Strona używa cookies (ciasteczek). Dowiedz się więcej o celu ich używania i zmianach ustawień. Korzystając ze strony wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.    X

Bezpieczeństwo po raz trzeci

W ostatnich dniach rozgorzała dyskusja między januszkiem a tfl. Wszystko zaczęło się od wpisu "Bezpieczeństwo - porozmawiajmy poważnie...", trakującego o szeroko rozumianym aspekcie tego terminu. W odpowiedzi januszek skomentował to dość krytycznie w komentarzach i polemiką na swoim blogu.
Zacznijmy najpierw od szerko rozumianego pojęcia "bezpieczeństwa", do którego odnosi się januszek. Zacytujmy może najpierw definicję zaproponowaną przez szwajcarskiego politologa Daniela Freia:

  • stan braku bezpieczeństwa – wówczas gdy występuje rzeczywiście duże zagrożenie, a postrzeganie tego zagrożenia jest prawidłowe;
  • stan obsesji występuje wtedy, kiedy nieznaczne zagrożenie jest postrzegane jako duże;
  • stan fałszywego bezpieczeństwa twystępuje wówczas, gdy zagrożenie jest poważne, a postrzegane jako niewielkie;
  • stan bezpieczeństwa występuje wtedy, kiedy zagrożenie zewnętrzne jest nieznaczne, a jego postrzeganie jest prawidłowe.
Najważniejsze jest jednak stwierdzenie, do którego odnoszę się w swoich audytach bardzo często:
(...)przez bezpieczeństwo rozumie się proces, w którym stan bezpieczeństwa i jego organizacja podlegają permanentnym, dynamicznym zmianom stosownie do naturalnych oddziaływań i uwarunkowań. Nie ma czegoś na stałe zorganizowanego, nie wymagającego doskonalenia. Innymi słowy, bezpieczeństwo oznacza ciągłą działalność jednostek, społeczności lokalnych, państw lub organizacji międzynarodowych w tworzeniu pożądanego stanu bezpieczeństwa.

Z "bezpieczeństwem" (które odnosi się do terminu "security" i ma w języku angielskim trochę inne znaczenia, to trochę jak z "kolaboracją" i "collaboration") informatycznym w firmie jest trochę, jak z systemem jakości - nie jest to dokument / twór martwy, musi ciągle ewaluować i dostosowywać się do zmiennych warunków.

Nie do końca rozumiem, jak januszek postrzega "bezpieczeństwo". Powiedzmy, że wracając do domu, zamykając drzwi na klucz czuję się "bezpiecznie". Mam dobrej jakości alarm antywłamaniowy, czujniki dymu, gazu, zalania, czy CO2 i inne zabezpieczenia poprawiające moje bezpieczeństwo. Zgodzę się, że po części poprawiają jedynie one mój komfort psychiczny (będąc na wakacjach będę mógł śledzić w HD, jak ktoś wynosi moje zabawki z domu), jednak nie o to chodzi. Znam zagrożenia (żywioły, czy zwykły czynnik ludzki, jak za którymś razem nie wyłączę żelazka, to będę w głępokiej dupie), ale całkowicie przestać eliminować zagrożenia?

Zgodzę się, że jak ktoś będzie chciał, to wejdzie do mojego mieszkania razem ze ścianą. To samo tyczy się infrastruktury IT: wchodząc do serwerowni, przechodząc przez kilka "bram" (odcisk palca / oka / pośladka), będąc śledzonym kamerami nikt nie ma pewności, czy nie przyjąłem się do tej pracy, własnie żeby wykraść dane.
To samo też tłumaczę lokalnym IT zarówno w średniej wielkości firmom, jak i tych dużych (po 9000 pracowników). Nie jest najważniejsze, że szykując się na audyt sprawdzą, czy IOS na routerze nie jest podatny na nowy atak, albo czy użytownik z kadr przypadkiem nie ma dostępu do teoretycznie zastrzeżonego folderu zawierającego dane finansowe. W sytuacji, gdy "dział bezpieczeństwa" za bardzo cwaniakuje i chwali się procedurami, jest kilka prostych sztuczek, które sprowadzają ich na ziemię:

  • najczęściej jeszcze poza recepcją w firmach można znaleźć gniazdko ethernet i wpiąć się nim do sieci wewnętrznej, nawet nie do wydzielonego VLANu ("bo tam była kiedyś prezentacja w PowerPoint wyświetlana na dużym telewizorze"),
  • błędy w konfiguracji switcha: utworzenie własnego serwera DHCP, czy podpięcie się laptopem i wyczepanie puli DHCP rządaniami przyznania IP, lub wejście do sieci z adresem najważniejszego serwera (brak blokady MAC per port),
  • zbyt prosty dostęp do komputerów.
Przykładów można podać, jednak nie o to chodzi. Wiadomo: bardzo ważne jest utrudnienie nieautoryzowanym jednostką dostępu do sieci, albo tym bardziej do danych, jednak ważne jest też przygotowanie się na najgorsze (DR). Nie zgodzę się natomiast, że bezpieczeństwo to gadka-szmatka.

