Introduksjon
I dag er verden på vei ut av industrialderen og står på terskelen til en revolusjonerende ny økonomi som vokser frem basert på informasjonsteknologi, snarere enn konvensjonelle råvarer og fysiske krefter. De bemerkelsesverdige endringene i verdensøkonomien har gått fra konvensjonell krigføring til «økonomisk krigføring» og videre til «cyberkrigføring». Midlene som brukes er kontroll over markedskreftene gjennom høyteknologi. Endringene i verdensbildet i disse dager er så akselererte og fenomenale at revisjoner av oppfatninger og logikk som pleide å finne sted for et halvt århundre nå må oppdateres med noen års mellomrom. Kunnskap er nå den sentrale ressursen både for ødeleggelse og produktivitet, og virkningen av informasjonsteknologirevolusjonen har ført til nye sett med regler. IT har globalt ført til en økonomisk oppsving som skaper et stort antall kanaler der informasjon og feilinformasjon flyter i høy hastighet. Mobiltelefoner, PC-er, kopimaskiner og faksmaskiner, telefoner og droner, videokameraer, satellitter, sensorer, roboter og digitale nettverk tillater nå utveksling av store mengder data, tale og grafikk gjennom flere og desentraliserte kanaler, ofte utenfor rekkevidde for landets etterretningstjenester og militærsensorer. Tusenvis av datanettverk dukker opp i raskt tempo og krysser nasjonale barrierer, krymper verden til en global landsby, kobler millioner av individer sammen i kontinuerlig samtale om alt fra sikker sex, aksjer og andeler til statshemmeligheter, og legger til rette for dannelse av grupper som er viet til både ødeleggelse og produktivitet ustraffet.
Sjokkerende nok, med tanke på den globale sikkerheten, sammen med fremskritt innen IT, har det vært en kolossal økning i lavintensitetskonflikter, og internasjonal terrorisme har spredt seg fra Afghanistan, Pakistan, Jemen, Iran, Libanon, Irak, Syria, Sudan og utover. Ulike arabiske terroristgrupper utkjemper hellige kriger (jehader) i Bosnia, Tsjetsjenia, Somalia, India, Indonesia, Malaysia og utenfor Tyrkias grenser i EU og USA. På slutten av 20-tallet har disse konfliktene ofte vært preget av supermaktintervensjon som forårsaket store tap av menn og materiell, noe som tvang den amerikanske presidenten til å angripe basene sine i Afghanistan, Syria og Sudan. Disse laserstyrte cruisemissilangrepene var bare mulige på grunn av tilgjengeligheten av avansert IT.
I løpet av året 2015 var det over 2860 islamske angrep i 53 land, der 27615 26136 mennesker ble drept og XNUMX XNUMX skadet. Et stort antall angrep og tap blir ikke rapportert.
Viktigheten av IT-sikkerhet:
Utenforståendes evne til å trenge inn i datanettverk som ofte er telefonavhengige, utgjør en alvorlig trussel ikke bare for bankfolk, finansinstitusjoner og industri, men også for nasjonal og internasjonal sikkerhet. Datanettverk er ekstremt sårbare for to trusler om tyveri av sensitive klassifiserte data av eksterne elementer og forvrengninger eller sletting ved injeksjon av ondsinnede virus og ormer i systemer uten brukernes viten. Forvrengninger tvinger brukerne til å ta feil beslutninger, mens sletting gjør viktige data utilgjengelige under kriser som krig. Disse truslene har tvunget brukere til å utvikle datasikkerhetstiltak. I USA har National Computer Security Centre (NCSC) i forsvarsdepartementet publisert en «oransje bok» om IT-sikkerhet. Storbritannia har gitt ut en «grønn bok». Lignende håndbøker har også blitt publisert av andre land, mens noen andre har vedtatt lover om uautorisert tilgang til datamaskiner som utelukkende brukes av statlige institusjoner og militære etablissementer. Separate lover er også på vei for å håndtere trusselen fra skadelig programvare. Mye av IT-sikkerheten vil imidlertid avhenge av hvor godt instruksjoner om dette viktige aspektet implementeres.
Parametre for et godt datasikkerhetssystem:
Den første forutsetningen for et godt datasikringssystem er utnevnelsen av en datasikkerhetsansvarlig med god kunnskap om hvordan ulike nettverk fungerer og deres begrensninger. Den gamle typen konvensjonell
Sikkerhetsansvarlige som er dyktige på fysisk sikkerhet og ikke på IT-sikkerhet, vil ikke oppfylle de kvalitative kravene til en god datasikkerhetsansvarlig. Der sikkerhetsoppsettet ledes av en generalist, bør vedkommende assisteres av eksperter på IT-sikkerhetshåndtering. Basert på deres ytelse kan datasikkerhetsansvarlige deles inn i følgende kategorier: -
Fremragende: En tjenestemann med evnen til å forhindre brudd på datasikkerheten. Hans sikkerhetstiltak er generelt svært effektive.
