Babin

Społeczeństwu wiedzy coraz bardziej zagraża niewłaściwe wykorzystanie technologii informacyjnych (IT). Jednocześnie ich odpowiednie stosowanie może ograniczać to ryzyko i zwiększyć bezpieczeństwo danych. Spojrzenie na IT pod tym kątem i ciągła praca nad projektowaniem dla bezpieczeństwa (ang. design for security) staje się bardzo ważnym zadaniem, zwłaszcza że dziś ochrona danych oraz systemów informacyjnych (IS) w pełni przenika funkcjonowanie IS, a nie stanowi – tak jak wcześniej – tylko składnika IS działającego w tle. Staje się priorytetem dla informatyków i naukowców zajmujących się informacją, a także dla menedżerów wysokiego szczebla i socjologów.

Autorka zdaje sobie sprawę ze złożoności problematyki ochrony IT, która obejmuje, oprócz samych technologii, również bezpieczeństwo i ochronę IS oraz przechowywanych, przetwarzanych i udostępnianych w nich danych. Skupia się na logicznym poziomie ochrony danych i jej kluczowym elemencie – uwierzytelnianiu użytkowników (UU), który jest coraz częściej stosowany w portalach oraz aplikacjach sieciowych i jednocześnie jest najczęściej atakowany. Rozróżnia przy tym identyfikację (kim jest użytkownik), uwierzytelnianie (czy rzeczywiście to dana osoba) i autoryzację (jakie ma uprawnienia), przy czym identyfikacja i uwierzytelnianie występują razem jako dwa kroki jednego procesu, warunkującego dostęp do systemu.

Podczas wyboru UU trzeba mięć na uwadze różne metody uwierzytelniania i związane z nimi kryteria rzutujące na bezpieczeństwo IS, w szczególności na szybkość danej metody. Odpowiednia metoda UU musi też chronić przed zafałszowaniem tożsamości, musi być niezawodna i wiarygodna (nie wpuszcza obcych, ale też nie odrzuca bez uzasadnienia) oraz nie może zmieniać danych na wejściu/wyjściu uwierzytelniania. W praktyce stosuje się kombinację dwóch-trzech sposobów UU i dzięki odpowiednio ustawionym wymogom udaje się eliminować większość ataków na protokoły uwierzytelniania. Bez wprowadzenia którejś z metod UU traci sens cała pozostała technika ochrony danych w IS. Większość metod UU działa na zasadzie szyfrowania danych i rozwija się wraz z kryptografią.

Omówiono podstawowe metody silnego uwierzytelniania: posługujące się hasłami (statycznymi, jednorazowymi, zmiennymi), tokenami (urządzeniami, za pomocą których użytkownik loguje się do systemu) oraz biometrycznymi cechami użytkownika. Stosowanie tych ostatnich wiąże się jednak z ryzykiem naruszenia prywatności i potrzebą uregulowań prawnych. Następnie przy pomocy analizy SWOT oceniono oraz porównano ww. metody i m. in. stwierdzono, iż najlepszym rozwiązaniem dla publicznych instytucji wydaje się, ogólnie mówiąc, kombinacja hasła z metodą, wyrażającą najnowsze trendy. Potem należałoby wybrać te konkretne techniki, które nadają się do praktycznego, bezpośredniego zastosowania w danych warunkach. Pomocne przy wyborze też będą różne cechy systemów UU, takie jak skala zastosowania, łatwość administrowania, grupowanie użytkowników i urządzeń, stosowanie nowoczesnych algorytmów (np. podczas generowania haseł). Obecnie najbardziej efektywną platformą dla UU są technologie szyfrowania danych, powszechnie stosowane w domowych PC (ochrona plików, poczty elektronicznej), w elektronicznej bankowości i systemach kart płatniczych. Zakres stosowania UU będzie się poszerzał i jego znaczenie będzie rosło wraz z coraz większym znaczeniem IT w życiu społecznym.