nr 5/2008 (12) ISSN 1896-5032
TEST FIREWALL STR.20 PRZESTĘPSTWA KOMPUTEROWE PRZECIWKO MIENIU STR.35
Narzędzia Ochrony Leszek Kępa
12
Przegląd kryptograficznych możliwości zabezpieczania informacji
Michał Barta
14
Czy adres IP jest prawnie chroniony jak imię i nazwisko?
Robert Koszut
22
Cyberpornografia i haking wybrane aspekty proponowanej nowelizacji prawa karnego
B
adania przeprowadzone przez specjalistów z Symantec, dotyczące bezpieczeństwa informatycznego powinny spędzać sen z powiek kierownictwu małych i średnich spółek. Ich wyniki wykazały, iż w ubiegłym roku, prawie połowa badanych firm segmentu MSP odnotowała poważną utratę informacji. Podobna liczba zapytanych przyznała, że skutkowało to widocznym pogorszeniem wyniku finansowego. Powodem tego stanu rzeczy są nie tylko kradzieże danych osób z zewnątrz, ale de facto umyślne bądź nieumyślne działania samych pracowników. Kierownictwo dokłada swoje „trzy grosze”. Przedsiębiorstwa nie kładą bowiem wystarczającego nacisku ani na specjalistyczne zabezpieczenie przechowywanych danych (często kupują oprogramowanie, które producent przeznacza jedynie do użytku domowego), ani na odpowiednią edukację kadry w zakresie zapobiegania utraty i wyciekom informacji. Warto zwrócić uwagę zwłaszcza na ten drugi aspekt. Niedoceniony bądź źle zmotywowany pracownik może okazać się „najsłabszym ogniwem” systemu informatycznego i doprowadzić do poważnych strat odczuwalnych wewnątrz i w otoczeniu firmy...
Zapraszam do lektury! Katarzyna Czajkowska
Wydawca dwumiesięcznika BOSTON IT Security Review: Software–Wydawnictwo Sp. z o.o., ul. Bokserska 1, 02-682 Warszawa, Polska Tel. +48 22 427 36 76, Fax +48 22 244 24 59 Redaktor naczelna: Małgorzata Bladowska, malgorzata.bladowska@software.com.pl Redaktor prowadząca: Katarzyna Czajkowska, katarzyna.czajkowska@software.com.pl Zespół: Żaneta Postek, zaneta.postek@software.com.pl Paweł Walczyk, pawel.walczyk@software.com.pl Współpraca merytoryczna: Michał Barta Wojciech Bojdoł Andrzej Kapałczyński Leszek Kępa Robert Koszut Arkadiusz Krawczyński Michał Młotek Agnieszka Wiercińska–Krużewska, Aleksandra Politańska
4
Kierownik produkcji: Marta Kurpiewska, marta.kurpiewska@software.com.pl Projekt makiety: Agnieszka Marchocka DTP Manager: Kamil Janiak Tagowanie: Michał Marton Korekta: Michał Mlącki Druk: Kengraf Redakcja dokłada wszelkich starań, by publikowane w piśmie informacje były poprawne, jednakże nie bierze odpowiedzialności za efekty ich wykorzystania. Wszystkie znaki firmowe zawarte w piśmie są własnością odpowiednich firm i zostały użyte wyłącznie w celach informacyjnych. Teksty opublikowane w dziale Case Study i tekst Kerio nie pochodzą od redakcji. Osoby zainteresowane współpracą prosimy o kontakt: boston@software.com.pl
www.boston–review.com
05/2008(12)
w numerze 5/2008: NEWSROOM str. 6 WYWIAD NUMERU str. 10
Na straży bezpieczeństwa Grzegorz Wojtkun – Komenda Główna Straży Granicznej
NARZĘDZIA OCHRONY str. 14
Przegląd kryptograficznych możliwości zabezpieczania informacji Leszek Kępa
TEST str. 20
Kerio WinRoute Firewall 6.5 Outpost Firewall Pro
OCHRONA DANYCH str. 24
Czy adres IP jest prawnie chroniony jak imię i nazwisko? – status prawny adresów IP z punku widzenia zasad ochrony danych osobowych Michał Barta
FACE TO FACE str. 32
Eliminować nieuczciwych Marcin Łochowski – Sąd Okręgowy Warszawa – Praga
OCHRONAPRAWNA INFORMACJI str. 35 Kodeks Karny Przestępstwa komputerowe przeciwko mieniu
Nr 5/2008 (12)
CYBERPORNOGRAFIA I HAKING str. 36
wybrane aspekty proponowanej nowelizacji prawa karnego Robert Koszut
INTERNET BANKING SECURITY str. 42 Koncepcja zarządzania ryzykiem operacyjnym w banku Andrzej Kapałczyński
UWARUNKOWANIA PRAWNE BAZ DANYCH str. 45 Zakres ochrony różnego rodzaju map Agnieszka Wiercińska-Krużewska Aleksandra Politańska
OCHRONA INFORMACJI W FIRMIE str. 48 Najsłabsze ogniwo? Michał Młotek
FACE TO FACE str. 51
Gdy w sieci zadomowi się intruz... Mariusz Rzepka – Fortinet
NARZĘDZIA OCHRONY str. 54
Sugestywność – zagrożenie XXI wieku Wojciech Bojdoł
EVENTS str. 56 EKSPERT str. 54
Robert Dąbroś – McAfee
www.boston-review.com
5
NewsRoom
IT Security Review
Jak już spać, to... na całego! Ekologia, walka z globalnym ociepleniem i kryzysem energetycznym – to nie puste hasła reklamowe, ale przede wszystkim… wymierny biznes. Szczególnie, jeśli chodzi o branżę IT. Firma Fujitsu Siemens Computers wprowadziła na światowy i polski rynek pierwsze na świecie monitory, które nie zużywają ani wata energii elektrycznej po przejściu w stan uśpienia. Mowa o urządzeniach z rodziny Scenicview Premium Line ECO. Wyposażone w specjalny – opatentowany przez producenta – przełącznik zamontowany wewnątrz urządzenia, który po wykryciu wyłączenia komputera, odcina dopływ prądu z sieci. W takim stanie monitory zużywają dokładnie tyle samo energii, co np. pozostawiony na biurku… kubek z kawą, podczas gdy do tej pory standardowe, z pozoru wyłączone urządzenia pobierały prąd rzędu 6 wat. Po włączeniu komputera osobistego, mały impuls zmienia stan
stacją złączem analogowym czy cyfrowym. Producent wyliczył, że zysk z używania wybranego modelu serii Premium Line Eco, przy założeniu średnich czasów pracy i obecnych cen energii wynosi ponad 10 euro rocznie. Niewiele? W wielopiętrowych biurowcach, nocami i podczas weekendów migają lampki uśpionych monitorów na setkach biurek, dopisując zera do rachunków za prąd.
