Stabilizacja na mocnym plusie
Elektronika noszona
Software Asset Management
Przychody firm IT wzrosły o 12,8%. Główne wnioski z raportu „Computerworld T0P200”
Systemy cyberfizyczne i wearables zmienia obraz przedsiębiorstw
Procedury SAM gwarantują właściwe zarządzanie oprogramowaniem
Więcej na: www.ebook4all.pl
Polska
COMPUnRWlIRV
MAGAZYN MENEDŻERÓW I INFORMATYKÓW
WWW.COMPUTERWDRLD.PL
24 CZERWCA 2015
NR 13/1050
ISSN 08Ó7-2334
NR INDEKSU 354988
BANKU Włamanie do systemu transakcyjnego Plus Banku sprawiło, że problem obrony aplikacji webowych przed atakiem wrócił ze zdwojoną siłą. Większości zdarzeń można zapobiec, a samą organizacje przygotować na podobne incydenty.
CENA 24,90 ZŁ IW TYM 5% VAT]
Więcej na: www.ebook4all.pl
ZARZĄDZANIE JAKOŚCIĄ W IT 25-26 sierpnia 2015 Warszawa
Cel warsztatów: •
Praktyczna nauka aspektów zarządzania jakością: głów nych procesów, m etod i tech nik zarządzania jakością procesów i produktów
•
W skazanie znaczenia zarządzania jakością zarów no dla powodzenia projek tu, jak i zwiększenia efektyw ności organizacji
•
Dostarczenie środków do w drożenia podstaw ow ych czynności zarządzania jakością w organizacji
Szkolenie oparte jest na podejściu reprezentowanym przez PMBOK (ang. Project Management Body of Knowledge) oraz ISO 9001: 2008 System zarządzania jakością, posiłkując się zasadami zaczerpniętymi z prac E. Deminga oraz podejścia TQM.
Zarejestruj się! jakosc-warsztaty.computerworld.pl
Więcej na: www.ebook4all.pl
WNUMERZE WIADOMOŚCI g Stabilizacja na mocnym plusie. W 2DI4 r. przychody działających w Polsce firm informatycznych wyniosły 57 mld zł, o 12,8% więcej niż w roku 2013. Taki obraz rynku IT rysuje się z ustaleń tegorocznego raportu „Computerworld TOP2Q0B. który właśnie trafił do sprzedaży,
RAPORT
COMPUTERWORLD
10 En face. Marek Krygier o wymaga
TOP200
niach klienta, o modelu biznesowym, 0 technologiach pomagających czytać mapy, o granicach autonomii samocho du, o biednym kole pojazdów elektrycz nych, o inteligentnej drodze w mieście.
Poznaj realna koniunkturę branży teleinformatycznej w Polsce. Z RAPORTU DCWIEDZĄ SIE PAŃSTWO:
ZARZĄDZANIE
17 Okiem architekta. Wiele zrobiliśmy 1robimy w Polsce, by te ponad 2 min ludzi, które wyjechały z kraju, nigdy do niego nie wróciły. Teraz telewizja publiczna, realizując swą szczytną misje, odcina ich również od naszej kultury i historii.
18 Projekty i wdrożenia. Dokumen tacja medyczna na Dolnym Śląsku... Nowe wyposażenie kampusu WAT... Qumak digitalizuje archiwa... SAP w cukrze... Microsoft pomaga zarzą dzać infrastrukturą... Płatności Visą przez Android.
19
Lekcja z Plus Banku W łamanie do systemu transakcyjnego Pius Banku sprawiło, że problem obrony aplikacji webowych przed atakiem w rócił ze zdwojoną siłą. Większości zdarzeń można zapobiec, a samą organizacje przygotować na podobne incydenty.
20 Pracownicy: trudny czynnik
2 2 Dobre praktyki w zarządzaniu oprogramowaniem. Procedury SAM gwarantują właściwe zarządza nie oprogramowaniem i przynoszą korzyści finansowe. Optymalizacja licencji i opracowanie strategii zaku pu oprogramowania w dużej firmie przez pięć lat pozwalają zaoszczędzić kilka milionów złotych.
Przemysłowe zastosowania elektroniki noszonej Systemy cyberfizyczne tworzące nową jakość wytwórczości wraz z technologiami noszonej elektroniki zmienią obraz przed siębiorstw w najbliższych latach. W świecie wytwórczym mówi się o nowej generacji przemysłu-4 .0 . wytwarzania oprogramowania. Dzięki zrozumieniu zależności pomiędzy jego częściami i okre śleniu wpływu zmian w jednej z nich na inne udaje się udosko nalić proces.
TECHNOLOGIE
24
Programista jako tester. Myślenie systemowe pozwala całościowo spojrzeć na proces
Więcej informacj: wwwcompifierwld.|^1otf raport trzeba też liczyć się z poważnymi wyzwaniami podczas wdrożenia i użytkowania. 2 g Nowe spojrzenie na macierze All-Ffash, Macierze typu All-Rash coraz częściej znajdują zastosowanie jako podstawowy system pamięci masowych w firmach. To pokazuje, że szybkość transferu danych i ogólna wydajność przeważyły nad wątpliwo ściami dotyczącymi niezawodności i dostępności.
Technologia u wielkiego restau ratora. Skala biznesu i tempo pracy wymuszają modernizację architektury IT, żeby umożliwiała lepszą komunika cje i zdalne wykonywanie obowiązków.
polityki bezpieczeństwa. Nie przestrzegają reguł bezpieczeństwa lub łamią je świadomie, sami wymie rzają sprawiedliwość za pominiecie przy awansie lub zwolnienie. Pracow nicy- największa wartość organizacji i najsłabsze ogniowo w łańcuchu ochrony firmowych sieci.
•ja k a jest sytuacja Waszej konkurencji: kto zyskuje, komu zaś spadają przychody, * w których sektorach gospodarki wzrastają budżety na IT oraz kto na tym korzysta • jak wygląda obecna sytuacja branży teleinformatycznej oraz jej perspektywy.
26
Zintegrowana komunikacja z chmury. Klienci mają do wyboru wiele rozwiązań UC oferowanych
Pięć zagrożeń, które odmienia branżę bezpieczeństwa Cyberprzestępczość to profesja, która nie ogranicza się do tworzenia złośliwego kodu. W coraz większej liczbie przypadków bezpieczne oprogramowanie jest modyfi kowane, aby służyć do przeprowadzania ataków czy dystrybucji wirusów. w formie usługi chmurowej lub rozwią zania hybrydowego. Każde ma swoje wady i zalety, dlatego też wybór nie jest łatwy.
27
SDS pełen wyzwań. Idea pa mięci masowych realizowanych programowo (SDS) może przynieść w iele korzyści, m.in. uprościć archi tekturę czy ułatwić skalowanie, ale
29
Perspektywy rozwoju sieci. O możliwościach dzisiejszych tech nologii sieciowych jeszcze kilka lat temu można było tylko pomarzyć. Nie należy jednak popadać w bezkrytycz ny entuzjazm.
30
Użytkownicy zagrożeniem dla SaaS. Większość firm żle podchodzi do bezpieczeństwa SaaS, jednak wina tylko częściowo leży po stronie wewnętrznych działów IT. Główne przyczyny to również szum informa cyjny wokół cloud computingu oraz brak rzetelnych informacji o błędach przydarzających się dostawcom.
FELIETONY ■JJ Michał Bonarowski '| '| Piotr Kowalski
Więcej na: www.ebook4all.pl
COMPUTERWORLD
W IA D O M O ŚC I
W S K R Ó C IE
REDAKCJA 02-092'Waraiawa, 2w irlti i Wigury tBa. tel. 22 3217800, faks 22 321788B e -m a i cw®idg.conipl, www.com puteiworid.pl
KADRY
REDAKTOR NACZELNY Tomasz Bilner - 22 32TT807
ZESPÓL Dwota Bogucka - 22 3217B2D Konrad Karczewski- 2 2 3217997
TELEKOMUNIKACJA
Atos łanu e rozwó mimo zawirowań personalnych
Ponad miliard użytkowników LTE
Władysław K rasicki-223217917 Jerzy K njpm stt- 22 32T773I Marcin M arciniak-22 3217B27 PiDlr Pielruszyński - 22 320725 Danuta Sass-2 2 3217805
WSPÓŁPRACOWNICY Andrzej Gontarz, Sławomir Kosieli liski, Pinlr Kowalski. Bogdan Pilawski Piotr Rutkowski
KONFERENCJE COMPUTERWORLD Sebastian Wairas - 22 3217798 Magdalena SzczDdrońska -223217935 Katarzyna Kania-2 2 3217912 t o kasz Grabczyrlski -2 2 32T798B Aleksandra Zygarska -2 2 3217872
CJSTOM PUBLISHING Paweł Choiriski - 22 321779
OPRACOWANIE GRAFICZNE Sławomir Krajewski Marcin Rnsiczka BIURO REKLAMY I MARKETINGU Recepcja 22 3217772 e-mail raklamaiidg.com.pl Marcin R endudi-2 2 3217915 Włodzimierz Duszyk - 22 3217870 Agata Goździk-22 3217830 Magdalena Mieczkowska - 22 32T7B90 Beata Michalak - 22 3217906 Grażyna Skibniewska - 22 3217895 Marcin Tyborowski - 22 3217854 Anna Resiczka-2 2 32I7B96 t u kasz Żakowski - 22 3217727
PRODUKCJA tferzena Samsel - kiernwni k - 22 3217860 Małgorzata M a je r-2 2 32I7B61
DZIAŁ PRENUMERATY Tel. -M8 223217777 e-mail:
[email protected] lub pnenumeralaiidg.ctmijpl http//www.pcworld.p^kiosk Prenumerala realizowana przez: Garmond Press SA Tel/taks - 2 2 837-30-08 Fkenumerala.waiszawaSgarmond press.pl www.garmondpress.pl Prenumerala realizowana przez RUCH SA Zamówienia na prenumeratew wersji papierowej i na ewydania można składać bezpośredn io, na stronie: www.prenumera1a.mch.com .pl e-mait prenumeralairuch.cnm.pl k ii kontaktując s b z Telefonicznym Biurem Obsługi Klienta pod numerem: BOI B00 803 lub 22 717 59 59 -czynne w gadzinach 7.00-13.00. Tekstów niezamówionych redakcja nie zwraca, zasbzegając sobie prawo ich skracania i opracowywana. Redakcja nie ponosi odpowiedział ności za Ireść reklam. Adresy poczty Elektronicznej pracowników redakcji i wydawnictwa IDG Poland SA tworzone sąwedlug wzoru: lmie_Nazwiskoiidg.com.pl
Nakład 2000 egz.
DRJK Miller Druk sp. z o.o
WYDAWNICTWO International Data Group PolandSA
PREZES ZARZADU PirrlrWtulich
WYDAWCA Jerzy Michalski
Atus Pulska zam ierza zwięk szyć w tym roku sprzedaż usług o 7-1 U%, uzyskując z nich 630-651) m in zł. Firm a, która zatrudnia w Polsce uk. 4 tys. osób. przyjm ie do końca raku kilkuset now ych pracowników. Atos 10 czerwca br. zorgani zował w Warszawie konferencję, która miała być podsumowaniem półrocznego okresu integracji z firmami Buli i AMG.net (fran cuski Buli w 2006 r. kupił AMG. net, jednego z największych dostawców usług IT o polskim kapitale, w 2013 r. ok. 97 min zł przychodu). Jednak okres, w którym firma stabilizuje swoje struktury, nagle się wydłużył. W końcu maja, po niespełna pięciu m iesiącach, z funkcji prezesa połączonej firmy zre zygnował Krzysztof Łnkaszuk. W nagłym trybie wiedeńska centrala przysłała do Polski jako tymczasowego CEO Chris topha Schwegelbauera, który miał zażegnać kryzys, przede wszystkim nie dopuścić do tego, by WTaz z Krzysztofem Łukaszukiem z firmy odeszli klienci. Szef Atos a na Europę Środkowo-W schodnią. Hanns-Thomas Kopf tw ierdzi, że nie m a niebezpieczeństw a utraty klientów7, bo Krzysztof Łukaszuk złożył zapew nienie, że nie zabierze ze sobą żadnych kontraktów7. Łukaszuk pozostaje w7At osie form alnie do końca sierpnia.
4
COMPUTERWORLD 24 czerwca 2015
Jednocześnie trwają poszu kiw ania nowego prezesa Atos Polska. Christoph SchwegeLbauer będzie kierowTal polskim oddziałem do czasu, aż firma znajdzie jego następcę. We dług Kopfa proces rekrutacji może zająć m aksymalnie sześć miesięcy. Po uporządkowaniu struktu ry Atos będzie miał na naszym rynku dwie spółki: Atos Pol ska i Global Delivery Center z centrami świadczenia usług w7Bydgoszczy i w7e Wrocławiu. Tą firmą niezmiennie kieruje Da riusz Baran, przed połączeniem z AMG.net szef Atos Polska. Do Global Delivery Center jeszcze w7lipcu dołączy ok. 120 nowych pracowników, którzy przejdą do firmy wnaz z zakończeniem procesu przejęcia przez Atos a działu Xeroksa zajmującego się usługami IT. Oprócz nich Atos może zatrudnić w tym roku jesz cze 600 osób. Atos nadal będzie koncentro wał się n a usługach. „Strategia firmy Atos skąpią się glóm ue na działaniach w sektora cii telekom unika cyjnym, finanso wym, energetycznym, publicz nym i produkcyjno-handlo wym. Dostarczamy aplikacje kluczowe dla rozwoju biziiesu naszych klientów we współpracy z partnerami, takimi jak: Mi crosoft, SAP, Oracle oraz marką Buli” - stwierdził Christoph Schwegelbauer. I
Firma analityczna ABI Rese arch przewiduje, że pod koniec tego roku na całym świecie z połą czeń LTE korzystać będzie ok. 1,37 mld osób. To bardzo duży wzrost, bo w 2014 r. użytkowni ków było 650 min. Według najnowszego raportu ABI Research, przez najbliższych pięć lat sieci LTE rozwijać się będą bardzo dynamicznie i każdego roku przybywać będzie ok. 20% użytkowników, a w 2020 r. na świecie z usług tej technologii korzystać bę dzie 3,5 mld osób. Jeszcze hardziej optymistyczna jest firma Ericsson, której analitycy szacują, że liczba użytkowników7połączeń LTE osią gnie wówczas poziom ok.3,7 mld. W 2020 r. sieci LTE całkowicie zdominują rynek usług telekomu nikacyjnych w7Europie i w Stanach Zjednoczonych. Ale w7dalszym ciągu użytkowników połączeń 3G będzie jeszcze na świecie nieco więcej niż użytkowników połą czeń 4G, bo 3,8 mld. Za pięć lat w niektórych krajach pojawTią się też pierwTsze usługi wykorzystujące połączenia 5G, Sieci te zadebiutują najprawdopodobniej w7Japonii i Korei Południowej. Ericsson w swoim najnowszym raporcie informuje, że sieci LTE rozwijają się szczególnie szybko w USA, Japonii i Korei Południowej. Sprzyja temu fakt, że użytkownicy smartfonćw nowej generacji, wy posażonych w duże wyświetlacze, ściągają na nie coraz więcej treści wideo, co wTymaga dużych prze pustowości, które mogą zapewnić bezprzewodowe połączenia typu 4G, takie jak LTE.I
Więcej na: www.ebook4all.pl
White Paper
Exea
Wirtualne zasoby odpowiedzią na realne potrzeby Wirtualne centrum danych i prywatna chmura obliczeniowa to odpowiedź na wzrastające koszty utrzymania zaplecza IT i aktualne trendy w jego rozwoju. W przedsiębiorstwach coraz częściej można spotkać hybrydowy model chmury obliczeniowej, polegający na utrzymywaniu krytycznych danych na firmowych serwerach oraz przenoszeniu pozostałych zasobów do bezpiecznych i skalowalnych chmur w celu zredukowania kosztów i skokowego zwiększenia wydajności. Inwestycje w zakup i utrzymywanie nowoczesnej infrastruktury tele
leżycie chronione, a ciągłość działania usług zapewniona na po
informatycznej oznaczają wysokie koszty i często nieadekwatny do
ziomie, którego większość firm nie jest w stanie sobie zagwaranto
nich czas użytkowania wdrażanych rozwiązań. Kilka lat w odniesie
wać. Centrum danych Exea ma certyfikat Uptime Institute Tier III of
niu do technologii i obecnych warunków rynkowych może oznaczać
Design Documents, co daje gwarancję nieprzerwanej dostępności
niemal epokę.
usług na poziomie 99,98%.
Czy można uniknąć pęczniejących kosztów, zachowując jednocze
Chmura prywatna i wirtualne centrum przetwarzania danych Exea
śnie wysoką wydajność firmowego środowiska IT? Warto przeanali
bazują na sprawdzonym środowisku VMware vCloud Director - plat
zować możliwość skorzystania z rozwiązań wirtualnego data center
formie umożliwiającej zarządzanie maszynami wirtualnymi i wspie
i chmury prywatnej.
rającą je infrastrukturą IT. Rozwiązanie to łączy moc obliczeniową
Nowoczesne centrum przetwarzania danych Exea oferuje dzia
procesorów, pamięci masowe oraz przepustowość sieci w logiczną
łom IT sięgnięcie po najwyższej klasy rozwiązania bez konieczności
całość wirtualnego data center, którego zasoby administrator może
ponoszenia wysokich kosztów inwestycji, utrzymania czy koniecz
dystrybuować według potrzeb organizacji. Pojedyncza wirtualna
ności optymalizacji pakietu licencji na wykorzystywane aplikacje
maszyna - skalowana nawet do 24 vcore CPU, 96 GB RAM, 2 TB HDD
i platformy.
- powstaje w ciągu 10 sekund.
Zlokalizowane w Toruńskim Parku Technologicznym Exea Data
Z punktu widzenia klienta wykorzystanie wirtualnego centrum
Center ma własną bezpieczną i wydajną infrastrukturę IT, która za
danych i chmury obliczeniowej to racjonalna alokacja nakładów fi
pewnia usługi przetwarzania danych w technologii cloud computing.
nansowych, np. przy okresowych, skokowych wzrostach obciążenia
Oferowana przez Exea chmura prywatna to wirtualne środowisko in
firmowych serwerów. Zamiast stale ponoszonych kosztów utrzyma
frastruktury IT (model laaS) umożliwiające tworzenie i udostępnia
nia dodatkowej infrastruktury, której potencjał byłby w pełni w y
nie zasobów na rzecz pracowników, działów biznesowych, partne
korzystywany tylko w tzw. peaku, chmura obliczeniowa powoduje
rów, powiązanych spółek czy klientów. To także szablony gotowych
koszty jedynie za wykorzystane zasoby, według zasady Pay as you go.
platform wirtualnych środowisk pracy {model PaaS), które powstały
Mając na uwadze korzyści finansowe, warto podkreślić, że roz
z myślą o programistach i deweloperach, integratorach, resellerach
wiązanie gwarantuje wygodę i wzrost produktywności firmowych
czy działach IT, zwłaszcza dużych firm i korporacji.
działów IT. Dzięki redukcji czasu niezbędnego do utrzymania infra
Zasoby w modelu chmurowym przenoszą odpowiedzialność z klienta na rzecz dostawcy zarówno w odniesieniu do infrastruktury,
struktury po stronie organizacji specjaliści IT mogą się zająć analizą i projektowaniem usług wnoszących wartość dodaną dla biznesu.
jak i warstwy aplikacyjnej. Takie rozwiązanie jest wygodne i, wbrew obiegowym opiniom, bezpieczne, Dlaczego?
TARR Centrum innowacyjności sp. z o.o.
Dostawcy usług chmurowych są w stanie skierować znacznie
ui. Włocławska 167 87-100 Toruń +48 56 699 5400 +48 56 699 5417 www.exea.pl □ @exeacloud
większe nakłady na wielopłaszczyznowe rozwiązania bezpieczeń stwa niż w przypadku pojedynczego nawet dużego i bogate go przedsiębiorstwa. Od bezpieczeństwa danych i infrastruktury klientów zależy reputacja i podstawowy biznes dostawcy usług chmurowych. Dzięki temu oferowane rozwiązania chmurowe są na
INNOWACYJNA GOSPODARKA
U N IA EUROPEJSKA EUROPEJSKI FUNDUSZ ROZWOJU REGIONALNEGO
NARODOW A STRATEGIA 5PĆJ MOŚCI
Projekt współfinansowany przez Unię Europejską z Europejskiego Funduszu Rozwoju Regionalnego w ramach Programu Operacyjnego Innowacyjna Gospodarka 2007-2013, Działanie 5.3.
Więcej na: www.ebook4all.pl
ZAPRASZAMY DO UDZIAŁU W IV EDYCJI BADANIA MAGAZYNU COMPUTERWORLD
r
Badanie NAJLEPSZE MIEJSCE PRACY IT W POLSCE
COMPUTERWORLD 2015 C erty fik at C o m p u te rw o rld d la zw y c ię z có w b a d a m a .
