Einführung
Heute rast die Welt aus dem Industriezeitalter heraus und steht an der Schwelle zu einer revolutionären neuen Wirtschaft, die auf Informationstechnologie basiert und nicht auf konventionellen Rohstoffen und physischen Kräften. Die bemerkenswerten Veränderungen in der Weltwirtschaft haben die Menschheit von der konventionellen Kriegsführung zur „Wirtschaftskriegsführung“ und schließlich zur „Cyberkriegsführung“ geführt. Dabei wird die Kontrolle der Marktkräfte durch Hochtechnologie eingesetzt. Die Veränderungen auf der Weltbühne sind heutzutage so rasant und phänomenal, dass Überzeugungen und Logiken, die früher in einem halben Jahrhundert stattfanden, heute alle paar Jahre überarbeitet werden müssen. Wissen ist heute die zentrale Ressource sowohl für Zerstörbarkeit als auch für Produktivität, und die Auswirkungen der Informationstechnologierevolution haben zu neuen Regeln geführt. Die IT hat weltweit zu einem Wirtschaftsboom geführt und eine Vielzahl von Kanälen geschaffen, durch die Informationen und Fehlinformationen in rasantem Tempo fließen. Mobiltelefone, PCs, Kopierer und Faxgeräte, Roboter und Drohnen, Videokameras, Satelliten, Sensoren, Roboter und digitale Netzwerke ermöglichen heute den Austausch riesiger Daten-, Sprach- und Grafikmengen über zahlreiche und dezentralisierte Kanäle, die oft außerhalb der Reichweite der Geheimdienste und Militärzensurbehörden der Länder liegen. Tausende von Computernetzwerken entstehen in rasantem Tempo und überwinden nationale Grenzen. Die Welt schrumpft zu einem globalen Dorf, in dem Millionen von Menschen in ständigen Gesprächen über alles Mögliche miteinander verbunden sind, von Safer Sex über Aktien und Wertpapiere bis hin zu Staatsgeheimnissen. So können ungestraft Gruppen gebildet werden, die sich der Zerstörbarkeit und Produktivität verschrieben haben.
Schockierenderweise ist es im Zuge der globalen Sicherheit und der Fortschritte in der IT zu einem enormen Anstieg von Konflikten geringer Intensität gekommen und der internationale Terrorismus hat sich von Afghanistan, Pakistan, Jemen, Iran, Libanon, Irak, Syrien, Sudan und darüber hinaus weit ausgebreitet, und verschiedene arabische Terrororganisationen führen heilige Kriege (Dschihad) in Bosnien, Tschetschenien, Somalia, Indien, Indonesien, Malaysia und jenseits der Grenzen der Türkei in der Europäischen Union und den USA. Im späten 20. Jahrhundert waren diese Konflikte oft von Interventionen der Supermächte geprägt, die schwere Verluste an Menschen und Material verursachten und amerikanische Präsidenten dazu zwangen, seine Stützpunkte in Afghanistan, Syrien und Sudan anzugreifen. Diese lasergesteuerten Angriffe mit Marschflugkörpern waren nur dank der Verfügbarkeit fortschrittlicher IT möglich.
Im Jahr 2015 gab es über 2860 islamistische Anschläge in 53 Ländern, bei denen 27615 Menschen getötet und 26136 verletzt wurden. Viele Anschläge und Opfer werden nicht gemeldet.
Bedeutung der IT-Sicherheit:
Die Fähigkeit von Außenstehenden, in Computernetzwerke einzudringen, die häufig auf Telefonen basieren, stellt nicht nur eine ernste Bedrohung für Banken, Finanzinstitute und die Industrie dar, sondern auch für die nationale und internationale Sicherheit. Datennetzwerke sind äußerst anfällig für die doppelte Bedrohung durch den Diebstahl vertraulicher, geheimer Daten durch externe Elemente und durch Verzerrungen oder Auslöschungen durch Einschleusung bösartiger Viren und Würmer in Systeme ohne das Wissen der Benutzer. Verzerrungen zwingen die Benutzer zu falschen Entscheidungen, während Auslöschungen wichtige Daten in Krisensituationen wie Kriegen unzugänglich machen. Diese Bedrohungen haben die Benutzer gezwungen, Computersicherheitsmaßnahmen zu entwickeln. In den USA hat das National Computer Security Centre (NCSC) des Verteidigungsministeriums ein „Orange Book“ zur IT-Sicherheit veröffentlicht. Großbritannien hat ein „Green Book“ herausgebracht. Ähnliche Handbücher wurden auch von anderen Ländern veröffentlicht, während andere Gesetze gegen den unbefugten Zugriff auf Computer erlassen haben, die ausschließlich von Regierungsinstitutionen und militärischen Einrichtungen verwendet werden. Auch gegen die Bedrohung durch bösartige Software sind gesonderte Gesetze in Planung. Ein Großteil der IT-Sicherheit hängt jedoch davon ab, wie gut die Anweisungen zu diesem wichtigen Aspekt umgesetzt werden.