Veldig bra: En betjent hvis forebyggende tiltak ikke er så effektive, men når et brudd finner sted, oppdager han det umiddelbart og er i stand til å identifisere og felle synderen, og kan også håndheve tiltak for skadekontroll.
Bra: En betjent som er årvåken nok til å oppdage brudd i tide og håndheve skadekontrolltiltak, men som ikke klarer å identifisere og fange synderen.
Dårlig: En som er fullstendig uvitende om IT-sikkerhetsbrudd inntil det er gjort betydelig skade på virksomheten gjennom tyveri, forvrengning eller sletting av sensitive data. En slik tjenestemann bør enten erstattes eller opplæres umiddelbart.
Hva må beskyttes?
I hver organisasjon må datasikkerhetsansvarlig, i samråd med sine overordnede, først avgjøre hvilke data som trenger beskyttelse. Siden alle data ikke kan og ikke trenger å beskyttes, er det bare sensitive data som må beskyttes, hvis skade eller lekkasje vil kompromittere nasjonal eller organisatorisk sikkerhet. Dette vil kreve et system for klassifisering av sensitive data. Tendensen til å overklassifisere data må imidlertid begrenses.
Risikoanalyse:
Etter å ha bestemt hva som skal klassifiseres, bør datasikkerhetsansvarlig utføre en analyse av typen eller risikoer som kan oppstå og som det må sikres beskyttelse mot. Risikoer for datasikkerhet kan oppstå fra følgende faktorer: -
a) Menneskelige elementer:
Uforsiktige ansatte kan forårsake skade utilsiktet på grunn av uaktsomhet.
Misfornøyde ansatte kan med vilje forårsake skade på egenhånd eller på grunn av utenforståendes interesser i sensitive data.
Ansatte med karakterbrister kan utnyttes av utenforstående til å få uautorisert tilgang til sensitive data.
b) Tekniske elementer:
På grunn av tekniske problemer som kryssforbindelser under dataoverføring.
Risikoer som følge av oppringingsanlegg som eksponerer nettverket for telefonopptak.
Maskinvare sendes til reparasjon hos eksterne byråer uten å laste ned data fra harddisker.
Uautorisert bytte av disketter/minnepinner/minnepinner/programvare.
c) Eksterne elementer:
Tyveri av data (spionasje) med eller uten de ansattes medvirkning.
Forvrengning/sletting av data gjennom introduksjon av skadelig programvare.
Risk Management
a) Menneskelige elementer: For å overvinne trusler fra menneskelige elementer, må det organiseres hyppige opplæringskurs, seminarer og workshops for de ansatte for å gjøre dem sikkerhetsbevisste. I tillegg kan det utarbeides en liste over ansatte som er involvert i håndtering av maskinvare/programvare, som deler dem inn i tre kategorier: -
Kategori 1, de som er autorisert til å lese, legge inn eller slette, legge inn, endre eller slette data. Dette kan være begrenset til et begrenset antall på overordnet nivå.
Kategori 2, de som har tillatelse til å lese, legge inn og endre data, men ikke har tillatelse til å slette dem.
Kategori 3, de som kun har tillatelse til å lese data, men ikke til å legge inn, endre eller slette dem.
Alle som ikke faller inn under noen av kategoriene ovenfor, skal ikke ha tilgang til datamaskiner eller nettverket. Det må lages en liste over autoriserte personer og en logg over brukere av datamaskiner/nettverk, og det må utføres regelmessige uanmeldte kontroller for å sikre at ingen uautoriserte personer har tilgang til sensitive data. I tillegg må datamaskinene til resepsjonister, personlig assistent, administrasjons- og regnskapspersonell kobles fra hovednettverket for å forhindre utilsiktet lekkasje av sensitiv informasjon. Et system for identifikasjon og autentisering bør også håndheves, i tillegg til hyppig passordbytte og innføring av separate adgangskort eller identitetskort i form av magnetkort, komplekse nøkler og «smartkort» for de som er autorisert til å håndtere sensitive data. Biometriske enheter for gjenkjenning som bruker karakteristiske trekk som signaturer, fingeravtrykk, håndflateavtrykk og stemme osv. blir også stadig mer brukt, men de er svært dyre, og påliteligheten er ikke garantert. En kombinasjon av passord, adgangskort, biometri og magnetkort gir tryggere identifikasjonsmidler.
Det blir noen ganger lagt merke til at selv sikkerhetsklarerte og behørig autentisert personer kan bli kompromittert av særinteresser. Derfor ville det være ønskelig at alle inndata, medisinering eller sletting autentiseres av personen som gjør det.