DZIĘKI INFORMACJOM Z TWOJEGO RAPORTU:
* * * * *
zwiększysz poziom zaangażowania, satysfakcji i lojalności swojego zespołu umkniesz problemu częstych absencji i fluktuacji pracowników stworzysz proaktywny, kreatywny i innowacyjny zespół zwiększysz wydajność pracy i zrealizujesz wyznaczone cele osiągniesz lepsze wyniki biznesowe
HARMONOGRAM BADANIA
* styczeń/grudzień 2015: zgłoszenia, przeprowadzenie badań, dostarczenie indywidualnych raportów * styczeń 2016: ogłoszenie wyników i nagrodzenie zwycięzców ZAPRASZAM DO KONTAKTU Łukasz Żakowski, m:
[email protected], t: 662 287 727 w w w x o m p u te rw o rld .p l/p ra c a Organizator:
COMPUTERWORLD
P a tro n i m e d ia ln i:
PC WORLD Networld
CIO
Więcej na: www.ebook4all.pl W S K R Ó C IE
FUZJE I PRZEJĘCIA
W IA D O M O ŚC I
RYNEK
5 powodów, dla których Intel przejmuje firmę Altera
Tanieją dyski s s d
I Intel zdecyduwał się przejąć za kwotę 16.7 mld USD firmę Altera, która projektuje i produkuje programowalne układy scalone typu FPGA (Field-Programmalde Gate Array). Pod względem wartości to jedna z największych obecnie transakcji na rynku IT. Niektóre z podob nych inwestycji, na jakie Intel decydował się wTprzeszłości, nie zawsze były trafione. Chodzi tu np. o przejęcie w 2010 r. za kwotę 7,68 mld USD firmy McAfee. Czas pokaże, czy tym razem była to do bra decyzja. Analitycy wymieniają pięć powodów1, które przyczyniły się do decyzji: 1) Przejmując technologię FPGA, Intel pokazuje, że nie zamierza się w przyszłości koncentrować wyłącznie na układach CPU, ale wdączać do oferty również rozwiązania, które 'wspomaga ją pracę procesorów. Chodzi o procesory graficzne i akcele ratory, które przejmują wiele zadań wykonywanych przez układy CPU. 2) Przejęcie technologii FPGA pozwroli Intelowi wzbogacić ofertę w obszarze rozwiązań dla serwerów. To obecnie szczególnie ważny segment, gdy rynek pecetów7się kurczy. Mając własne układy FPGA,
■ Firma analityczna DKAMeXchange informuje, że producenci komputerów1płacą obecnie za dysk SSD o pojemności 128 GB tylko ok. 50 USD, a 90 USD za 256 GB i przewiduje. Że wkrótce SSD zastąpią klasyczne dyski instalowane w notebookach. Dyski SSD tanieją głównie dzięki popularyzacji technologii TLC i NAND/flash 3D. Według raportu DRAMeXchange, producenci komputerów1OEM musieli zapłacić w drugim kwTartale 2015 r. średnio tylko 50 USD za dyski SSD o pojem ności 128 GB oraz 90 USD za modele 256 GB. To duży spadek, biorąc pod uwragę, że w pierwszym kwartale 2014 r. za podobne dyski trzeba było płacić odpowiednio 77 i 148 USD. Na rynku detalicznym użytkownicy indywidualni kupujący takie urządzenia muszą zapłacić za nie "więcej: średnio 91 USD za dysk SSD o pojemności 128 GB i 185 USD za dysk SSD o pojemności 256 GB. Niższe ceny dysków1SSD są związane z spadkiem cen układów1 pamięci NAND/flash, które są ich podstawowymi elementem. Około 80% kosztów produkcji dysków1 SSD przypada "właśnie na pamięci NAND/flash, które potaniały w cią gu ostatnich 12 miesięcy aż o 25%. Największe spadki cen można za obserwować na rynku dysków1SSD oferujących duże pojemności. >
firma będzie mogła zaoferować producentom serwerów proce sory wraz z towarzyszącymi im dodatkowymi programowalny mi mikroprocesorami, które są często wykorzystywane do wy konywania specjalistycznych zadań, takich jak wyszukiwanie czy sortowanie danych. 3) Fabryki Intela, które produkują procesory GPU, mają wolne moce produkcyjne. Z chwilą przejęcia Altera będzie można je wykorzystać, co przełoży się na poprawdenie ich rentowności.
4) Intel zakłada, że przejęcie Altera pozwoli mu umocnić pozycję na rynku rozwdązań dla internatu rzeczy (Internet of Things). Układy FPGA są stosowrane w wdelu implementacjach IoT, m.in. w rozwTiązaniach używanych przy projektowaniu systemów sterowTania dla „inteli gentnych miast” czy automatyki przemysłowej. 5) Przejęcie zmusi konkurujące z Intelem firmy, m.in. EBM lub ARM, do znalezienia innych dostawców1układów1FPGA. I BADANIA I ROZWÓJ
HP staw ia na architekturę The Machinę
W strzykiwalna elektronika
HP zapowiada prezentację pro totypu nowej generacji superkom putera The Machinę już w12016 roku. System ma zrewmlucjonizować sposób w jaki komputery przetwarzają dane. Przedstawiciele HP poinformo wali, że The Machinę będzie kom puterem mieszczącym się w1jednej standardowej szafie i zawierającym 2500 rdzeni obliczeniowych oraz 320 TB pamięci systemowej, czyli ponad 20 razy więcej od tego, co oferują obecnie nawet najpotęż niejsze serwery. Docelowe ma to być pamięć memrystorowa, która stanowi najbardziej wydajny i no watorski element tego komputera. Pierwsze komputery The Machi nę będą zawierać standardowe układy DRAM, ponieważ pamięci wykorzystujące technologię mem-
Ludzkość wchodzi w erę tzw. elektroniki obieralnej, czyli urządzeń, które będzie można bez dyskomfortu nosić na sobie. Naukowcy pracują nad ko lejnym etapem rozwoju tej tech nologii i chcą przejść do ery sprzętu wstrzykrwalnego, który po dostarczeniu bezpośrednio do ludzkich tkanek pełniłby np. funkcje zw iązane z opieką zdrow otną. Badania prowadzą m.in. specjaliści z Uniwersytetu Harvarda i chińskiego Narodowego Centrum N anonauki i Technolo gii, którzy wTspólnie pracują nad praktycznym zastosowaniem miniaturowych, elastycznych układów elektronicznych tworzonych z myślą o „podłą czeniu’1do ludzkiego mózgu.
rystorów nie są jeszcze gotowe do masowej produkcji. Modele zawierające takie układy pojawTią się ofercie HP najprawdopodobniej dopiero za kilka lat. System wydajnej pamięci jest kluczowTym elementem nowej architektury The Machinę. Budo wlane obecnie komputery przecho wują dane w1trzech w^arstwach pa mięci: szybkich układach DRAM, dyskowych pamięciach masowych oraz systemach do archiwizacji wy korzystujących np. taśmy. W The Machinę architektura zostanie ujednolicona i wszystkie dane będą zapisywTane w nieulotnej pamięci opartej na układach memrystoro wych lub PGM. Dzięki meulotnym pamięciom memrystorowym The Machinę ma być wyjątkowo ener gooszczędny i wydajny. I
Podłączenie odbywTałoby się poprzez wstrzyknięcie układu bezpośrednio do odpowiedniej tkanki. Wyniki badań są obiecujące. Okazje się, że technologicznie możliwe jest w szczepienie w ten sposób do mózgu układu elektronicznego, który może wejść w interakcję z tym orga nem i byó używany zarówmo do stymulowrania, jak i m oni torowania jego pracy. Zdaniem naukowrców, może to otworzyć nowy rozdział w historii badań nad łączeniem elektroniki z żywymi organizmami oraz nad interfejsami niózg-maszyna. Wśród rozważanych zastosowmń jest np. wykorzystanie układu do sterowTarua za pomocą myśli wózkiem inwTalidzkim. I
COMPUTERWORLD 24 czerw ca 2015
7
Więcej na: www.ebook4all.pl
WIADOMOŚCI COMPUTERWORLD T0P200
TOMASZ BITNER
Stabilizacja na mocnym plusie W 2014 r. przychody działających w Polsce firm informatycznych wyniosły 57 mld zł, o 12,8% więcej niż w roku 2013. Taki obraz rynku IT rysuje się z tegorocznego raportu „Computerworld TOP200”, który właśnie trafił do sprzedaży.
C
om puterw orld TOP2DO’' to najbardziej m iarodajny raport o stanie polskiego rynku IT.
Nasza redakcja przygotow uje go co roku od 20 lat. Rok 2014 był dla branży inform atycznej bardzo dobry: w zrost przychodów o 12.8% ozna cza, że sektor rozwijał się ponad trzy razy szybciej niż cała gospodarka, bo w edług GUS PKB Polski w zrósł w ub. r. o 3,4%.
Gorszy rok telekomunikacji Słabiej radziły sobie telekomy, które w 2014 r. sprzedały usługi telekom uni kacyjne za 31,4 m ld zł, o 4,3% mniej niż rok wcześniej. Spadek jest nieco m niejszy (2,9%), jeśli wziąć pod uwugę całość ich przychodów’, które w yniosły 42 m ld zł (poza usługam i telekom unikacyjnym i na tę sum ę składają się także: płatna telewizja, sprzęt abonencki, usługi ze sprzedaży pa kietowej, np. dzięki w spółpracy z b anka mi), ale na swojej podstawowej działalno ści kolejny rok z rzędy notowały spadki. Branża inform atyczna jest w dużo lep szej sytuacji. Dawno zapom niała o spow ol nieniu z lat 2008-2009 i weszła w okres stabilnych wzrostów. W kolejnych latach po tym tąpnięciu rosła w tem pie zbliżonym do 8%, by w roku 2013 zanotować rekordo wy skok o 17%. Zwiększenie przychodów o 12,8% w roku 2013 oznacza, że sektor IT stabilizuje sw7ój wzrost, co daje nadzieję na niezłe w yniki w przyszłości. D okładniejszy obraz rynku daje prze analizow anie tabeli najw iększych firm inform atycznych, która otw iera raport „Com puterw orld TOP200”. Klasyfikujemy do niej przedsiębiorstw a, których roczne przychody z IT w ynoszą co najm niej 1 m in zł. W tabeli dochodzi do n atu ral nych fluktuacji. CzołówTka jest w m iarę stała, ale wTypadają z niej niektóre m niej sze firmy, na ich miejsce pojaw iają się nowe. D ochodzi także do fuzji. W te gorocznym rankingu m am y 322 firmy, o 20 więcej niż przed rokiem . 234 firmy pojaw7iły się i w obecnym, i w poprzed nim w ydaniu. Przychody tej niezm iennej
Nowością w tegorocznym raporcie jest zestawienie naj większych dostawców IT do korporacji i dużych przedsię biorstw. Wyniki potwierdzają, że korporacjom w arto przyglą dać się z uwagą. To sektor, 8
COMPUTERWORLD 24 czerw ca 2015
który najwięcej wydaje na informatykę.
Więcej na: www.ebook4all.pl C O M P UTER W O R LD T 0 P 2 0 0 W IA DOM O ŚCI
grupy firm w zrosły tylko o 6,8%. Wobec 12,8% dla pełnej tabeli m ożna stw ierdzić, że rozwTijaly się one prawdę dw ukrotnie wolniej niż cały rynek inform atyczny.
Najwięcej IT kupuje administracja W przekrojach branżow ych najw iększym rynkiem dla dostaw ców IT w 2013 r. była adm inistracja publiczna. Sprzedaż do tego sektora m iała w artość blisko 3,1 m ld zł. Rok do roku p ełna tabela dostawców pokazuje w zrost o 19,3%, ale w grupie referencyjnej n astąpił spadek, i to zn a czący: o 9,8%. Tylko dw óch najw iększych
I I Rok 2014 był pierwszym rokiem unijnej perspektywy finansowej 2 0 1 4 -2 0 2 0 , ale został poświęcony na przygoto wania. Na rynek IT w ciągu tego roku nie wpłynęły żadne pienią dze z nowej perspektywy. Był to rok domykania starych projek tów. Nie jest pewne, czy w roku 2015 sytuacja się zmieni. dostawców, Asseco Poland i IBM, straciło łącznie zlecenia na pon ad 200 m in zł. To może być sygnał, że sektor publiczny zm ienia swmich partnerów . MożliwTe jest też in n e w yjaśnienie. Rok 2014 byl pierw szym rokiem unijnej perspektyw y finanso wej 2014—2020, ale został pośw ięcony n a przygotow ania. Na rynek inform atyczny w ciągu tego roku nie w płynęły żadne pieniądze z nowej perspektywy. Byl to zatem rok dom ykania starych projektów'. Nie jest pew ne, czy w roku 2015 sytuacja
„Computerworld TDP200" to największy najbardziej rzetelny raport pokazujący stan polskiego rynku IT. Zawiera BO szczegóło wych tabel i zestawień prezentujących branżę informatyczną w roż nych przekrojach. Ponad 20 artykułów analit ycznych daje pogłębiony obraz najważniejszych zjawisk zacho dzących na rynku. Raport moZna zamówić na stronie w w w .c o m p u te rw o rld .p t/to p /ra p o rt
Największym rynkiem dla dostawców IT jest administra
Długi ogon informatyki
cja. Nieco mniejszym rynkiem jest sektor handlowy. Tuż za handlem plasuje się rynek telekomunikacyjny. się zm ieni. W m aju zakończono pierw szy nabór projektów, które mogłyby być sfinansow ane z Programu Operacyjnego Polska Cyfrowa (to program z najw ięk szym i środkam i na rozwój adm inistracji). Trudno przew idzieć, kiedy rozpocznie się ich realizacja. Poza tym część dostawców spodziew a się w yham ow ania hrw estycji w IT w urzędach i przedsiębiorstw ach z udziałam i skarbu państw a w roku wy borczym, który może przynieść zm ianę priorytetów' rządzących. Nieznacznie mniejszym niż adm inistra cja rynkiem dla dostawców IT jest sektor handlowy, do którego trafiły rozwiąza nia informatyczne za 2,7 mld zł (w'zrost o 24,3% i aż o 37,6 wTgrupie referencyjnej), co może być związane z ożywieniem rynku wewnętrznego. Tuż za handlem plasuje się rynek telekomunikacyjny. Na nim dostaw'cy wygenerowali przychody w wysokości 2,6 mld zl. W grupie referencyjnej wzrost jest bardzo wTyraźny (13,9%), ale w całej ta beli wynosi tylko 0,3%. To efekt wspom nia nych na początku chudych lat u operatorów. 0 ile zasiedziali dostaw'cy stale realizują kontrakty, często rozłożone na lata, o tyle słaby wTzrost w pełnej tabeli pokazuje, że nowym dostaw'c om coraz trudniej zdobyć klientów' z branży telekomunikacyjnej.
Korporacje na zakupach N ow ością w tegorocznym raporcie jest zestaw ienie najw iększych dostawców IT do korporacji i dużych przedsiębiorstw’ (z zatrudnieniem co najm niej 250 osób lub przychodam i powyżej 50 m in euro). Dotąd w przekrojach w ielkościow ych badaliśm y tylko sprzedaż do m ałych 1 średnich przedsiębiorstw . Zebrane w yniki potw ierdzają, że korporacjom w arto przyglądać się z uwagą. Okazało się bowiem, że jest to sektor, który w ydaje na inform atykę zdecydow anie najwięcej - w ’ 2014 roku 5,7 m ld zl. M ałe i średnie przedsiębiorstw a prze znaczyły w tym czasie na IT 3,6 mld. W porów naniu z rokiem 2013 to wzrost o 51,2%, ale to efekt pojaw ienia się w ta beli dostawców' do MSP w ielu now ych przedsiębiorstw'. Biorąc pod uwTagę jedy nie stalą grupę firm (grupa referencyjna), których dane możem y porów nyw ać rok do roku. w zrost sprzedaży do MSP w yniósł 14,9%, i to raczej ten wynik należy przy jąć jako lepiej oddający realia rynkowe. I
W głów nej tabeli raportu „C om puterw orld TOP 2 0 0 " prezentujem y w yn iki najw iększych firm inform atycznych działających na polskim rynku. To zestaw ienie obejm uje w yłą cznie firmy, które w ciągu roku osiągają co naj m niej 1 min zl przychodu z IT. W tym roku zgrom adziliśm y inform acje o 3 2 0 firm ach spełniających ten w arunek. Inaczej jest w kolejnych tabelach, np. tych pokazujących najw iększych dostaw ców technologii inform atycznych do w ybranych sektorów gospodarki. W nich próg odcięcia określiliśm y na poziom ie 100 tys. zł przychodów z danej branży. To spraw ia, że w naszym raporcie uw zględ niam y w yłączn ie p rzedsiębiorstw a o u stabili zowanej sytuacji. Pom ijam y firm y utrzym ujące się z drobnych zleceń lub jednego klienta, którego utrata jest rów noznaczna z zam knię ciem interesu. W tej grupie najw ięcej je st firm trudniących się w y łą czn ie usługam i na m ałą skalę, najczęściej serw isow ym i, utrzym aniow ymi i integratorskim i. P otw ierdzenie tej tezy można znaleźć w da nych G łów nego Urzędu Statystycznego. 9 0 % branży ICT sta n o w ią firm y usługow e. W edfug GUS w roku 2013 w catym sektorze ICT d ziałały w Polsce 1764 firm y zatrudniające co najm niej 10 osób. W artość ich przychodów ze sprze daży osią g n ę ła 125 mld zł. Tym czasem suma przychodów operatorów telekom unikacyjnych (42 mld zł) i przedsiębiorstw z branży IT (praw ie 5 4 mld zł) z raportu „C om puterw orld T O P 200" zam yka się kw o tą 96 mld zł. To znaczy, że trz y sta kilkadziesiąt firm generuje 8 0 % przychodów rejestrow anych przez GUS w całym polskim ICT. W naszym raporcie brakuje zatem grubo ponad 1000 firm inform atycznych. Ich istnienie o dgryw a ogrom ną rolę społeczną - dają za trud nienie tysiącom ludzi. Jednak ich znaczenie dla całego sektora ICT je st niew ielkie, a m arginalne, je śli patrzeć przez m ożliw ość ich innow acyjnego o ddziaływ ania na całą gospodarkę. I odw rotnie - obecność firm y w „C om puterw orld TOP2GO" to potw ierdzenie jej istotnej roli w polskim ICT i ogrom nych m ożliw ości rozw ojow ych.
COMPUTERWORLD 24 czerw ca 2015
9
Więcej na: www.ebook4all.pl
MAREK KRYGIER... ... regionalny menedżer w firmie Harmag/Becker Automotive Systems, odpowiedzialny za markę Becker w Europie Wschodniej i Centralnej O WYMAGANIACH KLIENTA Obserwuje rynek urządzeń i oprogramowania do nawigacji od 12 lat i widzę, jak zmieniają się oczekiwania polskich kon sumentów wobec produktów. Jeszcze kilka lat temu wielu funkcji, które w Europie Zachodniej byty standardem, u nas nie traktowano jako zbyt użyteczne. Na przykład na Zachodzie nie ma nawigacji bez kanału wiadomości o ruchu drogowym, czyli korkach. W Polsce zainteresowanie tą funkcjąpojawiło sie dopiero pięć lat temu. Innym przykładem jest zasięg map. Kiedyś były popularne nawigacje regionalne z mapą Polski albo Europy Wschodniej. Terazwiekszość zawiera piany całego Starego Kontynentu, bo Polacy chcą podróżować po Niemczech, Włoszech, Francji czy Hiszpanii.
O MODELU BIZNESOWYM Kiedyś mapa byławartościąsamąw sobie i model biznesowy często opierano na jej sprzedawaniu. Teraz mapysą na tyle powszechne, że zarabiać można jedynie na usługach, do których sie je wykorzystuje. Mogąto być reklamy-również z lokalizacją-albo funkcje dodatkcwe, np. ostrzeganie przed zdarzeniami na drodze czy poJicją.Żródłem dochodu nie jest już aktualizacja map, bo producenci urządzeń i coraz częściej samochodów oferują ją już za darmo.
O TECHNOLOGIACH POMAGAJĄCYCH CZYTAĆ MAPY Grafika3D powoduje, żewizualizacja map zbliża się do rzeczywistości. Dzięki temu, że budynki są trójwymiarowe, a niektóre obiekty zostały wyrenderowane do nawigacji jako zdjęcia, nawigacja nie mówi już kierowcy: „za300 metrówskręćwlewo", ale: „za Pałacem Kultury skręć w lewo”. Oczywiście, nie można przesadzić, bo jeśli przeniesiemy do nawigacji wszystkie budynki w 3D. to przestaniemy widzieć drogę. Kolejnym krokiem jest prezentowanie wskazań nawigacyjnych za po mocą wyświetlaczy HUD, które znajdująsię na szybie samochodu lub przezroczystym ekraniku umieszczonym powyżej zegarów. Dziesięć lat temu to rozwiązanie się nie przyjęło. Teraz kolejni producenci proponują, żeby kierunki nawigacyjne wyświetlały się na szybie, ale na razie rozwiązanie nie zdobyło wielkiej popularności. W Audi dzięki temu, że mapy nawigacyjne sąwokół zegarów na desce rozdzielczej, kie rowca nie musi zerkać w bok Najwięksi producenci ścigająsię, kto pierwszy wyprodukuje okulary z funkcjąwyświetlania mapy, prowadzenia do celu, komunikacji itp. Na razie dane z telefonu pobierają one przez Bluetooth, a docelcwo mogą być wyposażone w kartę SIM. Jednak na razie tę nowinkę uznano za zbyt niebezpieczną i np. w Niemczech zabronione jest prcwadzeniew google glass.
O GRANICACH AUTONOMII SAMOCHODU Samoparkujący samochód przyjął sie juz i w taki system sąwyposażane auta kompaktowe, innym popularnym rozwiąza niem są aktywne tempomaty wykrywające przeszkody. Natomiast pójście krok dalej, czyli autonomiczny samochód, który sam jedzie, nie jest już takie proste. Ryzyko wypadku z przyczyn technicznych jest jeszcze zbyt duże. Nie mówiąc o tym, że wielu kierowców po prostu lubi prowadzić i nie oczekuje, że autonomiczny samochód ich wyręczy.
O BŁĘDNYM KOLE POJAZDÓW ELEKTRYCZNYCH To nie spisek producentów ropy, tylko ograniczenia technologiczne powodują, że rynek samochodów na prąd rozwija się wolno. W Skandynawii, gdzie baterię można doładować na każdej stacji, w restauracji, hotelu czy kawiarni, pojazdów elektrycznych jest znacznie więcej. Również dzięki temu, że ich właściciele mają szanse na dotacje i tańsze ubezpieczenia. W pozostałej części Europy, w tym w Polsce, infrastruktura nie powstanie, jeśli nie będzie aut, a samochody się nie sprzeda ją, bo nie ma infrastruktury. Przy czym popyt naauta jest niewielki, bo kosztują zbyt dużo.