przełącznika i „budzi” monitor w czasie jednej sekundy. Warto podkreślić, że ta funkcja działa niezależnie od tego, czy monitor jest połączony ze
itBCG uruchomi dla ING LEASE kompleksową usługę do obsługi elektronicznych faktur
Hakerzy przechwytują konta e-mailowe
Klienci ING LEASE już wkrótce będą otrzymywać elektroniczne faktury zamiast papierowych. Zgodnie z umową, zawartą pod koniec sierpnia, itBCG zreorganizuje swój system, który będzie odpowiadał za cały proces wytwarzania, wizualizacji, podpisu, udostępniania i archiwizacji e-faktur. itBCG będzie świadczył usługi wystawiania i wysyłki faktur, faktur korygujących, duplikatów faktur lub not księgowych drogą elektroniczną. Oprócz tego będzie wykorzystane Archiwum Dokumentów Finansowych, które zostanie udostępnione i utrzymywane na dedykowanym portalu ING LEASE. System dostosowany pod wymagania ING LEASE będzie zgodny z przepisami obowiązującymi w Polsce, a w szczególności z aktami regulującymi prawne aspekty wystawiania faktur elektronicznych – ustawą z dnia 18 września 2001 roku o podpisie elektronicznym (Dz. U. Nr 130, poz. 1450 ze zm.) oraz rozporządzeniem Ministra Finansów z dnia 14 lipca 2005 roku w sprawie wystawiania oraz przesyłania faktur w formie elektronicznej, a także przechowywania oraz udostępniania organowi podatkowemu lub organowi kontroli skarbowej tych faktur (Dz. U. Nr 133, poz. 1119). Po przeprowadzeniu Testów Akceptacyjnych nastąpi odbiór końcowy – klienci ING LEASE będą otrzymywali e-faktury produkcyjnie. ING LEASE to kolejny Klient IT Business Consulting Group, dzięki któremu nasza firma zwiększa konkurencyjność świadczonych usług. Usługa wprowadzona do kolejnego klienta pozwala nie tylko przyspieszyć obrót dokumentów finansowych, lecz także korzystnie wpływa na środowisko poprzez redukcję wykorzystania papieru w obrocie gospodarczym. n
6
Seria Scenicview Eco dedykowana jest użytkownikom profesjonalnym, jednak nie oznacza to, że sprzęt nie sprawdzi się w zastosowaniach do użytku domowego. Oferowana rozdzielczość do 1920x1200 pikseli przy czasie odświeżania rzędu 5 milisekund zapewni wydajność więcej niż wystarczającą do gier czy odtwarzana filmów wysokiej jakości HD. Wsparcie dla interfejsu HDMI powoduje, że jest to świetny sprzęt np. do pracy z zaawansowaną grafiką czy odtwarzania płyt Blu-Ray. n
Przechwytywanie haseł kont e-mailowych i wysyłanie wiadomości do użytkowników z osobistej książki adresowej to nowa metoda cyberprzestępców na wyłudzenie pieniędzy – poinformowała firma Symantec w raporcie „The State of Spam”. Rozsyłany e-mail przypomina dziesiątki innych oszukańczych wiadomości (tzw. „419 scam”), jednak tym razem pochodzi ze skrzynki zaufanej osoby, potrzebującej pilnie pieniędzy na powrót do kraju. Taką wiadomość dodatkowo może uwiarygodniać stosowany przez użytkownika unikalny podpis. Cyberprzestępcy nie ograniczają się jedynie do rozsyłania e-maili. Mając dostęp do skrzynki pocztowej, mogą zalogować się na strony aukcyjne, na których prawowici właściciele adresu e-mail przeprowadzają transakcje. W ten sposób w czerwcu hakerzy licytowali laptopy i zamawiali wysyłkę do Nigerii – oczywiście na koszt prawdziwego użytkownika konta. Inne wnioski z najnowszego opracowania raportu o spamie: •
•
W czerwcu spam utrzymał się na poziomie ponad 80 procent wszystkich wysyłanych wiadomości. Oznacza to, że tylko jedna na pięć wiadomości e-mail odebranych przez użytkowników była do nich prawidłowo zaadresowana. 22 procent spamu dotyczyło tematyki produktowej, 19 procent – finansowej, 18 procent – usług internetowych, zaś 17 procent – tematyki zdrowotnej. n
www.boston-review.com
Nr 5/2008(12)
NewsRoom
IT Security Review
McAfee na nowo definiuje bezpieczeństwo komputerów
Firma McAfee (NYSE: MFE) poinformowała o technologii, która wyznacza nowe standardy bezpieczeństwa w obszarze walki z wirusami, robakami, końmi trojańskimi i innymi szkodliwymi programami, radykalnie zwiększając poziom bezpieczeństwa komputerów. Technologia McAfee® Artemis (Artemida) wykorzystuje nową usługę realizowaną przez McAfee Avert® Labs do zapewnienia aktywnej ochrony w locie, podczas ataku złośliwego oprogramowania. Jest pierwszą w branży technologią ochrony użytkowników niewymagającą tradycyjnego, cyklicznego uaktualniania bazy sygnatur. Techniki stosowane przez twórców złośliwego oprogramowania są coraz bardziej wyrafinowane. Liczba ataków motywowanych finansowo podwoiła się – obecnie nawet osiem na dziesięć ataków ma w założeniu przynieść zyski cyberprzestępcom. Głównymi narzędziami ataków są strony WWW i poczta elektroniczna, a większość współczesnych szkodliwych programów ma wykradać wrażliwe informacje niepostrzeżenie dla użytkownika. FBI oszacowało, że średnie koszty związane z atakiem wynoszą od 1200 dolarów w przypadku konsumentów, do ponad 350 tys. dolarów w przypadku korporacji. Ponadto firmy doświadczają wycieków informacji, zakłóceń prowadzonej działalności, obniżenia wydajności pracy i utraty zgodności z wymogami prawa, natomiast konsumenci są narażeni na kradzieże tożsamości. Technologia McAfee Artemis daje nowy oręż w walce przeciw cyberprzestępczości, umożliwiając produktom McAfee zapewnienie bezpieczeństwa zarówno przeciw znanym, jak i przeciw nowym zagrożeniom. Dotychczas wykrywanie szkodliwego oprogramowania bazowało na sygnaturach przechowywanych na chronionych komputerach. Ta-
