Na redakční otázky odpovídá Ing. Karel Šimeček, Ph.D., Technický ředitel společnosti Axenta a.s., Partner společnosti Comguard

1) Je zapotřebí bezpečnosti paměťových médií věnovat zvýšenou pozornost?

Ano, je zapotřebí vnímat bezpečnost paměťových médií. Ovšem jestli má být pozornost zvýšená určuje hodnota a typ uložených informací. Proto není nutné podléhat moderním mediálním trendům, kdy na nás pořád útočí slova „hyper“, „super“, „vysoké“, „propad“, „nebezpečí“. Spíše je potřeba myslet a uvažovat v kontextu dění procesů firmy, která paměťová média vlastní. Hrozby jsou totiž reálný stav, který vyplývá z kontinuálních interakcí tohoto světa, a které někdy podporujeme a jindy zatracujeme. Svět se nám pořád mění a my se vůči změnám následně adaptujeme (smíříme se s klady i zápory vzniklých změn) nebo s nimi bojujeme.

Položenou otázku spíše vnímám jako dotaz, zda-li je vhodné činit preventivní aktivity s paměťovými médii? A odpovědí je opět ANO, jen je skutečně nutné věnovat pozornost bezpečnosti médií, vždy s ohledem k typu a důležitosti informací. Tudíž prvotní úvaha o míře bezpečnosti musí být vedena na hodnotu informace. Prázdný USB flashdisk má pouze svojí pořizovací cenu. Máte-li na USB flash disku uloženu svoji disertační práci (dokument, Excel tabulky s naměřenými daty, atp.), je cena disku již vyšší o hodnotu úsilí (invence, literární výkon, vědecký přínos), investovaného času (několik probdělých nocí, několik odřeknutých střetnutí s přáteli, atp.) i emocí (ambice, strach). Pak hodnota USB flashdisku je přibližně rovna naší osobní hodnotě, tj. jak si sebe ceníme. Ti z nás, co se přeceňují či se podceňují, často něco ztrácí nebo ničeho nedosáhnou. Ti z nás, co znají svou cenu, vědí co je prevence a kultivují svojí vnitřní disciplínu, čímž dosáhnou svých cílů a mají vždy nějaké řešení na vzniklé problémy, tzv. mají vždy něco v záloze „pro strýčka Příhodu“. Tudíž v bezpečnosti jde především o dodržování principů a prevenci.

Analogicky to platí i u firem a jejich informačního systému i vztahu top-managementu k uloženým informacím. Účetní hodnotu informačního systému totiž dodá hlavní účetní firmy do cca 15 minut. Kdo ale dodá hodnotu uložených informací ? Kdo má ve firmě vyžadovat cenu informací? Např. hodnotu zákaznické databáze, hodnotu elektronické účetní knihy, hodnotu hlavní databáze SAP?

V případě, že firmy začnou šetřit na lidech a technických prostředcích, tak se vztah k firemním informacím bude měnit směrem k lhostejnosti a letargii až dojde na úroveň pouhé fráze „pracuji jen do výše svého platu“. Z různých technických opatření spojených s ochranou dat a s ochranou médií se tak, místo předpokládaných úspor, postupně stanou zmařené investice. Protože platí „tam kde není zájem, není ani kontrola, ani prevence“.

2) Jak technicky zajistit bezpečnost paměťových médií?

Technické řešení je nutné zaměřovat na automatizaci činností spojených s manipulací médií, tj. vyloučit vliv lidského faktoru. Což lze provést izolací médií od okolí, např. zálohovací robotické knihovny.  Obsluha pak do knihovny vkládá pouze nová média a vyjímá knihovnou vyřazená média. Tato vyřazené média by ale měla i tak projít přes degausser pro spolehlivé přemazání dat.

Důležitá paměťová média doporučuji ukládat do ohnivzdorného trezoru, který je navíc ochrání před prachem a v nějaké míře odstíní i všudypřítomné magnetické pole.

Rovněž je vhodné mít citlivá a důležitá data šifrována (např. pomocí Certifikátu, PGP nebo McAfee Safeboot).

Obecně jednoduché technické řešení neexistuje. Lze najít několik dílčích řešení, které je nutné organizačně združit do funkčního celku s popisem klíčových činností a nezbytných kontrol.

3) Kde je nejslabší místo v oblasti paměťových médií? Na co bychom se měli soustředit?

Nejslabší místo je vždy člověk, uživatel nebo administrátor. Vzpomínám si na situaci v jednom bezpečnostním auditu, který jsem vedl. Prověřovali jsme část technologického informačního systému jehož součástí bylo i zálohování a činnosti s tím spojené. Nešlo o nějaké „enterprise“ řešení. Jednou za měsíc se data zálohovaly na DAT pásku. Dotazovaný pracovník nám popisoval, jak zálohování provádí, jak to má popsané, jak má každý úkon zdokumentovaný, vše napsané písmem, jak ze slabikáře. Prostě ideální poctivý pracovník k pohledání. Můj kolega si záznamy pročítal a udivila jej skutečnost, že u kolonky Zpětná čitelnost bylo cca 15krát v měsíčním intervalu uvedeno „Chyba, páska nečitelná“.

