Potaknut razgovorima s kolegama sistemcima, odlučio sam se osvrnuti na problem sigurnosti računovodstvenih podataka na ustanovama članicama CARNeta.

Događa se da uprava nabavi računala i programe od vanjskih dobavljača, a da u proces nabave, planiranja i implementacije nije uključen lokalni sistemac. U takvim situacijama sudjelovanje sistemca svodi se na to da novim računalima dodijeli javne IP adrese. Priča jednog kolege nalik je na pravi horror film. Iz znatiželje se pokušao ulogirati na novo računalo s instaliranim knjigovodstveni softverom, koje je nabavljeno bez njegova sudjelovanja. Kako je održavanje računala zajedno s održavanjem aplikacije preuzeo vanjski dobavljač, sistemcu je rečeno da ne brine o njemu. Provjera je otkrila da administratorski račun nema zaporku, tako da je bilo tko s Interneta mogao dobiti administratorske ovlasti! Računalo je, po zahtjevu dobavljača, "moralo" biti na javnoj adresi radi održavanja na daljinu. Da ne bi brinuli o zaporkama, jer je to valjda prekomplicirano, dobavljači su izložili računalo svakome tko se makar malo potrudi da ga preuzme.

Treba li reći da su računovodstveni podaci povjerljivi, da spadaju u kategoriju poslovne tajne? Na takvim računalima često su i povjerljivi osobni podaci, poput adrese i broja žiro-računa zaposlenika i suradnika. Treba li reći da bi provalniku bilo banalno instalirati program koji presreće sve što se upisuje na tipkovnici i dočepati se zaporki i povjerljivih podataka...

Loš status sistem inženjera na ustanovi na izravan način ugrožava sigurnost cijele mreže i povjerljivost podataka. Takva je situacija češća na humanističkim fakultetima, gdje uprava govori drugačijim jezikom od sistemca i nije u stanju shvatiti njegova upozorenja. Ako je za upravu sistemac samo pomoćno tehničko osoblje, u rangu domara i portira, tada njegova riječ nema težinu.

Što se može napraviti da se zaštite povjerljivi podaci? Minimum zaštite na tehničkoj razini bilo bi smještanje računala s povjerljivim podacima u jedan ili više virtualnih LAN-ova, tako da se onemogući pristup ostalim računalima iz lokalne mreže. Dodatna sigurnost dobija se dodjeljivanjem privatnih adresa, koje nisu "rutabilne". Na liniji razdvajanja treba onemogućiti iniciranje konekcije izvana, a eventualno, ako je to baš potrebno, dozvoliti promet prema Internetu samo ako je pokrenut iznutra. Ipak, najbolje bi bilo posve odvojiti računala s povjerljivim podacima od Interneta. Nema potrebe da zaposlenici čitaju e-mailove s kritičnih računala. E-mail je rizičan servis kojim se šire virusi i trojanci. I surfanjem se može nehotice skinuti opasan softver, što je dodatan argument za odvajanje od Interneta.

Ako vanjska tvrtka preuzme održavanje, s njom treba sklopiti ugovor koji je obvezuje na zaštitu povjerljivih podataka. Dobavljač treba održavati ne samo funkcionalnost nego i sigurnost računala i aplikacija. Bilo bi dobro predvidjeti kazne u slučaju da radi propusta u održavanju dođe do gubitka ili nedostupnosti podataka. Ako se vanjskoj tvrtki plaća održavanje, onda je ona obvezna preuzeti materijalnu i moralnu odgovornost za kvalitetu svog rada.

Kako nakon sklapanja ugovora omogućiti vanjskoj tvrtki da održava knjigovodstvena računala, ako su ona odvojena od Interneta? Tehnički je to ostvarivo na više načina, na primjer implementacijom VPN-a, virtualne privatne mreže. Windowsi podržavaju dva protokola koji to omogućuju, PPTP i IPSec. Na javnoj adresi ostavi se dostupan VPN server, koji obavi autentikaciju, a zatim uspostavi kriptiran tunel između dva računala. Takvo proširenje Intraneta prema privilegiranim partnerima naziva se Extranetom.

Nakon svega sistemcu treba dozvoliti da provjerava sigurnost računala s povjerljivim podacima. Redovna testiranja ranjivosti pokazat će da li vanjska tvrtka redovito instalira zakrpe, jesu li instalirani zaštitni programi poput antivirusa, firewalla otkriti lošu konfiguraciju itd.

Sigurnosna politika ustanove je dokument u kojem bi sve mjere koje smo spomenuli trebale biti propisane, tako da se podrazumijevaju i da se o njima ne mora raspravljati. Politika treba sistemcu dati ovlasti za sigurnosni nadzor, zahtijevati da se on uključi u procese nabave i implementiranja, da se s vanjskim dobavljačima sklapaju ugovori koji dobavljača obvezuju na poštivanje sigurnosne politike.

Politka je prva linja obrane, zato, kolege sistemci, pitam se je li vaša ustanova već donijela svoju sigurnosnu politku?