kie podejście wymaga uaktualniania baz sygnatur na każdym komputerze, w miarę jak pojawiają się nowe zagrożenia. Powoduje to nieuniknione opóźnienie pomiędzy rozpoznaniem zagrożenia a zabezpieczeniem wszystkich komputerów. Jest to pierwsza technologia, która umożliwia praktycznie natychmiastową reakcję na nowe zagrożenia, dla których sygnatury nie zostały jeszcze udostępnione. Kiedy na komputerze wyposażonym w oprogramowanie z technologią Artemis zostanie wykryty podejrzany plik, zostanie nawiązane połączenie z serwerami McAfee, które w czasie rzeczywistym sprawdzą, czy plik stanowi zagrożenie bezpieczeństwa. To operacja zajmuje co najwyżej parę sekund, pozostając praktycznie niezauważalna dla użytkownika. Internetowa usługa klasyfikowania i rozpoznawania zagrożeń jest rozwiązaniem nowator-
skim. Serwery Artemis wykorzystują zarówno wiedzę badaczy z firmy McAfee, dane z komputerów-pułapek (honeypot), jak i rejestrowanych na bieżąco zgłoszeń z dziesiątków milionów systemów chronionych przez oprogramowanie tej firmy. Dzięki temu na każdym komputerze ochrona będzie realizowana bardziej inteligentnie – i bardziej skutecznie. Najważniejsze korzyści z zastosowania technologii obejmują: skrócenie reakcji na nowe zagrożenia do pojedynczych sekund, połączenie najlepszych cech modeli czarnych i białych list, dynamiczna usługa internetowa, która oferuje ochronę w czasie rzeczywistym, łatwa instalacja i brak kosztów po stronie klienta. n
Raport Symantec o odpowiedzialności społecznej
Symantec Corporation (Nasdaq: SYMC) opublikowała raport na temat odpowiedzialności społecznej. Raport ujawnia zaangażowanie firmy w najważniejsze kwestie w dziedzinie ochrony środowiska, spraw społecznych i zarządzania przedsiębiorstwem. Dokument obejmuje pełną analizę, z której wynika, że dobre zarządzanie, bezpieczeństwo internetowe, ochrona prywatności, zadowolenie klientów, dbałość o środowisko i sprawy pracownicze – są głównymi priorytetami firmy Symantec w zakresie odpowiedzialności społecznej. Nr 5/2008(12)
Najważniejsze działania firmy Symantec w zakresie odpowiedzialności społecznej; zastosowano własną, „zieloną” technologię informatyczną umożliwiającą konsolidowanie centrów danych – co pozwoliło zaoszczędzić ponad 300 000 kWh energii miesięcznie; przekazano ponad 16 milionów USD w gotówce i w postaci oprogramowania do szkół, organizacji niekomercyjnych i społeczności lokalnych; kontynuowano proces wdrażania w firmie dziesięciu zasad opracowanych przez komitet Global Compact, działający przy Organizacji Narodów Zjednoczonych; klientom indywidualnym, firmom i społecznościom dostarczono odpowiednie narzędzia pozwalające podejmować stosowne działania przeciwko cyberatakom i przestępczości w Internecie; uruchomiowww.boston-review.com
no inicjatywę upowszechnienia rodzinnych zasad bezpieczeństwa internetowego; nowy ośrodek badawczo-rozwojowy w Culver City w Kalifornii uzyskał certyfikat Gold systemu oceny LEED; powołano komitet wykonawczy wspierający inicjatywy, które promują globalną różnorodność i otwartość; zastosowano zasady Calvert Women’s Principles™ mające na celu dążenie do równouprawnienia płci i wzmocnienia pozycji kobiet. powołano kierownika ds. ochrony danych osobowych i utworzono radę zajmującą się kwestiami związanymi z szeroko rozumianą prywatnością. n
7
NewsRoom
IT Security Review
Jak ukrywać poufne dane? VMPC Security Zabezpieczenia sieciowe nie zapewniają 100 procentowej ochrony przed nieautoryzowanym dostępem. Samo wystąpienie ataku hakerskiego może nie zostać nawet wykryte, a skala zagrożeń rośnie wraz z rozpowszechnianiem się Internetu. Jednocześnie w niemal każdej firmie część danych ma charakter poufny – ich wydostanie się na zewnątrz może być szkodliwe. Takie informacje to: dane osobowe, dokumentacje, dane finansowe czy pliki i wiadomości przesyłane e-mailem. Czy istnieje skuteczna broń przeciw atakom hakerskim? Być może nie. Za to poufne dane nawet po wycieku na zewnątrz mogą pozostać bezpieczne. Umożliwia to ochrona kryptograficzna – szyfrowanie. Dane zaszyfrowane mają postać losowego ciągu znaków. Bez znajomości hasła atakujący nie jest w stanie niczego o nich powiedzieć. Nie wie nawet, czy przechwycił plik graficzny, czy może tekst umowy. Techniki szyfrowania nie są stosowane tak powszechnie, jak mogłoby to wynikać ze skali zagrożeń. Kolejne przypadki wycieku poufnych danych czy utraty laptopów sprawiają jednak, że świadomość rośnie.
Wprowadzenie ochrony kryptograficznej jest proste i niedrogie. Przykładem skutecznego i elastycznego narzędzia jest oprogramowanie VMPC Security. Pozwala kompleksowo szyfrować pliki i foldery na dysku oraz pocztę elektroniczną. Zapewni firmie ochronę poufnych danych przed wszelkimi atakami z zewnątrz. Praktyczną zaletą VMPC Security jest możliwość wysyłania zaszyfrowanych danych do adresatów nieposiadających tego oprogramowania. Umożliwia to dostępna na stronie http: //www.szyfrowanie.com darmowa aplikacja deszyfrująca. Oprogramowanie wyposażone jest w dwa dodatkowe narzędzia: niszczarkę plików (która zamazuje ich pierwotną zawartość i pozwala trwale pozbyć się plików bez ryzyka, że ktoś odzyska je nawet w laboratorium) oraz rozbudowany moduł generowania haseł z przypadkowych ruchów myszką (pozwala uzyskać najwyższy poziom bezpieczeństwa, tworząc najtrudniejsze do złamania hasła). Możemy je wykorzystać zarówno do szyfrowania, jak i do dowolnych innych celów, np. logowania do banku.
Z oprogramowania VMPC Security korzysta już szereg prestiżowych instytucji i firm. Warto zadbać o bezpieczeństwo poufnych danych zanim życie przekona nas o konieczności jego stosowania. n
Więcej (w tym wersja demo) na: http://www.szyfrowanie.com.