Parameter eines guten Datensicherheitssystems:
Die erste Voraussetzung für ein gutes Datensicherungssystem ist die Ernennung eines Datenschutzbeauftragten mit fundierten Kenntnissen über die Funktionsweise verschiedener Netzwerke und deren Einschränkungen. Die alte Art der konventionellen
Sicherheitsbeauftragte, die sich mit physischer Sicherheit auskennen, aber nicht mit IT-Sicherheit, erfüllen nicht die qualitativen Anforderungen an einen guten Datenschutzbeauftragten. Wenn die Sicherheitsabteilung von einem Generalisten geleitet wird, sollte dieser von Experten für IT-Sicherheitsmanagement unterstützt werden. Auf Grundlage ihrer Leistung können Datenschutzbeauftragte in die folgenden Kategorien eingeteilt werden:
Hervorragend: Ein Mitarbeiter mit der Fähigkeit, Verstöße gegen die Datensicherheit zu verhindern. Seine Schutzmaßnahmen sind im Allgemeinen sehr wirksam.
Sehr gut: Ein Beamter, dessen Präventivmaßnahmen nicht besonders wirksam sind, der jedoch bei einem Verstoß diesen sofort bemerkt und in der Lage ist, den Täter zu identifizieren und festzunehmen sowie Maßnahmen zur Schadensbegrenzung durchzusetzen.
Gut: Ein Beamter, der aufmerksam genug ist, um Verstöße rechtzeitig zu bemerken und Maßnahmen zur Schadensbegrenzung durchzusetzen, jedoch nicht in der Lage ist, den Täter zu identifizieren und zu fassen.
Schlecht: Jemand, der IT-Sicherheitsverletzungen überhaupt nicht bemerkt, bis dem Unternehmen durch Diebstahl, Verfälschung oder Löschung vertraulicher Daten erheblicher Schaden zugefügt wurde. Ein solcher Mitarbeiter sollte entweder sofort ersetzt oder geschult werden.
Was muss geschützt werden?
In jeder Organisation muss der Datenschutzbeauftragte in Absprache mit seinen Vorgesetzten zunächst entscheiden, welche Daten geschützt werden müssen. Da nicht alle Daten geschützt werden können und müssen, müssen nur sensible Daten geschützt werden, deren Beschädigung oder Weitergabe die nationale oder organisatorische Sicherheit gefährden würde. Dies würde ein System zur Klassifizierung sensibler Daten erfordern. Allerdings muss die Tendenz zur übermäßigen Klassifizierung von Daten eingedämmt werden.
Risikoanalyse:
Nach der Entscheidung, was klassifiziert werden soll, sollte der Datenschutzbeauftragte eine Analyse der Art der Risiken durchführen, die auftreten können und vor denen Schutz gewährleistet werden muss. Risiken für die Computersicherheit können aus den folgenden Faktoren entstehen:
a) Menschliche Elemente:
Unvorsichtige Mitarbeiter können durch ihre Nachlässigkeit unbeabsichtigt einen Schaden verursachen.
Verärgerte Mitarbeiter könnten auf eigene Faust oder auf Veranlassung Dritter mutwillig Schaden anrichten, weil sie an sensiblen Daten interessiert sind.
Charakterliche Mängel beim Personal könnten von Außenstehenden ausgenutzt werden, um unbefugten Zugriff auf vertrauliche Daten zu erlangen.
b) Technische Elemente:
Aufgrund technischer Störungen wie Querverbindungen bei der Datenübertragung.
Risiken, die durch die Einwahlfunktion entstehen, die das Netzwerk der Möglichkeit von Telefonmitschnitten aussetzt.
Hardware wird zur Reparatur an externe Stellen geschickt, ohne dass Daten von den Festplatten heruntergeladen werden.
Unbefugter Austausch von Disketten/USB-Sticks/USB-Sticks/Software.
c) Externe Elemente:
Diebstahl von Daten (Spionage) mit oder ohne Duldung der Mitarbeiter.
Verzerrung/Vernichtung von Daten durch Einschleusung von Schadsoftware.
