…cudowne lata siedemdziesiąte…

Lata 70. XX wieku: Mikroprocesory. Podstawy wszystkich obecnych komputerów osobistych (PC) zostały ustanowione w 1971 roku, kiedy Intel wprowadził komputer 4004 na chipie. Mierząc 1/16 cala i 1/8 cala wysokości, 4004 zawierał 2250 tranzystorów z zegarem 108 kHz. Obecna generacja tego najwcześniejszego programowalnego mikroprocesora zawiera miliony tranzystorów, z prędkościami powyżej 1 gigaHertz lub ponad 10 000 razy szybciej. Wprowadzenie chipów mikroprocesorowych oznaczało czwartą generację.

Pierwsze komputery osobiste. Prawdopodobnie pierwszy komputer osobisty był reklamowany w Scientific American w 1971 roku. KENBAK-1, wyceniony na 750 $, miał trzy rejestry programujące, pięć trybów adresowania i 256 bajtów pamięci. Chociaż niewiele ich  sprzedano, KENBACK-1 zwiększył świadomość publiczną na temat możliwości domowych komputerów. To MITS Altair 8800 stał się pierwszym komputerem osobistym do sprzedaży w znacznych ilościach. Podobnie jak KENBACK-1, Altair 8800 miał tylko 256 bajtów pamięci, ale był wyceniony na 375 USD bez klawiatury, wyświetlacza lub dodatkowej pamięci. Około roku później Apple II, zaprojektowane przez Steve’a Jobsa i Steve’a Wozniaka, miało cenę 1 998 USD, w tym wyświetlacz CRT i klawiaturę. Ponieważ te pierwsze komputery osobiste były całkowicie autonomiczne i zwykle znajdowały się pod kontrolą pojedynczej osoby, było kilka problemów związanych z bezpieczeństwem. Jednak w 1978 roku opracowano program arkusza kalkulacyjnego VisiCalc. Zalety standaryzowanych, niedrogich, szeroko stosowanych programów aplikacyjnych były niekwestionowane, ale pakiety programów, w przeciwieństwie do niestandardowych projektów, otworzyły drogę do nadużyć, ponieważ tak wiele osób rozumiało ich interfejsy użytkownika, a także ich wewnętrzne działania.

Pierwsza sieć. Sieć krajowa, stworzona pod koniec 1969 roku, narodziła się jako ARPANET (Advanced Research Projects Agency Network), sponsorowana przez Departament Obrony, mająca na celu połączenie kilku ważnych uniwersytetów badawczych w kraju.  Miała  dwa cele: rozwijanie doświadczenia w łączeniu komputerów i zwiększanie produktywności dzięki współużytkowaniu zasobów. To najwcześniejsze połączenie niezależnej wielkiej skali systemy komputerowe miały zaledwie cztery węzły: University of California w Los Angeles (UCLA), University of California w Santa Barbara, Stanford Research Institute i University of Utah. Ze względu na nieodłączne bezpieczeństwo każdego węzła połączonego z linią dzierżawioną oraz fizycznie chronione pomieszczenia komputerowe typu mainframe, nie było wyraźnej troski o kwestie bezpieczeństwa. To była ta prosta sieć, bez myśli o bezpieczeństwie, z której wyewoluował dzisiejszy wszechobecny Internet i Internet (WWW), z ich ogromnym potencjałem na nadużycia w zakresie bezpieczeństwa.

Dalsze kwestie dotyczące bezpieczeństwa. Wraz z rozprzestrzenianiem się zdalnych terminali na komputerach komercyjnych, fizyczna kontrola dostępu do sali komputerowej przestała być wystarczająca. W odpowiedzi na nowe luki opracowano logiczne systemy kontroli dostępu. System kontroli dostępu utrzymuje tablicę online autoryzowanych użytkowników. Typowy rekord użytkownika zapisywałby nazwę użytkownika, numer telefonu, numer pracownika oraz informacje o danych, do których użytkownik był uprawniony, oraz o programach, do których wykonania użytkownik był uprawniony. Użytkownik może mieć możliwość przeglądania, dodawania, modyfikowania i usuwania rekordów danych w różnych kombinacjach dla różnych programów. W tym samym czasie menedżerowie systemu uznali wartość możliwości odzyskania po awarii, która zniszczyła sprzęt i dane. Centra danych zaczęły tworzyć regularne kopie taśmowe plików online i oprogramowania do przechowywania poza siedzibą. Kierownicy centrów danych zaczęli także opracowywać i wdrażać plany usuwania skutków awarii z zewnątrz, często z wykorzystaniem komercyjnych urządzeń do odtwarzania po awarii. Nawet przy takim systemie, nowe luki zostały rozpoznane w kolejnych latach i są one przedmiotem wielu podręczników.