O INTELIGENTNEJ DRODZE W MIEŚCIE Kierunkiem rozwoju jest wykorzystywanie społeczności internetowych i parametrów ruchu pojazdów. Na przykład kierowcy mogą się ostrzegać przed niebezpieczeństwem na dradze. Idźmy o krok dalej. Dzisiaj wWarszawie zielona fala ustawiona jest na stałe pod pewne założenia. A gdyby informacja, jaksię „załapać na zieloną falę", była dostępna dla każdego kierowcy online? Kilka kilometrów od świateł dostaję informację, z jaką prędkością powinienem jechać, żeby przejechać nazielonym. Taka funkcja mogłaby trafić np. do nawigacji. Urządzenia nadawcze już są, trzeba je zaprogramować i wysłanie danych nie będzie problemem. Kłopot stanowi odbie ranie informacji i ich synchronizowanie. Najnowsze modele nawigacji Becker posiadają moduł Wi-Fi, dzięki temu już teraz są przygotowane do otrzymywania informacji w czasie rzeczywistym. Kolejne zastosowanie to informowanie kierowcy o do zwolonej prędkości nadanym odcinku drogi. To wymaga modułu, który powoduje, że samochód wykrywa znak drogowy i go zapamiętuje. Jeżeli znaksię zmienia i wprowadzało do systemu. Może to zrobić również sam kierowca, kiedy zauważy, że danewsystemieniezgadzająsięztym.cowidzinadrodze. Rozmawiała Dorota Bogucka
OFFLINE
Więcej na: www.ebook4all.pl
PIOTR KOWALSKI
M IC H A Ł B O N A R O W S K I
LOKALNY INFORMATYK 2.0
SZEROKO ZMRUŻONYM OKIEM
Książę z bańki
Rysował R. Mirowski
o napisania tego tekstu zainspiro każdy może znaleźć coś dla siebie. Problem wał mnie Edwin Bendyk, znawca pojawia się wtedy, gdy nie potrafimy określić, co to jest to „coś dla siebie”. Dlaczego? Dlatego procesów' społecznych powiązanych że bczba bodźców, wzorców7i reklam jest dla z rozwojem technologii. W wywiadzie radio nas za duża. wym analizow7ał wyniki wyborów' prezydenc kich: wygrał kandydat, którego zwolennicy Paradoks wyboru jest znany od wielu lat, byli w stanie zaangażować innych użytkow choć jego mechanizmy w7ciąż odkrywamy. ników' internetu i stworzyć oddolny ruch. Barry Schwartz napisał w 2004 r. książkę Komunikacja odbywała się oczywiście poza „Paradox of Choice” i od tego czasu możemy starymi mediami, bo przecież przekonać się, że jest gorzej. jak rozmawiać przez telewizor, Mamy więcej jedzenia do wybo ru, więcej multimediów7- filmów, skoro to on tylko mówi do nas? gier - więcej możliwości pracy, Edwin Bendyk przypomniał więcej partnerów,.. o zjawisku, które czasem spędza sen z oczu zarówno wulczących I to nie czyni nas szczęśli o budżety marketingowTców, wymi jak i walczących o prywatność Schwartz mówi, że zamiast wołnościowców: usługi takie jak gonić za najlepszą ofertą, lepiej wyszukiwarki tworzą wTokół nas jest wybrać wystarczająco dobrą. banki informacyjne. Pokazują Nie chodzi o pierwszą lepszą nam treści, które najprawdopo - tu mamy trudność z przetłu dobniej polubimy, bo podobne maczeniem angielskiego zwrotu już polubiliśmy Czyli dusimy ,,good enough”, które nie oznacza się wTsosie wiasnych przyzwy bylejakości, ale jakość wystarcza czajeń i polubień, zamiast wychylić nos poza jącą. Jak to zrobić? Nie ma idealnego rozwią bezpieczną strefę przyzwyczajeń i stereotypów7. zania i jednakowej recepty dla wszystkich i trzeba wypracować własną metodę odpusz Czy to żle? czania gonitwy za doskonałością. Niemal w tym samym czasie przeczytałem wywiad Agnieszki JucewTicz z prof. Barrym Paradoksalnie, bańka, którą tworzy wokół Scbwartzem pod błyskotliwym tytułem nas wyszukiwarka czy sieć spolecznościowa, „Książę z bajki cię wykończy”. Niezmiernie może okazać się remedium na bezsensowną inspirując}' i ciekawy. Chodzi wTnim o to, że pogoń za doskonałym wyborem. Bo jeśli automat podsuwa nam wybór między tym, co im więcej mamy opcji do wyboru, tym gorzej się czujemy i podejmujemy gorsze decyzje. znamy, i tym, co znamy i lubimy, to decy7zja może zająć mniej czasu i nieść mniej stresu. Cywilizacja zachodnia szykuje więc sama Zamiast szukać w swych życiowych wybo na siebie bat: od tego bogactwa możliwTości rach księcia z bajki, może lepiej skupić się nie tylko dostajemy depresji, ale i głupiejemy. na przyjemnościach, kontaktach z rodziną Profesor SchwTartz podkreśla, że kiedyś uznai przyjaciółmi? Nawet jeśli ktoś wmawia nam, wTaIiśmy duży wybór za przejaw7wolności, że bańka informacyjna jest zla, I autonomii i samostanowienia i że dzięki temu
Ofiary amy takie czasy, że niemal zachłystujemy się możliwościami technologii cyfrow7ej. liczba funkcji w urządzeniach jest tak duża, że użytkownik naw7et nie wie, czym dysponuje. A cierpliwości do spraw7dzenia i pogłębienia tematu starcza mało komu. Namnożyło się urządzeń codziennego w zasadzie użytku z obrazkowymi (obecnie raczej już z kafelkowy mi) interfejsami. Mam na myśli smartfony, tablety, no tebooki zaladowune po sam szczyt oprogramowaniem mającym bawić, służyć i udogadniać. A większość i tak wyknrzystywTana jest do robienia i przeglądania zdjęć, filmów, dyskusji na portalach społecznościowych czy bezpośredniego kontaktu głosowego. I tyle. Mało kto korzysta z funkcji bardziej zaawransowTanych. Ale powiedzmy sobie, kto zaw7odow7o nie musi, to przecież nie będzie tego robił. W amatorskim wymiarze też nie jestróżowTo. Istnieje całe mnóstwo technicznych ignorantów, którzy chcieliby7mieć gadżety, ale żeby były one proste w użytkow7aniu. Więc pawiem tak: one są proste, to znaczy relatywnie proste w7stosunku do liczby funkcji, jakie oferują Przecież aby się nimi posługiwać, nie trzeba znać żackrych wzorów, wyko nywać obliczeń, pisać karkołomnych poleceń, myśleć abstrakcyjnie, robić trudnych figur gimnastycznych ani przepływać rzeki wpław7. Wystarczy umieć jako tako czytać, chociaż jeśli i z tym są problemy7, to przecież obrazki ooś tam mówią. Nie wiem, z czym może być problem, chyba tylko z tym, że nie wiadomo, gdzie ukrywa się dana funkcja. Ale z tym mamy wszyscy czasami kłopoty, zwłaszcza przy7zmianie modelu. Zdaje mi się, że rozumiem, w7czym rzecz. W lenistwie. Wiadomo, że aby7pozyskać jakąkolwiek wiedzę, wyma gany jest pewien wysiłek umysłowy, ewentualnie wy konanie prób i poszukiwań czy przestudiowanie opisu. Ale tu trzeba chcieć poświęcić swTój czas i uw7agę. Aby7 prow7adzić samochód, należy się tego nauczyć i nikt nie dyskutuje, ale złożone urządzenia cyfrowe każdy chciałby7opanow7ać w7lot. Nie wiem, jaki jest odsetek takich opornych użytkowników7, ale sądzę, że spory, zwłaszcza tych już dojrzałych, ho młodzież jakoś drogą wzajemnej eduka cji się w7spiera. Dla nich jest to bardziej naturalne śro dowisko niż dla nieco starszego pokolenia, z którym ja mam z kolei do czynienia. Stąd ciągle trafiają do mnie prośby o przelanie zrobionych komórką zdjęć na kom puter czy inną komórkę, bo przecież przesłanie przy użyciu komunikacji Bluetooth, to zadanie dla pewnej grupy ludzi nieomal nie do ogarnięcia. Ale tak to jest. Sam musiałem kiedyś się tego nauczyć, bo takie mam zasady, aby7nie chodzić po prośbie. Dzięki temu, że trafiają do mnie znajomi z różnymi sprawami, poznaję nowe technologie bez wydawania na nie grosza, a przy okazji uczę się rozwiązywać pro blemy w7nieznanym mi środowisku. Plusem jest to, że obecnie urządzenia są przenośne. Dawniej musiałem jeszcze na swTój koszt dojechać, teraz mi je przywożą. I
M
e-fnail:
[email protected]
COMPUTERWORLD 24 czerw ca 2015
11
Więcej na: www.ebook4all.pl Z A R Z Ą D Z A N IE P R Z EM Y S Ł 4.0
Przemysłowe zastosowania elektroniki noszonej Systemy cyberfizyczne tworzące nową generację wytwórczości w raz z technolo giami noszonej elektroniki zm ienią obraz przedsiębiorstw w najbliższych latach.
in terp reto w an a w łaśnie jako z astęp o w anie m aterii inform acją. W św iecie w ytw órczym m ów i się o now ej gene racji przem y słu - 4.0. O piera się ona na dw óch filarach technologicznych: system ach cyberfizycznych CPS (Cyber-Physical System ) oraz in tern ecie p rz e d m iotów IoT (In tern et of T hings). Przy kłady aplikacji CPS pokazano w tabeli. F unkcjonow anie in te rn e tu p rzedm iotów
I I W systemach wytwórczych nowego typu, zwanych też inteligentnymi sm art factor ), mamy do czynienia z dążeniem do cyfrowego przetwarzania materii. Mówiąc skrótowo: dobra materialne, podlegając dygitalizacji, stają się w coraz większym stopniu dobrami informacyjnymi. m ożliw e jest dzięki znakow aniu obiek tów m aterialn y ch , które tw orzą sieci i mogą kom unikow ać się ze sobą. Pełnię m ożliw ości rozw ażanych aplikacji u zy skam y w tedy, gdy dostrzeżem y, że takim sieciow ym obiektem jest także człow iek - stąd w ysyp różn o ro d n y ch u rząd zeń z kręgu w earables, czyli tzw. noszonej elektroniki.
Misja możliwa - papugi i pająki
JAROSŁAW BADUREK
becnie m ożna zaobserw ow ać stopniow e zm iany w sferze aplikacji przem ysłow ych: od klasycznej in d u strializacji o charakterze elektryczno-elektroniczno-inform atycznym do system ów w ytw órczych nowego typu NGMS (Next G eneration M anufacturing System ), zw anych też inteligentnym i [smart fa cto ry). W ostatn im przypadku
12
COMPUTERWORLD 24 czerwca 2015
m am y do czynienia z dążeniem do cy frowego przetw arzania m aterii. M ówiąc skrótowo: dobra m aterialne, podlegając dygitalizacji, stają się w coraz w iększym sto p n iu dobram i inform acyjnym i.
Systemy cyberfizyczne i internet rzeczy O bserw ujem y tu cyw ilizacyjny megatren d , od stro n y inform atyki postrzegany w p o staci w irtu alizacji, która m oże być
U rządzenia elektroniczne podlegają podczas swojego rozw oju ciągłej m in iatu ryzacji. Dziś niem al każdy z nas, nosząc sm artfon w kieszeni, ma do dyspozycji kom puter, także z funkcją internetow ego term inala. Na rękach coraz większej licz by osób pojaw iają się elektroniczne b ra n soletki (trackery) służące do optym aliza cji aktyw ności człow ieka. Elektroniczne chipy (RFID) „zaszyte" (em bedded) w tow arach u sp raw niają logistykę. Na rynku dostępne są zegarki [smartwatch] z funkcjonalnością porów nyw alną z za aw ansow anym telefonem komórkowym. Znajdujem y się też w przed ed n iu in te n sywnego w ykorzystyw ania „inteligent nych okularów ” [smart glasses).
Więcej na: www.ebook4all.pl P R Z E M Y S Ł 4.0 Z A R Z Ą D Z A N IE
U W świecie wytwórczym mówi się o nowej generacji przemysłu - 4 .0 . Opiera się ona na dwóch filarach technolo
Główne składniki systemów cyberfizycznych 1
Elem ent CPS
C h arakterystyka
P rzykład y aplikacyjne
s p e c ja liz o w a n e k o m p u te ry z in te g ro w a n e S y s te m y w b u d o w a n e
s te ro w a n ie p ro c e s a m i i m a s z y n a m i
w w y t w ó r c z y m k o n te k ś c ie u rz ą d ze n ia
p ro d u k c y jn y m i, s te ro w n ik i ro b o tó w ,
p rz e m y s ło w e g o
a u to n o m ic z n e u rz ą d z e n ia lo g is ty c z n e
(e m b e d d e c f)
gicznych: systemach cyberfi zycznych CPS (Cyber-Physical System) oraz internecie przed
m o n ito ro w a n ie s ta n u u rz ą d z e ń c z y n ie w ie lk ie c zu jn ik i k o m u n ik u ją c e s ię ze S ie c i s e n s o ro w e
p rz e s trz e n i m a g a z y n o w e j, p o m ia ry so b ą d la re a liz a c ji w s p ó ln e g o z a d a n ia te m p e ra tu ry i w ilg o tn o ś c i
miotów loT (Internet of Things). Powoli dociera do nas świadom ość, że spełniają się prognozy przew idujące cyw i lizacyjną infrastrukturę, w której —p la stycznie rzecz ujm ując - m ikroprocesory znajdą się w każdej cegle i każdym guziku od koszuli. Tym zm ianom towarzyszy uzasadniona dyskusja dotycząca regulacji praw nych gw arantujących każdem u ochro nę jego sfery pryw atnej. Rzeczywistość przegania filmowe wizje kreślone bez m ała 20 lat tem u w obrazie „M ission Impossible", w którym superagenci filmują i nagry wają każdego, kto znajdzie się w zasięgu szpiegowskich gadżetów7 um ieszczonych wi' zegarkach czy okularach. Dziś takie cacka są w zasięgu, i to za coraz m niejsze p ien iąd ze, każdego człow ieka. Co więcej, każdy chętny m oże zaopatrzyć się n aw et we w łasny m inidron w yposażony wTkam ery i m ikrofon. Przykładem takiego rozw iązania jest „pająk“ firm y „papuga" (Rolling Spider, Parrot C orporation, h ttp ://te c h c ru n c h . com/2 014/06/1 l/p arro ts-ju m p in g -su m o and-ro llin g -sp id er-m in id ro n es-h it-u s-retail-in-august/). Zabaw ka o w adze zaledw ie 55 gram ów i w cenie 100—200 euro m oże latać, toczyć się i skakać. Bardziej zaaw ansow ane rozw iązania od lat prototypow ane są przez kom pleksy badaw czo-w ojskow e (np. DARPA, Defense A dvanced R esearch Projects Agency, USA), a ich celem są m inidrony wTp o staci sztucznych insektów , które zdalnie sterow ane m ogą niep o strzeżen ie w iecieć do w ybranego pom ieszczenia.
Praca bezręczna Nie po raz p ierw szy w h isto rii m iliardy inw esto w an e w rozwój technologii m ili tarn y ch czy słu żb specjalnych prow adzą także do rozw iązań o zastosow aniach cy w ilnych. Z aaw ansow ane autom aty m ogą być stosowTaue do pielęgnacji in frastru k tu ry przem ysłow ej (np. kanalizacja) czy inspekcji tru d n o dostępnych in stalacji (np. górnictw o, rafinerie). R ów nież coraz p o p ularn iejsze „w erabelsy" (w eareabies), czyli n oszona elektronika, to nie tylko rozryw kow e gadżety, ale także zastosow a nia gospodarcze. K om órkow y s m a rtw a tc h w y p o sażo n y w p rz y sp ie sz e n io m ie rz (akcelerom etr,
u s łu g i in te rn e to w e : s t r o n y W W W , k o m u In fra s tr u k tu ra
s ie c i te le in fo rm a ty c z n e , s ie ć s ie c i
in te rn e to w a
(e w e rn e f)
n ik a c ja s p o łe c z n o ś c io w a , m u ltim e d ia ln y h ip e rte k s t, s z tu c z n a in te lig e n c ja
T r y b re a l-tim e
s y s te m y c z a s u rz e c z y w is te g o
e la s ty c z n a i s z y b k o z m ie n n a p ro d u k c ja
d zia ta ja c e n a b ie żą c o w o d n ie s ie n iu
na c z a s ( J u s l in T im e ). G P S w lo g is ty c e ,
do zm ia n w o b s łu g iw a n y m ś ro d o w is k u
k la sa M E S (M a n u fa c tu rin g E x e c u tio n
p rz e m y s ło w y m
S y s te m ) sa m o o p ty m a liza c ja (S e lf-o p tim iz e )
P rz e tw a rz a n ie A C
s a m o z a rz ą d z a ja c e s ię s y s te m y k o m p u te
s a m o k o n fig u ra c ja (S e lf -c o n f ig u r e )
(A u to n o m ie C o m p u lin g )
ro w e 4 S
s a m o o c h ro n a ( S e lf -p r o t e c l) s a m o n a p ra w a (S e lf -h e a l)
Technologie noszonej elektroniki * Sm art w atch - zegarki z furkcjonaJnościąsmartphonów - pozwalają na pracę bezręczną(ńands-freą), obecnie popularne w sferze zdrowotno-wy poczyń kowej (HFT-Health and FitnessTracking). * S m art cfoth {e-eloth, l-w e a r)- ubrania z wbudowaną elektroniką (czujniki, RFID) - zastosowania w sferze monitoringu osób i otoczenia, np. praca w środowiskach niebezpiecznych dla zdrowia. * S m art glasses {cyberokulary} i ekrany nagłow ne HMD (Head-M ounted Di splays) - wyświetlacze
przejrzyste (przezierne) w połączeń iu ze sterowaniem głosem igestem (myszki 3D) to najbardziej obiecująca techno logia mobilnej informatyki. • 3 D Motion Tracker (czujniki ruchu 3 D )- urządzenia digitalizujące ruchy całego ciała- pozwalają na interakcję z systemami informatycznymi, np. możliwości zastosowa nia systemów klasy MSKinect w mobilnej robotyce. * S m art mouse (3D )-m yszdodialoguw trzech wymiarach, zwana także nietoperzem (i?a(), np. w postaci pierścieni z pozycjonerami na palcach.
Prognozy rozwojowe • przewidywana wielkość rynku noszonej elektroniki do końca 2014 r.: 4 młd euro (wg Deloitte); • dziesięciokrotny wzrost sprzedaży towarów wearables w latach 2015-2018, z ok. 5 0 min obecnie do ok. 6 0 0 min rocznie (wg A BI Research); • powszechne zastosowania noszonej elektroniki w przed siębiorstwach - lata 2020-2025 (wg Forrester Research);
zw any także G -sensorem ) um ożliw 7ia tzw\ p racę z wTolnym i ręk am i HFR [hands-free technolog}?). M o nterzy in s ta lacji p rzem y sło w y ch mogą w te n sposób u ży w ać ruchów 7 ręk i do w y d aw an ia p o le c e ń u rząd zen io m k o m p uterow ym - czu jn ik u m ieszczo n y w zegarku in te r p re tu je o k reślo n e gesty jako ko m en d y w d ialo g u z człow iekiem . U zyskujem y p e łn ię m ożliwTości, sto su jąc dodatkow o in te lig e n tn e o k u lary (sm orf glasses). P rzy k ładem jest k o m isjonow anie to w a rów7 p ro p o n o w an e p rzez o p ro g ram o w an ie SAP (h ttp ://w w w .y o u tn b e.co m / w a tc h ?v = 9W v9k_ssLcI). M ów im y tu 0 ro z w ią z a n iac h łączący ch zalety HFR 1 AR (A ugm ented R eaiity).
•dominacja inteligentnych zegarków (smartwatch) na rynku noszonej elektroniki w ciągu 3-4 lat, 150 min sztuk rocznie (wg Gartner Group); • ok. 10% przedsiębiorstw będzie stosować technologie rozszerzonej rzeczywistości AR (Augmented Reaiity) w obszarze serwisowym w latach 2017-2019 (np. motory zacja: GM, Mercedes, Toyota).
Ten ostatni przypadek dotyczy rzeczy w istości rozszerzonej. W odróżnieniu od w irtualnej polega ona n a kom binow aniu inform acji generow anych kom putero wo z w rażeniam i „z realu ”. Istotną rolę w AR odgrywają w yśw ietlacze przejrzyste (frcinsporent display), tzn. takie, przez które m ożna także ohserwTowTać otoczenie. W powyższym przykładzie z gospodarki magazynowej pracow7nik otrzym uje infor macje sterujące „na okular”, potw ierdzając ich w ykonanie głosem czy gestem (możli we także ekrany dotykow7e). U m ieszczenie skanera kodów7 kreskowych w okularach uwTalnia ręce od jego obsługi - zam iast strzelać skaner ow-yni pistoletem w7 towTary, pracow nik skanuje je „wzrokiem". ►
COMPUTERWORLD 24 czerw ca 2015
13
Więcej na: www.ebook4all.pl w c e n tru m
Włamanie do systemu transakcyjnego Plus Banku sprawiło, że problem obrony aplikacji webowych przed atakiem wrócił ze zdwojoną siłą. Większości zdarzeń można zapobiec, a samą organizacje przygotować na podobne incydenty.
Więcej na: www.ebook4all.pl
MARCIN MARCINIAK
przypadku instytucji finanso wych jednym z ważniejszych punktów jest sam oobsłu gowy system dostępu do usług przez internet. Jest to przeważnie aplikacja webowa przeznaczona do realizacji transakcji finan sowych, dlatego charakteryzuje się wysokim poziomem ryzyka i wymaga szczególnej ochrony. Przejęcie kontroli nad taką aplika cją przez włamywacza skutkuje dotkliwymi stratam i okradzionej firmy - o takim zdarze niu pisaliśm y wTartykule „Poważne w łam a nie do systemu transakcyjnego polskiego banku” (Computerworld.pl, 9 czerwca 2015 r.). Zdarzeniom tym można zapobiec.
