Informační technologie v kanceláři
02.03.2007
Zabezpečení dat je v advokátní kanceláři požadavek elementární. Na základě zájmu kolegů advokátů, i několika návštěvníků webu, poodkrýváme bezpečnostní režim výpočetní techniky kanceláře ŠTANCL & ROUBAL.
K zajištění chodu kanceláře využíváme do deseti počítačů, několik z nich jsou notebooky. Malá síť nemá na správu takové nároky jako sítě velkých společností o stovkách až tisících počítačů. Na druhé straně některé parametry velkých sítí musí splňovat stejně, což nelze zajistit, když si každý spravuje svůj počítač sám. Nasazení pokročilejších bezpečnostních prvků totiž vyžaduje poměrně vysokou míru standardizace jednotlivých stanic v síti. Komplikace přináší i práce notebooků v měnících se prostředích, zejména přechod z centrály do poboček.
Zabezpečení je dvouokruhové. Jednak je zabezpečena datová síť jako celek, jednak jednotlivé počítače samostatně, což má význam zejména u notebooků, které se často ocitají v prostředích bez ochrany hlavní sítě.
Centrální síť:
Připojena k internetu symetrickou bezdrátovou linkou s rychlostí 1 Mbit. Lokální síť od internetu oddělují dva firewally, každý odlišného typu. Z procházejících mailů jsou navíc automaticky odstraňovány viry a spam. Veškerá centrální kancelářská data se automaticky šifrují a přístup k nim je podmíněn zadáním hesla.
Jednotlivé počítače:
Každý počítač je chráněn personálním firewallem, antivirem i antispywarem, které se automaticky aktualizují, stejně jako celý systém. Citlivá data se automaticky šifrují a přístup k nim je, stejně jako přístup k vlastnímu počítači, možný až po zadání hesla.
Uložení hesel:
Hesla, která umožní přihlášení do systému i automatické rozšifrování dat jsou uložena na speciálních hardwarových klíčích, tzv. tokenech. Vzhledově připomínají běžné flash paměti, technologicky však jde o něco zcela jiného. Tokeny jsou vlastně šifrující čipové karty, k jejichž připojení stačí běžný USB port a snadněji se přenáší. Jsou přímo určené pro utajení hesel a soukromých klíčů elektronického podpisu, protože umí data rozšifrovat, aniž se heslo dozví počítač ke kterému jsou připojeny, čímž zabrání útočníkovi např. odposlechnout heslo zadávané na počítači, který úspěšně napadl a kontroluje.
Z hlediska bezpečnosti je rozdíl mezi heslem na disku a heslem v tokenu propastný. Projeví se dvojnásob, když je počítač napaden. Klienti Komerční banky, kterým minulý rok v srpnu mezinárodní hackerská skupina kompletně "vyčistila" bankovní účty, doplatili právě na to. Komerční banka sice o podvodu zveřejnila minimum informací, ale i z nich je zřejmé, že všichni okradení k elektronickému bankovnictví přistupovali přes heslo a certifikát uložený na disku, nikoliv přes čipovou kartu.
Budoucnost:
Bezpečnost je nikdy nekončící proces. V současnosti po ročním testovacím provozu vydáváme všem pracovníkům kanceláře elektronický podpis (k jeho uložení využijeme opět tokeny) a plánujeme zprovoznění stálého připojení poboček k centrále. Ve vzdálenější budoucnosti nás možná čeká instalace nového centrálního serveru.
Na závěr dvě zajímavosti:
- Měsíčně obdržíme řádově 10.000 mailů, většina z nich jsou spamy. Zdá se to dost, ale v minulém roce, kdy jeden z nájemců v sídle kanceláře využíval pro přístup k internetu naše servery, bylo mailů mnohonásobně více, v listopadu 2006 zhruba čtvrt milionu.
- Pro klienty s extrémními požadavky na bezpečnost máme schovaný jeden stařičký počítač. Nedá se připojit k síti a nemá ani pevný disk. Pouští se z CD a napsané soubory se ukládají přímo na disketu. Po vypnutí počítače je absolutní jistota, že data nezůstala nikde mimo disketu. Po odevzdání klientovi nejsme ani v kanceláři schopni data rekonstruovat. Dnes počítač v klidu odpočívá, nepoužili jsme jej již několik let.
Autor: Mgr. Jiří Štancl ml.