Pierwszy “robak”. Prorocza powieść science-fiction, The Shockwave Rider, autorstwa Johna Brunnera (1975), przedstawiła “robaka”, który nieustannie rósł w sieci komputerowej. Robak ostatecznie przekroczył miliard bitów długości i stał się niemożliwe do zabicia bez zniszczenia sieci. Chociaż rzeczywiste robaki (np. Morris Worm z 1988 r.) stały się później rzeczywistymi zagrożeniami dla wszystkich komputerów w sieci, rozważny personel bezpieczeństwa komputerowego instaluje stale aktualizowane programy antymalware, które skutecznie zabijają wirusy i robaki bez konieczności zabijania sieci.

 

…ach te lata sześćdziesiąte

Komputery o małej skali.
W latach sześćdziesiątych, przed wprowadzeniem komputerów na małą skalę, terminale dumb5 udostępniały użytkownikom klawiaturę do wysyłania strumienia znaków do komputera i ekran wideo, który może wyświetlać znaki przesyłane do niego przez komputer. Początkowo terminale te były używane, aby pomóc operatorom komputerów kontrolować i monitorować strumień zadań, zastępując banki przełączników i kontrolek na konsoli sterowania. Wkrótce uznano jednak, że terminale te mogą zastąpić także czytniki kart i klawiatury. Teraz użytkownicy, identyfikowani przez identyfikatory użytkowników i uwierzytelniani za pomocą haseł, mogli wprowadzać dane wejściowe przez terminal CRT do programu edycji, który sprawdzałby dane wejściowe, a następnie zapisywał je na twardym dysku, dopóki nie był potrzebny do przetwarzania. Później zdano sobie sprawę, że użytkownicy mają także bezpośredni dostęp do danych przechowywanych w internetowych plikach głównych.

Tranzystory i pamięć rdzenia. IBM 1401, wprowadzony w 1960 roku z pamięcią rdzeniową o wielkości 4096 znaków, był pierwszym całkowicie tranzystorowym komputerem, oznaczającym nadejście drugiej generacji. Mieści się w szafce o wymiarach 5 stóp na 3 stopy . IBM 1401 wymagało podobnej szafy, aby dodać dodatkowe 12 kilobajtów pamięci głównej. Zaledwie rok później pierwsze układy scalone zostały wykorzystane w komputerze, co było możliwe wszystkie przyszłe postępy w miniaturyzowaniu małych komputerów i znaczne zmniejszenie wielkości komputerów mainframe.

Podział czasu. W 1961 roku opracowano system Compatible Time Sharing (CTSS) dla IBM 7090/7094. To oprogramowanie systemu operacyjnego i związany z nim sprzęt były pierwszymi, które zapewniają równoczesny zdalny dostęp do grupy użytkowników online poprzez multiprogramowanie. “Multiprogramowanie” oznacza, że ​​więcej niż jeden program może pojawić się w tym samym czasie. Główny program sterujący, zwykle nazywany systemem operacyjnym (OS), zarządzał wykonywaniem aplikacji funkcjonalnych. Na przykład, pod komendą operatora, system operacyjny załaduje się i uruchomi aplikację nr 1. Po 50 milisekundach system operacyjny przerywałby wykonywanie aplikacji nr 1 i zapisywał jej bieżący stan w pamięci. Wtedy system operacyjny uruchomi aplikację nr 2 i pozwoli na uruchomienie przez 50 milisekund, i tak dalej. Zwykle, w ciągu sekundy po tym, jak użytkownicy wprowadzili dane z klawiatury, system operacyjny dałby swoim aplikacjom wycinek czasu do przetworzenia danych wejściowych. Przy każdym wycinku czasowym komputer może wykonać setki instrukcji. Te techniki sprawiły, że komputer był w całości poświęcony programowi każdego użytkownika. Było to prawdą tylko o tyle, o ile liczba jednoczesnych użytkowników była dość mała. Potem, gdy liczba wzrosła, reakcja na każdego użytkownika zwolniła.

