Adam Wyka – IT Business Support

Adam Wyka

,
, , , , , , , , , , , ,

#4 Co to jest PODATNOŚĆ?

Czym jest podatność (ang. vulnerability)?

Podatność można zdefiniować w bardzo prosty sposób. Jest to po prostu slabość. Może być to słabość jednostki lub słabość całego sytemu i można to rozumieć również, jako brak odporności.

Definiuje się różne rodzaje podatności, m.in.:

Podatność ekonomiczna
Podatność eksploatacyjna
Podatność informatyczna
Podatność logistyczna
Podatność magazynowa
Podatność na ryzyko
Podatność transportowa

W bardzo prosty sposob podatność defniują P. Zaskórski oraz K. Szwarc, mianowicie, jako lukę.

Podobnie choć nieco szerzej pojęcie to opisuje D. Łydzyński. Wg. Niego podatność należy rozumiec, jako słabe punkty lub luki w zabezpieczeniach systemów i procesów, które moga zostać przypadkowo lub też celowo wykorzystane do zaburzenia ciągłości działania organizacji, jej procesów lub systemów.

W bardzo ciekawy i szeroki sposób definiuje podatność D. Rucińska. Podaje ona szereg różnych definicji m.in.:

  1. Zaistniałe warunki (stan) są determinowane przez czynniki lub procesy:
    fizyczny, społeczny lub socjalny, ekonomiczny i przyrodniczy, które to zwiększają wrażliwość społeczności na wpływ zagrożeń naturalnych (UN/ ISDR, 2004).
  2. Stan człowieka lub jego postępowanie skutkujące czynnikami: fizycznym, ekonomicznym, społecznym i przyrodniczym, które determinują prawdopodobieństwo oraz skalę strat na skutek zaistnienia zagrożenia naturalnego (UNDP 2004).
  3. Potencjalne narażenie na fizyczne zjawiska i straty materialne (Gabor, Griffith 1980, Bara 2010).
  4. Ekspozycja (narażenie) i zróżnicowane uwarunkowania społeczności na zagrożenia naturalne (Timmerman 1981, Susman i in. 1984, za Cutter 1996), które przejawiają się w potencjalnej zdolności radzenia sobie, w tym adaptacji (coping ability) człowieka lub społeczności, w tym: odporności resistance oraz odzyskania i powrotu do normalności resilience (Hewitt 1997), zdolności reagowania (Kates 1985), co jest wynikiem specyfiki grup społeczności.
  5. Wrażliwość susceptybility danej populacji, systemu lub miejsca, wynikająca z ekspozycji na zagrożenie (Cutter i in. 2009).
  6. Złożony system (Wood 2007) przyrodniczo-społeczny, gdzie społeczeństwo i środowisko przyrodnicze nie stanowią niezależnych i homogenicznych systemów, niezdolnych do adaptacji względem zagrożeń (Polsky i in. 2007).

Do głównych składowych podatności zalicza się: ekspozycję (narażenie) exposure; wrażliwość – sensitivity, suceptibility; zdolność radzenia sobie i adaptacji – coping, adaptive capacity, capacity; elastyczność (sprężystość) – resilience;
odporność – resistance.

Jak widać istenieje wiele różnych definicji podatności co związane jest z tym, że różne instytucje tworzą te defnicicje. My skupimy się przede wszystkim na aspektach związanych z obszarem informatyki, a zatem na podaności informatycznej czyli lukach w systemach i aplikacjach.

Każda z luk, na jakie można natknąć się w aplikacjach i systemach może zostać sklasyfikowana, jako zaburzenie jednej z trzech cech charakteryzujących bezpieczeństwo.

  • poufność (Confidentiality) – Czy odpowiednie osoby mają dostęp do odpowiednich danych?
  • integralność (Integrity) – Czy dane są spójne i godne zaufania?
  • dostępność (Availability) – Czy aplikacja zapewnia satysfakcjonujący poziom dostępności? Czy nie jest awaryjna? Czy nie można w prosty sposób jej przeciążyć?

Jest to tak zwana „triada CIA„, lub żeby nie mylić z powszechnie rozpoznawaną i znaną organizacją to często zamienia się kolejność na AIC.

Poufność informuje nas, czy dane są dostępne jedynie dla użytkowników, którzy mają do nich uprawnienia.

Integralność – czy dane nie mogą być edytowane przez użytkownika bez odpowiednich uprawnień.

Dostępność – o stopniu awaryjności aplikacji i tym, jak często jest ona niedostępna dla użytkowników.

Literatura:

D. Łydziński, Analiza ryzyka w środowisku informatycznym, IT Professional, Wrzesień 2014.

D. Rucińska, Podatność społeczna na zagrożenia naturalne jako element ryzyka. Przegląd koncepcji naukowych. Prace i Studia Geograficzne, 2014, T.55 ss.133-144.

P. Zaskórski, K. Szwarc, Bezpieczeństwo zasobów informacyjnych
determinantą informatycznych technologii zarządzania, Zeszyty Naukowe Warszawskiej Wyższej Szkoły Informatyki Nr 9, Rok 7, 2013, s. 37-52.

Krzysztof Liderman, Analiza ryzyka i ochrona informacji w systemach komputerowych, PWN, Warszawa 2008.

https://mfiles.pl/pl/index.php

https://www.kodolamacz.pl/

Dodaj komentarz

Ta witryna wykorzystuje usługę Akismet aby zredukować ilość spamu. Dowiedz się w jaki sposób dane w twoich komentarzach są przetwarzane.

Subscribe to
our newsletter