Zablokować niepożądane zapytania Aplikacja webowa jest stosunków7o łatwym celem, co znajduje swToje odzwierciedle nie wTliczbie rejestrowanych podatności i incydentów. Za większość udanych ataków odpowiadają dwie kategorie luk: w strzyk nięcie kodu (pierwsze miejsce listy OWASP) oraz błędy w wykorzystywaniu skryptów (Cross-Site Scripting, miejsce trzecie na liście OWASP). Kolejne podatności polegają na wykorzystaniu błędów7w7uwierzytel nieniu oraz niebezpiecznym w7ywolaniu obiektów. Obrona przed najgodniejszymi atakami polega n a tym, by aplikacja nie przetw arzała wprowadzonych danych, które wykraczają poza dopuszczalne param etry (usunięcie podatności), albo n a tym, by takich danych do aplikacji nie dopuścić, blokując je na zaporze sieciowej WAF (w7eb application firew7all). Czasami pojawiają się jednak problemy wynikające ze złożoności dzisiejszego oprogramowania. Karl Triebes, CTO firmy F5, mówi: ,JJroblem polega na hm, że większość urządzeń nie odróżnia tego, co dozwolone, Q co nie w danej aplikacji webowej. Większość rozwiązań do poszukiwania atakówrwykorzystuje sy?gnatury, które dopasowuje do strumienia danych. W ten sposób można znaleźć użycie konkretnego eksploita, ale nie da się wykryć ataku takiego jak forceful browsing. Misze podejście zakłada obserwację transakcji oraz przepływu pytań i odpowiedzi do aplikacji, a następnie automa tyczne zbudowanie założeń polityki zezwalają cej na zapytania lub je blokującej. Tę politykę można dostosować i po eliminacji ewentual nych fałszywych alarmów otrzymuje się zestaw reguł, które pozw-olą na sprawne odfiltrowanie typowych ataków. To podejście będzie działać także w przypadku aplikacji w chmurze’’.
Wykryć manipulacje aplikacją Przy konstrukcji aplikacji najpoważniejsze założenie dotyczy klienta - autorzy aplika cji milcząco zakładają, że klientem będzie
przew7idyw7alna wTdziałaniu przeglądarka internetowa. Wiele ataków7wykorzystuje ten fakt i polega na modyfikacji parametrów przesyłanych z powrotem do serwera. Pod mianie mogą ulegać w7artości pól formularzy, parametry wywołań, adresy URL, a także sam kod aplikacji. Takie zmiany zazwyczaj wykonuje zlośliw7e oprogramowanie na stacji roboczej, ale może to również zrobić włamywacz lub tester podatności za pomocą specjalnie przygotowanego narzędzia, takie go jak burp lub ZAP. Modyfikacje działania aplikacji webowej można jednak wykryć. Karl Triebes wyjaśnia: „Parametry aplikacji chronim y za pom ocą specjalne go kodu JavaScript um ieszczanego przez urządzenie w strum ieniu kom unikacji oprogramow ania. Każde pole form ularza, k a żd y parametr, zawiera kryptograficzną sum ę kontrolną. Sum ę tę m ożna spraw dzić, wykrywając każdą m odyfikację wpro wadzoną p rzez w łam yw aczy lub złośliwe oprogramowanie. Kod JavaScńpt wy syta inform acje w taki sposób, że m ożna wykryć próbę m odyfikacji także po stronie klienta aplikacji webowej”.
Nadać odpowiednie uprawnienia Niezależnie od innych technik obrony przed atakami, strategia stosowunia m inimalnych przywilejów* koniecznych do wykonania da nego zadania znacząco utrudnia włamywaczowi działanie w atakowanych systemach IT. Niestety, w7praktyce zasady m inimalnych koniecznych upraw nień prawie nikt nie stosuje i jak nieoficjalnie informują inżynie rowie jednego z najważniejszych dostawców oprogramowania, aż 40% uprawnień jest zbyt wysokich w7stosunku do potrzeb. Aby rozważania miały sens, należy analizować całość systemów, w7tym uwierzytelnienie, repozytorium, aplikacje i usługi, a nie tylko wycinek, taki jak pojedyncza aplikacja wrębo wa. Zarządzanie uprawnieniami jedynie na poziomie aplikacji przy otwartym dostępie do repozytorium spraw7ia, że pozostawia się wiele furtek w7lamywaczom. Jednym z najpoważniejszych błędów jest przydzielanie aplikacji upraw nień systemo wych, na przykład takich, jak SELECT ANY TABLE Jeśli dostaw7ca aplikacji przedstawia listę upraw nień w bazie danych niezbęd nych do pracy oprogramowania i na tej liście znajdują się upraw nienia systemow?e wysokiego ryzyka (popularnie nazywane przez administratorów „* ANY *”), to klient powinien się zastanowić nad ryzykiem biznesowym związanym z daną aplikacją. Po podpisaniu umowy w7szystkie ryzyka przechodzą na klienta, mimo że to nie on te aplikacje projektował. Dodatkowo biznes nie rozumie m echanizm u upraw nień nadaw7anych przez IT, gdyż są one opisane technicznym językiem. Ten problem rów nież należy rozwiązać przed produkcyjnym wdrożeniem aplikacji.
Historia poważnego włam ania Jeden z internautów, posługujący się pseudonimem Polsilver, na największym polskojęzycznym podziem nym forum dyskusyjnym TORepublic przyznał się do ataku na serwis transakcyjny Plus Banku. Polsih/er pisze o przejęciu 15 tys. koni do których dostępne byty loginy i hasła, rozpoznaniu działania aplikacji systemu transakcyjnego i ominięciu konieczności potwierdzania przelewówza pomocą hasła SMS. Wspomina o przeję ciu danych osobowych, informacji o transakcjach z wielu rachunków (w tym prezesa Polkomtela Tobiasa Solorza) oraz kart płatniczych, a także o kradzieży znacznej kwoty pieniędzy, rzędu miliona złotych. Włamywacz zażadał od banku wypłacenia okupu, Opisywanym zdarze niom można było zapobiec za pomocą odpowiednich procedur, a także powszechnie dostępnych rozwiązań technicznych.
Obronić się przed atakiem wewnątrz SSL Jedynym sposobem zapewnienia poufności transmisji danych przez niepewme medium, jakim jest internet, jest skuteczne szyfrowa nie danych. Wewnątrz szyfrów7anego połą czenia SSL można jednak przesiać praktycz nie dow7olne porcje informacji, w7tym także pakiety zwuązane z atakami na w7ebow7e aplikacje. Aby taki atak odfiltrow7ać, należy zapew7nić widoczność informacji, która jest przesyłana n a drodze klient - serwer wewnątrz szyfrowanego połączenia. Karl Triebes wyjaśnia: „Wewnątrz połą czenia zabezpieczanego przez SSL m ożna wysiać każdy z typowych ataków- na aplika cje i dla zapór sieciowych starszej generacji taki atak będzie niewidoczny. Aby dokonać analizy, m ożna wstrzymać ruch na urzą dzeniu, a następnie deszyfrowany strumień filtrować na zaporze aplikacyjnej WJLF oraz za pomocą systemu IPS. Jeśli założenia poli tyki bezpieczeństwa wymagają szyfrowania komunikacji wewnątrz firmowego centrum danych, ruch po inspekcji m ożna z powro tem zaszyfrować na drodze od zapory do serwera. W ten sposób systemy bezpieczeń stwa mogą chronić aplikacje webowe także przed atakami realizowanymi w szyfrowa nym połączeniu SSL”. Obecnie mamy do czynienia z radykal nym w7zrostem udziału szyfrów7anych połą czeń —jeszcze kilka lat tem u rzadkością byl udział na pozionńe wyższym niż 40% ogółu ruchu z data center. Obecnie w7niektórych instytucjach obserwuje się odsetek ruchu SSL na poziomie 80%, a serw isy takie jak Facebook lub usługi Google’a, domyślnie szyfrują wszystkie połączenia. Następnym krokiem będzie zatem wzrost liczby i rangi incydentów7zwuązanych z ruchem SSL. W badaniu ruchu sieciowego przepro wadzonym przez EDG Po land aż 17,9% zgłoszeń rejestrowanych przez system ohejm owal o ruch HTTPS na domyślnym porcie
COMPUTERWORLD 24 czerw ca 2015
15
Więcej na: www.ebook4all.pl
443. Oznacza to, że inspekcja i ochrona przed zagrożeniami prze chodź ącymi wewnątrz szyfrowanych połączeń będą istotne w praktyce działań mających na celu utrzym anie bezpieczeństw a systemów IT w kolejnych latach.
Obrona przed takim atakiem polega na odrzucaniu tych nadzwyczaj powolnych p o łączeń na zaporze sieciowej, przy czym sesja m oże być maskowana, by do serwera w ogóle nie docierała'.
Odeprzeć atak odmowy obsługi
Zapewnić powtarzalność cyklu bezpieczeństwa
Jednym z coraz częściej spotykanych ataków7jest zablokowanie pracy aplikacji za pomocą różnych żądań - atak odmowy obsługi. Najczęściej spotykanym atakiem jest DDoS wolumetryczny, w którym serw7ery atakowTanej organizacji są bombardowane żądaniam i pobierania obiektów lub po pro stu pakietami TCP i UDP (takimi jak n ad zwyczaj popularny atak TCP SYN flood]. Drugim pod względem popularności rodza jem ataku jest wypełnianie zasobów serw7era przez bardzo wTolne połączenia. Niezależnie od stosowTanej techniki ataku jego skutkiem jest niedostępność danej usługi, strony lub aplikacji i spowTodow7ane tym straty. Karl Triebes mówi: „Wolumetryczny atak DDoS m oże przyjąć tak dużą skalę, że będzie wymagać filtrowania w centrum danych, które znajduje się możliwie blisko punktu styku m iędzy operatorami. Atak polegający n a ciągłym pobieraniu dużych obiektów m ożna zablokować, wprowadzając obowiązek zalogowania łub przepisania obrazków CAPTCHA. Coraz częściej m a m y jednak do czynienia z atakami powolnymi, w których klient pobiera dane z nadzwyczaj m ałą prędkością, wolniej n iż naw et najwol niejsze z łączy mobilnych, wypełniając przy tym wszystkie dostępne połączenia serwera.
Specjaliści podkreślają, że bezpieczeństw a nie jest stanem w danej chw ili, to proces, który wymaga ciągłych działań. W om a w ianym przypadku obrony aplikacji w e bowej niezbędne będzie zatem przyjęcie założenia, że każda wersja aplikacji naj praw dopodobniej zaw iera podatności, dla których m uszą być wTprow adzone odpo w iednie działania zaradcze. Cykl rozw oju aplikacji obejmowTałby zatem testów7anie podatności przed w ydaniem każdej wersji, testy penetracyjne w środow isku testo wym oraz produkcyjnym . Należy p rzy tym pam iętać, że testy penetracyjne m uszą obejmow7ać całość platformy, wdącznie z serw eram i, w arstw ą middlewmre oraz bazam i danych. W ten sposób m ożna b ę dzie w ychw ycić przew ażającą większość typow ych podatności w ynikających z n ie dopatrzenia programistów7 (błędy takie jak SQL Injection), braku w7prow adzenia aktu alizacji oprogram ow ania lub jego niew ła ściwej konfiguracji oraz źle nadaw anych upraw nień. Wynik audytu bezpieczeństwa a zaw ierający konkretny spis podatności m usi urucham iać procedurę niezw łoczne go usuwTania tych luk. Skuteczność p ro cedury należy spraw dzać. Jest to m ożliw e także w7 przypadku projektów rozw ijanych
Typ ruchu i odsetek rejestrowanych zdarzeń
40
—
44,5%
27,6% 2D
17,9% 10
0 HTTP (ataki na apLikacje webowej ] SMTP fw większości spam)
O
HTTPS (ataki wewnątrz szyfrowanego połączenia]
] pozostałe porty i kategorie ruchu [w tym CHARGEN, DNS. robaki sieciowe] Źródło:Badaniertichusieciowego2014/205, MaranMarciniak DGfbtand. W#fbrtm Begiecasiistwa iAutyu ITSEMAFOR205. Badanieprzeprowadzonola pomocą IPSklasyhighEnterpriseprzedprodukcyjnym serwsemwebowym DGRoland.
16
obejmować całość platformy, w łącznie z serweram i, w a r stw ą middleware oraz bazami danych i uwierzytelnieniem. W ten sposób będźie można w ychw ycić przeważającą większość typowych podatno ści w samej aplikacji oraz luki w ynikające z braku aktualiza cji oprogramowania lub jego niewłaściwej konfiguracji i źle nadawanych uprawnień. w7 m odelu Agile —przykładem jest opis budow y i w drożenia aplikacji Ewerest w7PZU SA (Com puterw orld 22/2014]. Za gadnienia zw iązane z integracją badania podatności aplikacji z cyklem jej rozw oju opisyw aliśm y rów nież w artykule „Jak zabezpieczyć aplikację w ebow ą” (Compu terw orld 8—9/2015).
Skorzystać z ubezpieczenia Na dojrzałych rynkach ubezpieczeniowych (w tym amerykańskim, australijskim i nowo zelandzkim) firmy mogą skorzystać s ubez pieczenia od strat spowodowanych atakiem cybernetycznym. Aby skorzystać z tego ubez pieczenia, organizacja musi spełnić pewme w'arunki, m.in. mieć odpowiednie procedury zarządzania ryzykiem, testy aplikacji oraz wymagane wyposażenie do obrony przed atakami. Obecnie oferta ubezpieczeniowa tego rodzaju w naszym kraju jest niemal nie znana, a same firmy nie wydają się przygoto wane, by z niej korzystać.
Wykryć złośliwe oprogramowanie
30
■
11 Testy penetracyjne muszą
COMPUTERWORLD 24 czerw ca 2015
Jednym z powszechnych problemów, z któ rym i musi się zmierzyć firma świadcząca usługi za pomocą aplikacji webowych, jest obecność złośliwego oprogramowania, zarówmo na stacji roboczej, jak i na urządze niach mobilnych. Bartosz Chmielewski, inżynier w7firmie Intel Security, mówi: „Problem nie jest nowy —ze złośliwym oprogramowaniem m am y do czynienia od dawna, ale ostatnimi czasy znacząco się nasilił. Chodzi fu o poziom skomplikowania kodu złośliwego i zaawan sowanych technik zmierzających do utrud nienia wykrywania takiego kodu. Systemy sygnaturowe działają niezawodnie, ale tylko w sytuacji, gdy kod jest znany producentowi rozwiązania bezpieczeństwa, które wydaje również sygnatury?. Dziś kod złośliwy? często
Więcej na: www.ebook4all.pl
tworzony jest na potrzeby jednego ataku lub szeregu jednoczesnych ataków i okres jego eksploatacji jest krótki, a zatem definicja w systemach sygnaturowych czy reputacyjnych pojawia się zbyt późno. Aby podnieść swoją skuteczność w walce ze złośliwym oprogramowaniem, niezbędne stają się rozwiązania klasy sandbox, które wykrywa ją podejrzaną aktywność oprogramowania automatycznie uruchamianego w testowym środowisku. Nietypowe zachowania mogą być wykryde zarówno przez system y klasy SIEM, jak i specjalne kom ponenty syste m ów IPS i dzięki temu mogą nam wskazać komputery, które ju ż zostały zainfekowane, lub naw et procesy, jakie za tę infekcję są odpowiedzialne”.
Brak odpowiedzi to najgorsza odpowiedź Eksperci do spraw bezpieczeństw a p o d kreślają, że w h isto rii w ielu organizacji zdarzają się pow ażne incydenty, które przeradzają się w sytuacje kryzysowe. W takim przypadku kluczem do m inim a lizacji skutków7 zdarzenia będzie szybkie przygotow anie i wTdrożenie odpow iedzi na zagrożenie. O dpow iedź powunna zaw ierać także czytelny kom unikat zwuązany z sa m ym incydentem . W artykule „Podnieść firmę z kolan" (Com puterw orld 1-2/2015) omaw iane były zdarzenia, w tym kom u nikaty, które należy podjąć po zaistnieniu sytuacji kryzysowej zw iązanej z zagro żeniem cybernetycznym . W przypadku ataku hakerskiego przeciw7 system ow i transakcyjnem u banku takiej kom unika cji ze strony zarządu zabrakło. A utorzy portalu Zaufana Trzecia Strona inform u ją, że otrzym ali oficjalne w ezw anie od radcy prawmego reprezentującego bank wzywające do zaniechania publikacji, które m iały naruszać dobra banku, a nieco później także anonim ow ą groźbę w7ypełniającą znam iona przestępstw a ściganego n a mocy art. 190 par. 1 KK. Tomasz Chlebowski, prezes zarządu ComCERT, komentuje: „Bank nie był dosta tecznie zabezpieczony, nie posiadał wdro żonych odpowiednich procedur. Przewleka nie kom unikacji i dużo prawnych ostrzeżeń to brak profesjonalizmu. Zam iast z ohvartq przyłbicą podjąć tem at (zdarzenia i odpo wiedzi na problem - przyp. red.), postępuje zgodnie z najgorszymi wzorcami Z tą opinią zgadza się także Bartosz Leoszew'ski, prezes firmy FancyFon SA, i mówi: „zgadzam się z zarzutam i o niepro fesjonalnym zachowaniu. Moim zdaniem zawiniło nieprzygotowanie i niewdrożenie w życie procedur. Nie wiemy, czy zabrakło rozwiązań technicznych, ale w iem y na pew no, że właściwe procedury nie zadziałały?” (wypowiedź podczas panelu dyskusyjnego na konferencji Samsung Business Summit, 09 czerwca 2015 r.). I
OKIEM ARCHITEKTA
iatach 70. zbudowali śmy w Polsce najwyż szą wtedy konstrukcję inżynierską na świecie - radiowy maszt nadawczy w7Gąbinie kolo Płocka. Całość została zaprojektowTana i zbudowana wTPolsce, zagraniczne były tylko izolatory, na BOGDAN których maszt stał, i same nadajniki PILAWSKI (też wówczas największe na świecie). Wysokość masztu była bliska połowie długości liadawranej fali, co dawTało wyjątkowy zasięg sygnału. Pokrywa! on całą Europę oraz spory kawałek Afryki i Bliskiego Wschodu, gdzie na kontraktach pracownio wielu naszych obywateli. Docierał też daleko na Wschód, nawet do Kazachstanu, gdzie żyli liczni nasi rodacy, rzuceni tam przez wejenne najczęściej losy. Potem, już w latach 90., podczas niefrasobliwie prowadzonej konser wacji maszt nam się zawalił i nigdy też nie został odbudow7any. Powie działby ktoś, że z dzisiejszego punktu widzenia ma to już małe znaczenie, bo przecież istnieje przekaz satelitar ny programów radiowych, które - do datkowo - są jeszcze dostępne przez internet. Sam korzystam z obn tych technik i zadziwia mnie jedno: pośród blisko 700 programów radiowych do stępnych z najpopularniejszych u nas satelitów i - podobno - ponad 10 tys. nadawanych przez sieć nie ma chyba ani jednego, który byłby kodowany, czyli wymagał do odbioru specjal nych, zazwyczaj płatnych, urządzeń. Tak jakby radio było czymś gorszym od telewizji, gdzie koduje się na potęgę. Satelita i sieć to jednak nie to samo co zwykły odbiornik, któremu do odbioru wystarczy drut za antenę i źródło prądu, chociażby baterie. Techniki satelitarne w celu dotarcia Wiele zrobiliśmy7 do rozrzuconych po świecie rodaków7 i robimy w Polsce, (i czynienia - przy okazji - własnej by teponad 2 min propagandy), i to bez żadnego kodo młodych w więk wania, stosuje wiele państw. Z najpo szości ludzi, które pularniejszych satelitów' można u nas wyjechały z kraju, odbierać tą drogą liczne programy liigdy do niego wszystkich chyba państw europej nie wróciły?. Teraz skich (samych niemieckich - ze 150), telewizjapublicz a także krajów' arabskich, Chin, Korei na, realizując sivq Południowej i Japonii. szczytną misję, Jest 30 grudnia 2014 r. Od dłuż odcina ich również szego czasu tkwię na balkonie domu od naszejkultury? i historii, leżącego w małej, nadmorskiej miejscowości w Toskanii i usiłuję tam zainstalować paraboliczny
W
kawałek blachy, czyli antenę sateli tarną. O tym, że będą komplikacje, wiedziałem już wcześniej, wTkraju, kiedy to w' ramach przygotowań sko rzystałem z internetowych progra mów7pozwalających dość dokładnie zbadać miejsce instalacji. Między innymi pod wTzględem ewentual nych przeszkód na drodze, słabiut kiego przecież, sygnału (w7pewnym uproszczeniu —ok. 100 W), biegną cego od oddalonego o prawie 40 tys. km od Ziemi satelity. Źródłem wcze śniejszych obaw7i - jak się okazało - problemu, była stojąca w sąsied nim ogródku sosna, sięgająca niemal 20 metrów7wysokości. Takich drzew7, z których bywa, że spadają potężne, mogące zrobić sporą nawet krzyw dę, szyszki, tam pełno, bo domy stoją w terenie, który kiedyś był nadmorskim lasem. Sosna owa, już na miejscu, zmu siła mnie do dokładnych pomiarów i obliczeń trygonometrycznych (po tylu latach to dla człowieka prawdę wyższa matematyka!), które - mimo wszystko w7przybliżeniu - wrskazały stosownie do instalacji miejsce na ba lustradzie balkonu. Po kilku próbach udało się i na ekranie pojawiło się m in. kilka programów7Telewrizji Pol skiej, oo było jednym z wrażniejszych celów7moich działań. Dwa dni później, w7dzień Nowego Roku, nagle programów tych nie ma. Sprawdzam instalację: nic się nie poluzow'ało, przestawiło czy odłączy ło. Okazało się, że nasza chw aląca się znaczącym wzrostem przychodów7 z abonamentu telewizja postanowiła zaoszczędzić i wyłączyła niekodowuny dostęp do swych kanałów7Kidtura i Historia. Od lat tkwię amatorsko w tej tech nice i pamiętam wiele przypadków7 przenoszenia stacji na inne nadajniki i satelity. Zawsze poprzedza! to pasek z informacją biegnący w dole ekranu, a nawet - jak to właśnie w tej chwili robi CNN International - na „starej” częstotliwcści przez kilka tygodni jest pokazywana sama tylko plansza z parametrami nowej. Wiele zrobiliśmy i robimy w7Pol sce, by te ponad 2 min młodych w większości ludzi, które wyjechały z kraju, nigdy do niego nie wróciły. Teraz telewizja publiczna, realizując swą szczytną misję, odcina ich rów nież od naszej kulttuy i historii. I
COMPUTERWORLD 24 czerw ca 2015
17
Więcej na: www.ebook4all.pl
ZARZĄDZANIE PROJEKTY I WDROŻENIA
ARCHIWIZACJA
Qumak digitalizuje archiwa
Qumak SA dostarcza Naukowej i Akademickiej Sieci Komputerowej sprzęt i oprogramowanie do budowy systemu do digitalizacji, bezpiecz nego przechowywania i zapewnienia dostępu do treści cyfrowych dokumentów. Realizowany przez NASK projekt,,Opraco wanie systemu informatycznego umozliwdającego digitalizację, wieczystą archiwizację, zarządzanie i bezpieczne udostępnianie w’ for mie elektronicznej dokumentów" i materiałów archiwalnych” (SUMA) jest finansowany ze środków" Narodowego Centrum Badań i R ozwto jn (NCBiR). Na infrastrukturę dostarczaną przez Qumaka składają się m.in.: macierze, serwery, stacje robocze, sieć SAN, urządzenia ochronne typu firewrall, środowisko wirtualne, bibliote ka taśmowa czy system zarządzania danymi (obejmujący tworzenie kopii i archiwizację danych).R USŁUGI
Microsoft pomaga zarządzać infrastrukturą
Polski oddział Grupy Mota-Engil skorzysta! z rozwiązania Sales Producthity, które łączy w sobie aplikację biznesowTą Microsoft Dyna mics CRM Online, pakiet aplikacji biurowych Office 365 i narzędzie analityczne PowTer BI. Celem implementacji jest zwiększenie pro duktywności sprzedaży, płatności, marketingu, obsługi klienta, a także w'sparcia posprzedażowego. Wprowadzono funkcjonalności Microsoft Dynamics CRM Online wTobszarze rejestracji nowej inwestycji, zarządzania prospektem informacyjnym, obsługi zgłoszeń serwisowych, zarządzania kampaniami marketingowymi, realizacji umowy i obsługi posprzedażowej. Ponadto Dynamics CRM Online umożliwił twTorzenie nowego produktu, definiowanie jego ceny w różnych wariantach, obsługę procesu sprzedaży i umów7oraz efektywne zarządzanie portfolio klientów". Wdrożenie od maja realizuje firma XPLUS, zajmująca się implementacją sys temów’ IT i doradztwem biznesowTym. Zakoń czenie projektu jest planowane na WTzesień br. R
18
COMPUTERWORLD 24 czerw ca 2015
SZKOLNICTWO WYŻSZE
I I
Nowe wyposażenie kampusu WAT Atende dostarczy Wojskowej Akademii Tech nicznej Centrum Przetwmzania Danych i nowo czesną sieć kampusowy. W sumie oba projekty7kosztują 8,6 min zl. Kompleksowe kontenerowe Centrum Przetwa rzania Danych (CPD) jest wyposażone m.in. w7systemy zasilania gwarantowanego, systemy klimatyzacji, systemy przeciwpożarowe i alar mowe, a także systemy wczesnego ostrzegania. Zostanie uruchomiony system zarządzania całą infrastrukturą CPD oraz będą dostarczone i zainstalow'ane szafy7teleinformatyczne, a także sprzęt niezbędny do stworzenia infrastruktury piywTatnej chmury7obliczeniowej. Glówmym dostaweą technologii jest firma Emerson Network Power. Infrastruktura chmury7obliczeniowej zostanie wykonana na bazie rozwiązań produ-
centów Cisco oraz EMC. To pierwsza tego typu instalacja w kraju. Warstwę szkieletowa sieci LAN będzie się składać z siedmiu węzłów i dwóch punktów zarządzania. Inżynierowie Atende zainstalują wTramach projektu po raz pierwszy wTEuropie Wschodniej rozwiązanie Cisco ACI (Application Centric Infrastructure). R
PRZEMYSŁ
SAP w cukrze Firma GAVDI Pblska w'drożyła system SAP do zarządzania HR w spółce Siidzucker Polska SA. Spółka jest częścią koncernu, największego producenta cukru w Europie. Dzięki nowemu rozwiązaniu umożliwiającemu administrację kadrami oraz planowTanie i ocenę czasu pracy menedżerowie mogą efektywniej zarządzać pracownikami zatrudnionymi w spółce. Konsultanci firmy GAVDI wdrożyli moduły zarządzania strukturą organizacyjną, admi nistracji kadrami, zarządzania czasem pracy z jego pełną oceną oraz rozliczania listy7plac. Rozwiązanie wykorzystuje prekonfigurowTane, autorskie pakiety GAVDI - HR Box i TM Box - które pozwoliły przyspieszyć proces realizacji projektu. Po wdrożeniu kierownicy i mistrzo wie w Sudzucker Polska mogą korzystać także FINANSE
Płatności Visa przez Android Google podjęło współ
pracę z Visa Europę i udostępnia nowTą platformę Android Pay instytucjom finanso wym i detalistom ko rzystającym z systemu Android. Bezpieczne interfejsy API platformy Android Pay będą korzystać z istniejącej funkcjonalności HCE (Host Gard Emulation) i pozwolą stworzyć wiele nowych rozwiązań mobiliych płatno ści zbliżeniowych oraz płatności wewnątrz aplikacji. Dzięki temu użytkownicy kart Visa będą mogli bezpiecznie robić zakupy za pomocą urządzeń z systemem Android. Zdaniem [eremy1'ego Nicholdsa, dyrektora zarządzającego ds. rozwiązań mobilnych w Visa Europę, rok 2015 przyniesie powszechne udo stępnienie płatności mobilnych konsumentom. R
z samoobsługowego narzędzia do komplekso wego zarządzania czasem pracy podległych impracowTników - GAVDI Time Managera Desktop, dostępnego z poziomu przeglądarki internetowej. Wdrożono również autorskie rozwiązanie eDeklaracje i oprogramowmue Easy Reporter firmy SpinifexIT. R OCHRONA ZDROWIA
Dokumentac a medyczna na Dolnym Śląsku Asseco wyposaży dziewięć dolnośląskich pla cówek opieki zdrow"otnej w nową infrastrukturę informatyczną, sprzęt komputerowy i oprogramow’anie, które umożliwi sprawny przepływ informacji pomiędzy nimi. Umowa podpisana w" ramach projektu e-Zdrowie, którego celem jest wprowadzenie elektronicznej dokumentacji medycznej wTregionie, warta jest 8,9 mlii zł netto. Asseco zintegruje systemy wykorzystywane przez partnerów przedsięwzięcia, co znacznie poprawd poziom obsługi i skuteczność leczenia pacjentów7. Informacje będą bezpieczniejsze, a działalność ochrony zdrowia tańsza. W trzech jednostkach Asseco rozbuduje obecnie wykorzystywane systemy do nowej wersji AMMS, a w pozostałych nowy system będzie wTspółpracowTal z oprogramowraniem innych producentów". R
Więcej na: www.ebook4all.pl
WDROŻENIA ZARZĄDZANIE
Technologia u wielkiego restauratora Skala b izn esu i tem po pracy w ym uszają m odernizację a rc h ite k tu ry IT, żeby u m o żliw iała lepszą kom unikację i zdalne w ykonyw anie obow iązków .