Systemy czasu rzeczywistego. Ze względu na multimrogramowanie i możliwość przechowywania rekordów online i dostępnych w losowej kolejności stało się możliwe zapewnienie użytkownikom końcowym bezpośredniego dostępu do danych. Na przykład system rezerwacji linii lotniczych przechowuje zapis każdego miejsca na każdym locie przez następne 12 miesięcy. Urzędnik dokonujący rezerwacji, pracujący w terminalu, może odpowiedzieć na telefoniczne zapytanie, wyszukać dostępne miejsce na konkretny lot, podać cenę biletu, sprzedać bilet dzwoniącemu i zarezerwować miejsce. Podobnie funkcjonariusz banku może zweryfikować saldo rachunku i dokonywać przelewów pieniężnych. W obu przypadkach dostęp do każdego rekordu danych może być natychmiastowy i zmieniony, a nie konieczności oczekiwania na uruchomienie partii. Do dnia dzisiejszego zarówno urzędnik rezerwujący, jak i funkcjonariusz banku mogą zostać zastąpieni przez samych klientów, którzy bezpośrednio kontaktują się z komputerami online. Chociaż postęp ten doprowadził do znacznego zwiększenia dostępnej mocy obliczeniowej, znacznie zwiększył również ryzyko naruszenia zabezpieczeń komputera. W przypadku bardziej złożonych systemów operacyjnych, gdy wielu użytkowników korzysta z Internetu w newralgicznych programach, a także z baz danych i innych plików dostępnych dla nich, należy zapewnić ochronę przed przypadkowym błędem i zamierzonym nadużyciem.

Rodzina komputerów. W 1964 roku IBM ogłosił rodzinę komputerów S / 360, od bardzo małych do bardzo dużych modeli. Wszystkie z sześciu modeli wykorzystywały układy scalone, które oznaczały początek trzeciej generacji komputerów. Tam, gdzie tranzystorowa konstrukcja może pozwolić na 6000 tranzystorów na stopę sześcienną, 30 000 układów scalonych może zajmować taką samą objętość. To znacznie obniżyło koszty, a firmy mogły kupić rodzinę po cenie w granicach swoich możliwości. Ponieważ wszystkie komputery z tej serii używały tego samego języka programowania i tych samych urządzeń peryferyjnych, firmy mogły w razie potrzeby aktualizować je z łatwością. Rodzina 360 szybko zdominowała rynki handlowe i naukowe. W miarę jak komputery te mnożyły się, podobnie jak liczba użytkowników, doświadczonych programistów i techników. Z biegiem lat opracowano techniki i procesy, aby zapewnić wysoki poziom bezpieczeństwa dla tych systemów mainframe. W roku 1964 pojawił się także inny komputer o dalekosiężnych wpływach: Digital Equipment Corp. (DEC) PDP-8. PDP-8 był pierwszym masowo produkowanym prawdziwym minikomputerem. Chociaż pierwotna aplikacja była w trakcie kontroli procesu, PDP-8 i jego potomstwo szybko udowodniły, że komercyjne aplikacje dla minikomputerów były praktycznie nieograniczone. Ponieważ komputery te nie były izolowane w bezpiecznych pomieszczeniach komputerowych, ale były rozprowadzane w wielu niestrzeżonych biurach w szeroko rozproszonych lokalizacjach, pojawiły się zupełnie nowe zagrożenia, wymagające innowacyjnych rozwiązań.

 

 

 

Trochę historii…

EWOLUCJA SYSTEMÓW INFORMACYJNYCH. Pierwszy elektromechaniczny system kart perforowanych do przetwarzania danych, opracowany przez Hermana Holleritha pod koniec XIX wieku, został wykorzystany do zestawienia w tabelach i całkowitych raportów z spisu powszechnego w Amerykańskim Biurze Spisu Powszechnego w 1890 roku. Pierwsze cyfrowe komputery z zainstalowanym programem opracowane w 1940 roku zostały wykorzystane do celów wojskowych, głównie kryptoanalizy oraz obliczania i drukowania stołów do strzelania artylerią. W tym samym czasie systemy kart dziurkowanych były już wykorzystywane do zastosowań księgowych i były oczywistym wyborem dla danych wejście na nowe elektroniczne maszyny obliczeniowe

