AAA

Aktualne trendy w dziedzinie bezpieczeństwa systemów informatycznych

Bernhard Esslinger

Ze względu na swoją nadmierną cenę i dwuznaczność, wczesne projekty IFK nie potrafiły zgromadzić krytycznej masy zaangażowanych w nie uczestników. Obecnie, kiedy zainteresowanie dużymi projektami spadło, istnieje raczej zapotrzebowanie na stopniową poprawę sytuacji w zakresie bezpieczeństwa niż na duże projekty. Gorące tematy to teraz: łączenie istniejących wysp IFK, stosowanie S/MIME, wprowadzanie konfiguracji single sign-on i podnoszenie świadomości. Jednakże obiektem naszej wizji pozostaje globalnie stosowane IFK, bazujące na cyfrowych dowodach tożsamości. Wynalazki w zakresie takiej infrastruktury mogą być dokonywane w ramach partnerstwa prywatno-publicznego, z korzyścią dla wszystkich: firm, klientów oraz rządów.

Infrastruktura klucza publicznego (IKP); Od zbyt mało jednoznacznych oczekiwań do pragmatycznych zastosowań, kiedy opadły już emocje

Prowadzenie działalności gospodarczej kanałami elektronicznymi, najczęściej przez internet, wymaga bezpiecznej i skutecznej metody autentykacji. Banki działające w systemie on-line korzystają najczęściej z kodowania za pomocą wbudowanych zabezpieczeń wyszukiwarek internetowych (SSL) oraz dodatkowo stosują numery PIN i TAN. PIN autentykuje klienta, TAN natomiast wymagany jest w celu autoryzacji każdej pojedynczej transakcji, Metoda ta zapewnia wysoki poziom bezpieczeństwa. Korzysta z niej obecnie większość naszych klientów na całym świecie. Mimo to jednak w transakcjach internetowych brakuje nam mechanizmu autentykacji, zapewniającego wysokie bezpieczeństwo, a jednocześnie możliwego do wykorzystania nie tylko pomiędzy klientem a specjalną aplikacją, ale też pomiędzy klientem a niemal wszystkimi aplikacjami pochodzącymi od różnych sprzedawców. Brak autentykacji stanowi wciąż jedną z największych barier e-handlu.

Infrastruktura klucza publicznego (IKP) jest zasadniczo w stanie rozwiązać nie tylko ten problem, ale potrafi również zapewnić autentyczność, poufność, integralność oraz niezaprzeczalność danych elektronicznych. IKP działa w oparciu o zaawansowane metody matematyczne, opracowane w ostatnim dwudziestopięcioleciu XX wieku. Ze względu na dojrzałość tej technologii w ciągu minionych pięciu lat zainicjowano wiele projektów IKP przy bardzo wysokich oczekiwaniach. Dziś musimy stwierdzić, że wiele realizacji IKP nie powiodło się, gdyż nie były w stanie przyciągnąć wystarczającej liczby stałych użytkowników. W ramach danego IKP każdy użytkownik posiada tajny klucz oraz informację zwaną kluczem publicznym, publikowaną w formie spisu, podobnie jak publikuje się numery w książce telefonicznej. Jest jasne, że skorzystanie z infrastruktury wymaga dostępu zarówno do słownika/spisu, jak i do sieci telefonicznej. Podstawowy problem polega na tym, że gorączka IKP zaowocowała powstaniem wielu małych, ale nie potrafiących współpracować infrastruktur. Można porównać to do sytuacji równoległego istnienia wielu nie współpracujących ze sobą linii telefonicznych, kiedy niemal każdy partner komunikacyjny musi zainstalować nowy telefon i zakupić pewien spis numerów. Powodowało to dla potencjalnego użytkownika korzyści zbyt małe, by zachęcić go do stałego użytkowania (abonamentu), co z kolei kończyło się niepowodzeniem inwestycji. Opisany powyżej rozwój IKP wynikał zasadniczo z faktu opracowywania własnego IKP przez każdą firmę, ze szczególnym nastawieniem na własne potrzeby, a także z tego, że firmy nie były skłonne zrezygnować z kontroli nad posiadaną infrastrukturą.