DOROTA BOGUCKA
zytelnikowi spoza branży gastro nomicznej nazwa hm iy Amltest mówi niewiele. Ale jeśli ■wymie nim y marki, którym i firma za rządza, takie jak KFC, Pizza Hut czy Starbucks, wszystko staje się jasne. W sumie spółka ma wTzarządzie 803 restauracje siedm iu marek i operuje w 12 krajach Europy, Azji i Stanach Zjednoczo nych. Od 2005 r. jest notownna na GPW.
Dążenie do interakcji Jeśli dodamy jeszcze, że AmRest Holding SE zatrudnia ok. 20 tys. pracowników" i jest naj większą niezależną firmą prowTadzącą sieci restauracji w Europie Środkowo-Wschodniej, to nikt już chyba nie ma wTątpliwTości, że tak złożona organizacja wymaga rozwiniętej architektury IT, Jak się okazało, wykorzystywana do tej poiy infrastruktura stacjonarna nie wystarczała, żeby zarówno pracownicy biur, jak i restauracji działali sprawnie i efek tywnie. Żeby pracownik uzyskał bezpieczne połączenie, m usiał wykonać wiele praco chłonnych czynności, i to tylko wtedy, gdy był w placówTce fimiowTej. Ograniczone były też możliwości generowania raportów" w' po pularnych formatach takich jak .pdf. „Szukaliśmy rozwiązania, które całościo wo obejmie kwestie operacyjne, architektury IT i jednocześnie pozwoli obniżyć koszty. Dodatkowo zależało nam, żeby wybrana technologia wspierała zaangażowanie
pracowników i ułatwiała sprawną interakcję m iędzy nimi. Office 365 wypadł w testach najlepiej, oferował też najlepszą integrację z rozwiązaniami od innych dostawców” - mówi Piotr Orłowski, CIO AmRest. Pod wTzględem operacyjnym nowe rozwiązalne ma poprawić efektywność pra cowników, którzy korzystają z przyjaznego, znanego interfejsu. Dzięki temu, że usługa jest w chmurze, pracownicy mogą mieć dostęp do firmowych zasobów' i plików." z wielu urządzeń, również mobilnych. To oznacza możliwość pracy praktycznie z każ dego miejsca, o dowTolnej porze i pozwala elastycznie zarządzać czasem. Funkcjo nalnie Office 365 zastąpi dotychczasowe rozwiązalna on-premise w restauracjach i łączność przez VPN, pozwalając w bez pieczny sposób na bieżąco przesyłać dane i raporty wTdogodnych formatach. „Po przeanalizowaniu dostępnych roz wiązań Office 365 okazał się najbardziej przyjazny dla personelu restauracji. Pozwala też łatwiej zarządzać danym i w całej firmie, co pozytywnie wpłynie na szybkość i trafność podejmowanych decyzji biznesowy?ch ” - mówi Mikołaj Grencel, szef Działu Infra struktury IT wTAmRest. Office 365 pomoże poprawić współpracę w’ zespołach, dzięki możliwości pracy wielu osób nad jednym dokumentem wTczasie rzeczywistym. Ma również pomóc w uspraw nieniu komunikacji pomiędzy pracownikami a zespołami, co ułatwiają usługi takie jak Yammer czy Sharepoint, które pozwalają stworzyć firmową platformę spolecznościową.
Korzyści z wdrożenia •obniżenie kosztów, * uproszczenie architektury IT, * bezpieczna wymiana danych, • możliwość jednoczesnej pracy nad dokumentem, • dostęp do zasobów firmowych, •m ożliwość pracy zdalnej.
Celem firmy jest wspieranie kultury dzielenia się wiedzą i dokumentami w całej organizacji. „Jesteśmy ogromną firm ą o dużym rozproszeniu, co niesie ze sobą wyzwania w warstwie komunikacji m iędzy pracownika m i oraz ich zaangażowania w sprawy firmy. Dzięki płatformie korzystającej z m echani zm ów społecznościowych każdy pracownik będzie m iał dostęp do wiedzy? i wsparcia od kolegów z całej firm y w przystępnej formie. To, że nowa platforma jest zintegrowana z narzędziam i Office 365, m a szansę spra wić, że pracownicy szybko się do niej prze konają i zaczną korzystać z niej w naturalny? sposób każdego dnia”—stwierdza PawTeł Szczepaniak, m enedżer projektu Office365 w' IT AmRest.
IT wspiera i zarządza Wielu korzyści z Office 365 oczekuje dział IT. NowTe rozwiązanie pozwoli uprościć archi tekturę IT i skonsolidować istniejące zasoby. Kompleksow'ość usługi oraz model chmu rowy ułatwią zapewnienie bezpieczeństwa połączeń i wrażliwych danych, co oznacza możliwość rezygnacji z dotychczasowych roz wiązań typu VPN czy antywirusy i antyspam. Jest też łatwo skalowalne i oferuje integrację zarówno z technologiami Microsoftu, jak i in nych dostawców. Te możliwości spowodują większą sprawność i oszczędności. „Microsoft przykłada ogromną wagę do zgodności swoich usług chmurowych z prze pisam i Unii Europejskiej i nie tylko, co daje nam pewność, że stosowane rozwiązanie jest możlhvie bezpieczne i zgodne z naszym otoczeniem legislacyjnym” - dodaje Piotr Or lo w ts k i , który uważa, że przejście na model usługow'y Office 365 i jego szerokie m oż liwości stają się motorem zmian w dziale. „JT staje się naturalnym elementem codzien nego funkcjonowanie każdego pracownika w?firmie, tak samo jak prąd czy woda. Dla naszego zespołu oznacza to, że przestajemy być jedynie centrum wsparcia, a stajemy się inicjatorami i zarządcam i kluczowego bizne sowa obszaru działania ogromnego przedsiębiorstiva " - precyzuje dyrektor OrłowTski. Wdrożenie Office 365 w." AmRest zostało przeprowadzone przez konsultantów" Micro soft S enices. I
COMPUTERWORLD 24 czerw ca 2015
19
Więcej na: www.ebook4all.pl
ZARZĄDZANIE KADRY
Pracownicy: trudny czynnik polityki bezpieczeństwa Zdarza się, że pracownicy nie przestrzegają reguł bezpieczeństwa lub łamią je świadomie, sami wymierzają sprawiedliwość za pominięcie przy awansie lub zwolnienie. Są największą wartością organizacji i najsłabszym ogniwem w łańcuchu ochrony firmowych sieci.
Groźna beztroska N iepow ażne trak to w an ie o b o w iązu ją cych zasad często jest w firm ach sp o ty kane. W edług b a d an ia Cisco z 2014 r. chociaż 93% p racow ników korzysta z firm ow ego in te rn e tu w celach p ry w a t nych, tylko 26% b a d an y ch zna i p rz e strzega p o lity k i b ezp ieczeń stw a swojej organizacji, 38% w ie o jej istn ie n iu , ale nigdy się z n ią nie zapoznało, a 32% uw aża, że polityka b ezp ieczeń stw a ogranicza ich w w yk o n y w an iu c o d z ie n n ych obow iązków i om ija obow iązujące zasady. Taka b eztro sk a to otw ieran ie d rzw i atakującym . O tym , że z a tru d n ie n i w o rg an iza cjach są słab y m ogniw em w ła ń c u c h u b e z p ieczeń stw a, dosk o n ale w ied zą cyberp rzestęp cy , i to w y korzystują, co w idać po sk ali ataków w y k o n y w an y ch za pom o cą ró żn y ch so cjo tech n ik . Jak p okazuje o p u b lik o w an y w k w ietn iu 2015 r. ra p o rt RSA i ISACA „State of C y b e rse c u rity ” w sk ali globalnej najczęściej sp o ty k an y m atak iem na p rz e d się b io rstw a jest atak zw iązan y ze z m a n ip u lo w a n ie m p racow ników , czyli p h ish in g (w tym SMS p h ish in g ), k tó re go do św iad czy ło p o n ad 68% z b ad an y ch p rzed sięb io rstw . P ow odem takiej c z ę sto tliw o ści ataków p h ish in g o w y c h m oże być w dużej m ierze n iew ied za, gdyż jak w ynika z innego b ad an ia, p rz e p ro w adzonego w m aju 2015 r. przez In tel S ecurity, tylko 3% praco w n ik ó w p o tra fiło b e z b łę d n ie zid en ty fik o w ać fałszyw y e-m ail o zn aczający atak p h ishingow y.
I I Organizacje muszą urucho mić rozwiązania technologicz ne i wypracować procesy, BARBARA MEJSSNER
to w m om encie, gdy atakujący znajdzie w ew nątrz organizacji choć jedną osobę p o d atną na sugestie i osoba ta pozw oli ak zgodnie przyznają firm y zajm u sobą m anipulow ać, pieniądze w ydane na jące się bezpieczeństw em inform a ochronę będą zm arnow aną inwestycją. tycznym , pracow nik jest najm niej pew nym ogniw em w całym łań cu P racow nik najczęściej łam ie zasady w w y niku niew iedzy, w yjątkow ej b e z chu ochrony sieci w p rzedsiębior stw ach. Jeden z najbardziej zn a tro sk i lub b łęd u , zd arzają się jed n ak też nych hakerów, Kevin M itnick pow iedział, celow e działan ia, np. osób sfru stro w a że naw et jeśli firm a w yda setki tysięcy n y ch po zw o ln ien iu z pracy lub p rz e k u p io n y ch przez konkurencję. dolarów na technologie bezpieczeństw a,
J 20
COMPUTERWORLD 24 czerwca 2015
które zahamują atak, zanim dotrze on do użytkownika. Służą do tego nie tylko narzę dzia filtrowania poczty i inter netu, lecz także profesjonalne rozwiązania, które przeanalizu ją wszystkie źródła i odsuną zagrożenia.
Więcej na: www.ebook4all.pl
KADRY ZARZĄDZANIE
Czynnik ludzki prowadzący do incydentów to nie tylko pracownicy, ale też insiderzy. Szkody wyrządzane przez insiderów można podzielić na trzy podstawowe kategorie: oszustwo, kradzież własności intelektualnej, sabotaż infra struktury IT. N ieb ezp ieczn e dla p rz e d się b io rstw jest to, że czy n n ik lu d z k i je st p rz y czy n ą in cy d e n tó w w n ajb ard ziej n e w ra lg ic z n y c h p u n k ta c h . „Badanie p o d a tn o ści n a a ta k i p h ish in g o w e, które Intel S e c u rity p rze p ro w a d ził w d u ży c h firm a ch , p okaza ło , ż e n a jsła b sze w id e n ty fik o w aniu tego typu za grożeń są d z ia ły HR i fin a n so w e, a za te m piony, które m ają do czyn ie n ia z w ra żliw ym i dan ym i. R óżnica w p o ró w n a niu z in n y m i kom ór k a m i w p rzedsięb io rstw a ch w ynosiła od 4% do 9%. Po raz k o le jn y w idzim y, ja k w a żn e je s t p rzy b liża n ie tej p ro b lem a tyki w szystkim p ra co w n iko m fir m y ” —m ów i A rk ad iu sz K raw czyk, C o u n try M anager w M cA fee, p a rt of In te l Security. KSA, firm a zajm u jąca się b e z p ie c z e ń stw em (będąca o b ecn ie czę śc ią EMC), po d k reśla, że czy n n ik lu d z k i p ro w a d z ą cy do in c y d e n tó w to n ie tylko p ra c o w nicy, ale w szy scy o k reślen i m ia n e m insiderów . Kim są in sid e rz y ? To lu d zie, k tórzy m ają m o żliw o ść k o rzy stan ia, n a w et o k azjo n aln ie, z w ew n ę trz n e j sieci w danej o rg an izacji, czyli tak że z a tru d n ie n i czasow o, p a rtn e rz y b izn eso w i, a n iera z i k lie n c i. Szkody w y rząd zan e p rzez in sid e ró w m o żn a p o d z ie lić na
Największe wyzwania bezpieczeństwa IT w 2015 r. • wykrywanie lub śledzenie podejrzanego zachowania użytkowników oraz zapobieganie incydentom-6 0 % ■ kontrola działalności administratorów systemu i superużytkowników-57 % • kontrola aktywności strony trzeciej, zewnętrznych partnerów usług IT - 4 2 % • wsparcie wewnętrznych procesów biznesowych organizacji (np. raportowania) - 3 8 % • przyspieszenie audytów IT i całego procesu dochodzę nia śledczego-2 7 % • zmniejszenie kosztów zapewnienia zgodności organi zacji z przepisami, regulacjami itp. -1 9 % Źródło: BalaBit IT Security, ankieta przeprowadzona podczas warszawskiego VIII Forum Bezpieczeństwa i Audytu IT - SEMAFOR 2015 wśród praktykówbezpieczeństwa IT
trz y p o d staw o w e kategorie: o szustw o, k rad zież w łasn o ści in te le k tu a ln e j, sab o taż in fra stru k tu ry IT.
Które z następujących typów ataków wystąpiły w twoim
FBI rusza na pomoc Jak ro zp o zn ać n ieb ezp ieczn e zach o w a n ia pracow ników ’ m ogące p ro w ad zić do ataku na firm ow e zasoby? FBI (Federal B u reau of In vestigation) sp o rząd ziła sp is n a jczęstszy ch m otyw acji, okolicz n o ści i zachow ań, które m ogą p rzy czy n ić się do kradzieży, n a ru sz e ń i sa b o ta żu. S łuży on nie tylko do id en ty fik acji g ro źn y ch zachow ań, ale także do z a p o b ieg an ia atakom , za n im n astąp ią, p o m a ga tak że określić i zbu d o w ać strateg ię o c h ro n y firm y. D erek B rink p rzy tacza w b lo g s.rsa.co m tę o p raco w an ą przez FBI listę z ach o w ań pracow ników , które p o te n cjaln ie p ro w a d z ą do in c y d en tó w n a ru sz e n ia b ezp ieczeń stw a. N ależy zw rócić b a c z n ą uw agę n a pracow m ika, k tó ry w y konuje pon iższe d ziałania: * W yszukuje inform acje lub tem aty n iezw iązan e z obow iązkam i zaw o dow ym i. * N iepotrzebnie kopiuje informacje, zwdaszcza jeśli są one zakwalifikowa n e jako zastrzeżone (uwaga: prawne 60% pracowników’ bez w iedzy sw oich przełożonych w yprow adza n a ze w nątrz dane należące do firmy - n a grywając je na płyty, pen d riv e’y bądź w ysyłając pocztą elektroniczną). * P rzekazuje inform acje w p o sta c i fizy czn y ch dokum entów , załą c z ników’ e-m aili. cyfrow ych m ediów’, aplikacji etc; * Ignoruje politykę firm y i sam ow ol n e in sta lu je sp rz ę t lub o p ro g ram o w anie, od w ied za zab ro n io n e strony, p ro w ad zi n ieau to ry zo w an e w y sz u k iw anie i p o b ie ra n ie inform acji. * U zyskuje d o stęp do in fra stru k tu ry IT w organizacji zd aln ie i w d z iw n y ch g odzinach, n aw et w ów czas, gdy jest ch o ry lu b p o d czas w akacji. * W ykazuje z a u w ażaln y e n tu zjazm dla p racy w n ad g o d zin ach , w w eek en d y lu b w n iety p o w y m czasie, kiedy m o żn a łatw iej pro w ad zić n iek o n tro lo w an ą d ziałalność. * W ykazuje niezw y k łe zain te re so w a nie sp raw am i p o zostającym i poza jego obow iązkam i służbow ym i, zwdaszcza tym i, które są in te re su ją ce dla konkurentów ’ lub po d m io tó w zagranic zn y c h . * P rzejaw ia duże z a in tereso w an ie ży ciem o so b isty m w spółpracow ników , zadając p y tan ia dotyczące finansów ’ czy zw iązków . * Często ro b i sobie k ró tk ie w y cieczki z n ie wyj a śn io n y ch lub d ziw n y ch pow odów .
przedsiębiorstwie w 2014 r.? •p h is h in g -6 8 ,3 2 % * złośliwe oprogramowanie -6 6 ,4 8 % * próby włamania do siec i - 5 0 ,1 4 % * ataki socjotechniczne-4 6 ,4 5 % * zgubienie urządzeń mobilnych - 4 3 ,8 9 % * kradzieże poufnych danych - 2 5 ,2 8 * 5QL injection - luki w zabezpieczeniach aplikacji internetowych - 2 1 ,8 8 % * ataki man-in-the m iddle-11,08% * ataki watering hole - 7 ,5 3 % Źródło: State of Cybersecurity Implications for2015AnlSACAand RSA Conference
Motywacje do ataków * korzyści finansowe - 3 2 ,7 9 % * przerwanie usług - 2 4 ,4 5 % * kradzież własności intelektualnej - 1 9 ,4 5 % * kradzież informacji identyfikacyjnych ( P il) -11,74% * kradzież danych niejawnych - 11,61% Źródło: State ofC ybersecurity. Implications for 2 0 15An ISACAandRSA Conference
* N aw iązuje p o d ejrzan e k o n tak ty oso b iste z k o n k u ren tam i, p a rtn e ra m i b izn eso w y m i i cudzo ziem cam i. * W ygląda n a p rzy tło czo n eg o kryzy sem życiowTym lu b ro zczaro w an eg o karierą. * M a n ie w y ja śn io n e dochody; k u puje rzeczy, n a k tóre n ie m ógłby sobie pozwTolić z n o rm a ln y c h w pływ ów . * W ykazuje niepokój, kied y jest k o n tro low any.
