Izabela Puczyowska Bezpieczestwo wewntrzne, studia stacjonarne, II stopnia Zagroenia bezpieczestwa informacji w Polsce i na wiecie 1.

Bdy Bdy s niewtpliwie najpowszechniejszym rdem zagroe bezpieczestwa informacji. Dotycz gwnie ochrony informacji i zasobw przedsibiorstw czy rnego rodzaju instytucji bezpieczestwa. Wyrniamy dwa gwne rodzaje bdw: bd ludzki i bd techniczny Bd ludzki pomyka uprawnionego uytkownika powodujca straty (np. czasowe, finansowe)1. Bdy polega mog na naruszeniu przepisw organizacji, ujawnieniu informacji osobom niepowoanym, zej klasyfikacji otrzymanych informacji, opnieniach przy umieszczaniu informacji w systemie, zgubienie nonikw z danymi, nie zachowanie naleytej starannoci (zostawienie wanych informacji w miejscu publicznym). Prawdopodobiestwo wystpienia bdu ludzkiego zmniejsza si poprzez przeprowadzanie rnego rodzaju szkole, ograniczanie uprawnie uytkownikw, weryfikacj osb uprawnionych do korzystania ze szczeglnego rodzaju informacji. Bd techniczny pomyki lub szkody powstae na skutek problemw natury mechanicznej (np. przepenienie bufora wystpuje przy prbie zapisania w pamici programu zbyt duej iloci danych koczy si przerwaniem pracy programu, w razie wystpienia bdu zapisanie nowych danych niszczc przy tym przechowywane dane, lub nawet fragmenty kodu wykonawczego programu) . Szczeglnym rodzajem bdu mog by awarie systemu, na ktre naraone s wspczenie systemy informacyjne suce wspczenie do przesyania, otrzymywania czy tworzenia informacji. Powoduj one wzrost zagroenia utraty, uszkodzenia danych lub brakiem moliwoci obsugi systemu. 2. Zoliwe dziaania i oprogramowania Rozmylne ataki czyli ataki osb fizycznych i grup, ktrych celem jest okrelony system . Celami takich atakw bardzo czsto staj si take wanie informacje (np. informacje finansowe, informacje o danej instytucji majce szczeglne znaczenie, lub mogce przynie jej szkod).
2

1 2

D.L. Pipkin, Bezpieczestwo informacji. Ochrona globalnego przedsibiorstwa, Warszawa 2002, s. 42. D.L. Pipkin, Op.cit., s. 49.

Ataki dokonywane s przez hakerw czyli osoby o wysokich zdolnociach informatycznych, szukajca i wykorzystujca luki systemw i saboci ich zabezpiecze. Zagroenie to w odniesieniu do bezpieczestwa informacji jest szczeglnie wane przy elektronicznych systemach patnoci, gdzie motywacj hakerw staa si moliwo kradziey pienidzy. Zoliwe oprogramowania to programy tworzce bd wykorzystujce miejsca w systemie podatne na uszkodzenia (np. bomby czasowe, bomby logiczne, pasoyty, programy wszce, konie trojaskie, wirusy, robaki, krliki). Zoliwe oprogramowania dotykaj ju take uytkownikw telefonw z systemem Android. System atakowany jest przez Malware, oprogramowanie bdce Trojanem. 3. Nieprawidowoci w przetwarzaniu danych osobowych Nieprawidowoci mog mie wiele przyczyn. Moemy do nich zaliczy: nie waciwie opracowan i nie wdroon polityk bezpieczestwa danych osobowych czy instrukcj zarzdzania systemem informatycznym. System musi te spenia specjalne wymogi techniczne. Dostp do danych osobowych powinien odbywa si na podstawie okrelonych mechanizmw kontroli. Kady zbir danych oraz program powinien mie te wykonan swoj kopi. Nie powinno si zbiera danych w szerszym zakresie ni wynika to z kodeksu pracy. Czstym bdem jest te niezawarcie umowy powierzenia przetwarzania danych osobowych. Przykady wyciekw danych osobowych: Polska bank PKO S.A. ujawnienie w Internecie CV nadesanych do banku, USA Google kradzie komputerw firmy Colt Express Outsourcing Services i ujawnienie danych pracownikw zatrudnionych przez Google i ich rodzin, Niemcy koncern medialny Axel Springer ujawniono osobiste dane klientw z Hamburga i obszaru Berlina3, Sony kradzie danych klientw z kont PlayStation Network i Qriocity. 4. Podrabianie dokumentw publicznych w celach przestpczych Podrabianie dowodw osobistych, paszportw w celu dokonania kradziey pienidzy, zacignicia kredytu czy innego rodzaju zobowiza na cudze nazwisko. Polskie dokumenty publiczne speniaj wszelkie normy zabezpiecze i odznaczaj si ich wysokim poziomem4 jednak nadal mona spotka si z tego rodzaju wypadkami.

