OZ 2004/2

78 ORGANIZACIJA ZNANJA 2004, LETN. 9, ZV. 2 POROČILO • napad računalniškega virusa ohromi delo ali povzroči izgubo podatkov (zloraba zaradi nenameščene antivi- rusne programske opreme), • razni smetni programi (spyware, adaware) povzročajo slabo delovanje sistema (zloraba zaradi nenameščene protismetne zaščite), • računalniški črv ohromi internet (zloraba ranljivosti zaradi nezakrpanih varnostnih lukenj v sistemski pro- gramski opremi), • zaposleni v podjetju se dokoplje do njemu nedostop- nih zaupnih informacij (interna zloraba informacij), • računalniški heker vdre v informacijski sistem (zlora- ba informacij z vdorom od zunaj). Danes Microsoft priznava, da pred nekaj leti varnosti ni posvečal toliko pozornosti, kot ji posveča danes. Razlogi za to so preprosti. Leta 1998 na primer ni bilo nobene potrebe po varnosti, ker sta bila ekspanzija povezovanja računalnikov v lokalno omrežje in internet šele na začet- ku. Filozofija takrat je bila: ponuditi čimveč in čim bolj funkcionalno. Z leti so se razmere bistveno spremenile in varnost postaja prva skrb tudi pri Microsoftu. To dokazu- jejo tudi s pristopom pri načrtovanju strežnika Windows 2003. Ta ima pri namestitvi onemogočene skoraj vse storitve. Logika je torej obrnjena na glavo: privzeto ne omogoči ničesar, dodajaj tisto, kar potrebuješ. Pri tem pa velikokrat naletimo na paradoks, da je z večjo varnostjo manj funkcionalnosti in obratno. Dejstvo je, da tehnologija sama po sebi ne more zado- voljivo varovati informacijskega premoženja. Za to so potrebni ljudje, procesi in postopki, osnova pa je spre- jeta varnostna politika, ki določa, kaj in kako varovati, predvideva tudi vse posledice zlorab in določi ukrepe za sankcioniranje. Tehnologija sicer ponudi posamezne re- šitve, ki pa jih tudi Microsoftovi strokovnjaki in partnerji omenjajo kot danes nepogrešljive: • nameščena in posodobljena antivirusna programska oprema na delovnih postajah, notesnikih, strežnikih, • filtriranje virusov na poštnih strežnikih (Exchange), saj prihaja največ virusov preko elektronske pošte, • na strežniku za e-pošto (Exchange) ali na odjemalcu (Outlook) onemogočene nekatere priponke datotek (.exe, .vbs ...), ki lahko ob zagonu povzročijo nežele- ne operacije, • nastavljena varnost makrov v pisarniški programski opremi (Office), • posodobljena sistemska programska oprema, od- pravljene znane varnostne luknje – npr. samodejno posodabljanje preko strežnika Windows Update ali Software Update Services, • uporaba kompleksnih gesel in njihova redna zamenjava, prepovedano posredovanje gesel drugim uporabnikom, • samodejno zaklepanje delovnega namizja, ponovna prijava samo z geslom, • spremljanje varnostnih dogodkov, npr. dnevnik ne- uspelih poskusov prijave ali dostopa do sredstev, • skrbno načrtovana možnost dostopa do sredstev v omrežju, • uporaba šifriranih datotek in map, • uvedba požarnega zidu in spremljanje prometa v sme- ri internet – lokalno omrežje (npr. strežnik ISA). Vabljeni gost Steve Riley, direktor produkcije v Micro- softu, je predstavil svoje poglede na uvedbo varnosti v obstoječe in nove proizvode Microsofta. Zadal si je cilj, da odgovori na bistveno vprašanje: V kolikšni meri si želite biti varni? Poudaril je predvsem to, da je središče dogajanja vedno človek, bodisi  navadni uporabnik, na- prednejši uporabnik, IT-administrator, sistemski inženir ali razvijalec programske opreme, ki se mora zavedati, da je varnost informacijskega premoženja danes pomembna. Razložil je globlji pomen konceptov, kot so npr. preverja- nje istovetnosti (avtentikacija), avtorizacija, integriteta in kako so vpeljani v okolje Windows. Kot primer površne predstave o varnosti je navedel uporabo gesla ( password ), ki za večino ljudi še vedno pomeni krajšo besedo ( word ). Po njegovem mnenju je rešitev v frazi ( passfraze ), stav- ku, ki samo uporabniku nekaj pove. Razbijanje tako dolgega gesla bi trajalo milijone let, težko pa je tudi upo- rabiti slovarje. Riley je tudi povedal, da je velika večina ljudi vizualcev. Ugotovili so namreč, da obveščanje o možnih nevarnostih v okolju Windows v obliki besednega opisa ne ustreza. Zato se bodo trudili, da bi še bolj grafično ponazarjali na možne nevarnosti po vzgledu opozorilnih znakov na kopališčih (npr. Pozor! Plitko dno, ob skoku v vodo mož- nost poškodbe!) in ponudili več možnosti, kaj narediti v takih primerih (dodali bodo možnost blokiranja za primer vsiljivih strani na internetu). Za zaključek je Riley po- vedal, da zadnje čase Microsoft veliko vlaga in raziskuje področje varnosti na vseh ravneh uporabe svojih proizvo- dov, predvsem pa ima cilj svoje uporabnike navaditi, da se zavedajo (ne)varnih situacij. Na koncu je seveda izzval poslušatelje, da odgovorijo, v kolikšni meri si želijo biti varni. Oblike napadov na e-podpis E-podpis je temelj varnega elektronskega poslovanja, pa vendar sam zase še zdaleč ni dovolj za vzpostavitev zado- stnega nivoja računalniške varnosti. Tako za načrtovalce kot razvijalce programske opreme je še kako pomembno, da ra- zumejo, zakaj so lahko e-obrazci in dokumenti, čeprav pod- pisani, izpostavljeni številnim oblikam napadov in zlorab. V predavanju so bili prikazani vsi bistveni mehanizmi var- nega elektronskega poslovanja v okolju Microsoft.NET. Na