W efekcie nie doszło do praktycznego rozwiązania problemu autentykacji w kanałach elektronicznych.

Nieustanne podnoszenie bezpieczeństwa kontra rozwiązanie ostateczne - efektywne kosztowo firmowe rozwiązanie w zakresie bezpieczeństwa e-maili

Pomimo braku wątpliwości co do tego, że IKP stanowiłoby najbardziej pożądane rozwiązanie, doświadczenia wymienione w pierwszej części wskazują na konieczność osiągnięcia przez taką infrastrukturę wystarczającej wielkości dla zapewnienia jej użyteczności. Sądzę, że od powstania takiej infrastruktury dzielą nas raczej lata niż miesiące. Tymczasem dobrze jest zastanowić się nad podjęciem niewielkich, niedrogich kroków, prowadzących do poprawy bezpieczeństwa, do ich zintegrowania i realizacji w ramach sieci. Krokiem takim może być zastosowanie bezpiecznego e-maila w oparciu o S/MIME (Secure Multi-Purpose Internet Mail Extensions). S/MIME jest standardem opisującym możliwość połączenia szyfrowania i certyfikatu cyfrowego z tekstem głównym wiadomości oraz jej załącznikami. S/MIME może być wykorzystywany w dzisiejszej infrastrukturze ze względu na to, że wszystkie główne programy do przesyłania wiadomości oraz wyszukiwarki internetowe potrafią przetwarzać S/MIME. Jeżeli nadawca chce autentykować wiadomość, wystarczy, że do oryginału wiadomości dostarczy (cyfrowy) podpis oraz swój certyfikat. Następnie może sprawdzić podpis, o ile posiada dostęp do odpowiadającego mu certyfikatu bazowego. Z tego powodu S/MIME nadaje się do komunikacji pomiędzy pracownikami różnych (dużych) organizacji, którzy się znają i dokonali już wymiany certyfikatów bazowych na bezpiecznym kanale (w systemie off-line). Istnieje możliwość prześledzenia każdego certyfikatu osobistego do certyfikatu bazowego. W przypadku gdy nadawca pragnie zaszyfrować poufną wiadomość, prosi najpierw odbiorcę o jego certyfikat (jest to część każdego czysto podpisanego e-maila). Za pomocą klucza publicznego odbiorcy, zawartego w certyfikacie, nadawca może wiadomość zaszyfrować. Zaletą S/MIME jest jego wysoka standaryzacja oraz łatwość wdrażania. Ponadto nadawca i odbiorca nie muszą posiadać dostępu do wspólnego spisu, o ile są w stanie prześledzić partnera w komunikacji aż do zaufanego źródła (bazy), co jednak ogranicza zastosowanie S/MIME dla klientów prywatnych. Innym sposobem poprawy bezpieczeństwa przedsiębiorstwa jest wdrożenie metody single sign-on (SSO), polegającej na jednorazowym logowaniu się pracowników do systemu z dowolnej lokalizacji (roaming). Niezależnie od miejsca otwarcia aplikacji, identyfikacja dokonywana jest wewnętrznie przez system. Zasadniczą zaletą tej metody jest dostęp do wszystkich aplikacji, potrzebnych pracownikowi, za pomocą jednego hasła. Rozwiązuje to problem mnogości różnorodnych aplikacji wymagających haseł, co prowadzi często do zamętu (hasła różnej długości, terminy obowiązywania itp.) i powoduje stosowanie mniej skutecznych haseł, budowanych według własnych zasad i łatwych do odgadnięcia. Możliwe jest łatwe połączenie SSO z zastosowaniem IFK.