Edukacja i m onitoring W ażną lin ią ob ro n y p rzez n a ru sz e n ia m i b ez p ie c ze ń stw a jest szkolenie p raco w ników’ i w iele organizacji skupia się glówmie n a ed u k acji, której celem jest u m iejętn o ść ro z p o z n a n ia oraz u n i k an ia ataków so c jo tech n iczn y ch , ale to n ie w y starcza. O rganizacje m u szą u ru c h o m ić ro zw iązan ia tech n o lo g iczn e i w y p raco w ać procesy, które z ah am u ją atak, zan im do trze on do użytkow nika. Takie n a rz ę d z ia to nie tylko n arzęd zia filtro w a n ia p o czty i in te rn e tu , lecz także p ro fesjo n aln e ro zw iązan ia, które p rz e a n a liz u ją w szy stk ie ź ró d ła i o d su n ą zagrożenia. N ow e m ożliw o ści w zak re sie m on ito ro w an ia, detekcji i szybkiego reag o w an ia n a in c y d e n ty zw iązan e z u ży ciem Big D ata i a n ality k i dają tu b ard zo dobre efekty. »
COMPUTERWORLD 24 czerw ca 2015
21
Więcej na: www.ebook4all.pl
ZARZĄDZANIE SOFTWARE ASSET MANAGEMENT
Dobre praktyki w zarządzaniu oprogramowaniem Optymalizacja wykorzystania licencji i opracowanie strategii zakupu oprogramo wania w dużej firmie pozwalają zaoszczę dzić nawet kilka milionów złotych.
BARBARA MEJSSNER
oftware Asset Management (SAM) to zestaw standardowych praktyk i procesów biznesowych opartych na międzynarodowych standardach (m.in. normie ISO/1EC 19770), które pozwalają na efektywne zarządzanie oprogramowaniem w organiza cji i ochronę tych zasobów na wszystkich etapach cyklu ich życia. Implementacja SAM optymalizuje inwestycje w sohware i pomaga rozpoznać, czy to, co organizacja posiada, jest legalne, jest rzeczywiście po trzebne i jaka jest efektywność użytkowania istniejącego oprogramowania.
S
Co daje SAM Zarządzanie oprogramowaniem niesie ze sobą realne korzyści. Z jednej strony zapew nia zgodność z warunkami licencyjnymi, co pozwala uniknąć nieprzewidzianych kosztów? (np. kar), z drugiej strony umożliwia precy zyjne planowanie i ograniczanie zbędnych wydatków na aplikacje i wsparcie.
I I Korzyści wynikające ze świadomego zarządzania oprogramowaniem to głównie możliwość ograniczenia zbęd nych opłat z tytułu w ykorzy stania licencji lub wsparcia oprogramowania, które stano w i ok. 2 0 - 4 0 % wartości licencji i charakteryzuje się powtarzalnością. Według firmy konsultingowej Deloitte wdrożenie skutecznego programu SAM może zmniejszyć koszty oprogramowania użytkowanego w organizacji naw et o 30%. Biorąc pod uw^agę, że jak podają autorzy błoga Flexerasoftware.com, firma wydaje średnio na software od 20% do 30% całego swojego budżetu IT, oszczędności będą niebagatelne. Na polskim rynku firma Delo itte zaobserwowała przypadki, kiedy audyt licencji oprogramowania pozwolił ziden tyfikować oszczędności na poziomie kilku milionów' złotych rocznie.
22
COMPUTERWORLD 24 czerw ca 2015
Więcej na: www.ebook4all.pl
SOFTWARE ASSET MANAGEMENT ZARZĄDZANIE
i! Procedury SAM pomagają zidentyfikować posiadane zasoby, dokładnie określić, gdzie jest zainstalowane opro gramowanie, i zweryfikować, czy liczba licencji pokrywa się z liczbą kopii oprogramowania: czy licencji jest zbyt mało, czy też za dużo. Oto przykłady, jakie podaje. Ocena ryzyka związanego z istniejącymi procesami oraz przeprowadzenie przeglądu licencji oprogra mowania w rozlewni (nazwa firmy nie zosta ła ujawniona przez audytorów) i rozpoznanie luk pozw7olilo na zidentyllkowTanie potencjal nego zobowiązania finansowego wTwysokości 19,5 min zl. Z kolei w spółce z branży eduka cyjnej dzięki identyfikacji luk w aktualnych procesach SAM ujawniono istnienie poten cjalnego zobowiązania finansowego na kwotę 17,8 min zl. Ponadto okazało się, że 7 tys. aplikacji było tam zupełnie zbędnie zainsta lowanych. Aż 88% klientów audytowTanych przez Deloitte miało możliwość zmniejszenia o 20% rocznie wydatków związanych z sub skrypcjami i wsparciem IT.
Nie daj się ukarać Niestety, polskie firmy nie są liderami wdro żeń SAM. Biorąc pod uwagę wyniki badań, jasno wudać, że powinny podjąć decyzję o wTdrożeniu dobrych praktyk wTdziedzinie zarządzania licencjami, gdyż mają spore braki w tej dziedzinie. Jak wynika ze Swuatowręgo Badania Opro gramowania Komputerowego przeprowa dzanego co dwa lata przez IDC na zlecenie BSA (Business Software Alliance), w 2013 r. aż 51% oprogramowTania zainstalowanego n a kom puterach w polskich przedsiębior stwach nie miało wymaganych licencji. Wartość nielegalnego softwareJu oszacowa no na ok. 1,7 mld zl. Jest to skutkiem nie tyle świadomego piractwa, ile raczej złego zarządzania oprogramowTaniem w firmach. Ma to ma zgubne skutki, gdyż może powo dować roszczenia z tytułu naruszenia praw autorskich, a zasądzone kwoty bywają dnże. Najwyższa kara, jaką w 2013 r. zapłacił przedsiębiorca wTPolsce za korzystanie z nielegalnego oprogramowania, wynio sła 350 tys. zl. Co prawda, kary niezbyt często są narzędziem, którym posługują się producenci software 'u, ale mogą oni też w inny sposób postarać się o zwrot wartości bezprawnie użytkowanych licencji. „Zgodnie z art. 79 Ustawy o prawdę autor skim i prawach pokrewnych za naruszenie autorskich praw? majątkowych do utworu licencjodawca może żądać zapłaty stano
wiącej dwukrotność lub w przypadku winy trzykrotność waitośoi licencji. W praktyce dostawcy oprogramowania nie korzystają z tego prawda, a na zidentyfikowanych podczas audytu licencyjnego niezgodnościach lub brakach licencyjnych starają się zbudować nowy biznes. W zależności od dostawcy? w ra mach kary? za nieprzestrzeganie warunków licencyjnych zastrzegają sobie oni prawo np. do pokrycia kosztów? związanych z realizacją audytu lub koniecznością wy?kupienia dwulet niego wstecznego wsparcia" - mówi Mariusz Ustyjańczuk, lider Zespołu Software Asset Management w regionie Europy Środkowej WT Deloitte.
Firma może naruszyć warunki licencji z następujących powodów: * Nie został wdrożony żaden program zarządzania oprogramowaniem. * Pracownicy firmy mają nieograniczony dostąp do internetu i mogąściągnąć oprogramowanie nielicencjonowane. * Nie ma jasnych zasad dla pracowników zabraniających instalowania oprogramowania bez licencji i określaj cych konsekwencje naruszenia tego zakazu. * Oprogramowanie trafiło do firmy z nieautoryzowane go źródła.
Licz licencje Cykl życia oprogramowania jest złożony, dlatego zdobycie kompletnej wiedzy na temat wszystkich licencji posiadanych i wykorzystywanych wTorganizacji, a także przyszłych potrzeb licencyjnych jest trudne. Większość przedsiębiorstw poświęca za mało czasuna analizę zapisów umownych. Procedury SAM pomagają zidentyfikować posiadane zasoby, dokładnie określić, gdzie jest zainstalowane oprogramowTanie, i zwe ryfikować, czy liczba licencji pokrywka się z liczbą kopii oprogramowania: czy licencji jest zbyt mało [underlicensing] czy zbyt wiele [overIiaensing). Korzyści wTynikająee ze świadomego zarzą dzania oprogramowaniem to przede wrszystkim możliwość ograniczenia zbędnych opłat z tytułu wykorzystania licencji lub wsparcia oprogramowania, które stanowi ok. 20-40% wTartości licencji i charakteryzuje się powta rzalnością. „Większość dostaw?ców oferuje wsparcie, czyli możliwość podnoszenia wersji oprogramowania i zgłaszania problemów7 opłacane w? cyklach rocznych. Odpowiednie podejście do zarządzanie oprogramowaniem pozwala precyzyjnie zaplanow?ać potrzeby licencyjne i opracować optymalną strategię zakupową. Poukładanie i optymalizacja procesów? zarządzania oprogramowaniem nie ograniczą audytów zgodności z warunka mi licencyjnymi, któryrch liczba na polskim ry?nku stale rośnie, pozwoli natomiast uniknąć sytuacji, gdy w wyniku takiego audytu zostaną zidentyfikowane braki licencyjne mogące prowadzić do nieprzewidzianych i często znacznych wydatków”- mówi Mariusz Usty jańczuk z Deloitte.
Przeprowadź wewnętrzny audyt Istotnym elementem wTprocesie zarządzania oprogramowaniem są wTewrnętrzne audyty. W wTyniku własnego przeglądu możliwe jest uporządkowanie nadmiarowych instalacji lub popraw7a błędnej konfiguracji środowiska. Podczas audytu do staw7cy oprogramowania po zidentyfikowaniu niezgodności licencyj nych mogą generow7ać zobowiązania finanso wa wobec licencjodawcy.
•W wyniku fuzji lub przejęcia firma weszła w posiadanie majątku, który nie został poddany pełnej inwentaryzacji pozwalającej na weryfikację legalności oprogramo wania.
Źródło:BSA
Brak procedur zarzadzania oprogramowaniem powoduje, że: * średnio 2 2 % za kupi one go oprogramowania nigdy nie zostało wdrożone do użytku; * 32% firm płaci za wsparcie oprogramowania, z które go według warunków licencyjnych nie może korzystać; • 58% firm płaci za wsparcie oprogramowania, z którego nie korzysta; • 68% firm korzysta z oprogramowania powyżej ilości zakupionych licencji (braki licencyjne); * braki licencyjne identyfikowane podczas audytów sięgają nawet 200 min zł; • braki licencyjne identyfikowane podczas audytów w sektorze MŚP sięgają kwot na poziomie nawet 20 min zł.
Wdrożenie SAM to: • optymalizacja wykorzystania licenqi i opracowanie strategii zakupowej jednego dostawcy oprogramowa nia w dużym przedsiębiorstwie dają oszczędność na poziomie nawet kilku min zl w perspektywie 5 lat; * roczny koszt wsparcia licencji stanowi ok 20 -40% wartości licencji.
Źródło:Debitte
W środowiskach, gdzie dziada minimum kilkadziesiąt komputerów7, przeprowadzenie audytu jest wręcz niemożliwe bez specjali stycznych narzędzi, które pozwalają prawie automatycznie zbierać informacje o zainstalów7anym na wszystkich komputerach oprogramowaniu i przeliczać je na wymagane licencje. Dlatego też coraz więcej organizacji korzysta z usług firm trzecich, które mają wiedzę i doświadczenie w zakresie licencjo nowania oprogramowania, ale także dyspo nują narzędziami usprawmiającymi proces audytu licencyjnego. Audyt licencji oprogramow'ania można przeprowadzić dość szybko. Standardowy czas realizacji takiego projektu z udziałem doświadczonych ekspertów waha się w7prze dziale od 175 do 375 godzin. I
COMPUTERWORLD 24 czerw ca 2015
23
Więcej na: www.ebook4all.pl
TECHNOLOGIE OPROGRAMOWANIE
Programista jako tester Myślenie systemowe pozwala całościowo spojrzeć na proces wytwarzania oprogramowania. Dzięki zrozumieniu zależności pomiędzy jego częściami i określeniu wpływu zmian w jednej z nich na inne udaje się udoskonalić proces. ADAM ROMAN
zawsze jesteśmy7w stanie wykonać perfekcyjnie naszą pracę. Czasem potrzebujemy pomocy kogoś bardziej doświadczonego. ażdy proces wytwarzania oprograCo więcej, ze względu na stopień skompli mowTania cechuje występowanie określonych ról, które mogą pełnić kowania współczesnych procesów" wytwTarza nia oprogramowTania trudno dostrzec zalety7 członkowie zespołu. Rola nie jest toż współpracy. Typ myślenia potrafiący uchwycić sama ze stanowiskiem. Popularne dziś metodyki zwinne zachęcają, aby każdy widok z lotu ptaka na cały projekt Peter Senge książce „Piąta dyscyplina’' n a z w a myśle członek zespołu był multiinstnimentalistą:wT dziś niem systemowym. Dzięki myśleniu syste napisze fragment kodu, jutro będzie serum ma sterem, a pojutrze zajmie się tw orzeniem testów. mowemu możemy7zrozumieć, jak działania wTjednym obszarze projektu wTplyną na inny7 Ogromne tempo rozwoju technologii obszar lub jak przełożą się na końcową jakość wymusza na informatykach to, co CzerwTona produktu. Króla w7a powiedziała Alicji w książce „Alicja z Krainy Czarów”: „Trzeba biec tak szybko, jak Przeanalizujmy problem na przykładzie się potrafi, żeby zostać w tym samym miejscu. pracy programisty7 Wiemy, że jest granica Jeżeli chce się znaleźć w innym miejscu, trzeba pomiędzy programistą a testerem. Programiści biec co najmniej dwa razy szybciej!”. Jeśli ktoś zwykle nie wytrącają się do pracy testerów7i na chce być dobrym programistą C + +, musi wciąż odwrót. Wykorzystajmy spojrzenie systemo przyswajać now7ą wiedzę. Średnio co trzy lata we, aby przeanalizować zależności pomiędzy pojawia się nowy standard tego języka. Do dwiema rolami. Zobaczymy, że programista tego dochodzą nowe biblioteki, technologie, może wpłynąć na końcową jakość produktu, i to framewTorki... wykorzystując swój podstawowy twardy skill, czyłi umiejętność programow7ania. Specjalizacja wymusza podział ról. Zwykle w silnych zespołach każdy jego członek jest wy Gdyby zapytać programistę o zakres jego sokiej klasy specjalistą, ale w ściśle określonym obowńązków7, zapewnie opisałby7coś, co przed obszarze. Czasem każdy staje się ekspertem na s ta w i rysunek 1. Tyłko dlaczego większość zna własnym podwórku i przestaje całościowo do nych nam projektów ma problemy z jakością? strzegać proces wytwarzania oprogramowTania. Dlaczego nie potrafimy jakości ulepszyć, skoro nasz zespół składa się wyłącznie z najlepszych Problem polega na tym, że współczesny specjalistów? Właśnie dlatego, że nie potrafimy proces wytwTarzania oprogramowTania jest myśleć systemowo. Myślenie systemowe bardzo skomplikowany. Występuje w nim jest kluczem do sukcesu. Pozwala zrozumieć wiele zależności i prowadzony jest przez wielu ludzi. Aby z sukcesem zrealizować projekt, członkowie zespołu muszą się ze sobą komuni kować. Nie wystarczy skończyć projekt o czasie i w budżecie. On musi cechowTać się również FODSTM odpowiednią jakością. DLA *
K
Myślenie systemowe Tu dochodzimy7do sedna problemu: jakość jest pochodną czynności wykonywanych przez poszczególnych członków zespołu. Czasami wymaga to interdyscyplinarnej włedzy lub szczególnych umiejętności. Jeśli w świecie IT panuje wysoko rozwinięta specjalizacja, nie
24
COMPUTERWORLD 24 czerw ca 2015
TWORZY
Rysunek 1. Proces tworzenia oprogramowania z punktu widzenia dewelopera
kluczową zasadę metodyki TQM, którą tak trudno zwykle wcielić w życie: wTspólną odpowiedzialność za jakość. Ważne, aby każdy członek zespołu zrozumiał, że jest odpowie dzialny za końcową jakość produktu, tak samo jak pozostali uczestnicy projektu. Analiza oparta na spojrzeniu systemowym pozwala rów7nie ż w łatwy sposób poka zać ludziom, jak tę abstrakcyjną wspólną odpowiedzialność przekuć na konkretne działania oraz przekonać ich., że podjęcie owych, działań przyniesie wymierne korzyści. Dokonajmy takiej analizy z punktu widzenia pracy programisty.
Czas na konkrety! Czy programista może wykorzystać swoje umiejętności do im y ch celów7niż pisanie kodu i czy te działania mogą przynieść dobry skutek? W metodykach zwinnych popularnym działaniem jest tzw. TDD (Test Driven Development), z grubsza rzecz ujmując, polega to na tworzeniu testu jednostkowego do kodu, który dopiero zamierzamy napisać. Każdy fragment programu realizujący określoną funkcjonal ność będzie stowTarzyszony ze zbiorem testów7, których zadanie możemy interpretować jako pozytywne przetestowanie danego wymagania. Każdy zdany test jednostkowy7obniży zatem ryzyko w7systemie. Aby tworzyć dobre testy7jednostkowa, pro gramista może poprosić o pomoc testera, który podpowie, jak efektywnie przetestować dany moduł. Programiście pozostanie jedynie zaimplementow7anie testów7. Warto korzystać z rad doświadczonych testerów, poniew7aż ich testy będą silne, a więc będą w7stanie wykryć więcej potencjalnych defektów. Jeśli testy jednostkowa zbierzemy wTe wspól nym repozytorium, jesteśmy w stanie stworzyć zbiór testów regresyjnych. Testy regresji wyko nuje się po zmianie oprogramow7ania na jego niezmienionych fragmentach, aby sprawTdzić, czy wprowadzone zmiany nie zepsuły7czegoś w7innych miejscach programu. Ponieważ testy7 te wykonuje się często, regresja praktycznie zawsze jest zautomatyzowana. Programista może wykorzystać sw7oje zdolności do automatyzowania innych testów. Czasami testerzy nie są w stanie samodzielnie zaimplementowTać kodu czy napisać frag mentu skryptu. Tu pomoc programisty7jest nieoceniona. Tak stworzone testy automatycz ne ułatw7iają wykonanie wysokopoziomowych testów7systemowych, które mogą stanowić część testów7regresji. W wdelu firmach praktykuje się tzw7, codę review7czy inne formy przeglądów bądź inspekcji dotyczących zarówno kodu, jak i dokumentacji czy projektu. Przegląd kodu polega na testowaniu go bez wykonywania.
Więcej na: www.ebook4all.pl
OPROGRAMOWANIE TECHNOLOGIE
Obecność programisty na spotkaniu przeglą dowym kodu autorstwa innego dewelopera niesie wuele korzyści: dobry programista może udzielić cennych rad w zakresie wykorzysta nia wzorców projektowych, czy standardów' kodowrania; wychwyci często popełniane przez mniej doświadczonych kolegów błędy w kodzie. Programista z kolei usłyszy od te stera, że jakieś wTymaganie czy fragment kodu będą trudno testowalne lub niemożliwe do przetestowania. Wtedy mogą wspólnie popra cować nad modyfikacją kodu, by proces jego testów7ania przebiegał szybciej i spraw7niej. To przełoży się na większą zdolność testów do znaj dow7ania defektów7. Badania pokazują, że inspekcje są efektywny mi metodami zapewniania jakości. Są w7stanie wykryć nawTet do 80% defektów7f Co więcej, na inspekcjach często wykrywa się błędy projek towe, których koszt naprawy w późniejszych fazach cyklu życia byłby wielokrotnie większy niż po spotkaniu przeglądowym. Inspekcje oraz testy systemowe są w stanie wykrawać defekty, których usunięcie poprawna jakość tw7orzonego oprogramowania. Ale jakość ujawnia się nie tylko jako zmniejszenie liczby defektów7w7tworzonym kodzie. Usunięcie zna lezionych problemów7pozw7ala poprawić sam proces produkcji oprogramow’ania. Testy i przeglądy pozwalają na ulepszenie procesu pozyskiwania i analizy wymagań. Wy magania stanowią podstawę dla projektu. Ten z kolei jest podstawą której uiywTa programista do tworzenia kodu. Mamy więc w systemie dodatnią pętlę zwTotną: wymagania kod testow7anie lepsza jakość lepsze wymagania. Aby ta pętla zadziałała, programista nie może ograniczać się tylko do tworzenia kodu. PowTinien także: • aktyw7nie uczestniczyć w inspekcjach i przeglądach kodu oraz dokumentacji; • tworzyć dobrej jakości testy jednostkowa stanowiące podstawię suity testów7regresji; • pomagać testerom w automatyzow7aniu testów7.