En ekstra sikkerhetsforanstaltning kan være at minst to personer til enhver tid bør operere sensitive datanettverk, og det kan være nødvendig med periodisk verifisering av karakter og bakgrunn for personell som er stasjonert i sensitive seksjoner, og det kan bli gjort forsøk på å luke ut misfornøyd og mistenkelig personell så snart som mulig.
b) Tekniske elementer: Risikoen knyttet til tekniske elementer oppstår på grunn av overdreven avhengighet av telefoner for dataoverføring, lokale nettverk (LAN) som vanligvis er begrenset til én bygning, og fjernnett (WAN) som sprer seg over store geografiske områder som dekker mange byer og land, og som gir sammenkobling mellom ulike datanettverk via en rekke modemer som er koblet sammen via DOT-linjer, satellitter og mikrobølgetårn. Den nylige godkjenningen fra den indiske regjeringen for innføring av global mobil personlig kommunikasjon via satellitt (GMPCS) i landet har flere sikkerhetsmessige implikasjoner. Dette ble tydelig fokusert under missilangrepene fra de amerikanske styrkene mot Osman bin Laden i Afghanistan 7. august 1998. Den amerikanske etterretningen kunne spore Laden med en nøyaktighet på noen få meter fordi han brukte INMARSAT-talekanalen til å kontrollere sine terroristgrupper over hele verden. Følgende mottiltak kan være nyttige for å beskytte systemene våre: -
Unngå avhengighet av telefoner i tilfelle LAN-nettverk.
Unngå direkte oppringing i tilfelle WAN-nettverk, og bruk tilbakeringingsmodemer som ringer tilbake ekte autoriserte medlemmer med postbeskyttelsesenheter på slutten av hver lenke.
Bruk kode- og dekodingsenheter for sensitive data.
Innfør et system med umiddelbar bekreftelse fra mottakeren av data som bekrefter sikker mottakelse. Hvis mottakeren rapporterer manglende mottakelse, anta at dataene har havnet i gale hender på grunn av krysskobling og iverksett passende skadekontrolltiltak, for eksempel å endre koder for fremtidige overføringer.
I tillegg til det ovennevnte, kan det også tas visse generelle forholdsregler som beskrevet nedenfor: -
Overraskelseskontroller ved porter for å sikre at disketter eller annen programvare ikke smugles inn/ut.
Ansatte i servicebyrået skal alltid eskorteres.
Endring av passord og autentiseringsnøkler etter service eller ved mistanke.
Forbyr besøkende å komme inn i nettverksområder.
I tillegg kan følgende trinn også forhindre introduksjon av skadelig programvare:
Totalforbud mot bruk av privat programvare medbrakt av ansatte til bruk på offisielle datamaskiner.
Fraråd kjøp av løse disketter, og programvare gir strenge instruksjoner for kjøp av disketter av pålitelig kvalitet i bulk i forseglede pakker.
Vedlikehold en liste over pålitelige forhandlere for å rotere forsyningskilden.
Behandle alle gaver og gratis programvareprøver med mistenksomhet og ikke bruke dem før de er testet for virus.
Testing av all ny programvare av eksperter for virus og kompatibilitet på datamaskiner som er spesielt reservert for dette formålet, før de introduseres i informasjonssystemet.
Instruks til personalet om at de skal holde datamaskinen på når de mistenker tilstedeværelsen av virus, og informere datasikkerhetsansvarlig/systemansvarlig som kan iverksette tiltak.
Krisehåndtering
Ifølge Murphys lov, «i ethvert system der ting kan gå galt, vil det mest sannsynlig gå galt en dag til tross for alle forholdsregler man måtte ta». Derfor må krisehåndteringsplanen holdes klar til å møte enhver eventualitet. En god krisehåndteringsplan dekker alle uforutsette hendelser og bør sikre: -
Standby-ordninger hvis hele systemet er skadet.
Tilgjengelighet av en sikkerhetskopi av alle data på et trygt sted for bruk dersom datanettverket blir ødelagt ved et uhell eller med ondsinnet hensikt.
Tilrettelegging for en øvelse for rekonstruksjon av data ved hjelp av underordnede kontorer som kan ha lagret dem. En slik øvelse bør også øves fra tid til annen for å gjøre den effektiv.
Krisehåndteringen bør også dekke skader på informasjonssystemer som følge av naturhendelser som brann, flom eller jordskjelv. For å rekonstruere data i et slikt tilfelle, må ulike policydokumenter, logger for utlevering av lagre eller flytting av personell og utstyr osv. internt i organisasjonen også lages manuelt og brukes til rekonstruksjon av data.