Rozhovor byl následující:
Kolega: Tady vidím, že 15měsíců zpět máte chyby ve zpětné čitelnosti pásek.
Pracovník: Hmm, jo to máme. Ale já ty pásky po kontrole čitelnosti zformátuji a pak jsou zase OK. Když odzálohuji data, tak se ta DAT páska ještě kontroluje a to je ještě čitelná. A pak ji dám tady do té dřevěné skříně.
Kolega: Fajn, a tady před 16 a 17 měsícem byla zpětná čitelnost v pořádku. Jak si to vysvětlujete?
Pracovník(drbe se na tváři): Hmm, to nevím.
Kolega: Nehýbal někdo s tou skříní ?
Pracovník (chvíli kouká do země a přemýšlí nad vzdáleným příbuzenctvem): Jak to víte? Ona ta skříň byla tady v tom rohu, ale to mi vadily tady ty vstupní dveře, kterými mne každý kdo vstoupil do místnosti fláknul do zadku.
Kolega: Nespatřujete souvislost mezi změnou pozice skříně a zpětnou nečitelností DAT pásek?
Pracovník: Ani ne. Já nemám v popisu práce přemýšlet, mám jen udělat, co je tady napsáno.
Kolega: Ok. Něco si zkusím.
Kolega odpojuje pracovníkův funkční CRT monitor od počítače na protějším stole a pokládá jej na vrch skříně. Po zapojení do zásuvky 230V a vyvolání tlačítkem základního menu je vidět silně deformovaný obraz s pravidelným vlněním. Pracovník má výraz překvapené jalovičky.
Kolega: Elektromagnetické pole to je prevít. Z druhé strany této zdi, kde teď máte tuto skříň, je 6kV rozvaděč. Jím vytvářené elektromagnetické pole Vám ovlivňuje zde uložené DAT pásky.
Pracovník: Aha, tak to jsem nevěděl.
Kolega: Hlásil jste někomu, že máte trvalý problém se zpětnou čitelností DAT pásek?
Pracovník: Ne, to tu nemám napsané.
Kolega: Ok, tak prosím vraťte tu skříň tady na to původní místo a bude po problému.
Pracovník: Tak dobře, já ji teda vrátím zpátky.

Z uvedeného příběhu vyplývá, že je skutečně klíčová kontrola práce techniky i její obsluhy. A protože se v uplynulých 15 měsíců nic závažného nestalo, tak působí tento příběh jen jako veselý fejeton se zápletkou, kdy pouhá změna pozice skříně může mít zajímavé konsekvence. On-line monitoring informačního systému považuji za naprosto klíčovou funkcionalitu. Stejně jako auditní činnost pro kontrolu kondice procesů ve firmě.

4) Jak zakomponovat otázku bezpečnosti paměťových médií do bezpečnostní politiky?

V první řadě musí být v bezpečnostní politice ustanoveno vlastnictví a odpovědnost top-managementu za jednotlivé procesní oblasti. Což lze v příkladu uvést následovně:
- Finanční ředitel odpovídá za oblast ekonomiky a financí, tj. ERP,
- Obchodní ředitel za oblast obchodu, SLA smlouvy, CRM databázi.
- Výkonný ředitel za oblast Řízení společnost kam spadá Dokument Management Systém, E-mail, Projekt management, aj.

Často bývá bezpečnostní politika jen „umělý dokument“, neboť pro top-management z něj nevyplývají žádné závazky a povinnosti. Příčinou je často fakt, že top-management ani nechce schválit dokument, ze kterého pro něj vyplývají nějaké závazky a povinnosti.

V druhé řadě musí být v politice uvedena definice bezpečnostních tříd, kam se budou informace zařazovat pro pozdější nastavení v zálohování, archivaci a manipulaci s příslušnými médii. Každá ze tříd má stanovené potřebné RTO(recovery time of object) a cenu dat v případě ztráty.

V třetí řadě je nutné definovat bezpečnostní proces ochrany informaci, který lze dekomponovat do následujících oblastí činností:
 Ochrana dat a informací
 Ochrana osobních údajů
 Ochrana obchodního tajemství
 Ochrana autorských práv
 Ochrana utajovaných skutečností

Pro každou výše uvedenou oblast se v bezpečnostní politice uvádí odpovědnosti za správu médií, za manipulaci s médii, za proces likvidace nepoužívaných médií. Práce s médii totiž musí odpovídat míře ochrany a hodnotě na nich uložených dat.

5) Jak nejlépe ochránit paměťová média před různými nepříjemnými příhodami? (Ztráta, selhání, nechtěné přepsání dat,...)

Jak už je uvedeno v odpovědi na otázku dvě, nějaké technické řešení existuje, ale zaměřuje se jen na specifickou oblast a nikdy nemůže nahradit komplexnost lidského chování v přístupu k médiím.

Ztrátě tašky s notebookem a s několika USB flashdisky nelze zabránit, pokud byla taška viditelně uložena na zadním sedadle automobilu, čímž její majitel popřel veškeré myslitelné preventivní kroky proti její ztrátě. Tuto známou „bolest“ však lze eliminovat pomocí šifrování disku, a médií. Při vhodně nastavené bezpečnostní politice uživatel ani nezpozoruje že jeho data jsou automaticky šifrována a tedy chráněna. Jen málo řešení chápe ochranu (šifrování dat) opravdu komplexně a umožňuje jednotnou centrální správu. Bohužel častým zklamáním, uživatelů těchto aplikací, bývá  výrazné zpomalení počítače. Zde máte možnost zapátrat na Internetu a pustit se do testování, nebo zvolit řešení, které je prověřeno léty a obdobné „dětské nemoci“ má již vychytané – např. ucelenou rodinu produktů PGP.

Taktéž pokud nejsou média správně označená a popsaná, tak nelze zabránit nechtěnému přepsání jejich obsahu.

Nejlépe jak ochránit paměťová média je zavedením vnitřní sebedisciplíny i sebekontroly a vést k tomu i své podřízené. Uváděná technická řešení nám jen usnadňují práci a šetří čas.

Bezpečnostní management | Datastorage | Přenosná paměťová média | Šifrování | Zálohování a Backup