Risikomanagement
a) Menschlicher Faktor: Um Gefahren durch den menschlichen Faktor zu begegnen, müssen regelmäßig Schulungen, Seminare und Workshops für die Mitarbeiter organisiert werden, um sie sicherheitsbewusst zu machen. Darüber hinaus kann eine Liste der Mitarbeiter erstellt werden, die mit der Handhabung von Hardware/Software befasst sind, und diese in drei Kategorien unterteilt werden:
Kategorie 1: Personen, die zum Lesen, Eingeben oder Löschen bzw. Eingeben, Ändern oder Löschen von Daten berechtigt sind. Dies kann auf eine begrenzte Anzahl auf höherer Ebene beschränkt sein.
Kategorie 2: Personen, die zum Lesen, Eingeben und Ändern von Daten berechtigt sind, jedoch nicht zum Löschen.
Kategorie 3: Personen, die nur zum Lesen von Daten berechtigt sind, diese jedoch nicht eingeben, ändern oder löschen dürfen.
Alle, die nicht in eine der oben genannten Kategorien fallen, sollten keinen Zugriff auf Computer oder das Netzwerk haben. Es müssen eine Liste der autorisierten Personen und ein Protokoll der Computer-/Netzwerkbenutzer erstellt und regelmäßige Überraschungsprüfungen durchgeführt werden, um sicherzustellen, dass keine unbefugte Person Zugriff auf vertrauliche Daten hat. Darüber hinaus müssen die Computer von Rezeptionisten, persönlichen Assistenten, Verwaltungs- und Buchhaltungsmitarbeitern vom Hauptarbeitsnetzwerk getrennt werden, um ein versehentliches Abfließen vertraulicher Informationen zu verhindern. Ein System zur Identifizierung und Authentifizierung sollte ebenfalls eingeführt werden, neben der häufigen Änderung der Passwörter und der Einführung separater Ausweise oder Identitätskarten in Form von Magnetstreifenkarten, komplexen Schlüsseln und „Smart Cards“ für diejenigen, die zum Umgang mit vertraulichen Daten berechtigt sind. Biometrische Erkennungsgeräte, die charakteristische Merkmale von Unterschriften, Finger- und Handabdrücken und der Stimme usw. verwenden, kommen ebenfalls zunehmend zum Einsatz, sind jedoch sehr teuer und ihre Zuverlässigkeit ist nicht gewährleistet. Eine Kombination aus Passwörtern, Ausweisen, biometrischen Daten und Magnetstreifenkarten bietet sicherere Mittel zur Identifizierung.
Manchmal wird festgestellt, dass selbst sicherheitsüberprüfte und ordnungsgemäß authentifizierte Personen durch Interessengruppen kompromittiert werden könnten. Daher wäre es wünschenswert, dass jede Eingabe, Medikation oder Löschung von der Person, die dies tut, authentifiziert wird.
Eine zusätzliche Sicherheitsmaßnahme könnte darin bestehen, dass zu jedem Zeitpunkt mindestens zwei Personen sensible Computernetzwerke bedienen, dass in sensiblen Bereichen eingesetztes Personal regelmäßig einer Charakter- und Vergangenheitsüberprüfung unterzogen wird und dass Anstrengungen unternommen werden, unzufriedenes und verdächtiges Personal so früh wie möglich auszusortieren.
b) Technische Elemente: Die Risiken technischer Elemente ergeben sich aus der übermäßigen Abhängigkeit von Telefonen zur Datenübertragung, von lokalen Netzwerken (LAN), die normalerweise auf ein Gebäude beschränkt sind, und von Weitverkehrsnetzen (WAN), die sich über weite geografische Gebiete erstrecken und viele Städte und Länder umfassen und die Verbindung zwischen verschiedenen Computernetzwerken durch zahlreiche Modems ermöglichen, die über DOT-Leitungen, Satelliten und Mikrowellentürme miteinander verbunden sind. Die kürzlich von der indischen Regierung erteilte Genehmigung zur Einführung von Global Mobile Personal Communications by Satellite (GMPCS) im Land hat mehrere Sicherheitsimplikationen. Dies wurde während der Raketenangriffe der US-Streitkräfte auf Osman Bin Laden in Afghanistan am 7. August 1998 deutlich. Der US-Geheimdienst konnte Laden auf wenige Meter genau aufspüren, da er den INMARSAT-Sprachkanal nutzte, um seine Terrorgruppen auf der ganzen Welt zu steuern. Die folgenden Gegenmaßnahmen könnten zum Schutz unserer Systeme nützlich sein:
Vermeiden Sie bei LANs die Abhängigkeit von Telefonen.
Vermeiden Sie bei WANs direkte Einwahlmöglichkeiten und verwenden Sie Dialback-Modems, die am Ende jeder Verbindung über Postschutzgeräte echte autorisierte Mitglieder zurückrufen.