Litt øyeåpnende statistikk fra McAfee, det Intel-eide IT-sikkerhetsselskapet
En studie av 28 millioner datamaskiner i 24 land har funnet at 17 prosent av alle PC-er ikke har noen form for sikkerhet mot virus, ormer, spionprogrammer og annen skadelig programvare på internett – en overtredelse som McAfee sammenligner med å «gå rundt naken på internett». Singapore er det mest ubeskyttede landet. 21.75 prosent av alle PC-er der har ingen sikkerhetsdekning, mens India er nummer 10 med 17.32 prosent ubeskyttede PC-er.
Hackere sikter mot Mahanagar Telephone Nigam Limited (MTNL)
Den virtuelle manipuleringen av offisielle nettsteder økte ytterligere 6. juni 2012, da nettbaserte hackere som Anonymous hevdet å ha tatt ned (MTNL)-nettstedet gjennom et distribuert tjenestenektangrep. Gruppen begynte å angripe offisielle og bedriftsnettsteder i protest mot «internettsensur», som økte kraftig etter Madras High Courts «John Doe»-kjennelse om brudd på opphavsretten til den tamilske filmen «3» og den telguiske filmen «Dammu».
I tillegg til nettbeleiringen har Anonymous planlagt fredelige gatedemonstrasjoner i Mumbai, Delhi, Bangalore, Kolkata, Pune, Kochi og andre byer 9. juni 2012. Kravet deres inkluderer fjerning av blokkeringer på nettsteder og endringer av visse bestemmelser i IT-loven av 2008.
Hackingeksperter etterlyser kode
Nylig ble det annonsert et praktisk, kortfattet kurs i datahacking i sommerferien. Kurset, som annonseres som «etisk hacking», hevder å lære «hvordan man hacker passord og kontoer på sosiale medier – alt for å beskytte systemet vårt bedre». Men cyberadvokat Pawan Duggal sier at det ikke finnes noe slikt som «etisk hacking», og at institutter som tilbyr slike kurs må reguleres.
Brains Booster, basert i Faridabad, hevder å ha en tidligere IIM-student som lærer, og tilbyr et «eksklusivt» sommerkurs i hacking. I sin reklamebrosjyre hevder instituttet at de lærer bort «å hacke en Facebook-konto på under ett minutt» og til og med hvordan man «kjører viruset når noen åpner minnepinnen din».
Byte Code Cyber Securities i Delhi lister opp «Yahoo Hacking and Google Hacking» og «Wi-Fi Hacking» på nettsiden sin som en del av det seksti timer lange kurset i etisk hacking. Og Appin, med mer enn 100 sentre over hele landet, har et seks ukers kurs i informasjonssikkerhet og etisk hacking som koster over 6,000 rupier. Det må finnes lignende uetiske opplæringsaktiviteter over hele verden.
Disse instituttene hevder at de opererer innenfor lovens virkeområde. «Med mindre man vet hvordan man beskytter systemet sitt, hvordan skal man beskytte systemet sitt?» argumenterer Suvam Patwari fra Brains Booster. Men med nettkriminelle og en etisk hacker som krever lignende ferdigheter, lønner det seg å være forsiktig med lovene, da det er en veldig tynn linje mellom kriminell hacking og etisk hacking. Se for deg en misfornøyd IT-ekspert som forlater organisasjonen din og blir med i den rivaliserende industrien og hengir seg til å hacke sin tidligere organisasjon. Det ville være den verste formen for spionasje og sabotasje under dekke av IT-lovene. Tenk deg hvordan en tyrkisk, pakistansk eller afghansk soldat som håndterer nettsikkerhet, deserterer og blir med i LeT, al Qaida eller ISIS kan kompromittere ikke bare sin nasjonale, men også internasjonale sikkerhet!
Hacking i India straffes med opptil tre års fengsel og en høy bot. Hvis en forurensning (virus) opprettes og slippes ut i et datasystem eller nettverk, kan offeret saksøke hackeren for erstatning på opptil 15 crore rupi per inngrep. Beskytter eller provokatør – juryen er fortsatt ute når det gjelder etisk hacking, og industrien må advares om nye perspektiver på elektronisk spionasje og sabotasje.
Konklusjon
Det er gjort en innsats for å analysere virkningen av moderne teknologi på databeskyttelse og informasjonssikkerhet. Dette er på ingen måte en omfattende analyse, ettersom teknologien blir foreldet i et mye raskere tempo. Fremskritt innen informasjonsteknologi nødvendiggjør gjennomgang og oppgradering av våre sikkerhetsbehov fra tid til annen, slik at vi kan kontrollere hendelsene som fører til sikkerhetsbrister, og ikke til slutt blir kontrollert av hendelsene.