Angelina Jolie ulubienicą spamerów
Spam kuszący linkami do zdjęć gwiazd Hollywood, a w rzeczywistości prowadzący do stron ze złośliwym oprogramowaniem jest znany nie od dziś, wciąż jednak cieszy się niesłabnącą popularnością jako metoda na skuteczny atak. Eksperci G DATA przeanalizowali przechwycony spam pod kątem odwołań do konkretnych osób – okazało się, iż co piąta fałszywa wiadomość dotyczy Angeliny Jolie. Piękne i bogate gwiazdy showbiznesu zapełniają nie tylko strony magazynów plotkarskich, ale
8
są także chętnie wykorzystywane jako przynęta przy dystrybucji złośliwych programów. Schemat takich ataków jest prosty i skuteczny: spam zatytułowany jako wiadomość dnia kusi linkami do ekskluzywnych newsów, zdjęć czy filmów. W rzeczywistości linki prowadzą do stron ze szkodliwym oprogramowaniem. Wystarczy jedno przypadkowe kliknięcie, aby komputer został zainfekowany backdoorami czy programami szpiegowskimi. Postanowiono zbadać wyłapywany spam, aby znaleźć odpowiedź na pytanie, jakie odwołania są najbardziej popularne w złośliwych wiadomościach. Niekwestionowane pierwsze miejsce wśród liczby spamu z jej nazwiskiem zajęła Angelina Jolie – aż 18 procent. Kolejne miejsca przypadły m.in. Britney Spears i Paris Hilton.
ka do ściągnięcia, potrzebnego do odtworzenia plików video. W praktyce programy te najczęściej przejmują kontrolę nad komputerem włączając go do botnetu. Metodologia badań Eksperci G DATA Security Labs w badaniach spamu wykorzystują „pułapki” – niezabezpieczone konta pocztowe wykorzystywane tylko do zbierania wiadomości-śmieci. Badania rozpoczęły się 28 czerwca – specyfika paparazzi-spamu oraz systematyczna analiza tematów i treści wiadomości pod kątem nazwisk ponad trzystu znanych osób pozwoliły uzyskać ostateczne wyniki. n
Metody infekcji Schemat ataków już od dłuższego czasu pozostaje bez zmian. Skuszeni nowymi newsami często nieświadomie padają ofiarą instalacji złośliwego oprogramowania w przelocie (tzw. „drive-by-download”). Drugą popularną sztuczką jest umieszczanie malware pod pozorem kode-
www.boston-review.com
Nr 5/2008(12)
NewsRoom
IT Security Review
Niebezpieczny YouTube Cyberprzestępcy korzystają z ogromnej popularności serwisu i tworzą fałszywe strony łudząco podobne do oryginalnych witryn serwisu YouTube. Infekcja przeprowadzana jest w następujący sposób: cyberprzestępcy przesyłają wiadomość e-mail z informacją na temat interesującego filmu (erotyka, informacja o śmierci znanej osoby itp.), zachęcając do kliknięcia odsyłacza, który umożliwia obejrzenie materiału. Następnie użytkownik jest przekierowywany na fałszywą stronę do złudzenia przypominającą serwis YouTube. W kolejnym etapie otrzymuje informację, że odtworzenie filmu nie jest możliwe, ponieważ brakuje np. kodeka czy aktualizacji Adobe Flash. Dlatego użytkownikowi proponuje się pobranie brakującego elementu, ale zamiast potrzebnej aplikacji, na komputer trafia złośliwe oprogramowanie. Morze możliwości, czyli co potrafi YTFakeCreator YTFakeCreator umożliwia cyberprzestępcom niezwykle łatwo tworzyć fałszywe strony YouTube. Mogą oni samodzielnie opracować komunikat o błędzie, który pojawi się na witrynie, określić, po jakim czasie prezentowany będzie komunikat, wprowadzić odsyłacz do zainfekowanego pliku, który zostanie pobrany na komputer ofiary, czy też stworzyć fałszywy profil YouTube. Tworząc taki profil, przestępca uwiarygodnia swoje dzia-
łania w serwisie, przez co ofiary są przekonane o tym, że film został udostępniony przez prawdziwego użytkownika. Cyberprzestępca może także wybrać rodzaj złośliwego kodu, który będzie rozpowszechniany za pomocą fałszywych stron: wirusy, robaki, oprogramowanie adware, trojany itp. „Program ten upowszechnił korzystanie z technik do infe-
kowania użytkowników. Coraz łatwiej paść ofiarą ataku i dlatego należy zachować szczególną ostrożność. Co więcej, witryny wykorzystywane przez cyberprzestępców niezwykle trudno odróżnić od prawdziwych, więc infekcje dotykają coraz większej liczby użytkowników” – wyjaśnia Maciej Sobianek, specjalista ds. bezpieczeństwa Panda Security Polska. n
Dostęp do Internetu w krajach Europy Środkowej znacznie poniżej średniej UE Dostęp do Internetu w krajach Europy Środkowo-Wschodniej odbiega od średniej europejskiej – wynika z badania D-Link Technology Trend (DTT), przeprowadzonego na zlecenie firmy D-Link przez Instytut Millward Brown w Polsce, Czechach i na Węgrzech. Obecnie w regionie 44% gospodarstw domowych ma dostęp do Internetu, podczas gdy w całej Unii Europejskiej średnia ta wynosi 54%. Idea powszechnego dostępu gospodarstw domowych do Internetu najpełniej sprawdza się w Holandii oraz krajach skandynawskich, gdzie blisko 80% populacji ma dostęp do Internetu. Przy unijnej średniej 54% kraje naszego regionu wypadają co najmniej blado. Najlepiej prezentują się Czesi, gdzie ponad połowa gospodarstw domowych (52%) dysponuje łączem internetowym, znacznie gorzej sytuacja wygląda na Węgrzech – tu Internet jest w 42% gospodarstw, a regionalnym outsiderem jest Polska z dostępem na poziomie 38%. Zdecydowana większość łączy internetowych, którymi dysponują gospodarstwa Europy ŚrodkowoWschodniej można zaliczyć do kategorii łączy szerokopasmowych. Mieszkańcy naszego regionu coraz rzadziej łączą się z Internetem przez modem. Najmniej w Czechach – 3%, na Węgrzech – 5%, a w Polsce – 8%. Na Węgrzech i w Polsce dominują stałe łącza internetowe w technologii ADSL (asyNr 5/2008(12)