A. Guzik, Zagroenia bezpieczestwa danych osobowych przetwarzanych przez instytucje i firmy z sektora bankowego, [w:] <www.ochronainformacji.pl>. 4 E. Ciszewska, N. epczyk, Zabezpieczenia w polskich dokumentach publicznych, Przegld Bezpieczestwa Wewntrznego, nr 2 (2) 2010, Warszawa, s. 121-132.

Faszywe dowody wykorzystane byy w serii kradziey dokonanych w 2010 roku5. Porabiane dokumenty byy znakomicie sfaszowane na pierwszy rzut oka byy identyczne, posiaday nawet hologram wieccy w promieniach UV, wydaway jedynie inny dwik przy upadku na blat. Dlatego nadal niezwykle wan kwesti przy ochronie informacji jest udoskonalanie zabezpiecze dokumentw publicznych, a take zasad ich weryfikacji przy np. dostpie do rachunkw bankowych. 5. Podszywanie si kradzie tosamoci Dziaania zwizane z dostpem do informacji uprawnionego uytkownika poprzez kradzie danych potrzebnych do logowania, hase. w tym celu wykorzystuje si kilka metod: Spoofing atakujcy system udaje zaufany system komputerowy w celu uzyskania dostpu do informacji z danej sieci. Phishing (pochodzcy od sowa fishing) polega na uzyskaniu od uprawnionego uytkownika wymaganych danych dostpu do systemu. W tym celu podszywa si pod uprawnion do tego osob, portal np. utworzenie identycznego interfejsu logowania, wysyanie wiadomoci e-mail z prob o podanie hase i loginw, tworzenie niemal identycznych adresw stron (np. www.paypai.com zamiast www.paypal.com). 6. Publikowanie tajnych informacji Gronym i niepodanym zjawiskiem jest take dostp nieuprawnionych osb do informacji tajnych. Dostp do tego typu informacji czsto zwizany jest z bdem ludzkim np. rozmowy pracownikw instytucji zajmujcych si przetwarzaniem informacji niejawnych w miejscach publicznych; niezachowaniem odpowiednich przepisw wynoszenie dokumentw z miejsca pracy, wyrzucenie nie zniszczonych dokumentw. Publikacj wykradzionych informacji, czsto tajnych informacji, zajmuje si witryna internetowa WikiLeaks. W sposb anonimowy mona opublikowa tam dokumenty rzdowe czy korporacyjne. Ma to suy wskazaniu na dziaania tych instytucji, ktre s niezgodne z prawem. Rodzi jednak ryzyko wykorzystania portalu w zupenie inny sposb6. 7. Infiltracja Zagroenie odnoszce si do wojska czy innych pastwowych instytucji bezpieczestwa. Infiltracja czyli dziaania osb nieupowanionych majce zapewni im dostp do informacji lub zasobw sieci teleinformatycznej. Dzielimy j na biern (ledzenie
5

Zob.: Skok doskonay, [w:] < http://spoleczenstwo.newsweek.pl/skok-doskonaly,65267,1,1.html> (dostp: 12.03.2012). 6 Zob.: <http://wikileaks.org/>.

