У наш час інформаційними технологіями в професійній діяльності та особистому житті активно користується понад 60% українців. У сучасному суспільстві ІТ стали засобом для листування, обміну діловими документами, управління технологічними процесами, управління фінансами та навіть становлять основу бізнесу чи визначають логіку його ведення. Вся ця діяльність пов’язана з великою кількістю надважливої інформації. І питання безпеки цієї інформації є питанням номер 1.
У більшості випадків ми можемо перетинатись з ІТ, навіть не знаючи цього: купуючи книжку в магазині чи бронюючи квиток, або просто ідучи в кіно. Мало хто замислюється над тим, що всі сучасні блага цивілізації певною мірою пов'язані з ІТ. І що далі ми рухаємось вперед, то вагомішою стає частка ІТ в нашому житті. Потужне становлення інформаційних технологій стимулюють споживачі, котрі прагнуть отримувати послуги та товари з мінімальними фінансовими затратами та високою швидкодією. Адже порівнюючи бізнес-процеси в реальному і віртуальному світі важко не помітити низку очевидних переваг. Як-от, повна чи часткова автоматизація обслуговування клієнта, детальний опис товарів та послуг, відсутність плати за оренду торгових точок,а головне – простота користування та режим доступу 24/7.
Зважаючи на темпи розвитку ІТ-технологій та високий показник попиту на них, ці технології в сенсі розробки та тестування диверсифікуються як в контексті географічному, так і людському. Типовий продукт можуть розробляти на декількох континентах одночасно, причому абсолютно різні групи людей. Це дозволяє ринку ІТ-технологій бути динамічним та надійним. Водночас це накладає ряд обмежень, особливо на контроль якості кінцевого продукту.
Практично щодня у ЗМІ з’являється інформація про атаки на різноманітні сервіси чи клієнтів інформаційних систем, а також про появу у публічному доступі інформації, що стосується приватного життя окремих осіб чи інформації призначеної для вузького кола користувачів, викрадення фінансів з банківських установ. Причиною таких казусів головно є брак стратегічного бачення важливості інформаційної безпеки під час розробки продукту.
Власне, більшість керівників, особливо в Україні, абсолютно не готові до витрат пов'язаних з організацією належного рівня безпеки як не етапі розробки програмного забезпечення, так і під час його експлуатації. Понад те, часто свідомо нехтують питаннями інформаційної безпеки на всіх рівнях. Якщо до цього додати малу кількість кваліфікованих фахівців у цій галузі, котрі, як правило, працюють на закордон, то в результаті ми отримуємо абсолютно недієздатне інформаційне середовище підприємств, фінансових установ чи навіть державних структур. Про що свідчать останні події з атаками на урядові сайти, які були реакцією на закриття популярного ресурсу обміну файлами.
Також перманентно відбуваються атаки на інформаційні сайти медичних установ, енергетичних компаній, інформаційних порталів, на інформаційні ресурси фінансових установ, громадських організацій, силових відомств та ін. І що дуже прикро, практично всі ці атаки досягають мети, що своєю чергу свідчить про низьку інформаційну безпеку компаній.
Висновок такий. Якщо на ІТ-технології щораз більше покладають супровід життєво-важливих питань суспільства, то питання інформаційної безпеки виходить на передній план. Надіятись на гуманність зловмисників було б вкрай наївно. Світовий досвід засвідчує, що зловмисники не зупиняються навіть тоді, коли йдеться про екологічну безпеку великих систем чи навіть про життя людей.
Власне, для того, аби привернути увагу суспільства та фахівців до проблем ІТ-безпеки, означити можливі шляхи їх подолання 19 жовтня цього року у «Львівській політехніці» (на базі кафедри “Захист інформації”) за сприяння компанії “Lohika” був проведений практичний семінар з інформаційної безпеки під назвою WISC 01 (West Information Security Conference). Головна ідея заходу полягає у обміні досвідом в сфері інформаційних технологій і особливо питань, що стосуються захисту інформації. Також не менш важливою ціллю була ідея поєднання теорії і практики, особливо в університетських установах.
Саме тому доповідачами були експерти в сфері інформаційної безпеки та тестування якості продуктів, що мають досвід тестування ПЗ та інформаційних систем на проникність, а також досвід аудиту та аналізу систем на інформаційну безпеку..
Загалом у семінарі взяли участь понад 60 осіб. Учасниками заходу були як студенти, так і фахівці в сфері ІТ та інформаційної безпеки .
Під час семінару прозвучало три доповіді. Перша – “Безпека WEB орієнтованих сервісів”, (присвячена питанню безпеки web та web-орієнтованих сервісів), доповідач - Олесь Сегеда, Engineer-Software Senior QA. Її зміст: Міжсайтовий скриптінг (XSS). Введення SQL-коду (SQLi). Підміна міжсайтових запитів (CSRF). Маніпуляція даними (Data tampering).
Друга доповідь – “Безпека e-mail”, (стосувався безпеки інфраструктури e-mail та опису новітніх стандартів в цій сфері), доповідач - Олександр Ткаченко, Engineer-Software Senior QA. Її зміст: Техніки розсилання спаму. Методи боротьби зі спамом. Технологія DKIM. Технологія SPF/SIDF.
Третя доповідь – “Безпека мережевих сервісів”, (безпека сервісів, якими ми користуємось щодня, чи то отримуючи доступ до глобальної мережі Інтернет, чи безпосередньо взаємодіючи з ресурсами локальної мережі), доповідач – Павло Хромчак, Engineer-Software Senior QA. Її зміст: Тунелювання протоколів. Підміна MAC, ARP, DNS. Безпека бездротових з'єднань. Атаки на WEP, WPA2-PSK. Атаки типу "відмова в обслуговуванні" (DoS).
Усі доповіді супроводжувались практичним показом атак з демонстрацією на екрані, їх детальним роз'ясненням, було обговорено способи їх уникнення.
Отож, в процесі семінару учасники отримали теоретичні знання про ефективні методи захисту web-сервісів, мережевих сервісів та електронної пошти. А також наглядно побачили їх застосування на практиці. Найбільш активні учасники отримали призи від компанії “Lohika”.
Також організатори планують провести ще низку практичних семінарів з інформаційної безпеки. У перспективі – створення постійно лабораторії з дослідження актуальних загроз ІБ, напрацювання нових засобів, технологій та систем необхідних для організації ефективної інформаційної безпеки.
Павло Хромчак. Олександр Ткаченко.