Wymierne korzyści Rysunek 2 przedstawia schematyczną sieć zależności, jakie mogą występować w projek cie. Jeśli programista nie będzie ogranicza! się tylko do pisania kodu, lecz także współdziała! z innymi członkami zespołu, służąc im swoimi umiejętnościami, zwróci się mu się to z nawiąz ką. Po jakimś czasie zacznie dostawiać wymaga nia lepszej jakości, na których podstawie będzie mógł łatwiej tworzyć lepszy kod. Z punktu widzenia programisty takie działanie należy potraktować jako inwestycję zarówmo dla siebie, jak i dla projektu. Wia domo, że odrywanie się od sw7ojej pracy, aby pomóc komuś innemu, zabiera cenny czas. Ale pomyślmy o tym w ten sposób: jeśli poświęcę średnio godzinę pracy dziennie na pomoc teste rom, uczestnictwo w przeglądach czy pisanie testów jednostkowych, po jakimś czasie zyskają na tym wszyscy:
POZWAIAHA ULEPSZENIE wowuTna
SUROWA POMOCNA DLA {
WOPLYWANA |
AUTOMATYZACJA TESTÓW POMAGA PRZY
1
UCZESTNICZY PRZY
1
WIĘKSZA JAKOŚĆ
TESTY UŁATWIA
SYSTEMOWE
POMAGAJ AWYKRKC DEFEKTY INSPEKCJE 1PRZEGLĄDY
Rysunek 2. Schematyczna sieć zależności pomiędzy działaniami projektowymi z punktu widzenia programisty
CZAS Rysu nek 3. Model zmiany wg V. Satir • testerz - bo używając napisanych we
współpracy z programistą testów auto matycznych, będą w7stanie efektywniej testow7ać opxogramow7anie; • jakość procesu - bo wykryte defekty oraz ich analiza pozwolą na usunięcie przyczyn źródłowych problemów7, lepszą kontrolę tworzonego kodu, obszerniejszą i dokład niejszą informację zwrotną dla programisty i lepszą jakość wymagań; • prógramist - bo dostanie czytelne, bez błędne wymagania, których nie będzie musiał konsultować z analitykami tak często jak do tej poiy, co pozwoli na szyb szą i efektywniejszą pracę, a tworzony kod będzie miał mniej defektów7. Widać, że zysk dla programisty nadejdzie dopiero po jakimś czasie. Wielu menedżerów7 popełnia błąd, przerywając w7drożenie zmian mających ulepszyć proces, ponieważ nie tylko nie widzą poprawy, ale wTręcz dostrzegają pogorszenie jakości procesu. Również człon kowie zespołu mogą zniechęcić się do zmian, widząc ich pozorny bezsens i nieskutecz ność. To przejściowy okres chaosu związany z wdrożeniem nowych działań. Jeśli uda się go cierpliwie przeczekać, jakość stopniow7o polepszy się, aż w7końcu ustabilizuje się na
nowymi, wyższym niż początkowy poziomie. Taką sytuację związaną z wdrażaniem zmiany przedstaw7ia model Vixginu Satir przedstawio ny na rysunku 3. Myślenie systemowa pozw7ala zobaczyć cały proces wytwarzania oprogramow7ania. Zrozu mienie zależności pomiędzy jego poszczegól nymi częściami i określenie wpływu zmian w7jednej z nich na inne umożliwiają łatw7e udoskonalenie procesu. Zobaczyliśmy to na przykładzie programisty. Zidentyfikowaliśmy proste czynności, których wykonywanie przez dewelopera przyczynia się do ulepszenia zarówno jakości procesu, jak i tworzonego produktu. A Adam Roman - adiunkt w Instytucie Informatyki i Matematyki Komputerowej Uf, wieloletni trener i wykładowca przedmiotów związanych z testowaniem i zapewnianiem jakości oprogramowania. Certyfikowany inżynier jakości oprogramowania (ASQ CSQE) oraz tester [JSTQB - Fuli Advanced Level). Autor monografii „Testowanie i jakość oprogramowania. Modele, techniki, narzędzia" (PWN, 2015).
COMPUTERWORLD 24 czerw ca 2015
25
Więcej na: www.ebook4all.pl
TECHNOLOGIE CLOUD COMPUTING
Zintegrowana kom unikacja z chm ury Klienci mają do wyboru wiele rozwiązań UC oferowanych w formie usługi chm uro we] lub rozwiązania hybrydowego. pozwoli określić, które rozwiązanie jest naj lepsze dla firmy.
UC w chmurze prywatnej, publicznej i w hybrydzie Chmura prywatna, chociaż ma wiele w7spoinycb cech z chmurą publiczną, różni się znacznie pod kilkoma względami. Po pierwsze, usługa UC jest w tym przypad ku świadczona przez wewnętrzny dział IT lub zarządzana przez zewnętrzny podmiot. Elastyczność i skalowalność jest możliwe dzięki zastosoweniu wirtualizacji. Usłu ga UC jest w7spółdzielona tylko wewnątrz organizacji, np. pomiędzy działami, ale nie jest świadczona zewmętrznym podmiotom. Można latw7o określić poziom wykorzystania tej usługi na podstaw.de liczby aktywnych TOMASZ KOWALCZYK użytkowników7. Podejście hybrydowe umożliwia firmom korzystanie z połączenia chmury prywatnej nified Communications (UC) to zin tegrowanie wielu kanałów komunika i publicznej. Podział zasobów między chmurą prywetną i publiczną może przebiegać na pod cyjnych, takich jak telefonia, komu stawcie funkcjonalności, lokalizacji geograficz nikatory internetowe czy konferencje nej lub określonych przypadków7zastosoweaudio i wideo, tradycyjnie dostarcza nia. Dlatego właśnie hybrydowe, zunifikow7ana nych przez różne technologie w po komunikacja jest z reguły wdrażana na trzy staci lokalnie działających systemów. Obecnie sposoby. W pierwszym przypadku dokonuje dostawcy UC rozszerzają swoje portfolio się podziału funkcjonalnego. Przykładowo, produktów7o usługi dostarczane z chmury audiokonfeiencje i telefonia są świadczone (Unified Coimnunication as a Service). z chmury publicznej, a wideokonferencje i poczta elektroniczna są realizowene lokalnie. Zastosowania zintegrowanej W drugim przypadku dokonuje się podziału komunikacji geograficznego. Poszczególne elementy roz wiązania UC są dostarczane w7różny sposób, Rozwiązania UC nadal będą wdrażane w7celu w7zależności od lokalizacji użytkownika. podniesienia produktywności pracow7nikówT Przykładowa, w7biurze terenowym użytków7oraz grup roboczych, szczególnie wTcelu nicy wykonują połączenia telefoniczne przez wsparcia telepracy oraz procesów7obsługi chmurę, natomiast w7centrali ta funkcja jest klientów7. Jednak firmy coraz częściej rozważają outsourcing tych systemów poprzez wykorzy realizowana przez lokalną infrastrukturę. Trze ci przypadek polega na podziale w zależności stanie usług UCaaS, ewentualnie korzystanie od zastosow7ania. Wybór chmury publicznej z rozwiązań hybrydowych. lub pryw7atnej zależy od spełnienia wTymagań Wprawdzie wciąż większość stanowią roz ilościowych bądź jakościowych. Przykładowo, wiązania UC instalowrane lokalnie, to widać lokalnie realizowane są wewnętrzne telekonrosnące zainteresowania usługami zarządza ferencje do sześciu uczestników7 Jeśli liczba nymi bądź hostowanymi. Jeśli dział IT rozwią uczestników jest większa, następuje automa żą przejście na rozwiązanie chmurowe, należy porównać system UC działający w chmurze tyczne przełączenie do chmury publicznej, mającej większą 'wydajność. prywatnej, hybrydowej lub publicznej. To
U
26
COMPUTERWORLD 24 czerw ca 2015
Korzyści z UCaaS Usługi UCaaS są świadczone na bazie zwirtuałizowanej infrastruktury, która należy do operatora chmury i jest przez niego zarządza na. Klient ponosi koszty obliczane na podsta wie liczby użytkow7ników7, z reguły w7mie sięcznych okresach rozliczeniew7ych. Funkcje oferowane w ramach UCaaS odpowiadają tym realizowanym przez systemy działające lokalnie. Oprócz kanałów komunikacyjnych z chmu ry klient może otrzymać dodatkowe funkcje związane z pracą grupowTą, np. współdzieloną przestrzeń roboczą czy mechanizmy korpora cyjnych sieci spolecznościowych. Większość usług UCaaS jest adresowana do małych i średnich firm. Jednak w ten obszar wchodzą tacy potentaci, jak: Microsoft, Google czy Cisco, których rozwiązania spełniają także wymagania korporacji.
Kryteria wyboru Wykorzy stanie chmury publicznej do wdro żenia UC to najlepszy wybór, jeśli klient ma wysokie wymagania dotyczące jakości usług komunikacyjnych lub fbma podlega obostrze niom prawnym czy związanym z bezpieczeń stwem. Chmura publiczna jest popularna w śród firm, które chcą na zewnątrz powierzyć tyłko zarządzanie aplikacjami i infrastrukturą, ponieważ uważają, że chmura publiczna nie jest wystarczająco dojrzała. Trzeba jednak pamiętać, że chmura prywatna najczęściej oznacza wyższe koszty7. Za rozwiązaniami hybrydowymi przema wiają niższe koszty i elastyczność w dostoso waniu do potrzeb biznesowrych. Przykładowo, klient może korzystać z posiadanych przez siebie centralek IP PBX, natomiast funkcje takie jak telekonferencje realizować z wyko rzystaniem chmury7publicznej. Chmura publiczna usatysfakcjonuje działy biznesowe, ponieważ umożliwia firmom bar dziej zw7inne działanie, szybkie dostosowanie do rosnących potrzeb oraz ochronę na wypa dek awarii czy klęsk żywiołowych. Użytfcownicy biznesowi wybierają chmurę ze względu na potencjalne obniżenie kosztów, możliwość skupienia się na właściwej działalności i prze sunięcie działu IT do działań ułatwiających budowanie przewagi konkurencyjnej. Dla firm zatrudniających poniżej 100 osób usługi UCaaS będą dobrym wyborem, biorąc pod uwTagę ograniczoną liczbę informatyków7 w organizacjach tej wielkości oraz stałe koszty, które trzeba ponieść na system działający lokalnie. W nieco większych firmach chmura publiczna zdejmuje z nich złożoność i wydat ki związane z obsługą ewentualnych zdalnych lokalizacji, a jednocześnie ułatwia zapew nienie komunikacji zdalnym oraz mobilnym pracownikom. Chmura publiczna jest opcją dla korporacji, ale dla nich chmura prywatna może okazać się bardziej ekonomicznym rozwiązaniem i przynoszącym w dłuższym okresie więcej korzyści. I
Więcej na: www.ebook4all.pl
PAMIĘCI MASOWE TECHNOLOGIE
SDS pełen wyzwań Pamięci masowe realizowane programowo mogą m.in. uprościć architekturę czy ułatwić skalowanie, ale trzeba też liczyć się z wyzwa niami podczas ich wdrożenia i użytkowania. TOMASZ KOWALCZYK
m niejsze w7przypadku różnej lokalizacji danych - jeśli aplikacja próbuje uzyskać dostęp do danych, które nie zostały zapi a tem at SDS (Software DefLned sane w lokalnym wTęźle, następuje spadek Storage) dużo się m ówi i pisze. w7ydajności. Ponieważ sprzęt przestaje być wyróżnikiem , producenci coraz O pro gra m owanie SDS m usi być tak chętnie m arkują swoje produkty skonfigurowane, aby w spółpracow ać jako zdefiniow ane programowo. z różnym i urządzeniam i. To wymaga od Pewne pojęcia wymagają jednak u p o rząd IT weryfikowania indyw idualnie działu kowania, Choćby podstaw ow a definicja w każdym przypadku kw estii kom pa SDS, która jest różnie form ułowana. tybilności, w ts parcia różnych m acierzy Najczęściej pod term inem SDS rozum ie się oraz konieczność pogodzenia się z ew en taką architekturę, w której oprogram ow a tualnym i ograniczeniam i, w przypadku nie przejm uje funkcje pam ięci m asow ych braku pełnej kom patybilności. Oprócz dotychczas realizow ane sprzętów7o. Ta Przed podjęciem decyzji definicja jest na tyle szeroka, że obejmuje szerokie spektrum różnych im plem enta o wdrożeniu SDS trzeba rozważyć cji. Nieco w7ęższa definicja m ówi, że SDS oznacza realizow anie funkcji pam ięci szereg czynników, zwłaszcza m asow ych na tych sam ych m aszynach, na których działa oprogram owanie serwerowe wymagania dotyczące wydajności, i aplikacje. dostępności i skalowalności. SDS m oże przynieść korzyści nie tylko Prawdopodobnie w nowoczesnych wTogrom nych centrach danych, jakimi opernją Google i Amazon, ale rów nież centrach danych systemy SDS wTmałych środowiskach, np. wTzdalnych będą funkcjonować równolegle ze lokalizacjach, w których trzeba poruszać się w ram ach mocno ograniczonego b u specjalizowanymi systemami dżetu. Skorzystają rów nież małe i średnie firmy, które często m ają podobne ograni pamięci masowych. czenie, a dodatkow'o szukają prostych do wTdrożenia rozw iązań. zm agania się z zarządzaniem m acierzam i różnych producentów7 dochodzi kwestia zarządzania oprogram ow aniem SDS. To Wyzwania dodatkowe zadanie dla działu może okazać się sporym wryzwaniem. Szczególnie, Obok szeregu korzyści SDS przynosi też jeśli w eźm ie się pod uwagę, że SDS może wyzwTania, z których najistotniejsze to obejmow7ać nie tylko sieciowe pam ięci aplikacje oraz dostępność danych. W tra m asowe (NAS i SAN), ale także dyski dycyjnych pam ięciach m asow ych wTysoką podłączone bezpośrednio do seiwerów dostępność osiąga się poprzez zastosow a (DAS). Próby skryptów7ego zarządzania nie nadm iarow ych kontrolerów7. W razie ścieżkami danych łączącym i te urządzenia aw?arii jednego z kontrolerów7 drugi mogą spow odow ać pow stanie w ąskich przejm uje jego zadania. W przypadku SDS gardeł. Zastrzeżone interfejsy API do w7ielu trzeba tw7orzyć trzy kopie danych [triple systemów pam ięci m asowych nie ułatw7ią mirroring), aby osiągnąć taki sam poziom integracji, a ograniczą możliwość wykorzy dostępności. To oznacza znaczny narzut, stania w7laściwTości sprzętu. jeśli chodzi o w7y korzy stanie przestrzeni dyskow7ej, i prowTadzi do zm niejszenia Jeśli do już złożonego środowiska p a szybkości reagow ania system u na żąda m ięci m asow ych dodam y jeszcze nośniki nia aplikacji. Korzyści, jakie w iążą się ze DAS, spow oduje do wrydłużenie procesów7 skalowralnością i m obilnością SDS, będą przydzielania zasobów. To prow adzi do
N
obciążania pracow ników nadm iernym i zadaniam i, a cały proces czyni podatnym na ludzkie błędy. Wprowadzenie nowTego typu pamięci masowych sprawia również, że widok prze strzeni dyskowTej staje się jeszcze bardziej poszatkowTany. Połączenie lokalnych zasobów dyskowych (DAS) z sieciowymi pamięciami masowymi w centrum danych może dopro wadzić do lepszego wykorzystania wszyst kich dostępnych zasobów7dyskowych, ale jednocześnie jest wyzwaniem, jak scentrali zować monitorowTanie takiego środow7iska. Dlatego przed podjęciem decyzji o w dro żeniu SDS trzeba rozwTażyć szereg czynni ków, zwdaszcza w7ymagama dotyczące w y dajności, dostępności oraz skalowalności. Jest bardzo praw dopodobne, że wTnowocze snych centrach danych systemy SDS będą funkcjonować równolegle ze specjalizowa nym i systemami pamięci masowych.
Recepta na sukces Mimo ew identnych korzyści SDS to rów nież w yzwania, z których część w ystępuje także w7 świecie tradycyjnych pam ięci masowych. A dm inistratorzy potrzebują jednej konsoli adm inistracyjnej, scentrali zowanego m onitorow ania, otw artych API zaprojektow anych w7 m odelu REST i prost szych procesów przydzielania zasobów (warto porów nać czas potrzebny ua przy gotowanie przestrzeni dysków7ej z czasem uruchom ienia now7ej m aszyny w irtualnej). Podstawkowe funkcje, takie jak uw ierzytel nianie, pow inny być częścią system u, aby dział IT mógł się skupić ua usługach bez pośrednio zw iązanych z pam ięciam i m aso wymi. Ułatw7ieniem jest też integracja SDS z platform ą do w irtualizacji serwerów, ale w7arto, aby oprogram owanie SDS nie było przystosow ane do pracy tylko z jedną plat formą. W centrach danych coraz częściej w7 użyciu jest więcej niż jedno rozw iązanie do w irtualizacji serwerów. Jest jeszcze za wTcześnie, aby w7skazać, którzy z producentów7 SDS zmierzają w7 najlepszym kierunku. Niektórzy zw o lennicy SDS sugerują, że optym alnym podejściem jest w ykorzystanie standardo w ych dysków7 podłączanych bezpośrednio do urządzeń końcowych, zam iast wykorzy styw ania m acierzy dyskowych. Pojawiają się nawTet sugestie, że m ożna zaoszczędzić, pozbywając się przestarzałych m acierzy i całkowicie przejść ua zwykłe dyski. Bardziej realistyczne jest jednak założenie, że SDS prow adzi do lepszego wykorzysta nia inwTestycji poczynionych w pam ięci masowe. Um ożliwia bowiem skalowTanie oraz efektywne kontrolow anie i zarządza nie pam ięci masowymi, począw7szy od korporacyjnych macierzy, a na dyskach DAS skończywszy, używ anym i w zależno ści od bieżących potrzeb użytków7ników7 i aplikacji. I
COMPUTERWORLD 24 czerw ca 2015
27
Więcej na: www.ebook4all.pl
TECHNOLOGIE PAMIĘCI MASOWE
Nowe spojrzenie na m acierze All-Flash Macierze typu All-Flasli coraz częściej znaj dują zastosowanie jako podstawowy system pamięci masowych w firmach. To pokazu je, że szybkość transferu danych i ogólna wydajność przeważyły nad wątpliwościami dotyczącymi niezawodności i dostępności. TOMASZ KOWALCZYK
MLC Flash wTyprodukowTane przez Micron oraz oprogramowanie IBM FlashCore, które obsługuje szybki transfer danych i um ożli ojawia się pytanie, czy decydując wia skalowanie systemu aż do 2,2 PB. się na macierze typu All-Flash, w dłuższej perspektywie firmy Macierze All-Flash przykuwają również wystawiają się na nadm ierne ryzyko uwagę rodzącej się branży SDS (Softwarew’ zam ian za natychm iastowe korzy -Deiined Storage). Takie firmy jak VMware ści? A może korzyści z rozproszonej podkreślają korzyści szybkiego dostępu do architektury i budow ania puli pamięci m a danych. Producent ostatnio poinfomiowTal o dodaniu obsługi nośników7Flash do platfor sowych zrekompensują słabości nośników" Flash od strony długookresowej trwałości? my Virtual SAN 6. Jest to ruch mający prze konać użytkowników", że system jest gotowy, aby zacząć wykorzystywać go jako podstawo Ważna nie tylko szybkość wy system pamięci masowych. Oprócz tego VMw"are wprowadził inne udoskonalenia, ta Producenci macierzy Flash przekonują, że kie jak obsługę do 8 PB przestrzeni dyskowrej nie ma powodów do obaw. Przykładem jest rozproszonej na maksymalnie 64 węzłach. Violin. W odpowiedzi na implikacje wy Umożliwia to uzyskanie do 7 min IOPS, co nikające ze zużyw ania się nośników" Flash koncern wyposażył sw?oje urządzenia Alljest wystarczającą wartością, aby obsłużyć -Flash w mechanizm y de duplikacji i funkcje dow"olne środowisko wTirtualne. tworzenia klastrów znane z tradycyjnych Jeśli ktoś obawia się zbytniego przy rozwiązań dyskowych. W ten sposób m ożli wiązania do jednego dostawTcy platformy we staje się budowlanie rozproszonej i ska wirtualnej, może skorzystać z oferty coraz lowanej wszerz infrastruktury. Spadające większej liczby niezależnych producentów ceny sprawiają, że koszty zakupu m acierzy rozwijających korporacyjne systemy pamięci All-Flash przestają być trudną do pokonania masowych. Jednym z nich jest DataGravity, barierą, szczególnie jeśliwTziąć pod nwTagę który próbuje wypełnić lukę między potrzebą, koszty przeliczone na "wydajność. aby traktować dane jako coś pow szednie Również IBM rozwija swToje portfolio sys temów Flash, wydając na badania i rozwój l i Nowe platformy zamiast tej technologii ponad 1 mld USD, Platformy All-Flash tego producenta integrują się z tra systemu pamięci masowej budo dycyjną, dyskowTą infrastrukturą pamięci wanego pod specyficzne potrceby masowych, zapewniając wysoką wydajność dla aplikacji analitycznych czasu rzeczywi muszą mieć bardziej elastyczne stego. Jednocześnie zajmują w szafach stela rozwiązanie, w którym użytkowni żowych jedną czwartą miejsca potrzebnego ich odpowiednikom w yposażonym wTdyski cy i aplikacje mogą tworzyć w ł HDD. Producent podkreśla wytrzymałość tych platform nawet przy dużych obciąże sne zbiory danych, dzięki czemu niach, gwarantując pełną w ymianę poszcze udaje się zoptymalizować wydaj gólnych nośników’ NAND wTciągu siedmiu lat. Urządzenia są wyposażone w? pamięci ność i koszty.