informacji w miejscu jej obiegu) i czynn (planowe i wiadome zdobywanie informacji poprzez ingerencj w struktur i elementy systemu). Infiltracja aktywna jest groniejsza, gdy umoliwia zmian danych, zagraa autentycznoci informacji7. 8. Sabe zabezpieczenia Czsto sabo zabezpiecze wynika z dziaania ludzkiego tj. uywania tych samych hase zabezpieczajcych dostp do systemw, uywania hase atwych i popularnych, zapisywanie pamici. 9. Klski ywioowe (np. poar, powd, trzsienie ziemi) Klski ywioowe i ich bezporednie skutki wywieraj duy wpyw na bezpieczestwo informacji. Utrata cennych informacji, pozwolenie na swobodny dostp do nich osb nieuprawnionych, zalanie wod wanych dokumentw, eksplozja, zodzieje sprztu to tylko niektre z moliwych zagroe wynikajcych ze skutkw klsk ywioowych. Naley wic zwrci szczegln uwag na np. przestrzeganie przepisw przeciwpoarowych, ochron przeciwpoarow, szkolenia pracownikw w tym zakresie. 10. Cyberterroryzm Cyberterroryzm jest zjawiskiem zajmujcym kilka paszczyzn: bezpieczestwo teleinformacyjne; bezpieczestwo teleinformatyczne; informatyk; bezpieczestwo osobowe; narodowe i midzynarodowe regulacje prawne; dane osobowe. Cyberterroryzm jest definiowany przez K.C. White jako wiadome wykorzystanie systemu informacyjnego, sieci komputerowych lub jej czci skadowych w celu wsparcia lub uatwienia terrorystycznej akcji. Naley wic pamita, e w XXI wieku informacja bdzie cennym towarem wykorzystywanym przez grupy terrorystyczne przenoszce swoje dziaania na aren cyberprzestrzeni. ich w widocznych lub publicznych miejscach, podawanie osobom nieuprawnionym, nieprzestrzeganie zasad i przepisw bezpieczestwa, zapisywanie hase w

A. Wisz, Bezpieczestwo informacji w wojskowych sieciach <www.bbn.gov.pl/download.php?s=1&id=1002> (dostp: 12.03.2012).

teleinformatycznych,

[w:]

Bibliografia Borowiecki R., Kwieciski M. (red.), Monitorowanie otoczenia. Przepyw i bezpieczestwo informacji, Zakamycze 2003. Ciszewska E., epczyk N., Zabezpieczenia w polskich dokumentach publicznych, Przegld Bezpieczestwa Wewntrznego, nr 2 (2) 2010, Warszawa, s. 121-132. Grzywak A., Klamka J., Kapczyski A., Sobota M., Wspczesne problemy bezpieczestwa informacji, Dbrowa Grnicza 2008. Liderman K., Bezpieczestwo informacji w systemach informatycznych, Warszawa 2001. Pipkin D.L., Bezpieczestwo informacji. Ochrona globalnego przedsibiorstwa, Warszawa 2002.

Akty prawne Rozporzdzenie Ministra Spraw Wewntrznych z dnia 29 kwietnia 2004 roku w sprawie wzoru zgoszenia zbioru danych do rejestracji do Generalnego Inspektora Ochrony danych Osobowych [Dz.U. z 2004 r. Nr 100, poz. 1025]. Rozporzdzenie Ministra Spraw Wewntrznych z dnia 29 kwietnia2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunkw technicznych i organizacyjnych jakim powinny odpowiada urzdzenia i systemy suce do przetwarzania danych osobowych [Dz.U. z 2004 r. Nr 100, poz. 1024]. Ustawa z dnia 22 stycznia 1999 r. o ochronie informacji niejawnych [Dz.U. 1999 nr 11 poz. 95]. Ustawa z dnia 29 sierpnia 1997 roku o ochronie danych osobowych [Dz.U. 1997 Nr 133 poz. 883]. Ustawa z dnia 6 wrzenia 2001 r. o dostpie do informacji publicznej [Dz.U. 2001 nr 112 poz. 1198].

Strony internetowe <http://wikileaks.org/>. Guzik A., Zagroenia bezpieczestwa danych osobowych przetwarzanych przez instytucje i firmy z sektora bankowego, [w:] <www.ochronainformacji.pl>. Skok doskonay, [w:] < http://spoleczenstwo.newsweek.pl/skok-doskonaly,65267,1,1.html> Wisz A., Bezpieczestwo informacji w wojskowych sieciach teleinformatycznych, [w:] <www.bbn.gov.pl/download.php?s=1&id=1002>.