Linki / źródła:
http://www.wsge.edu.pl/pliki/teoretyczne-aspekty-bezpieczenstwa.pdf 

bezpieczeństwo inne

Komentarze

0 nowych
januszek   19 #1 24.04.2013 13:21

@bachus: Gadka-szmatka to pojęcie, w którym mieszczą się moim zdaniem wszystkie trzy nasze wpisy... :) Każdy jest o niczym, znaczy o "bezpieczeństwie" ;) I tego dotyczy moja krytyka... ;P

bachus   20 #2 24.04.2013 13:39

@januszek: znaczenie związku frazeologicznego "gadka-szmatka": "słowa, które nic nie znaczą, dotyczące spraw błahych".

januszek   19 #3 24.04.2013 13:52

@bachus: Gdyby mnie ktoś zapytał, na jaki temat powinien prowadzić pogawędkę przez 30 min, ale żeby można było mówić o niczym a jednocześnie, żeby temat był z założenia potraktowany jako bardzo ważny to doradziłbym: "bezpieczeństwo teleinformatyczne" właśnie.
Myślisz, że ktokolwiek, po przeczytaniu wszystkich trzech naszych wpisów, jest bardziej "bezpieczny" niż był przed? ;)

bachus   20 #4 24.04.2013 14:04

@januszek: tak samo, jak od czytania o zdrowym odżywianiu, czy oglądaniu treningów nie poprawia się nasza kondycja fizyczna, tak samo jest jest z podawanym terminiem "bezpieczeństwa" w IT. Zwiększa się natomiast świadomość zagrożeń. W 30minut podawanej przez Ciebie "gadki-szmatki" można poruszyć szybko bardzo ważne tematy, które rozwinie już sobie we własnym zakresie słuchacz.
Prosty przykład... Mi wystarczy 4-5 minut, aby sprowadzić na ziemię zarząd firmy, który nie do końca rozumie DR i backup. Pada proste pytanie:
- co oznacza dla Ciebie brak dostępu do serwerów (tutaj przykład z offline serwerem CRM, plików, VPN itd.) przez 2-3 dni, albo dłużej,
- to może oznaczać koniec mojej firmy,
- czy masz backup?
- tak,
- czy umiesz go użyć w przypadku problemów? Ile czasu potrzebujesz na zdobycie nowych serwerów? Ile czasu potrzebujesz na postawienie środowiska na innym sprzęcie?

ŚWIADOMOŚĆ, nie tylko realne działania.

januszek   19 #5 24.04.2013 14:18

@bachus: Bo łatwo przekonać przekonanych ale co jeśli to nie jest firma z branży IT? Chciałbym zobaczyć jak w 4-5 min budzisz ŚWIADOMOŚĆ bezpieczeństwa teleinformatycznego np u członków zarządu szpitala, o którym pisuje Shaki81 na swoim blogu w serii "Specjalista...";) Myślę, że przypominałoby to tę scenę z opowiadania Kurta Vonneguta: "Niejaki Zog przybywa na Ziemię latającym talerzem, by powiedzieć, jak zapobiegać wojnom i leczyć raka. Przywozi te wiadomości z planety Margo, której mieszkańcy porozumiewają się za pomocą pierdnięć i stepowania. Zog wylądował nocą w stanie Connecticut i zobaczył dom w płomieniach. Wpadł do domu popierdując i przytupując, żeby ostrzec ludzi o straszliwym niebezpieczeństwie. Pan domu roztrzaskał mu głowę kijem golfowym".

bachus   20 #6 24.04.2013 14:34

@januszek: głównie pracuję z firmami, które nie są z branży IT. Nie podawaj za przykład firm szczególnie państowych, bo na górze jest najczęściej beton i jest to nie do ruszenia (ponad 3 lata próbowałem wprowadzić zmiany w instytucji państowej na szczeblu wojewódzkim z 27 siedmioma oddziałami). Do dzisiaj pamiętam płytki CD przysyłane z oddziałów i opisane za pomocą naklejki od dyskietek (zaklejony otwór płytki).
Podawałeś także świetny przykład braku umiejętności komunikacji. Większość ludzi specjalizujących się w "security" ma problem z wytłumaczeniem problemu. Jak wspomniałem, dyskusję zaczyna się zawsze od rzeczy mało technicznych, tłumaczy się prawie jak na motylkach i kwiatkach:
- co oznacza dla firmy wyciek tej tabelki w Excelu,
- co oznacza, jak SLA nie będzie spełnione i serwer leży 3h,
- co oznacza, że nie ma prądu,
- co oznacza (...).
Jak wspomniałeś, gdy spec od security przychodzi i przed zarządem stepuje i popierduje to nie ma się co dziwić, że pozostawia złe wrażenie i smród.