metryczne łącza na liniach telefonicznych). Na Węgrzech to niemal połowa wszystkich łączy (48%), a w Polsce ponad 1/3 (38%). W Czechach natomiast najbardziej popularną metodą dostarczania Internetu są osiedlowe i miejskie sieci bezprzewodowe (27%). Spory udział w torcie usług dostępowych mają też operatorzy telewizji kablowych – 19% w Czechach, 27% w Polsce i 30% na Węgrzech. Rosnąca popularność Internetu w środkowoeuropejskich domach sprzyja także rozwojowi domowych sieci bezprzewodowych. W Polsce i w Czechach sieci powstałe na bazie routerów bezprzewodowych znajdują się w co siódmym (15%) gospodarstwie posiadającym dostęp do Internetu. Mniej „bezprzewodowi” są Węgrzy – tam jedynie co dwudzieste (5,5%) gospodarstwo z łączem internetowym dysponuje siecią Wi-Fi. W badaniu D-Link Technology Trend zadano także pytania dotyczące posiadanych urządzeń elektronicznych. Najbardziej nowoczesnym społeczeństwem w regionie są Czesi. Mają najwięcej komputerów stacjonarnych (53%), odtwarzaczy multimedialnych (42%), notebooków (15%) oraz konsol do gier, które posiada aż 8% społeczeństwa. Natomiast Polska jest rajem dla producentów telewizorów nowej generacji (HD lub HD Ready). Polacy ze wskaźnikiem 11% posiadają blisko 3 razy więcej takich odbiorników niż Czesi (4%) i Węgrzy (3%). www.boston-review.com
Z kolei Węgrzy przodują w dziedzinie utrwalania obrazów – 10% społeczeństwa posiada kamery internetowe/IP. Jest to wskaźnik zdecydowanie wyższy niż w pozostałych krajach regionu. Posiadanie komputerów oraz konsoli do gier przekłada się bezpośrednio na popularność rozrywki elektronicznej. Według badań D-Link Technology Trend gry komputerowe najbardziej popularne są w Czechach, gdzie na komputerach regularnie gra niemal 1/3 społeczeństwa (28%). Do tej formy spędzania wolnego czasu przyznaje się także niemal co piąty Węgier (18%) oraz co siódmy Polak (14%). Mniej popularne są konsole do gier, z których korzysta 5% Czechów, 2% Węgrów i 3% Polaków. W gry sieciowe za pośrednictwem Internetu najczęściej grają Czesi – 4% społeczeństwa, za którymi są Węgrzy – 3% i Polacy – 2%. n
9
Test
IT Security Review
Testujemy zapory ogniowe: 8 8
Kerio WinRoute Firewall 6.5 Outpost Firewall Pro
W dzisiejszym społeczeństwie informacyjnym, w którym wiadomość często staje się produktem bardziej pożądanym niż dobra materialne, bezpieczeństwo sieciowe staje się coraz ważniejszym zagadnieniem. Jednym z podstawowych elementów zabezpieczających sieci komputerowe są „ściany ogniowe” (ang. firewall).
Kerio WinRoute Firewall 6.5 (KWRF) INSTALACJA
Już na etapie instalacji produktu wybieramy język, w którym będzie się z nami komunikował program (jak i instalator). Niestety, wśród dostępnych języków nie znajdziemy polskiego. Dostępne języki to: czeski, hiszpański, angielski, rosyjski i słowacki. Poza tym jednym mankamentem, instalator KWRF można uznać za wzorowy. Podczas instalacji decydujemy, czy chcemy sami wybrać komponenty oraz lokalizację instalacji, czy zgadzamy się na instalację domyślną (instalowane są wszystkie elementy w domyślnej lokalizacji). Na jednym z etapów instalacji dowiadujemy się, że do prawidłowego działania aplikacji wymagane jest wyłącznie pewnych serwisów systemowych. Na szczęście z poziomu instalatora możemy je bez problemu wyłączyć i kontynuować instalację. Zostajemy również ostrzeżeni przed niepodpisanymi sterownikami, jakie muszą być zainstalowane wraz z programem. Brzmi to dość skomplikowanie, ale instalator prowadzi użytkownika w taki sposób, że nawet osoba początkująca powinna sobie poradzić.
lub pełną dokumentacją przeznaczoną dla administratorów. Ma ona rozmiary dość pokaźnej książki, składa się z ponad 400 stron, jednak znajdziemy w niej wszystko, co chcielibyśmy wiedzieć na temat produktu.
UŻYWANIE
Przy pierwszym uruchomieniu programu przywita nas kreator, który krok po kroku przeprowadzi nas przez proces wstępnej konfiguracji firewalla. Podczas tego procesu musimy odpowiedzieć na kilka pytań dotyczących miedzy innymi rodzaju połączenia sieciowego, serwerów uruchomionych
w naszej sieci, VPN. Niedoświadczony użytkownik może nie znać odpowiedzi na te pytania, w takim wypadku może pominąć kreatora, pozostając przy domyślnej konfiguracji firewalla. Powinien sobie jednak zdawać sprawę z tego, że takie rozwiązanie nie jest dobre zarówno ze względów bezpieczeństwa, jak i optymalizacji pracy. Po zainstalowaniu, program uruchamia się przy każdym starcie systemu (informuje nas o tym ikona w zasobniku systemowym). Program nie posiada interfejsu dla zwykłego użytkownika. Po kliknięciu na jego ikonę pojawia się okno logowania do konsoli administracyjnej. Login i hasło do tej konsoli usta-
DOKUMENTACJA
Niestety, tak samo jak w przypadku języka obsługi programu, brak jest również dokumentacji w języku polskim. Zgodnie z informacją, jaka jest umieszczona na oficjalnej polskiej stronie Kerio, materiały w języku polskim będą dostępne wkrótce. Do tego czasu producent odsyła do materiałów w języku angielskim, bądź kontaktu przez e-mail (adres: pomoc@kerio.pl). Mimo że instrukcja jest w obcym języku, trzeba przyznać, że jest bardzo dobrze napisana. Możemy więc albo posiłkować się skróconym podręcznikiem „krok po kroku”,
20
www.boston–review.com
5/2008(12)
Test
IT Security Review
la się na etapie instalacji. Jest to bardzo dobre rozwiązanie z punktu widzenia bezpieczeństwa. Dzięki temu konfiguracja firewalla nie jest narażona na zmiany przez niepowołane osoby. Zapobiega to na przykład modyfikacji ustawień przez szkodliwe programy (wirusy, trojany, itd.), a także uniemożliwia innym użytkownikom (poza uprawnionymi) decydowanie o regułach ochronnych. Ma to szczególne znaczenie w przypadku komputerów, na których może logować się wiele osób. Gdyby każdy z nich miał dostęp do edycji ustawień, firewall szybko przestałby spełniać swoje zadanie. Konsola administracyjna umożliwia nam również zdalne logowanie. Jest to istotne w przypadku, gdy firewall postawiony jest na serwerze, do którego nie mamy fizycznie dostępu lub który znajduje się w innym pomieszczeniu. Rozwiązanie to eliminuje konieczność stosowania pulpitu zdalnego lub narzędzi typu VNC do zdalnej administracji aplikacją.