 Lata 1950: Systemy kart dziurkowanych.  W latach 50. sprzęt komputerowy z kartami dziurkowanymi dominował na rynku komputerów komercyjnych. Te elektromechaniczne urządzenia mogą wykonywać pełen zakres funkcji księgowych i raportujących. Ponieważ zostały zaprogramowane przez skomplikowany system wtyczek z wieloma kablami wtyczkowymi, a także dlatego, że podczas obsługi i przechowywania kart perforowanych trzeba było zachować ostrożność, w pobliżu urządzenia mogły przebywać tylko doświadczone osoby. Chociaż którakolwiek z tych osób mogła założyć sprzęt do nieuczciwego użycia, a nawet zaangażować się w sabotaż, najwyraźniej niewielu, jeśli w ogóle, faktycznie to zrobiło. Systemy księgowania z kartami dziurkowanymi zwykle stosowały cztery etapy przetwarzania. Na wstępie operatorzy otrzymają “paczkę” dokumentów, zazwyczaj z dodaną taśmą maszynową pokazującą jedną lub więcej “sum kontrolnych”. Operator wpisał dane każdego dokumentu do karty dziurkowanej, a następnie dodał dodatkową kartę, karta kontrolna wsadowa, przechowująca sumy partii. Każda karta składała się z 80 kolumn, z których każda zawiera najwyżej jeden znak. Kompletny zapis elementu z inwentaryzacji, na przykład, byłby zawarty na pojedynczej karcie. Kartę nazwano kartą jednostkową, a maszyny, które przetwarzały karty, nazywane były albo kartami jednostkowymi albo kartami dziurkowanymi. Było to spowodowane koniecznością wyciśnięcia jak największej ilości danych na 80-znakową kartę, którą powstał późniejszy problem roku 2000. Kompresowanie roku na dwie postacie było uniwersalne użyty środek oszczędzający miejsce; jej konsekwencje 40 lat później nie były przewidziane. Grupa kart perforowanych, zwana również “partią”, była zwykle trzymana w metalowej tacy. Czasami partia byłaby powtórnie dziurkowana  przez drugiego operatora, korzystającego raczej z “trybu weryfikacji”, niż z wykrawania nowych dziur w kartach, w celu wykrycia błędów klawisza przed przetwarzaniem talii kart. Każda partia kart byłaby przetwarzana osobno, więc procesy były określane jako “zadania wsadowe”. Pierwszym krokiem byłoby uruchomienie partii kart za pomocą prostego programu, który obliczyłby sumy kontrolne i porównał je z sumami na karta kontrolna partii. Jeśli sumy partii nie zostały uzgodnione, partia została odesłana z powrotem do strefy ponczu kluczy dla zmiany klucza. Jeśli sumy się pogodzą, talia zostanie scalona z innymi partiami tego samego typu transakcji, na przykład obecna lista płac. Po zakończeniu tego kroku nowa partia składała się z karty perforowanej dla każdego pracownika w kolejności zatrudnienia. Program płacowy zaakceptował tę talię kart danych wejściowych i przetwarzał karty jeden po drugim. Każda karta została dopasowana do odpowiedniej karty pracownika w talii menedżerów płac, aby obliczyć bieżące wynagrodzenie netto i wyszczególnione odliczenia oraz przebić nową kartę główną płac, w tym sumy z roku na rok. Ostatnim krokiem było wykorzystanie talii kart do drukowania czeków płacowych i raportów zarządczych. Kroki te były identyczne z tymi stosowanymi przez wczesne, małe komputery elektroniczne. Jedyną różnicą była szybkość, z jaką dokonano rzeczywistych obliczeń. Kompletny proces był nadal znany jako zadanie wsadowe. Dzięki temu procesowi potencjał do nadużyć był wielki. Operator maszyny może kontrolować każdy etap operacji. Chociaż dane były wbijane do kart i weryfikowane przez innych, w pobliżu znajdował się automat do keypingu do wykorzystania przez operatora maszyny. Teoretycznie ta osoba może przebić nową kartę płac i nową kartę zbiorczą, aby dopasować zmianę przed wydrukowaniem czeków. Niska częstość zgłoszonych oszustw wynikała z kontroli, które zniechęcały do ​​takich nadużyć i prawdopodobnie z dumy, jaką operatorzy maszyn doświadczyli w swoich zawodach.