Łączenie istniejących infrastruktur

Jak wspomniano powyżej, zasadniczym czynnikiem sukcesu każdej infrastruktury (bezpieczeństwa) jest zdobycie krytycznej liczby stałych użytkowników. Dlatego właśnie łączenie wielu pojedynczych IFK przedsiębiorstw ogromnie zwiększyłoby płynące z nich korzyści. Ponieważ większość firm nie chce się zgodzić na zarządzania ich cechą bezpieczeństwa przez inną firmę, istnieje prawdopodobieństwo niepowodzenia podejścia hierarchicznego. Z kolei czysta wymiana certyfikatów wymaga zbyt wielu kontaktów. Łączenie IFK w ramach kontaktów 1:n - jak robi to inicjatywa European bridge-CA (http://www.bridge-ca.com), wydaje się obiecującą i tanią metodą poprawy sytuacji. European bridge-CA jest to inicjatywa nie nastawiona na zysk i otwarta dla wszystkich organizacji biznesowych lub rządowych, pragnących osiągnąć wymagane standardy dla IFK. Co w uproszczeniu oznacza, że każdy spis kodów firmy zawiera link do bridge-CA, generującego i podpisującego listę uczestniczących certyfikatów bazowych, podczas gdy każda z firm zachowuje odpowiedzialność za własny spis kodów. Jako członek - założyciel inicjatywy European bridge-CA, Deutsche Bank korzysta z bridge-CA oraz S/MIME do bezpiecznego komunikowania się ze swoimi klientami. Od 2003 r. Deutsche Bank zbudował niezwykle efektywne kosztowo, scentralizowane rozwiązanie interfejsowe S/MIME dla wszystkich pracowników. Zintegrowane z European bridge-CA, łączy ono w sposób bezpieczny z naszym systemem e-mailowym o wiele większą liczbę klientów firmowych, w tym takich jak Siemens, Deutsche Telekom, SAP i IBM. Obecni klienci firmowi, korzystający z bezpiecznego przesyłania poczty elektronicznej, pochodzą z Niemiec, Austrii, Włoch, Szwajcarii, Republiki Czeskiej, krajów Beneluksu oraz z Wielkiej Brytanii. Z niecierpliwością oczekujemy na przyłączenie się polskich firm! Ogólnie mówiąc, sposobem na zwiększanie korzyści płynących z infrastruktury klucza publicznego może być wykorzystanie możliwości współdziałania systemów. Każdorazowo przy powstawaniu nowej architektury, architekci powinni pamiętać o tym, że korzysta ona z dobrze utrwalonych standardów. I chociaż potrzeby spółek mogą całkowicie spełniać specjalnie zaprojektowane rozwiązania, my jesteśmy zwolennikami wdrożeń standardowych. Rozwiązania autorskie mają tę wadę, że połączenie ich z innymi elementami infrastruktury jest albo niemożliwe, albo bardzo drogie.

