Tölvumál - 01.06.1997, Page 20
T
tengingu og þjónustu fylgja ekki
bara þægindi, heldur líka ákveðnar
hættur og líkur á að hver um sig
geti valdið þekktum og óþekktum
öryggisholum. Það er því mikils
vert að strax í upphafi sé metið
hvort þessar þjónustur séu þess
virði fyrir fyrirtækið og
starfsemina að þær séu settar upp.
Nýjar hættur
Gríðarleg samkeppni kyndir
undir glannaskap í útgáfu hugbún-
aðar sem settur er á almennan
markað.
Nýlegt dæmi um slíkt er vef-
ráparinn Intemet Explorer frá stór-
fyrirtækinu Microsoft, sem berst
grimmilega fyrir markaðshlutdeild
sinni á Internetinu. Að því komust
háskólapiltar í Bandaríkjunum
fyrir tilviljun að með einfaldri að-
gerð getur hver sem er sett upp
sérstaklega útbúna vefsíðu, sem
inniheldur „illa innrættar" skrár
eða forrit. Þegar notandi smellir á
viðkomandi netslóð er hægt að
útfæra aðgerðir þannig að forritið
flytjist inn á tölvu hans og keyri
þar. Þetta forrit getur verið af
hvaða tagi sem er, t.d. eyðilagt öll
gögn á diskum eða snuðrað á net-
búnaði fyrirtækis eftirviðkvæmum
upplýsingum, o.s.frv. Semsagt
dæmi um hvernig hægt er að kom-
ast bakdyramegin inn í tölvukerfi
fyrirtækja, framhjá netvirki og líka
dæmi um fljótræðisleg vinnubrögð
og skeytingarleysi hugbúnaðar-
framleiðanda sem setti á markað
illa prófaða vöru.
Viðbrögð við fréttum af þessu
í fyrirtæki því sem ég vinn hjá, þar
sem öryggið er sett í öndvegi, voru
þau að öllum veftengingum út úr
húsi var snarlega lokað og viðeig-
andi ráðstafanir gerðar, en þær
voru m.a fólgnar í því að sækja
lagfæringar frá framleiðanda og
dreifa til notenda og sannreyna að
þau meðul virkuðu. Slíkar að-
gerðir eru hreint ekki vinsælar hjá
notendum, en þessi litla reynslu-
Ö L V U M Á
saga úr hversdagnum sýnir einmitt
nauðsyn þess að á bak við slík við-
brögð liggi skýr og þekkt fyrirmæli
í öryggisstefnu sem skyldi um-
sjónarmenn að bregðast faglega
við en þeir þurfi ekki að taka
skyndiákvarðanir í andstöðu við
háværar kröfur notenda um
þjónustur.
Neyðaráætlun
Síðasti stóri liðurinn sem ég
vildi nefna í þessu yfírliti er líklega
sá mikilvægasti þegar á hólminn
er komið, en það er ítarleg neyðar-
áætlun. Þessari áætlun má líkja við
leikplan hjá íþróttafólki; hvernig
á fyrirfram að skipuleggja og æfa
markvisst sókn og sigur í barátt-
unni við illskeyttan andstæðing.
Tilgangurinn er að minnka áhrif
áfalla á rekstur fyrirtækisins og
stytta þann tíma sem tekur að
koma rekstri af stað aftur eftir
meiri háttar áföll.
Neyðaráætlunin hvetur til skil-
greininga og agaðra vinnubragða
og stuðlar því að öruggara rekstr-
arumhverfi. Aætlunin inniheldur
nákvæma lýsingu á öllum hlut-
verkum sem koma við sögu í upp-
setningu og rekstri alls tölvu-
umhverfis, allt frá húsnæði til
notendahugbúnaðar til kerfis-
forritunar. Hún felur í sér ná-
kvæma lýsingu á öllum hugbúnaði
og vélbúnaði og lýsingu á því hver
ber ábyrgð á tilteknu hlutverki sem
þarf að sinna í tölvumálunum. Þar
er líka að finna lýsingu á því í
hvaða röð ber að grípa til
viðeigandi aðgerða miðað við þá
neyð sem skapast hefur.
Æfingar eru fastur liður í við-
haldi neyðaráætlunar. Þannig er oft
hægt að komast að og fyrirbyggja
vandamál með æfingu í sýndar-
ástandi, í stað þess að lenda í því í
raun og veru.
Það er nauðsynlegt að allir
starfsmenn komi að og taki þátt í
gerð og viðhaldi neyðaráætlunar.
ítarefni
Ég vona að þetta yfirlit geti
nýst einhverjum við uppsetningu
eða endurskoðun á eigin tölvu-
umhverfi. Vonandi er það liður í
að vekja fólk til umhugsunar um
öryggisþætti þess og ef einhver
hefur áhuga á að kynna sér málið
frekar þá er hér bent á nokkrar
uppsprettur til að byrja á.
Bækur
Building Internet Firewalls:
Brent Chapman & Elizabeth D.
Zwicky
Computer Security Handbook:
Richard H. Baker
Firewalls and Internet Security:
William Cheswick & Steven
Bellovin
Practical UNIX and Internet Secu-
rity, 2nd Edition:
Sirnson Garfinkel & Gene
Spafford
TCP/IP Network Administration:
Craig Hunt
Vef- / upplýsingasíður
CERT hópur á íslandi:
http://www.cert.isnet.is/
RFC geymslur: Vél:
funet.fi, yfirlit í skjali rfc-
index.txt
RFC fyrir Öryggisáætiun:
RFC1244
Tölvuöryggi almennt:
http://cs.www.ncsl.nist.gov/
http://iss.net/
News groups
comp. security. announce
comp.security.misc
Póstlistar
Firewalls póstlisti:
maj ordomo @ greatcircle. com
með textanum „subscribe fire-
walls“
Viðvaranir um holur
cert-advisory-request@cert.org
NT öryggismál
request-ntsecurity@iss.net
Rúnar Karlsson er með BA í
félagsfrœði, BS í tölvunar-
fræði og MA ínotkun tölva við
þjálfun og kennslu. Hann
starfar hjá Tölvumiðstöð
sparisjóðanna.
20 - JÚNÍ1997