Autor: Tomáš Přibyl, externí odborný redaktor ICTsecurity

Ještě nedávno by instalace „rodičovské kontroly“ v podnikovém prostředí vyvolala shovívavý úsměv na tvář. Dnes je ale situace jiná a tato technologie je v organizacích nasazována čím dál častěji: to, co bylo původně vyvinuto pro ochranu našich ratolestí, totiž představuje velmi jednoduchý, ale zároveň robustní bezpečnostní systém.

Povolené a zakázané ovoce

Nejen, že rodičovskou kontrolou (parental control) jsou dnes prakticky standardně vybavena všechna komplexní bezpečnostní řešení, ale kromě obvyklých nastavení dítě-mládežník-dospělý je čím dále častěji k dispozici i možná trochu překvapivé nastavení „zaměstnanec“. Výhodou této technologie je, že je nastavena poměrně přísně a že se špatně obchází. Zpravidla není použitelná tam, kde je nutné nastavit pravidla velmi jemně: perfektně ale poslouží tehdy, když potřebujeme nastavit jasné mantinely. Např. kompletně blokovat přístup na internet v určitých hodinách nebo umožnit přístup pouze na některé webové stránky.

Z čistě technologického hlediska pracuje rodičovská kontrola s několika metodami, které je možné v podnikovém sektoru využít. Jednak je to omezování přístupu ke zdrojům. Jejím prvoplánovým cílem bylo maximálně omezit pohyb dětí a mládeže v nebezpečném prostředí a držet je pouze v mantinelech toho, co považujeme za bezpečné. Jinými slovy: tato metoda vychází z předpokladu, že nejlépe se nevhodný obsah bude blokovat tak, že se k němu odepře přístup. V počítači tak existuje databáze nevhodných zdrojů (např. seznam www stránek určených pro dospělé) a počítač při přihlášení nepovolané osoby (dítěte či zaměstnance) odmítne příslušnou stránku zobrazit. Tato metoda je velmi účinná, ale na druhé straně je velmi závislá na kvalitě použité databáze. A ta bude těžko kdy obsahovat všechny nevhodné zdroje. Na druhé straně: v případě, kdy je tato databáze relativně malá, nemá metoda omezení přístupu ke zdrojům konkurenci.

Tyto programy se přitom mohou spoléhat na dva typy databází: blacklisty a whitelisty. Blacklist je seznam zakázaných stránek (zpravidla je univerzální a je dodávaný výrobcem software: protože těžko si představit chudáka administrátora jak od nevidím do nevidím ťuká do klávesnice milióny a milióny nevhodných URL odkazů – a nedisciplinovaným uživatelům jich stále ještě milióny a milióny zbývají). Whitelist naopak seznam povolených. Ten už lze zpravidla poměrně snadno vytvořit: seznam v pracovní době potřebných stránek lze zpravidla redukovat na několik jednotek nebo desítek kusů. Vše ostatní je zakázáno.

Filtrování a monitorování

Další metodou z hlediska rodičovské (a nyní už i zaměstnanecké) kontroly je filtrování obsahu. Aneb veškerý obsah, který vstupuje do počítače, je kontrolován na základě několika parametrů. Jedná se vlastně o něco podobného jako v případě personálních firewallů nebo antivirových programů, ale na trochu jiné úrovni. Zatímco tyto mají pevně definovaná pravidla (blokování nežádoucího provozu, hledání určitých řetězců v souborech apod.), tak v případě parental control je to trochu odlišné: hledá nevhodná slova v e-mailech a www stránkách, grafické symboly, textové pasáže (např. interní dokumenty, které se zaměstnanec pokouší poslat „ven“) atd.

V neposlední řadě je to pak technologie monitorování aktivity na počítači. Ne vše se samozřejmě podaří zablokovat na vstupu do počítače (příkladem budiž třeba zašifrovaný obsah). A ne všechen nevhodný obsah přichází po internetu. Navíc tato metoda má přesah z oblasti bezpečnosti (pokusy o instalaci, přístup k neoprávněným zdrojům apod.) třeba i do produktivity: kolik času tráví uživatel se kterou aplikací (brouzdání?, hry?).

Jistě, všechny metody rodičovské/zaměstnanecké kontroly se dají poměrně snadno obejít. Ale tyto jednak vyžadují určité uživatelské zkušenosti a jednak je jejich obejití okamžitě patné: nejde totiž jen o to kontrolu vypnout, ale třeba v případě monitorování aktivity také nějak získat či vytvořit chybějící data. Což není vůbec jednoduché a představuje úkon časově náročnější, než vlastní řádná práce (přesně v duchu hesla „výrobní náklady na jednu falešnou stokorunu jsou dvě stě korun“).

A navíc: i ta nejjednodušší bezpečnostní politika by na podobné snahy o obcházení daných pravidel měla pamatovat a tvrdě je postihovat.