P
28
COMPUTERWORLD 24 czerw ca 2015
Wady nośników SSD Coraz mniejszym problemem są ceny nośników, które systematycznie spadają. Jednak zdaniem analityków w najbliższych latach nadal ceny HDD przeliczane na gigabajt pojemności będą niższe niż pamięci SSD. Stosukowo wysokie ceny i małe pojemności pojedynczych nośników sprawiają, że w systemach pamięci masowych stosuje się kombinację nośników SSD i dysków twardych. Wciąż wątpliwości budzi kwestia zażywania się nośników SSD, ale od tej strony również nastąpił znaczny postęp. Pamięci WAND Flash stosowane w SSD mogą być użyte określoną liczbę razy w celu zapisu danych. Każda operacja zapisu jest poprze dzona wykasowaniem poprzedniej zawartości określonych komórek. Towarzyszy temu proces, który sprawia, że w pewnym momencie nie da się już po raz kolejny zapisać danych do tych komórek. Ten proces nie ma wpływu na odczyt danych, ponieważ podczas odczytu nie następuje zmiana zawartości komórek, a jedynie sprawdzenie ich zawartości. Problem zużywania się pamięci Flash byl dotkliwy w przypadku starszych nośników SSD. Obecnie dostępne modele charakteryzują się dużą wytrzymałością i producenci dają na nie nawet 5 lat gwarancji..
go, a jednocześnie zapewnić wysoką jakość informacji, kiedy trzeba te dane dostarczyć. W tym celu opracowana przez producenta platforma Discovery wykorzystuje mechani zmy indeksowania i zarządzania metadanymi, aby system pamięci masowej był „świadomy” przechowywanych danych. Jest to krok na przód w stosunku do podziału danych według wymagali oo do szybkości dostępu (hering) i przechowyrwania w pamięci podręcznej. Wprowadza pewien poziom inteligencji, zarządzania, ochrony oraz inne funkcje do podstawowej architektury pamięci masowych przy jednoczesnym braku negatywnego wpły wu na wydajność de duplikacji, kompresji itp.
Zmiana infrastruktury Pod staw'owym w yzwaniem nowych p lat form pam ięci m asowych jest przekonanie przedsiębiorstw, aby spojrzały na pam ięci masowe w nowym świetle. Zaawansowane, w irtualne i chm urow e środowiska mają inne wymagania. Zamiast system u pam ię ci masowej budowanego pod specyliczne potrzeby m uszą mieć bardziej elastyczne rozwiązanie, w którym użytkownicy i apli kacje mogą tworzyć w łasne zbiory danych, dzięki czem u udaje się zoptym alizować wydajność i koszty. Flash będzie stanowić znaczącą część za sobów" pamięci masowych, ale ugruntowa nie jego pozycji nastąpi dopiero, jeśli będzie dostępny w ram ach wTirtualnej infrastruk tury. W takim świetle firmy będą zaintere sowane nośnikam i nie tylko ze wTzględu na natychmiastowe korzyści z nim i związane, ale także w kontekście szybkiego dostępu do potrzebnych zasobów", gdy pojawi się taka potrzeba. I
Więcej na: www.ebook4all.pl
SIECI TECHNOLOGIE
Perspektywy rozwoju sieci O możliwościach, dzisiejszych technologii sie ciowych jeszcze kilka lat temu można było tylko pomarzyć. Jednak nie należy popadać w bezkrytyczny entuzjazm.
TOMASZ KOWALCZYK
są ściśle związane ze specjalizowanym sprzę tem, ograniczają operatorom sieciowym pole manewru i możliwmści wTprowTadzania innowa cji. Są to ograniczenia, z którymi nie zmagają się dostawcy usług OTT budujący swroją ofertę na bazie infrastruktury chmurowej. Dodatkowo dochodzi niepewność co do tego, jakie będą wymagania użytkowników wTprzyszłości. Usługi i modele biznesowTe zmieniają się znaczniej szybciej niż wTczasach sieci TEM. Stąd konieczność budowania ela stycznej infrastruktury, która jest „świadoma” korzystających z niej aplikacji. Ma to znacze nie i wTśrodowisku korporacyjnym, wTktórym model biznesowy także nie jest stały i we wnętrzny dział IT musi elastycznie reagować na zmieniające się potrzeby i wymagania. Sieci przyszłości będą musiały wTczasie rzeczywistym dostosowywać swoje działanie do aplikacji i użytkowników (to jest wdaśnie ten element „świadomości” kontekstu). To wymaga zmian wTinfrastrukturze siecio wej i powiązanym z nią oprogramowTaniu, a wTprzypadku operatorów' sieciowych również wTsystemach OSS/BSS. Te zmiany już zaczęły zachodzić i jeśli zostaną wrprowadzone wTe wszystkich obszarach, możemy spodziewać się znacznie bardziej zautomaty zowanych sieci, a operatorzy sieciowi będą mogli oferować dużo bardziej spersonalizowa ne usługi. W sieciach korporacyjnych poprawi się wykorzystanie zasobów, m.in. pod kątem przydzielania ich tam, gdzie są najbardziej potrzebne.
becnie eksplodująca ilość danych wymaga wdrażania sieci o jeszcze większych przepustowoś ciach i lepszych parametrach jakościo wych. Raport Futurę of Networks przygotowany przez EDC wskazuje, Nowe wyzwania że przedsiębiorstwa będą zwiększały przepu stowość swoich sieci, aby sprostać rosnącemu W sieciach operatorskich wTostatnich latach natężeniu ruchu i zapewnić aplikacjom środo nastąpiły istotne zmiany. Operatorzy komór wisko do wydajnego działania. kowi wdrażają technologię LTE. Sieci szkie letowa są budowrane z wykorzystaniem łączy optycznych 100 Gbit/s, a nawet 400 Gbit/s. Sieci przyszłości Dzięki spadkom cen przepustowość sieci nie jest już takim ograniczeniem jak parę lat temu. Na pierwszej linii frontu są operatorzy będący pod ciągłą presją rosnącego natężenia ruchu, co Jednak nie można zapominać, że w najbliż szych dwTóch czy trzech latach może nastąpić wymusza na nich nieustanną rozbudowę sieci, dalszy' znaczny wzrost ruchu wideo. Możemy jednocześnie muszą szukać innowacyjnych spodziewać się nowych technologii i standar rozwiązań, aby móc szybko wprowadzać nowe dów wideo, które napędzą wTzrost ruchu. usługi i sprostać konkurencji dostawcom usług OTT (Over-the-Top), np. Google czy NetFlbc Poważniejszym wyzwaniem od przepusto Statyczna natura sieci i fakt, że niektóre usługi wości wydaje się zapewinienie jakości komu
O
nikacji. Jeśli sieci mają się dostosowywać do użytkowników i usług, pojawia się pytanie o bezpieczeństwo i ochronę prywatności. Rosnąca personalizacja sprawia, że użytkownicy coraz więcej interesują się właśnie tymi dwoma obszarami. WyzwTaniem jest też szybkość zmian tech nologicznych i związana z tym konieczność skracania procesów wdrożeniowych oraz obsługi wielu różnych technologii. Przepu stowość sieci w ostatnich latach podwTajała się co 18 miesięcy, więc dla operatora sieci niewielkie, przyrostowe usprawnienia nie są satysfakcjonujące.
S D N i NFV Zmiany, które zachodzą w sieciach, są w’ dużymi stopniu napędzane przez rosnącą ilość danych. Szacuje się, że każdego dnia w internecie jest publikowanych 500 min nowych zdjęć. Prognozy' zakładają, że w 2020 r. do intemetu będzie podłączonych 50 mld urządzeń. Fundamentalne zmiany technologiczne w sieciach nastąpią na bazie koncepcji SDN oraz NFV Względy ekonomicz ne, które doprowadziły do elastyczności w ob szarze korzystania z zasobów obliczeniowych (wirtualizacja serwerów), powinny' w podobny sposób zadziałać w obszarze sieci. Realizacją tych założeń są technologie SDN (Software Defined Network) oraz NFV (Network Function Virtualization). SDN rozpoczął swoją karierę w' sieciach kampusowych. Podczas prac badawczych naukowcy byli sfrustrowTani koniecznością zmiany oprogramowania pojedymczo w każ dym urządzeniu sieciowym, testując różne ustawienia. OpracowTali więc koncepcję zakła dającą programowTanie zachowTania urządzeń sieciowych i kontrolowTania ich z centralnego punktu. SDN dojrzewral następnie w centrach danych, gdzie znacznie zwiększył możliweści kontrolowania infrastruktury. To doprowadziło do formalizacji założeń dzisiejszego SDN, na który składają się: separacja funkcji kontrol nych od mechanizmów' przesyłania danych, centralizacja funkcji kontrolnych oraz moż liwość programów'ania urządzeń sieciowych z wykorzystaniem z definiowanych interfejsów. Z kolei WFV to rozwiązania stworzone przez konsorcjum operatorów sieciowych. Celem było przyspieszenie wTdrażania nowych usług sieciowych, co miało przekładać się na wdększe przychody. Okazało się bowdem, że rozwiązania sprzętowe nie dawTały możli wości realizacji tego celu i operatorzy zaczęli przyglądać się standardowym technologiom w'irtualizacji oraz możliwościom ich zasto sowania do wirtualizacji funkcji sieciowych. Zastosowanie NFV przyniosło oczekiwTane rezultaty. I
COMPUTERWORLD 24 czerw ca 2015
29
Więcej na: www.ebook4all.pl
TECHNOLOGIE BEZPIECZEŃSTWO
Użytkownicy zagrożeniem dla SaaS Większość firm źle podchodzi do bezpie czeństwa SaaS, jednak wilia tylko częściowo leży po stronie wewnętrznych działów IT.
w chmurze z reguły mają mniej zaaw7ansow’ane mechanizmy kontroli dostępu niż aplikacje uru chamiane lokalnie wTfirmowTym środowisku IT. Nawet jeśli aplikacja chmurowa ma rozbudo wane ustawienia kontroli dostępu, firmy rzadko z nich korzystają. Takiego zdania są przynaj mniej anahtycy Gartnera. Część problemów7wynika z faktu, że autory zowani użytkownicy mają dostęp do danych, do których jednak nie powinni mieć dostępu. Kolej ne przyczyny to zakończenie okresu, po którym użytkow7nikom powinno się odebrać upraw7nienia, czy umieszczanie w chmurze plików, jakie nie powinny tam trafić (np. za pomocą narzędzi automatycznie synchronizujących pliki między komputerem firmowym i domowym).
Włamywanie się do pojedyn czych kont za pomocą wykra dzionych haseł to najczęstsze zagrożenie dla bezpieczeństwa SaaS. Każda organizacja korzy stająca z SaaS powinna podjąć kroki mające na celu zwiększenie TOMASZ KOWALCZYK
raportu Gartnera „Everything you know about SaaS security is wrong” wynika jasno, że użytkownicy decy dujący się na korzystanie z aplikacji SaaS zwracają uwagę na niewłaściwe aspekty dotyczące bezpieczeństwa tych usług. Badania wskazują, że klienci, podej mując decyzję o zakupie, skupiają się na praw dopodobieństwie pojawienia się ryzyka, a nie próbują przyjrzeć się błędom w działaniu SaaS, których wystąpienie jest bardziej prawdopodob ne, a potencjalne skutki poważniejsze. Z analizy ankiet przeprowadzonych przez Gartnera wynika, że potencjalni klienci bardziej obawiają się o mechanizmy zabezpieczające chmurę dostawTcy niż o utratę danych czy kompetencje administratorów TT zatrudnianych przez opera tora. Takie rozłożenie akcentów7nie odpowiada rzeczywistym zagrożeniom związanym z SaaS.
Z
Przyczyny problemów z bezpieczeństwem SaaS Oczywiście, nie da się udowodnić, że włamania do chmur operatorskich, o których nie informo wano, faktycznie nie wystąpiły, fednak z dużą dozą pewności można powiedzieć, że dostawcy SaaS zaliczają stosunkowro mało porażek wTob szarze bezpieczeństwa. Pojawia się natomiast ■wiele doniesień, że przyczyny problemów z bezpieczeństwem SaaS często leżą po stronie użytkowników7. Są raporty informujące o wykra dzionych czy złamanych hasłach używanych do uzyskiwania nieautoryzowanego dostępu do indywidualnych kont SaaS. Przyczyną tych zdarzeń nie były luki w7usługach chmurowych, lecz niewłaściwe postępowanie użytkowników7.
30
COMPUTERWORLD 24 czerw ca 2015
Jedynie w niewielkiej liczbie przypadków7 zdarzyło się, że operatorzy SaaS utracili dane w7wyniku błędów technicznych. Niektórzy operatorzy borykali się z problemami biznesowTymi, które występowały z reguły bez żadnego uprzedzenia, co zmuszało klientów7do nagłego szukania alternatywnych rozwiązań. Aby zweryfikować swoje obawy, które zdaniem Gartnera są błędne, potencjalni klienci SaaS podejmowali wzmożone prace w7celu oceny zagrożeń, aby na tej podsta wie ocenić, z jakim prawdopodobieństwem środowisko operatora usługi odeprze próby ataków7penetracyjnych. Nie ma jednak żadnego potwierdzenia, że szczegółowa wypytywanie operatorów czy spotkania z nimi przekładają się na redukcję ryzyka.
kontroli kont. Po trzecie, problemem są kradzieże danych dostępowych. Większość korporacyjnych usług SaaS (i praktycznie wszystkie usługi konsu menckie) wykorzystują hasła wielokrotnego użytku. Ponieważ ludzie mają skłonność do używania tych samych haseł w7w7ielu syste mach, firmowa aplikacja SaaS jest zagrożona atakiem, jeśli haker wykradnie np. dane dostę powe pracow7nika do jego konta na Facebooku. Włamywanie się do pojedynczych kont za pomocą wykradzionych haseł to najczęstsze zagrożenie dla bezpieczeństwa SaaS. Każda organizacja korzystająca z SaaS pow7inna podjąć kroki mające na celu zwiększenie kontroli kont, w przeciwnym razie skuteczność mechani zmów uwierzytelniających będzie ograniczona.
Korekta kursu Firmy zainteresowane aplikacjami dostarcza nymi z chmury powinny dobrze zrozumieć, jakie są faktyczne obszary zwiększonego ryzyka związanego z bezpieczeństwem SaaS mające największy wpływ na funkcjonowanie biznesu. Są trzy pow7ażne błędy w podejściu firm do bezpieczeństwa SaaS. Po pierwsze, poufne czy w7artościow7e informacje trafiają do niezaaprobow7anycb usług. Wielu użytkowTników w7firmach korzysta z usług chmurowych bez informowania o tym fakcie działu IT. To znacz nie podnosi ryzyko wycieku lub utraty danych. W niektórych branżach może to być również naruszeniem obowiązujących przepisów7, nawet jeśli nikt nieupowTażniony nie uzyskał dostępu do tych danych. Po drugie, użytkownicy często w7nieprawi dłowy sposób posługują się danymi przecho wywanymi w7chmurze. Aplikacje działające
Mętna komunikacja Niewłaściwe ukierunkowanie uwagi na problemy z bezpieczeństwem SaaS może wynikać z braku odpowiednej polityki informacyjnej dostaw ców tych usług. Klienci narzekają, że kontrakty zawierają niewystarczające zapisy w7zakresie zapewnienia poufności danych, ich integralności czy przywracania w przypadku, kiedy dojdzie do ich utraty. Według Gartnera w72015 r. aż 80 specjalistów TT będzie niezadowolonych z języka i warunków’, jakimi operatorzy chmur opisują kwestie bezpieczeństwa w7umowach. W wersji minimum użytkownicy oczekują zapewnienia w7umowach możliwości przepro wadzenia raz do roku audytu i certyfikacji przez zewnętrzny podmiot, z opcją dopuszczającą zerwanie kontraktu w7przypadku wystąpie nia udokumentowanych wdamań do chmury operatora. I
Więcej na: www.ebook4all.pl
CYBERPRZESTEPCZOŚĆ TECHNOLOGIE
5
zagrożeń, które odmienią branżę bezpieczeństwa
Cyberprzestępczość to profesja, która nie ogranicza się tylko do tworzenia złośliwego kodu. W coraz większej liczbie przypadków bezpieczne oprogramowanie jest modyfikowane tak, aby służyć do przeprowadzania ataków czy dystrybucji wirusów.
TOMASZ KOWALCZYK
artner przew iduje, że w 2020 r. aż 30% międzynarodowych firm padnie ofiarą bezpośredniego ataku grup przestępczych lub niezależnych cyberaktywistów. Szkodliwe oprogramowanie i na rzędzia umożliwiające wykorzystywanie luk w ochronie są tworzone i sprzedawane z gwarancją, że pokonają m echanizm y bez pieczeństwa. Co więcej, mimo ogromnych nakładów na ochronę - według Gartnera w 2014 r. wy datki na zabezpieczenia w y niosły 71 mld USD - firmy straciły w tym okresie wTwyniku działań cyberprzestępców aż 400 mld USD. Dzisiejsze zabezpieczenia opierają się na założeniu, że potrafimy rozróżnić, co jest do bre, a co złe (np. filtry treści). Takie podejście jest jednak niewystarczające, jeśli zagrożenia zmieniają się bardzo szybko i są w stanie pokonać najnowsze technologie bezpieczeń stwa. Dlatego warto przyjrzeć się kilku nowym zagrożeniom wykorzystującym nietypowe mechanizmy.
Regin To oprogramowanie jest używane co naj mniej od 2008 r. do szpiegowania rządów, infrastruktury operatorów, instytucji badaw czych, a także pojedynczych użytkowników. W odróżnieniu od innych zaawansowanych zagrożeń Regin nie został zaprojektowa ny do szybkiego wygenerowania zysków i wycofania się. To zagrożenie przeprowadza atak wTpięciu fazach, wykorzystując pełne szyfrowanie przesyłanego kodu i modułową konstrukcję. Fakt, że jest wTużyciu od 2008 r., sprawna, że warto przyjrzeć mu się bliżej. Możliwość rozszerzenia podstawowego kodu (rdzenia) o dodatkowy moduł (payload) powoduje, że Regin to cała platforma
wykorzystywana do długotrwałego zbierania danych i stałego monitorowania użytkow"ników. To pierwszy przypadek szkodliwego kodu, który służył zarówmo do szpiegowania korporacji, jak i instytucji rządowych. Mimo jego złożoności Regin infekuje komputery w dość powszechny sposób, wykorzystując luki w przeglądarkach internetowych i pod robione strony internetowe [phishing).
QWERTY W styczniu 2015 r. badacze wykryli szko dliwy kod, który otrzymał nazwę QWERTY. Jest to wtyczka do Regina służąca do rejestro wania klawiszy wciskanych na klawiaturze przez użytkownika [keyloggeij. Wykrycie tej wtyczki miało duże znaczenie dla branży bezpieczeństwa, ale mimo to Regin nadal będzie infekować komputery. Wtyczka QWERTY jest przechowywana wewnątrz zaszyfrowanego i skompresowa nego systemu plików Virtual File System. Mówiąc inaczej, pliki tej wtyczki nie są zapi sane bezpośrednio wTkomputerze użytkow nika. Ten szkodnik skutecznie wymyka się zabezpieczeniom, które wykorzystują bazy sygnatur do wykrywania infekcji lub u ru chamiają podejrzany kod w odizolowanym środowisku. Ponieważ coraz więcej korzysta my z sieci, infekcje poprzez strony interne towe będą zdarzać się coraz częściej. Liczba wTariacji szkodliwego kodu rośnie tak szybko, że twórcy aplikacji zabezpieczających nie nadążają za tworzeniem nowych sygnatur.
SoakSoak W grudniu 2014 r. ponad 100 tys, stron, posta wiony eh na WordPressie zostało zainfekowa nych szkodnikiem SoakSoak, który zamienił te strony w platformę do ataków, jest to przykład wykorzystania podatnej usługi jako wektora do dalszego ataku. Przy ponad
70 min stron internetowych wykorzystu jących WordPressa autorzy tego szkodnika mieli potencjalnie bardzo dużą bazę do wy korzystania. W tym czasie Google rozpoznał jako zagrożenie nieco ponad 10% tych za infekowanych stron. Bez wiedzy właścicieli witryn były one wykorzystywane do dalszego rozpowszechniania zlośliwTego kodu.
Skeleton Key Zagrożenia kemputerowe stają się coraz bardziej złożene i inteligentne. Jednocze śnie przybywa takich, których zadaniem jest wykradanie danych. W styczniu 2015 r. wykryto Skeleton Key, którego celem są kon trolery dom er y Active Directory. Infekcja rozpoczyna się od administratorów" AD (z re guły poprzez strony internetowa). Szkodnik modyfikuje następnie działanie kontrolera domeny, dzięki czemu może maskować swo ją obecność i uzyskać dostęp do danych czy wńadomości e-mail. Ponieważ szkodnik nie generuje nietypo wego ruchu w sieci, unika wy krycia przez mechanizmy czułe na anomalie w sieci. Problemy z jego wykryciem mają rówmież zabezpieczenia działające na bazie sygnatur zagrożeń oraz uruchamiających podejrzany kod w wTirtiialnym środowisku. Przed branżą bezpieczeństwa staje pytanie, jak wyelimino wać tego rodzaju złośliwy kod.
Google AdSense ( malvertising) K a ż d e g o dnia w internecie pojawńa się 100 tys. n o w y c h stron internetowych. Kiedy wt stycz n i u 2015 r. przestępcy zaczęli wykorzystywać
Google AdSense do rozpowszechniania szko dliwych reklam, pojedyncza strona interneto w a zawierała do ośmiu różnych skryptów od zewnętrznych firm i odnosiła się do zasobów rozproszonych po 250 domenach. PoniewTaż Google nie spraw"dza (nawTet nie może tego robić) treści udostępnianych przez tę plat formę, rozpoznaje tylko jedną stronę na IGO0 certyfikowanych stron jako zainfekowane. W efekcie niezweryfikowane, niezna ne treści są wyświetlane na urządzeniach końcowych, czego skutkiem jest znacznie podwyższone ryzyko infekcji podczas odwie dzania popularnych serwisów internetowych, W omawianym przypadku szkodliwa reklama była bardzo „agresywna” i po kliknięciu kierowTala użytkownika na stronę, z której au tomatycznie, bez żadnej interakcji do kompu tera było pobierane szkodliwe oprogramowa nie. Gdyby atak byl bardziej subtelny, mógłby przez dłuższy czas pozostać niezauważony. I
COMPUTERWORLD 24 czerw ca 2015
31
Więcej na: www.ebook4all.pl
KARIERA W łT?
Tysiące ofert pracy IT Profile pracodawców Porady i wskazówki dotyczące kariery 'T Wiadomości z rynku pracy
wszystko to na www.computerworld.pl/praca