Komputery wielkoskalowe :Podczas gdy te elektromechaniczne maszyny z dziurkowanymi kartami były sprzedawane w dużych ilościach, laboratoria badawcze i uniwersytety pracowały nad zaprojektowaniem wielkoskalowych komputerów, które miałyby rewolucyjny wpływ na całą dziedzinę. Te komputery, zbudowane wokół lamp próżniowych, znane są jako pierwsza generacja. W marcu 1951 r. Amerykański Uniwersalny Komputer Automatyczny (UNIVAC) został zaakceptowany przez amerykańskie Biuro ds. Spisu Ludności (Census Bureau). Do tej pory każdy komputer był projektem jednorazowym, ale UNIVAC był pierwszym masowo produkowanym komputerem, w sumie zbudowanym 46. Słowo “uniwersalny” w nazwie wskazuje, że UNIVAC był również pierwszym komputerem zaprojektowanym do zastosowań naukowych i biznesowych. UNIVAC zawierał 5200 lamp próżniowych, ważył 29 000 funtów i zużywał 125 kilowatów energii elektrycznej. Dozowano z perforowanymi kartami, odbierając dane wejściowe z metalowej taśmy o szerokości 0,5 cm, nagranej z klawiatury, z wyjściem na podobną taśmę lub do drukarki. Chociaż nie jest to model dla przyszłych projektów, jego pamięć składała się z 1000 72-bitowych słów i została wykonana jako rtęciowa linia opóźniająca. Mieścił się w szafie o wysokości około sześciu stóp, szerokości dwóch stóp i głębokości dwóch stóp, wypełnionej rtęcią cewki biegnącej od góry do dołu. Przetwornik na górze propagował wolno poruszające się fale energii wzdłuż cewki do przetwornika odbierającego na dole. Tam został ponownie przetworzony na energię elektryczną i przekazany do odpowiedniego obwodu lub recyrkulowany, jeśli wymagane było dłuższe przechowywanie. W 1956 r. IBM wprowadził magnetyczny system dyskowy Random Access Method of Accounting and Control (RAMAC). Składał się z 50 magnetycznie powlekanych metalowych tarcz o średnicy 24 cali, zamontowanych na wspólnym wrzecionie. Pod serwosterowaniem dwie połączone głowice do odczytu / zapisu przesuwają się po każdej stronie wymaganego dysku, a następnie do wewnątrz, do dowolnej ze 100 ścieżek. W jednym obrocie dysków można odczytać lub nagrać wszystkie lub prawie wszystkie informacje na tych dwóch ścieżkach. Cały system był prawie wielkości kompaktowego samochodu i utrzymywał to, co w tym czasie stanowiło ogromną ilość danych – 5 megabajtów. Koszt wyniósł 10 000 USD za megabajt lub 35 000 USD rocznie na dzierżawę. W porównaniu z niektórymi dzisiejszymi magnetycznymi dyskami twardymi, które mierzą około 31/2 cali szerokości i wysokości 1 cala, przechowują nawet 1000 gigabajtów i kosztują mniej niż 400 USD lub około 0,0004 USD na megabajt. Te wczesne, masywne komputery były umieszczone w dużych , klimatyzowanych pokojach. W pomieszczeniu kilku doświadczonych ekspertów, wyglądających na bardzo profesjonalnych w białych fartuchach laboratoryjnych, brało udział w operacjach i utrzymaniu opłat za milion dolarów. Nie istniała koncepcja “użytkownika” jako osoby spoza komputera, która mogłaby wchodzić w interakcje bezpośrednio z maszyną. Przerwy w usługach, błędy oprogramowania i błędy sprzętowe zazwyczaj nie są krytyczne. Jeśli którykolwiek z nich spowodował awarię lub przerwanie programu, rozpoczęcie od nowa było stosunkowo proste. W związku z tym podstawowymi problemami związanymi z bezpieczeństwem były: fizyczna ochrona rzadkiego i kosztownego sprzętu oraz środki zwiększające ich niezawodność. Kolejną kwestią, tak jak teraz, była ludzka omylność. Ponieważ najwcześniejsze komputery były programowane w niezwykle trudnym języku maszynowym, składającym się wyłącznie z jedynek (1) i zer (0), częstość występowania błędów ludzkich była wysoka, a czas korekty błędów był zbyt długi. Dopiero później opracowano języki asemblera i kompilatora w celu zwiększenia liczby osób zdolnych do programowania maszyn i zmniejszenia częstości występowania błędów oraz czasu na ich poprawienie. Bezpieczeństwo systemu informatycznego dla dużych komputerów nie stanowiło istotnego problemu z dwóch powodów. Po pierwsze, niewielu programistów potrafiło wykorzystywać i manipulować komputerami. Po drugie, było bardzo mało komputerów, z których każdy był niezwykle cenny, ważny dla właścicieli, a co za tym idzie ściśle strzeżony

Komputery średniej wielkości.