Interfejs konsoli administracyjnej przypomina eksplorator Windows. Po lewej stronie w hierarchii drzewa umieszczone są wszystkie opcje, a po prawej widzimy szczegóły aktualnie przeglądanego elementu. Całość podzielona jest na cztery główne kategorie: konfiguracja, użytkownicy i grupy, status oraz logi. Część dotycząca użytkowników i grup umożliwia nam tworzenie użytkowników, przypisywanie im uprawnień oraz nadawanie haseł. Możemy także wybrać sposób autoryzacji oraz organizować użytkowników w grupy (co znacznie ułatwia zarządzanie w przypadku dużej ich liczby). Bardzo ciekawą opcją jest możliwość importu kont użytkowników z Active Directory. Świadczy to o poważnym podejściu autorów do tworzenia tego produktu i jest on przygotowany do działania nie tylko na pojedynczych komputerach, ale również w bardziej skomplikowanych środowiskach.
W sekcji „status” możemy na bieżąco śledzić informacje dotyczące monitorowanych elementów. Dzięki temu sprawdzimy na przykład, jakie komputery są w tej chwili podłączone lub jakie połączenia są aktywne. Możemy również sprawdzić statystyki dotyczące konkretnych użytkowników, ich czasy logowania oraz ilości wysłanych i odebranych danych. Widzimy również wszystkich użytkowników podłączonych przy pomocy VPN. Informacje dotyczące historii działania firewalla znajdziemy w logach programu. Aplikacja prowadzi 12 dzienników z logami, a każdy odnotowuje inne rodzaje zdarzeń, między innymi: błędy, alarmy, połączenia, próby logowania, zmiany konfiguracji. Na uwagę zasługuje dziennik odwiedzanych stron internetowych. Zapisywany jest adres każdej strony oraz godzina jej otwarcia, a także adres IP komputera, z którego była ona otwierana. Tym bardziej uzasadnione staje się kontrolowanie dostępu do konsoli administracyjnej, takich informacji nie powinien posiadać każdy użytkownik komputera. Najobszerniejszy jest dział konfiguracji. Tutaj zgromadzono szereg opcji, dzięki którym możemy dokonać bardzo szczegółowej konfiguracji firewalla. Znajdziemy tutaj ustawienia dotyczące na przykład interfejsów sieciowych, protokołów http, ftp, dns, serwerów proxy czy dhcp. Możemy także tworzyć zaawansowane reguły dokładnie określające, jaki ruch ma zostać przepuszczony, a jaki zablokowany. Pakiety mogą być sprawdzane pod względem źródła, z którego pochodzą, celu do jakiego zostały wysłane, protokołu jakiego używają. Zarządzanie regułami ułatwia graficzny interfejs, w którym są one przedstawione w postaci tabeli. Tutaj też ustalamy, jakie zdarzenia mają być zapisywane w logach. n
OCENA PROGRAMU w skali 1 – 10 8 8 8 8 8
Instalacja: 10 Użytkowanie: 7 Możliwości konfiguracji: 9 Poziom ochrony: 9 Dokumentacja: 6
Outpost Firewall Pro (OPF) INSTALACJA
Tak samo jak w poprzednim przypadku, instalację rozpoczynamy od wyboru języka. Do wyboru mamy tylko dwa języki, jednak jest wśród nich polski, co daje tej aplikacji przewagę nad poprzednią. Po przejściu standardowych kroków instalacyjnych (umowa, lokalizacja, itd.) wybieramy poziom bezpieczeństwa, który determinuje domyślne ustawienia programu. Mamy do wyboru poziom normalny – zalecany dla większości użytkowników (zwłaszcza tych początkujących), oraz poziom zaawansowany – oferujący wyższe bezpieczeństwo, ale wymagający od użytkownika większej wiedzy. Decydując się na wybór wyższego poziomu, musimy liczyć się z tym, że restrykcje nałożone przez fire5/2008(12)
wall na ruch sieciowy mogą spowodować problemy z działaniem niektórych aplikacji lub serwisów. Dlatego jest on dedykowany dla doświadczonych użytkowników – może wymagać modyfikacji ustawień w celu przywrócenia funkcjonowania wszystkich programów korzystających z sieci. Po wybraniu poziomu zabezpieczeń pozostaje nam jeszcze wybranie odpowiedniej opcji dotyczącej tworzenia reguł. Jedna z propozycji instalatora to automatyczne tworzenie reguł, jest to dobre rozwiązanie dla osób początkujących, ponieważ nie wymagana jest od nich żadna wiedza odnośnie bezpieczeństwa. Zaawansowani użytkownicy mogą bez przeszkód wyłączyć automatyczne tworzenie reguł i robić to samodzielnie, w ten sposób lepiej kontroluwww.boston–review.com
jąc działanie firewalla. Po zakończeniu instalacji konieczne jest zrestartowanie komputera.
DOKUMENTACJA
Do programu dostarczona jest bardzo szczegółowa instrukcja w języku polskim. Zasługuje ona na słowa uznania nie tylko dlatego, że jest napisana w naszym języku. Autorzy tego podręcznika idealnie wyważyli proporcje między teorią i praktyką. Dzięki temu czytelnik może nie tylko dowiedzieć się, jak ustawić odpowiednie opcje, ale również dlaczego w ten sposób powinny one być ustawione i co tak właściwie one chronią. Jednocześnie nie przeraża swoją objętością – ma tylko 70 stron.
