Vzdálená plocha, s. r. o.
Oblast řesení
Bezpečná komunikace v malém az středně velkém podniku
Technologie
Bezpečnostní certifikáty, Sifrování souborů ve Windows XP Professional
Konzultanti
Kateřina Čápová
David Chudán
Karel Novák
Přínosy řesení
Bezpečný přenos citlivých informací
Chráněná komunikace se zákazníky
Umoznění elektronické komunikace se státní správou
Doplňující informace
Je mozné vyzádat na 16516e45q telefonním čísle kanceláře Fox Outside the Box Consulting +420 731 624 545 nebo na adrese www.foxoutside.org.
© 2006 FOX OUTSIDE THE BOX CONSULTING, vsechna práva vyhrazena.
Tato studie má informační charakter. FOX OUTSIDE THE BOX CONSULTING NEPOSKYTUJE ZÁRUKY VYŘČENÉ TOUTO STUDIÍ. Informace v tomto dokumentu jsou názorem FOX OUTSIDE THE BOX CONSULTING a jejích zaměstnanců. Produkty firmy Microsoft zmíněné v tomto dokumentu jsou ochranné známky společnosti Microsoft v USA nebo v jiných zemích. Ostatní produkty a jména společností mohou být ochrannými známkami jejich vlastníků.
Společnost Vzdálená plocha, s. r. o. se zabývá vzdálenou správou informačních technologií a systémů. Své sluzby poskytuje mensím podnikům, pro které by bylo zbytečně nákladné podporovat vlastními zaměstnanci. Firma má kolem 40 zaměstnanců, z toho 5 administrativních pracovnic, které koordinují IT specialisty (vyřizují objednávky, fakturaci, objednávky náhradních dílů atd.), ředitele a jeho asistentku, obchodní zástupce, marketingového specialistu, účetní. IT specialistů je v podniku 30. Společnost je ve smluvním vztahu s firemními zákazníky, kteří si objednávají zásahy, rovněz figuruje v mnohých "Zlatých stránkách" a jiných firemních katalozích, kde nabízí servisní zásahy z případě problému s HW či SW firmám i jednotlivcům.
Ve firmě je jiz vybudovaná výpočetní infrastruktura. Firma má interní počítačovou síť zabezpečenou firewallem a pracovní stanice pro vsechny zaměstnance. Vsechny stanice mají operační systém Windows XP Professional. Jako e-mailový klient se ve firmě pouzívá MS Outlook Express, e-mailové účty pro zaměstnance jsou od externího poskytovatele a zaměstnanci mají přístup do schránek zřízen přes IMAP. Od stejného poskytovatele mají přístup v kanceláři na internet. Ředitel firmy, obchodní zástupce a marketingový pracovník mají navíc mobilní telefony s tarifem, který umozňuje připojení generace 3G. Vsichni zaměstnanci mají celodenně mozný přístup do svých e-mailových schránek.
Komunikace ve firmě probíhá interně mezi ředitelem a asistentkou, mezi obchodníky, ředitelem, účetními a asistentkami a rovněz spolu komunikují administrativní pracovnice a technici, a to telefonicky a prostřednictvím e-mailů. Dále probíhá komunikace externě mezi vsemi pracovníky a smluvními partnery - zákazníky. Specialisté navíc provádějí zásahy pomocí sluzby "vzdálená plocha", Norton Host a pod. Dalsími externími subjekty komunikace jsou státní správa (finanční a zivnostenský úřad, zdravotní a sociální pojisťovny a dalsí) a dodavatelé (HW a SW, kancelářské potřeby, leasingová společnost, pojisťovny a sluzby poskytující pronájem podnikatelských prostor).
Značná část komunikace v rámci firmy i s externími partnery probíhá po e-mailu. Firmě jsou sluzby související s elektronickou komunikací poskytovány třetí stranou, navíc tento poskytovatel negarantuje bezpečnost ani soukromí. Hlavním problémem je skutečnost, ze privátní data obsahující obchodní informace jak o firmě tak i jejích klientech putují v otevřené formě jak internetem, tak zůstávají na nezabezpečených serverech, coz je nezádoucí.
S partnery, u kterých dochází k výměně elektronické posty obsahující citlivé informace byl vyjednán způsob sifrování inkriminovaných zpráv. Byly zabezpečeny zprávy přenásené mezi jednotlivými zaměstnanci i komunikace administrativních slozek s okolím firmy - zákazníky, partnery a dodavateli.
Zabezpečení elektronické komunikace bylo dosazeno pomocí standardních postupů ochrany: zavedením pouzívání elektronického podepisování a sifrování přenásených informací. Pro ředitele firmy byl vygenerován kvalifikovaný certifikát, pro ostatní bylo vytvořeno 40 zaměstnaneckých certifikátů. Vsechny certifikáty byly ověřeny certifikační autoritou První certifikační autorita, a. s.[*]
Certifikáty byly doporučeny i ostatním z okolí firmy, kteří se chtěli účastnit bezpečné výměny informací.
E-mailový klient pouzívaný ve firmě jiz podporuje elektronické podepisování a asymetrické sifrování zasílaných zpráv. Certifikáty tedy byly distribuovány na vsechny pracovní stanice. Bylo provedeno skolení vsech zaměstnanců, jak pracovat s nově zabezpečenou elektronickou postou. Účast na skolení byla nabídnuta vsem externím spolupracovníkům, se kterými firma komunikuje. Pravidla bezpečné komunikace byla zapracována do firemních standardů a bezpečnostní politiky.
Řesení pomocí certifikátů bylo v hodné pro případ, ze externí účastníci komunikace byli ochotni akceptovat bezpečnostní pravidla firmy. Pokud druhá strana odmítla certifikáty pořídit, zvolila firma Vzdálená plocha řesení pomocí sifrování odesílaných souborů. Tento postup se osvědčil i v případech, kdy komunikace proběhne pravděpodobně pouze jednorázově.
Pro tyto případy nasi konzultanti doporučili vyuzít systému sifrování souborů, které je podporováno funkcionalitou operačního systému MS Windows XP Professional, který je ve firmě pouzíván. Tak byly sdílené soubory chráněné heslem, které je předáváno druhé straně jiným komunikačním kanálem, například telefonicky, prostřednictvím SMS nebo osobně.
Společnost ocenila bezpečný a "oficiální" kanál pro komunikaci se státní správou. Administrativa je jiz unavená neustálým pobíháním od úřadu na úřad (např. pravidelné odvádění DPH atd.) pomocí kvalifikovaného certifikátu pro jednatele společnosti. Při komunikaci se státní správou je kvalifikovaný certifikát akceptován jako dostatečná záruka. Je tedy mozné finanční výkazy atd. odesílat elektronickou postou a odpadají osobní návstěvy na úřadech. Jednotliví zaměstnanci pak vlastní kazdý po svém certifikátu, který zaručuje pravost odesílatele, a je mozné ho vyuzít k sifrováni elektronické posty.
Dále bylo kladně hodnoceno vyuzití stávající infrastruktury IT a SW, předevsím snadnost instalace a pouzití certifikátů a sifrování souborů a vysoká úroveň zabezpečení sdílených dat. Navíc je jednoznačně identifikován kazdý jednotlivý odesílatel sdílených informací.
Jako potenciální riziko firma uvedla administrativní náročnost postupu při fluktuaci zaměstnanců a moznou chybu lidského faktoru při nedodrzení firemních standardů.
|