W latach pięćdziesiątych opracowano mniejsze systemy komputerowe o bardzo prostej konfiguracji; Pliki wzorcowe kart perforowanych zostały zastąpione perforowaną taśmą papierową, a następnie taśmą magnetyczną i systemami przechowywania dysków. Kalkulator elektromechaniczny wraz z jego płytką został zastąpiony przez centralny procesor (CPU), który miał małą pamięć główną, czasami zaledwie 8 kilobajtów, 4 i ograniczoną szybkość przetwarzania i moc. Jeden lub dwa czytniki kart perforowanych mogą odczytywać dane i instrukcje przechowywane na tym nośniku. Później programy i pliki danych były przechowywane na taśmie magnetycznej. Dane wyjściowe zostały przesłane do kart maszyn, do drukowania na urządzeniu rejestrującym urządzenia, a później do taśmy magnetycznej. Wciąż nie ma połączenia przewodowego ze światem zewnętrznym i nie ma użytkowników online, ponieważ nikt, oprócz osób zajmujących się przetwarzaniem danych elektronicznych (EDP) w pokoju komputerowym, nie może bezpośrednio wchodzić w interakcje z systemem. Te systemy miały bardzo proste systemy operacyjne i nie używały wieloprocesowości; mogły uruchamiać tylko jeden program na raz. Model IBM 650, wprowadzony w 1954 roku, mierzył około 5 stóp na 3 stopy na 6 stóp i ważył prawie 2000 funtów. Jego zasilacz został zamontowany w podobnej wielkości szafce, ważącej prawie 3000 funtów. Zawierał 2000 (10-cyfrowy) słów pamięci głównej bębna magnetycznego o łącznej wartości 500 000 USD lub czynszu w wysokości 3 200 USD miesięcznie. Za dodatkowe 1500 USD miesięcznie można by dodać znacznie szybszą pamięć rdzenia o 60 słowach. Dane wejściowe i wyjściowe wykorzystywały maszyny do odczytu i zapisu kart dziurkowanych. Typowy sprzęt IS z lat 50. XX wieku został zainstalowany w oddzielnym pomieszczeniu, często z oknem podglądowym, aby goście mogli podziwiać komputer. We wczesnej próbie bezpieczeństwa, odwiedzający faktycznie w sali komputerowej byli często witani wydrukowanym napisem:

Ponieważ nadal nie było użytkowników online, nie było żadnych identyfikatorów użytkowników ani haseł. Programy przetwarzają partie danych, uruchamiane w regularnych odstępach czasu – raz dziennie, raz w tygodniu itd., W zależności od funkcji. Jeśli dane dla programu nie były dostępne w zaplanowanym czasie uruchomienia, operatorzy mogliby zamiast tego uruchomić inne zadanie i czekać na brakujące dane. Ponieważ raporty wydruków stały się dostępne, zostały dostarczone ręcznie do użytkowników końcowych. Użytkownicy końcowi nie spodziewali się ciągłego przepływu danych z systemu przetwarzania informacji, a opóźnienia nawet o dzień lub więcej nie były znaczące, z wyjątkiem być może z produkcją wypłaty. Bezpieczeństwo systemu informatycznego prawie nie było uważane za takie. Nacisk położono na kontrole wsadowe dla poszczególnych programów, fizyczne kontrole dostępu i utrzymanie odpowiedniego środowiska dla niezawodnej pracy sprzętu