21
Test
UŻYTKOWANIE
Ponieważ komputer musi być chroniony cały czas, od momentu uruchomienia, firewall startuje domyślnie razem z systemem operacyjnym. Widzimy to dzięki ikonie w zasobniku systemowym. Aby wywołać główne okno programu wystarczy na nią kliknąć. Pierwsze co zobaczymy w oknie programu, to ekran powitalny. Wyświetlane są na nim informacje od producenta programu (firma Agnitum), a także skróty do stron WWW o tematyce bezpieczeństwa sieciowego. Po lewej stronie okna mamy dostęp do kilku opcji dotyczących monitorowania bieżącej aktywności firewalla. Możemy dzięki temu bez problemu uzyskać informacje na temat tego, co dzieje się w tej chwili w sieci, jakie połączenia są aktywne. Program uaktualnia również na bieżąco listę otwartych portów. Jest to bardzo przydatna opcja, ponieważ dzięki temu możemy sprawdzić, jakie porty są używane i otwierane przez każdy z uruchomionych procesów. Jest to pomocne w samodzielnym konstruowaniu reguł zapory albo w kontrolowaniu, czy jakaś aplikacja nie próbuje połączyć się poprzez zabronione porty. Posiadamy także informacje dotyczące statystyk wszystkich procesów uruchomionych na komputerze, na którym jest zainstalowany firewall, dzięki temu wiemy chociażby, który proces wysyła lub odbiera najwięcej danych. OFP jest również wyposażony w moduł antyspyware, który składa się z dwóch części. Pierwsza to ochrona w czasie rzeczywistym, która powinna być cały czas włączona (choć można ją jednym kliknięciem wyłączyć, jeśli zajdzie taka potrzeba) i ma chronić przed zainfekowaniem systemu. Druga to skaner, mający za zadanie znajdować i usuwać złośliwe oprogramowanie, które już dostało się do komputera. Drugim dodatkiem jest kontrola stron WWW umożliwiająca zdefiniowanie reguł stosowanych podczas przeglądania Internetu. Możemy w ten sposób blokować strony zawierające skrypty, reklamy, aktywne elementy, itd. Nie jest to funkcjonalność bezpośrednio związana z firewallem, ale
22
IT Security Review
dodana do niego zapewne z powodu bliskości tego zagadnienia z zadaniami zapory ogniowej. Te same możliwości w zasadzie daje nam przeglądarka, dzięki której też możemy decydować, czy mają być uruchamiane skrypty lub zawartość aktywna. Niestety nie ma możliwości nie instalowania tego modułu, a przydałaby się taka opcja, na przykład na serwerach, gdzie nikt nie będzie korzystał z WWW (aby nie obciążać niepotrzebnie systemu). Z lewego panelu głównego okna mamy dostęp do dzienników zdarzeń, podzielonych według modułów. Jest ich mniej niż w przypadku firewalla Kerio (tylko pięć), dlatego trudniej odszukać potrzebne informacje. Jednak odnajdziemy w nich wszelkie istotne dane, dotyczące połączeń, ataków czy wewnętrznych zdarzeń programów. Swoje osobne dzienniki mają moduły antyspyware i kontroli stron WWW. Tak jak w przypadku Kerio, zbierane są informacje o stronach uruchamianych przez użytkowników.
www.boston–review.com
W górnej części głównego okna znajdują się przyciski dające dostęp do aktualizacji i ustawień. Świetnym pomysłem jest organizacja ustawień. Struktura ustawień jest taka sama, jak w panelu w głównym oknie, dzięki temu łatwo jest znaleźć ustawienia interesujących nas elementów. Jednocześnie wpływa to pozytywnie na intuicyjność obsługiwania programu. Aplikacja oferuje nam także system profili ustawień, gdzie każdą konfigurację możemy zapisać pod inna nazwą. Ułatwia to stosownie tego firewalla na urządzeniach przenośnych podłączanych do różnych sieci, ponieważ (dzięki możliwości przełączania profili ustawień) nie musimy rekonfigurować firewalla przy każdej jej zmianie. Wpływa to również pozytywnie na poziom bezpieczeństwa, gdyż użytkownik nie musi stosować ogólnych ustawień, które będą pasowały do wszystkich sieci, ale może zastosować lepiej dopasowane konfiguracje. Aplikacja oferuje także ochronę hasłem, niestety jest to o wiele gorsze zabezpieczenie niż w przypadku firewalla Kerio. Po pierwsze – ochrona hasłem jest domyślnie wyłączona, co nie jest dobrym pomysłem w przypadku aplikacji, która ma stać na straży naszego systemu. Mniej zaawansowani użytkownicy mogą nawet nie pomyśleć o włączeniu jej, skoro domyślnie jest nieaktywna. Dla dobra użytkownika powinno być wymuszone domyślne stosowanie hasła, co znacznie podnosi poziom bezpieczeństwa. Drugim uchybieniem jest tylko częściowa ochrona programu hasłem. Użytkownik bez autoryzacji nie ma dostępu do ustawień programu, jednak ma dostęp do podglądu informacji w głównym oknie. Daje to dostęp między innymi do logów programu, z których niepowołana osoba może wyciągnąć bardzo dużo informacji (jak choćby strony odwiedzane przez użytkowników). Użytkownik bez autoryzacji ma możliwość nawet skasować dane w dzienniku zdarzeń, co może mieć naprawdę fatalne skutki. Niestety ochrona samej konfiguracji firewalla nie jest wystarczająca, znacznie lepszym rozwiązaniem byłoby blokowanie hasłem dostępu do całej aplikacji.
5/2008(12)
Test
IT Security Review
Ciekawą propozycją jest system reguł proponowany przez Outpost Firewall. Jest bardzo interesująca zwłaszcza dla mniej doświadczonych użytkowników. Mamy możliwość automatycznego tworzenia reguł na podstawie informacji udostępnianych przez producenta. Firewall w momencie napotkania na nieznaną aplikację, sprawdza, czy ma w bazie informacje na jej temat i na ich podstawie tworzy automatycznie reguły. Dzięki temu nie musimy martwić się o konfigurację dla znanych usług i programów. Jest to na pewno lepsze rozwiązanie dla mało doświadczonych użytkowników niż samodzielne tworzenie reguł lub, co gorsza, zezwalanie na dostęp wszystkim programom. Oczywiście zaawansowani użytkownicy mogą wyłączyć automat i tworzyć reguły samodzielnie. Istnieje też możliwość edycji reguł, zarówno tych stworzonych ręcznie, jak i automatycznie. Dzięki temu można dowolnie dostosować i zoptymalizować działanie firewalla. Podczas tworzenia reguł możemy bardzo dokładnie określać
parametry pakietu, jego źródło, cel, protokół, a także jaka akcja ma być przy okazji wykonywana (na przykład rejestrowanie zdarzenia). Program potrafi również wykrywać ataki przeprowadzone na naszą sieć. W ustawieniach możemy wybrać, jakie ataki mają być wykrywane oraz jakie akcje mają zostać podjęte po wykryciu ataku. Pozostałe moduły towarzyszące firewallowi mają już mniejsze, ale i tak wystarczające, możliwości konfiguracji. Naturalnie program oferuje też ochronę hosta, na którym jest uruchomiony, a nie tylko ruchu sieciowego. W tym celu kontrolowany jest między innymi dostęp do pamięci, uruchamianie programów z wiersza poleceń czy próby uruchomienia haków klawiatury bądź okna. Możemy wyłączyć każdą z tych kontrolek, jeśli nam przeszkadza. Wszystkie moduły programu dają nam dwie możliwości konfiguracji. Możemy wykorzystać wstępnie zdefiniowane poziomy zabezpieczeń,