Partnerstwo publiczno-prywatne

Sytuacja na rynku B2C różni się w sposób zasadniczy od sektora B2B, w którym możliwe jest połączenie istniejących IKP. Dzieje się tak dlatego, że w sektorze B2B nie ma prawie możliwości potwierdzenia klienta korzystającego z certyfikatu bazowego i każdy certyfikat należałoby wymienić w systemie online, co niesie za sobą wysokie koszty. W efekcie wielu klientów wciąż nie dostrzega korzyści z nabycia certyfikatu. Natomiast bez wystarczającej liczby użytkowników nie można wdrożyć żadnej aplikacji B2C pracującej z certyfikatami. Dla przezwyciężenia tej patowej sytuacji najbardziej obiecujący wydaje się wspólny wysiłek publiczno-prywatny. Jeżeli, przykładowo, doszłoby do wyposażenia wszystkich krajowych identyfikatorów w chip noszący certyfikat cyfrowy, wówczas budowa aplikacji na bazie tej infrastruktury byłaby opłacalna po prostu dlatego, że mieliby do nich dostęp wszyscy potencjalni klienci. Mogą to być również aplikacje finansowe, z dziedziny e-handlu lub e-rządu. Szczególnie przydatne do tego celu wydają się aplikacje finansowe, ponieważ nie wymagają one wymiany środków trwałych. Pojawia się wątpliwość, czy niezależne infrastruktury, budowane przez banki lub firmy ubezpieczeniowe dla swoich klientów przez sklepy online w ramach programów utrzymania klientów lub przez władze państwa i ubezpieczenia społeczne dla swoich celów, zapewnią wystarczający zwrot z inwestycji. Zaleta metody partnerskiej polega na możliwości wykorzystania jednej infrastruktury do różnych celów, a więc do obniżenia kosztów ogółem oraz zwiększenia potencjalnych korzyści dla każdego uczestnika. Podstawowym wymogiem w tym zakresie jest możliwość współpracy międzysystemowej. W celu wykazania wykonalności Deutsche Bank wraz z partnerami strefy publicznej (urzędy skarbowe w Niemczech i BfA - niemiecki odpowiednik ZUS) wypuścił niedawno dbSignaturCard. Podpis tworzony za pomocą tej inteligentnej karty (smartcard) jest akceptowany nie tylko w ramach usług bankowych Deutsche Bank, świadczonych w systemie online, ale również w aplikacjach pozostałych partnerów - uczestników partnerstwa publiczno-prywatnego. W ten sposób istnieje możliwość zawierania prawnie obowiązujących umów przez internet. Obecnie trwają bardzo intensywne prace nad osiągnięciem współpracy międzysystemowej. Grupa robocza zajmująca się tym zagadnieniem jest otwarta na wszystkich uczestników, nawet pochodzących spoza Niemiec. Uważamy, że sukces tego przedsięwzięcia będzie pełny tylko w przypadku przyjęcia europejskiego podejścia. Podstawową zaletą IKP, związaną z krajowymi kartami identyfikacyjnymi, powinno być uniknięcie problemu masy krytycznej ze względu na popularność tego rozwiązania. Ponadto IKP wydane pod patronatem rządowym spowodowałoby podniesienie wiarygodności oraz zwiększyłoby prawdopodobieństwo przyjęcia nowej techniki przez klientów. Również partnerstwo publiczno-prawne, w ramach którego poszczególne instytucje mogą wydawać karty "smart" oraz certyfikaty, wygląda obiecująco, ale pod warunkiem osiągnięcia współpracy w ramach systemu.