Wprowadzenie

Rozwój komputerów i technologii informatycznych był wybuchowy. Nigdy wcześniej technologia na całym świecie nie była propagowana z taką szybkością iz tak wielką penetracją praktycznie każdej ludzkiej działalności. Komputery przyniosły ogromne korzyści w tak różnorodnych dziedzinach, jak badania genomu człowieka, eksploracja kosmosu, sztuczna inteligencja i wiele aplikacji od trywialnych do najbardziej poprawiających jakość życia. Niestety, komputery mają też ciemną stronę: są używane do projektowania i budowania broni masowego rażenia, a także samolotów wojskowych, atomowych łodzi podwodnych i rozpoznawczych stacji kosmicznych. Rola komputera w formułowaniu broni biologicznej i chemicznej oraz w symulacji ich rozmieszczenia jest jednym z najmniej pomyślnych zastosowań. Z nieco mniejszym niepokojem komputery wykorzystywane w aplikacjach finansowych, takie jak ułatwianie kupowania i sprzedaży wszystkiego, od zapałek do rezydencji i przekazywanie bilionów dolarów każdego dnia w elektronicznych funduszach, są nieodparte dla złoczyńców; wielu z nich postrzega te działania jako otwarte zaproszenia do oszustw i kradzieży. Systemy komputerowe i ich wzajemnie połączone sieci są również ofiarami wandali, złośliwych egotyków, terrorystów oraz szeregu osób, grup, firm i rządów zamierzających wykorzystać je do realizacji własnych celów, całkowicie ignorując wpływ na niewinne ofiary. . Poza celowymi atakami na systemy komputerowe istnieją niezliczone sposoby, w których niezamierzone błędy mogą uszkodzić lub zniszczyć zdolność komputera do wykonywania zamierzonych funkcji. Wzrost bezpieczeństwa systemów informatycznych był podobny do samego pola komputerowego. Tylko dzięki szczegółowej analizie potencjalnych problemów i implementacji proponowanych rozwiązań można oczekiwać, że komputery spełnią swoją obietnicę, przy niewielu lukach bezpieczeństwa, które nękają mniej odpowiednio zabezpieczonych systemów.

Bezpieczeństwo można zdefiniować jako stan wolny od niebezpieczeństwa i nie narażony na uszkodzenia spowodowane wypadkami lub atakiem, lub można go określić jako proces osiągania tego pożądanego stanu. Celem systemu bezpieczeństwa informacji1 jest optymalizacja działania organizacji w odniesieniu do zagrożeń, na które jest ona narażona.

Ryzyko definiuje się jako ryzyko obrażeń, uszkodzenia lub utraty. Ryzyko składa się zatem z dwóch elementów: (1) przypadku – elementu niepewności oraz (2) potencjalnej straty lub uszkodzenia. Z wyjątkiem możliwości restytucji, podjęte dziś działania w zakresie bezpieczeństwa systemów informatycznych działają w celu zmniejszenia przyszłych strat ryzyka. Ze względu na niepewność co do przyszłych strat ryzyka, doskonałe bezpieczeństwo, które oznacza zerowe straty, byłoby nieskończenie kosztowne. Z tego powodu osoby zarządzające ryzykiem dążą do optymalizacji alokacji zasobów, minimalizując całkowity koszt podjętych środków bezpieczeństwa systemu informacyjnego i poniesionych strat. Ten proces optymalizacji jest zwykle nazywany zarządzaniem ryzykiem. Zarządzanie ryzykiem w tym sensie jest trzyczęściowym procesem:

1. Identyfikacja istotnych zagrożeń

2. Wybór i wdrażanie środków ograniczających ryzyko

3. Śledzenie i ocena poniesionych strat ryzyka w celu zatwierdzenia dwóch pierwszych części procesu

