrirtækis eftirviðkvæmum upplýsingum, o.s.frv. Semsagt dæmi um hvernig hægt er að kom- ast bakdyramegin inn í tölvukerfi fyrirtækja, framhjá netvirki og líka dæmi um fljótræðisleg vinnubrögð og skeytingarleysi hugbúnaðar- framleiðanda sem setti á markað illa prófaða vöru. Viðbrögð við fréttum af þessu í fyrirtæki því sem ég vinn hjá, þar sem öryggið er sett í öndvegi, voru þau að öllum veftengingum út úr húsi var snarlega lokað og viðeig- andi ráðstafanir gerðar, en þær voru m.a fólgnar í því að sækja lagfæringar frá framleiðanda og dreifa til notenda og sannreyna að þau meðul virkuðu. Slíkar að- gerðir eru hreint ekki vinsælar hjá notendum, en þessi litla reynslu- Ö L V U M Á saga úr hversdagnum sýnir einmitt nauðsyn þess að á bak við slík við- brögð liggi skýr og þekkt fyrirmæli í öryggisstefnu sem skyldi um- sjónarmenn að bregðast faglega við en þeir þurfi ekki að taka skyndiákvarðanir í andstöðu við háværar kröfur notenda um þjónustur. Neyðaráætlun Síðasti stóri liðurinn sem ég vildi nefna í þessu yfírliti er líklega sá mikilvægasti þegar á hólminn er komið, en það er ítarleg neyðar- áætlun. Þessari áætlun má líkja við leikplan hjá íþróttafólki; hvernig á fyrirfram að skipuleggja og æfa markvisst sókn og sigur í barátt- unni við illskeyttan andstæðing. Tilgangurinn er að minnka áhrif áfalla á rekstur fyrirtækisins og stytta þann tíma sem tekur að koma rekstri af stað aftur eftir meiri háttar áföll. Neyðaráætlunin hvetur til skil- greininga og agaðra vinnubragða og stuðlar því að öruggara rekstr- arumhverfi. Aætlunin inniheldur nákvæma lýsingu á öllum hlut- verkum sem koma við sögu í upp- setningu og rekstri alls tölvu- umhverfis, allt frá húsnæði til notendahugbúnaðar til kerfis- forritunar. Hún felur í sér ná- kvæma lýsingu á öllum hugbúnaði og vélbúnaði og lýsingu á því hver ber ábyrgð á tilteknu hlutverki sem þarf að sinna í tölvumálunum. Þar er líka að finna lýsingu á því í hvaða röð ber að grípa til viðeigandi aðgerða miðað við þá neyð sem skapast hefur. Æfingar eru fastur liður í við- haldi neyðaráætlunar. Þannig er oft hægt að komast að og fyrirbyggja vandamál með æfingu í sýndar- ástandi, í stað þess að lenda í því í raun og veru. Það er nauðsynlegt að allir starfsmenn komi að og taki þátt í gerð og viðhaldi neyðaráætlunar. ítarefni Ég vona að þetta yfirlit geti nýst einhverjum við uppsetningu eða endurskoðun á eigin tölvu- umhverfi. Vonandi er það liður í að vekja fólk til umhugsunar um öryggisþætti þess og ef einhver hefur áhuga á að kynna sér málið frekar þá er hér bent á nokkrar uppsprettur til að byrja á. Bækur Building Internet Firewalls: Brent Chapman & Elizabeth D. Zwicky Computer Security Handbook: Richard H. Baker Firewalls and Internet Security: William Cheswick & Steven Bellovin Practical UNIX and Internet Secu- rity, 2nd Edition: Sirnson Garfinkel & Gene Spafford TCP/IP Network Administration: Craig Hunt Vef- / upplýsingasíður CERT hópur á íslandi: http://www.cert.isnet.is/ RFC geymslur: Vél: funet.fi, yfirlit í skjali rfc- index.txt RFC fyrir Öryggisáætiun: RFC1244 Tölvuöryggi almennt: http://cs.www.ncsl.nist.gov/ http://iss.net/ News groups comp. security. announce comp.security.misc Póstlistar Firewalls póstlisti: maj ordomo @ greatcircle. com með textanum „subscribe fire- walls“ Viðvaranir um holur cert-advisory-request@cert.org NT öryggismál request-ntsecurity@iss.net Rúnar Karlsson er með BA í félagsfrœði, BS í tölvunar- fræði og MA ínotkun tölva við þjálfun og kennslu. Hann starfar hjá Tölvumiðstöð sparisjóðanna. 20 - JÚNÍ1997

Blaðsíða 1
Blaðsíða 2
Blaðsíða 3
Blaðsíða 4
Blaðsíða 5
Blaðsíða 6
Blaðsíða 7
Blaðsíða 8
Blaðsíða 9
Blaðsíða 10
Blaðsíða 11
Blaðsíða 12
Blaðsíða 13
Blaðsíða 14
Blaðsíða 15
Blaðsíða 16
Blaðsíða 17
Blaðsíða 18
Blaðsíða 19
Blaðsíða 20
Blaðsíða 21
Blaðsíða 22
Blaðsíða 23
Blaðsíða 24
Blaðsíða 25
Blaðsíða 26
Blaðsíða 27
Blaðsíða 28
Blaðsíða 29
Blaðsíða 30
Blaðsíða 31
Blaðsíða 32
Blaðsíða 33
Blaðsíða 34
Blaðsíða 35
Blaðsíða 36