Verwenden Sie Verschlüsselungs- und Decodiergeräte für sensible Daten.
Führen Sie ein System ein, das dem Empfänger der Daten eine sofortige Bestätigung über deren sicheren Empfang gibt. Wenn der Empfänger den Nichtempfang meldet, gehen Sie davon aus, dass die Daten aufgrund einer Querverbindung in falsche Hände geraten sind, und ergreifen Sie geeignete Maßnahmen zur Schadensbegrenzung, z. B. die Änderung von Codes für zukünftige Übertragungen.
Darüber hinaus können auch die folgenden allgemeinen Vorsichtsmaßnahmen getroffen werden:
Überraschungskontrollen an den Toren, um sicherzustellen, dass keine Disketten oder andere Software ein- bzw. ausgeführt werden.
Mitarbeiter von Serviceagenturen sind stets in Begleitung.
Ändern von Passwörtern und Authentifizierungsschlüsseln nach Wartungsarbeiten oder bei Verdacht.
Besuchern den Zutritt zu Networking-Bereichen verbieten.
Darüber hinaus können die folgenden Schritte die Einführung von Schadsoftware verhindern:
Vollständiges Verbot der Nutzung privater Software, die von Mitarbeitern für den Einsatz auf dienstlichen Computern mitgebracht wird.
Raten Sie vom Kauf loser Disketten und Software ab, und erteilen Sie strikte Anweisungen zum Kauf von Disketten zuverlässiger Qualität in großen Mengen und versiegelten Paketen.
Führen Sie eine Liste zuverlässiger Händler, um die Bezugsquelle wechseln zu können.
Begegnen Sie allen Geschenken und kostenlosen Softwareproben mit Misstrauen und verwenden Sie sie nicht, bis sie auf Viren getestet wurden.
Prüfung aller neuen Software durch Experten auf Viren und Verträglichkeit auf speziell dafür reservierten Computern vor der Einbindung in das Informationssystem.
Anweisung an die Mitarbeiter, bei Verdacht auf Virenbefall den Computer eingeschaltet zu lassen und den Datenschutzbeauftragten/Systemmanager zu informieren, der Gegenmaßnahmen ergreifen kann.
Krisenmanagement
Murphys Gesetz besagt: „In jedem System, in dem etwas schiefgehen kann, wird es trotz aller Vorsichtsmaßnahmen höchstwahrscheinlich eines Tages schiefgehen.“ Daher muss ein Krisenmanagementplan bereitgehalten werden, um allen Eventualitäten gewachsen zu sein. Ein guter Krisenmanagementplan berücksichtigt alle unvorhergesehenen Eventualitäten und sollte Folgendes sicherstellen:
Standby-Regelungen für den Fall einer Beschädigung des gesamten Systems.
Verfügbarkeit einer Sicherungskopie aller Daten an einem sicheren Ort zur Verwendung für den Fall, dass das Datennetzwerk versehentlich oder vorsätzlich zerstört wird.
Vorsorge für eine Übung zur Rekonstruktion von Daten mit Hilfe untergeordneter Büros, die diese möglicherweise gespeichert haben. Eine solche Übung sollte auch von Zeit zu Zeit durchgeführt werden, um sie effektiv zu machen.
Das Krisenmanagement sollte auch Schäden am Informationssystem durch Naturkatastrophen wie Feuer, Überschwemmungen oder Erdbeben abdecken. Um in einem solchen Fall die Daten wiederherzustellen, müssen verschiedene Richtliniendokumente, Protokolle für die Ausgabe von Vorräten oder die Bewegung von Personal und Ausrüstung usw. innerhalb der Organisation ebenfalls manuell erstellt und zur Wiederherstellung der Daten verwendet werden.
Einige aufschlussreiche Statistiken von McAfee, dem zu Intel gehörenden IT-Sicherheitsunternehmen
Eine Studie mit 28 Millionen Computern in 24 Ländern hat ergeben, dass 17 Prozent aller PCs über keinerlei Schutz gegen Viren, Würmer, Spyware und andere Internet-Malware verfügen – ein Vergehen, das McAfee damit vergleicht, „nackt im Internet herumzulaufen“. Singapur ist das Land mit den wenigsten Schutzmaßnahmen. 21.75 Prozent aller PCs dort verfügen über keinerlei Schutzmaßnahmen, während Indien mit 10 Prozent ungeschützten PCs auf Platz 17.32 liegt.