gdzie za pomocą suwaka ustalamy poziom na minimalny, maksymalny lub pośredni między nimi. Dodatkowo każdy zestaw ustawień możemy dowolnie modyfikować, wyłączając lub włączając potrzebne nam opcje. Widać, że twórcy programu pomyśleli zarówno o początkujących, jak i zaawansowanych użytkownikach. Program jednocześnie stara się zapewnić podstawową ochronę każdemu, nawet bez dodatkowej konfiguracji, oraz możliwości dowolnego dostosowania programu do wyższych wymagań. n
kownikom. O ile każdy jest w stanie poradzić sobie z jego obsługą, o tyle wykorzystanie wszystkich możliwości tej aplikacji wymaga posiadania dużej wiedzy. Minusem aplikacji może być proces deinstalacji. Program można odinstalować bez podawania hasła, nawet jeśli został on wcześniej nim zabezpieczony. Powoduje to możliwość nieautoryzowanego odinstalowania oprogramowania. Programy odpowiedzialne za zapewnienie bezpieczeństwa systemu nie powinny pozwalać na swobodną ich deinstalację lub wyłączenie. Z kolei Outpost Firewall Pro jest programem o wiele bardziej przyjaznym dla użytkownika. Mniejsza liczba ustawień znacznie upraszcza obsługę, dzięki temu początkująca osoba łatwiej się z nim zapozna. Dodatkowym ułatwieniem dla
tych użytkowników jest opcja pomocy w budowaniu reguł. Niestety, program ustępuje konkurencji pod względem rozwiązań dla bardziej zaawansowanych zastosowań. Dodatkowo dużym mankamentem jest tylko częściowe blokowanie programu hasłem. Co prawda, program oferuje auto-ochronę, która ma gwarantować niemożliwość ingerencji wirusów w jego działanie, niestety nie zabezpiecza to przed działaniami wścibskiego użytkownika. n
OCENA PROGRAMU w skali 1 – 10 8 8 8 8 8
Instalacja – 10 Użytkowanie – 9 Możliwości konfiguracji – 8 Poziom ochrony – 8 Dokumentacja – 10
Podsumowanie Oba programy są rozwiązaniami pomyślanymi nie tylko dla pojedynczych stanowisk, ale także do ochrony serwerów lub większych sieci komputerowych. Dlatego należy od nich wymagać wyższego poziomu zabezpieczeń oraz możliwości konfiguracji niż od firewalli dla komputerów domowych. Należy zwrócić uwagę na bardzo duże możliwości konfiguracyjne reguł firewalla w obu przypadkach. Sprawia to, że każdy z nich może być dostosowany do bardziej zaawansowanych zastosowań. Jednak programy różnią się zasadniczo od siebie. Kerio Firewall jest lepiej przystosowany do zastosowań serwerowych i dużych sieci, dzięki zaawansowanym opcjom konfiguracji i dostępu. Nie jest to natomiast rozwiązaniem, które można polecić mniej zaawansowanym użytR
5/2008(12)
E
K
L
A
M
Arkadiusz Krawczyński
A
www.boston–review.com
23
Expert
IT Security Review
Robert Dąbroś Inżynier systemowy i konsultant ds. bezpieczeństwa w firmie McAfee Polska. Specjalista w zakresie technologii i produktów bezpieczeństwa sieciowego odpowiada za wsparcie techniczne działu handlowego oraz doradztwo dla partnerów i klientów we wdrożeniach i instalacjach korporacyjnych w Polsce i Europie Wschodniej. Absolwent Wydziału Inżynierii Mechanicznej i Robotyki Akademii Górniczo Hutniczej w Krakowie.
B
ezpieczeństwo procesów i systemów o znaczeniu krytycznym – to dla firm istotny czynnik sukcesu. Podstawowym problemem jest nietyle całościowa ocena bezpieczeństwa informatycznego, ale przede wszystkim ocena z perspektywy procesów o znaczeniu krytycznym. Z tego względu praktyczne zastosowanie zarządzania ryzykiem wiąże się z wieloma wyzwaniami. Z jednej strony często mamy do czynienia z sytuacją, w której nie wszystkie komponenty infrastruktury informatycznej zostały zintegrowane w ramach centralnego procesu kontrolnego – nie są one wówczas ani zauważane, ani nawet znane. Z drugiej strony – brakuje zwykle narzędzi i podstawowej wiedzy, aby móc ocenić te systemy pod względem bezpieczeństwa. W wielu przypadkach nie zdefiniowano w jasny sposób metod porównawczych oraz wynikających z nich kryteriów oceny. Istotną rolę dla bezpieczeństwa systemów informatycznych odgrywa przy tym czynnik czasu. Konieczne jest zastosowanie modelu pracy umożliwiającego przejrzystą ocenę bezpieczeństwa systemów i procesów w określonym czasie. Model
ten musi cechować się wyjątkowo dużym stopniem automatyzacji, aby czas poświęcany na analizę złożonych i ulegających ciągłym zmianom danych był jak najkrótszy. Niezbędne są też interfejsy programistyczne do innych systemów (np. zarządzania poprawkami i aktualizacjami). Obecnie na rynku istnieje bardzo mało rozwiązań o wysokim stopniu automatyzacji, które można zastosować w sposób zintegrowany do całego procesu. Jednak „ręczne” zarządzanie ryzykiem i zgodnością z reguły prowadzi do licznych problemów, takich jak: generowanie olbrzymiej ilości danych, konieczność zaangażowania bardzo drogich analityków i doradców do porządkowania i oceny informacji, brak spójności kryteriów czy utrudniona komunikacja pomiędzy działem bezpieczeństwa i IT. W efekcie niejednokrotnie brak jest informacji na temat statusu przestrzegania wytycznych, reakcje na nowe zagrożenia są niejednokrotnie paniczne, a wydajność pracy jest obniżona, ponieważ trzeba zainwestować dużo czasu na wykrywanie problemów i sporządzanie raportów zamiast na zapobieganie zagrożeniom.
Ponadto ocenianie bezpieczeństwa systemu wyłącznie na podstawie obecności poprawek nie ma większego sensu, jeśli nie zostaną uwzględnione komponenty zabezpieczające i ochronne. Na przykład lokalny system zapobiegania włamaniom (HIPS) może zapobiegać atakom, pomimo braku w systemie odpowiednich poprawek. W takiej sytuacji można nadać instalacji łat w danym systemie odpowiednio niższy priorytet. System zarządzania ryzykiem musi także umożliwiać udokumentowanie procesu rozwojowego. Jego wdrożenie powinno skutkować poprawą bezpieczeństwa, wynikającą z zintegrowania kolejnych procesów. W ten sposób możliwe będzie porównanie ze sobą poszczególnych obszarów, jednostek biznesowych, systemów lub procedur. Dzięki szybkiej i odpowiednio uporządkowanej realizacji kolejnych działań, poziom bezpieczeństwa firmy będzie stopniowo rósł a koszty zostaną utrzymane na akceptowalnym poziomie dzięki skoncentrowaniu działań na obszarach, w których przyniosą one największe korzyści. n