Podnoszenie świadomości

Pracownicy zajmujący się bezpieczeństwem powinni posiadać głębokie zrozumienie potrzeb i wymagań klientów oraz wymogów związanych z prowadzoną działalnością. Bardzo częstym problemem, występującym przy nadmiernej koncentracji na kwestiach technicznych, jest niewystarczająco poważne traktowanie obaw klientów. Klienci nie będą korzystali z systemu, w którym nie czują się bezpiecznie. Jednak nie wystarczy samo zdefiniowanie i propagowanie rozwiązań zapewniających wysoki poziom bezpieczeństwa. Jeżeli klienci poczują, że prawdziwe bezpieczeństwo zapewniają tylko rozwiązania o wysokim poziomie bezpieczeństwa, może to wywołać efekt przeciwny do zamierzonego. W odbiorze społecznym będzie to oznaczać, że wszystkie inne rozwiązania nie są bezpieczne. Tak się jednak składa, że domy mieszkalne nie są budowane w sposób identyczny jak sejfy bankowe, mimo że i jedne, i drugie powinny uniemożliwiać włamanie. Ta sama zasada dotyczy świata wirtualnego: jeżeli niektórzy eksperci będą się dalej upierać, że brak cyber-safe (wirtualnie bezpiecznych) zabezpieczeń oznacza brak bezpieczeństwa, wówczas konieczne będzie albo tworzenie aplikacji, na które nikogo nie będzie stać, albo przebywanie w mniej bezpiecznym środowisku, poza cyber-house. Znaczącym tego przykładem może być dyskusja na temat czytników kart smart 2. i 3. klasy. Dlatego właśnie, z jednej strony, użytkownik powinien mieć świadomość istniejącego ryzyka, natomiast z drugiej, powinien być w stanie podjąć kroki w celu ograniczenia go do odpowiedniego poziomu. Oczywiście nie jest to proste, ale nie opłaca się również ignorowanie istniejącego ryzyka, czy też podejmowanie prób utrzymania użytkowników w całkowitej beztrosce. Ludzie najczęściej czują się źle ponosząc ryzyko, którego nie są w stanie oszacować, ponieważ nie rozumieją stojących za nim procesów. Dlatego też podstawowym działaniem jest podnoszenie świadomości i propagowanie podstawowego zrozumienia aplikacji e-handlu oraz cech bezpieczeństwa. Wymaga ono podjęcia wspólnego wysiłku ze strony sektora prywatnego, władz i mass mediów. Jednym z przykładów podnoszenia świadomości, poprzez umożliwienie lepszego zrozumienia bezpieczeństwa informatycznego, jest narzędzie CrypTool (http://www.cryptool.com) - ogólnie i bezpłatnie dostępne oprogramowanie do e-nauki, zaprojektowane niegdyś przez Deutsche Bank we współpracy z uniwersytetami i spółkami prywatnymi. Cryp Tool stanowi ustrukturyzowane wprowadzenie do klasycznego i współczesnego szyfrowania w formie zabawy. Z narzędzia korzysta się przy szkoleniu personelu oraz w szkołach wyższych i w wielu organizacjach.

Wnioski

Generalnie dostrzec można wiele potencjalnych możliwości wykorzystania elektronicznych kanałów na potrzeby e-handlu oraz e-rządu, w przypadku znalezienia zadowalającego rozwiązania problemu autentykacji. Dlatego też najbardziej pożądana byłaby infrastruktura typu: krajowa cyfrowa karta identyfikacyjna. Przyjęcie takiego rozwiązania wymagać będzie wspólnego wysiłku. W oczekiwaniu na to rozwiązanie należy jednak skoncentrować się na działaniach mogących zwiększyć bezpieczeństwo przy rozsądnym nakładzie pracy, np. poprzez wykorzystanie S/MIME lub wprowadzanie rozwiązań typu single sign-on. Ponadto konieczne jest podnoszenie świadomości w dziedzinie bezpieczeństwa z zachowaniem wyważonego podejścia do ryzyka (unikając jego nadmiernego podkreślania oraz ignorowania). Ważnym krokiem w kierunku zwiększania bezpieczeństwa i zaufania konsumentów będzie odpowiednie, pełne zrozumienia potraktowanie obaw klientów, połączone z edukacyjną kampanią reklamową skierowaną do klientów i pracowników.

INFORMACJE O AUTORZE

BERNHARD ESSLINGER
Autor od 10 lat zajmuje się tematyką SAP (systemu informatycznego wspomagającego zarządzanie firmą). Obecnie zarządza centrum kryptografii i jest dyrektorem departamentu badań nad technologiami bezpieczeństwa IT w Deutsche Bank we Frankfurcie. Koordynował wprowadzanie Infrastruktury Klucza Publicznego w Deutsche Bank. Jest wykładowcą na Uniwersytecie w Siegen w Niemczech, a także referentem wielu międzynarodowych konferencji. Jest również jednym z założycieli European Bridge-CA (www.bridge-ca.org) i inicjatorem projektu CrypTool, który dostarcza darmowego oprogramowania e-learningowego w zakresie kryptografii i bezpieczeństwa w IT (www.cryptool.org).