Hacker zielen auf Mahanagar Telephone Nigam Limited (MTNL) ab
Die virtuelle Attacke auf offizielle Websites erreichte am 6. Juni 2012 einen neuen Höhepunkt, als die Online-Hacker Anonymous behaupteten, die (MTNL)-Website durch einen Distributed-Denial-of-Service-Angriff lahmgelegt zu haben. Die Gruppe begann damit, offizielle und Unternehmenswebsites anzugreifen, um gegen die „Internetzensur“ zu protestieren, die nach dem „John Doe“-Urteil des Madras High Court wegen Urheberrechtsverletzungen beim tamilischen Film „3“ und dem Telgu-Film „Dammu“ immer größere Ausmaße annahm.
Zusätzlich zur Netzblockade hat Anonymous für den 9. Juni 2012 friedliche Straßendemonstrationen in Mumbai, Delhi, Bangalore, Kolkata, Pune, Kochi und anderen Städten geplant. Ihre Forderungen umfassen die Aufhebung von Website-Blockaden und die Änderung bestimmter Bestimmungen des IT-Gesetzes 2008.
Hacking-Experten fordern Code
Vor kurzem wurde ein praktischer, kompakter Kurs zum Thema Computerhacking für die Sommerferien beworben. Der als „ethisches Hacken“ beworbene Kurs soll angeblich lehren, „wie man Passwörter und Social-Networking-Konten hackt – alles, um unser System besser zu schützen“. Doch der Cyber-Anwalt Pawan Duggal sagt, so etwas wie „ethisches Hacken“ gebe es nicht, und Institute, die solche Kurse anbieten, müssten reguliert werden.
Das in Faridabad ansässige Brains Booster behauptet, einen IIM-Alumnus als Dozenten zu haben und einen „exklusiven“ Sommer-„Hacking-Kurs“ anzubieten. In seiner Werbebroschüre behauptet das Institut, es lehre „das Hacken eines Facebook-Kontos in weniger als einer Minute“ und sogar, wie man „seinen Virus ausführt, wenn jemand seinen USB-Stick öffnet“.
Byte Code Cyber Securities in Delhi führt auf seiner Website „Yahoo Hacking und Google Hacking“ und „Wi-Fi Hacking“ als Teil des 100-stündigen Kurses zum ethischen Hacken auf. Und Appin, das landesweit über 6,000 Zentren betreibt, bietet einen sechswöchigen Kurs in Informationssicherheit und ethischem Hacken an, der über XNUMX Rupien kostet. Es muss weltweit ähnliche unethische Schulungsaktivitäten geben.
Diese Institute behaupten, dass sie im Rahmen des Gesetzes agieren. „Wenn man nicht weiß, wie man sein System schützt, wie soll man es dann schützen“, argumentiert Suvam Patwari von Brains Booster. Da Cyberkriminelle und ethische Hacker jedoch ähnliche Fähigkeiten erfordern, lohnt es sich, die Gesetze genau zu beachten, da die Grenze zwischen kriminellem und ethischem Hacken sehr schmal ist. Stellen Sie sich einen verärgerten IT-Experten vor, der Ihr Unternehmen verlässt, in die Konkurrenzbranche wechselt und dort sein früheres Unternehmen hackt. Das wäre die schlimmste Form von Spionage und Sabotage unter dem Deckmantel der IT-Gesetze. Stellen Sie sich nur vor, wie ein türkischer, pakistanischer oder afghanischer Soldat, der sich mit Cybersicherheit beschäftigt, desertiert und sich LeT, al-Qaida oder ISIS anschließt und damit nicht nur deren nationale, sondern auch internationale Sicherheit gefährden kann!
Hacking wird in Indien mit drei Jahren Gefängnis und einer hohen Geldstrafe bestraft. Wenn ein Schadprogramm (Virus) erstellt und in ein Computersystem oder Netzwerk eingeschleust wird, kann das Opfer den Hacker auf Schadensersatz in Höhe von bis zu 15 Crore Rupien pro Eingriff verklagen. Beschützer oder Provokateur – die Frage des ethischen Hackens ist noch nicht geklärt und die Industrie muss vor neuen Möglichkeiten elektronischer Spionage und Sabotage gewarnt werden.
Fazit
Es wurde versucht, die Auswirkungen moderner Technologien auf Datenschutz und Informationssicherheit zu analysieren. Dies ist keine umfassende Analyse, da die Technologie immer schneller veraltet. Fortschritte in der Informationstechnologie erfordern von Zeit zu Zeit eine Überprüfung und Verbesserung unserer Sicherheitsanforderungen, damit wir die Ereignisse kontrollieren können, die zu Sicherheitslücken führen, und nicht letztendlich von den Ereignissen kontrolliert werden.