Zarządzanie ryzykiem było częścią biznesu od stuleci. Kupcy renesansowi często używali kilku statków jednocześnie, z których każdy przewoził część towaru, tak że utrata jednego statku nie spowodowałaby utraty całej partii. Niemal w tym samym czasie rozwinęła się koncepcja ubezpieczeń, po pierwsze, aby zapewnić ekonomiczną ochronę przed utratą ładunku, a następnie zapewnić ochronę przed utratą budynków przez pożar. Ubezpieczyciele od ognia i władze miejskie zaczęli wymagać przestrzegania norm mających na celu zmniejszenie ryzyka katastrof takich jak Wielki Pożar Londynu w 1666 roku. W 1667 roku powstał w Londynie Instytut Ubezpieczeń. Wraz z pojawieniem się korporacji jako spółek akcyjnych z ograniczoną odpowiedzialnością, dyrektorzy korporacyjni byli zobowiązani do stosowania ostrożności i należytej staranności w ochronie aktywów akcjonariuszy. Zagrożenia związane z bezpieczeństwem należą do zagrożonych aktywów korporacyjnych, które dyrektorzy mają obowiązek rozwiązać. Podwójne księgowanie, kolejny renesansowy wynalazek, okazał się doskonałym narzędziem do mierzenia i kontrolowania aktywów korporacyjnych. Jednym z celów było utrudnienie ukrywania oszustw poufnych. Pojawiła się koncepcja rozdziału obowiązków, w której wezwano do stosowania procedur przetwarzania, które wymagały więcej niż jednej osoby do zrealizowania transakcji. Ponieważ księgi rachunkowe nabierają coraz większego znaczenia, opracowano standardy rachunkowości i nadal ewoluują one do dnia dzisiejszego. Standardy te służyły do ​​porównywania ksiąg rachunkowych i zapewnienia osobom postronnym, że księgi rachunkowe organizacji prezentują dokładny obraz stanu i aktywów. Te zmiany doprowadziły z kolei do wymogu niezależnego przeglądu ksiąg rachunkowych i procedur operacyjnych przez zewnętrznego audytora. Przejście na automatyczne systemy księgowe wprowadziło dodatkowe wymagania bezpieczeństwa. Niektóre wczesne zabezpieczenia, takie jak zasada przeciwko wymaganiom lub zmianom w księgach rachunkowych, już nie stosowane. Niektórym skomputeryzowanym systemom księgowym brakowało śladu rewizyjnego, a inne mogły być tak samo przekierowane, jak rzeczywiste wpisy. Wreszcie, wraz z nadejściem Ery Informacji, własność intelektualna stała się coraz ważniejszą częścią korporacyjnych i rządowych aktywów. W tym samym czasie, gdy własność intelektualna zyskała na znaczeniu, zagrożenia dla własności intelektualnej stały się bardziej niebezpieczne ze względu na samą technologię systemu informacyjnego (IS). Kiedy poufne informacje były przechowywane na papierze i innych dokumentach materialnych, a szybkie kopiowanie było ograniczone do fotografii, ochrona była stosunkowo prosta. Niemniej jednak, systemy kontroli dokumentów, procedury klasyfikacji informacji i niezbędne kontrole dostępu nie były niezawodne, a pojawiały się kompromisy w informacjach z konsternacją regularności. Ewolucja technologii IS sprawiła, że ​​kontrola informacji była o kilka rzędów wielkości bardziej złożona. Ewolucja i, co ważniejsze, wdrażanie technik kontroli nie dotrzymują kroku. Opiszemy, w jaki sposób ewolucja systemów informatycznych spowodowała równoległą ewolucję bezpieczeństwa systemu informatycznego, a jednocześnie zwiększyła znaczenie przewidywania wpływu nadchodzących zmian technicznych. Przegląd ten wyjaśni czynniki prowadzące do dzisiejszego środowiska zagrożeń bezpieczeństwa systemu informatycznego i technik ograniczania ryzyka i posłuży jako ostrzeżenie, aby pozostać czujnym na implikacje innowacji technicznych w momencie ich pojawiania się.

Dzień Dobry…

Komputery są integralną częścią naszej infrastruktury gospodarczej, społecznej, zawodowej, rządowej i militarnej. Stały się one niezbędne w praktycznie każdej dziedzinie współczesnego życia, ale ich podatność na włamania jest coraz bardziej niepokojąca. Systemy komputerowe są stale zagrożone nieumyślnym błędem i działaniami natury, a także tymi, które można przypisać nieetycznym, niemoralnym i kryminalnym działaniom. Celem naszym  jest dostarczenie wskazówek dotyczących rozpoznawania tych zagrożeń, eliminacja ich tam, gdzie to możliwe, a jeśli nie, redukowanie przypisywanych im strat. Blog będzie najbardziej wartościowy dla osób bezpośrednio odpowiedzialnych za bezpieczeństwo komputerów, sieci lub informacji, a także tych, którzy muszą zaprojektować, zainstalować i utrzymywać bezpieczne systemy. Będzie to równie ważne dla tych menedżerów, na których funkcje operacyjne mogą mieć wpływ naruszenia bezpieczeństwa, oraz dla tych kierowników, którzy są odpowiedzialni za ochronę powierzonych im aktywów. Wraz z pojawieniem się komputerów stacjonarnych, przenośnych i przenośnych oraz z rozległymi sieciami międzynarodowymi, które je łączą, natura i zasięg zagrożeń dla bezpieczeństwa komputerowego wzrosły niemalże poza miarę.

Zapraszam do lektury 🙂