januszek   19 #7 24.04.2013 14:53

@bachus: Ja myślę, że to co opisujesz w podanych tu przykładach nie opisuje "bezpieczeństwa" tylko "sprzedawanie idei bezpieczeństwa". Podoba mi się pytanie-przykład o wyciek "tej tabelki w Excelu" - bo w rzeczywistości dopóki faktycznie nie wycieknie to nikt nie wie jakie mogą być tego skutki. Co najwyżej komuś może się coś wydawać. Zwykle bardzo mocno wtedy przesadza w ocenie.

Ot, znałem jednego wysokiego stołkiem menadzera, który pokazywał w Excelu pewną "bardzo istotną tabelkę" i tłumaczył, że gdyby ona opuściła firmę to taki ktoś jak on, mógłby na jej bazie skutecznie położyć firmę na łopatki. Z czasem życie to zweryfikowało bo menadzer pokłócił się z właścicielami skutkiem czego wyleciał z firmy. Tak się złożyło, że razem z tą "bardzo istotną tabelką". I nic się nie stało... ;)

Autor edytował komentarz.
Over   9 #8 24.04.2013 15:55

Każdy ma swoje indywidualne zdanie dotyczące pewnych "zagadnień" i nie widzę sensu na siłę komuś swój pogląd myślenia narzucić.
Każdy ma po trochu racji, tylko kwestia się dogadać i wspólnie dojść do konsensusu.
Każdy myśli po swojemu na swój sposób i tego się trzymajmy ;)

tfl   8 #9 24.04.2013 16:29

@januszek

"Podoba mi się pytanie-przykład o wyciek "tej tabelki w Excelu" - bo w rzeczywistości dopóki faktycznie nie wycieknie to nikt nie wie jakie mogą być tego skutki. Co najwyżej komuś może się coś wydawać. Zwykle bardzo mocno wtedy przesadza w ocenie."

Czyli dla ciebie problemu (zagrozenia, a co!) nie ma, poki sie nie wydarzy, bo nie mozna przewidziec skutkow? Szczerze mowiac ponownie nie potrafie zrozumiec jakies jest twoje zdanie. Raz piszesz tak:

'Będąc świadomym zagrożeń możemy *świadomie* ich unikać albo zachowywać się tak aby *świadomie* ograniczyć rozmiary szkody kiedy dane zagrożenie wystąpi."

a raz piszesz tak:

"bo w rzeczywistości dopóki faktycznie nie wycieknie to nikt nie wie jakie mogą być tego skutki."

me dizzy

bachus   20 #10 24.04.2013 16:37

@januszek: może inaczej, na przykładzie. Ciemna noc, wiejska, nieoświetlona droga i wracasz z imprezy "na batmana", czyli czarne ciuchy, nie widać Ciebie. Jesteś dobrze wcięty, nie za bardzo "przeszkadzają" Ci mijające Cię na otarcie samochody, aż któryś jednak "wceluje". Na drugi dzień wracasz w ten sam sposób, ale już jesteś świadomy niebezpieczeństwa: na widok nadjeżdzającego samochodu schodzisz prawie że do rowu, albo telefonem dajesz znać, że jesteś na poboczu i kierowca ma więcej czasu na reakcję. W obu przypadkach niby te same warunki, ale jakby przeanalizować, idąc "na trzeźwo", mając próbując dodatkowo minimalizować zagrożenie, poczucie bezpieczeństwa jest mniejsze.
Tutaj nasuwa się wniosek: bezpieczeństwo to też świadomość zagrożeń i wcale nie oznacza, że jest się bezpiecznym.

januszek   19 #11 24.04.2013 19:43

@tfl: Nie czytasz uważnie i potem zmyślasz... Bo nie napisałem, że "zagrożenia nie ma, póki sie nie wydarzy"! Napisałem, że osoba, która nie ma wiedzy o bezpieczeństwie (bo była mowa o poziomie na którym "tłumaczy się prawie jak na motylkach i kwiatkach" - czyli to poziom wiedzy jak u dziecka) nie jest w stanie realnie określić możliwych ***skutków*** zdarzenia dopóki takie nie wystąpi. Dlatego potem postawiłem tezę, że taka osoba zwykle bardzo mocno przesadza w takiej ocenie...

@bachus: Zupełnie nie rozumiem, co konkretnie opisujesz taką analogią. Swoją drogą byłem kiedyś pasażerem pojazdu, który przy prędkości ponad 100km/h uderzył w takiego wracającego "na batmana". Auto zostało poważnie uszkodzone a delikwent w zasadzie wyszedł z tego cało. W czasie rozprawy przed kolegium ds wykroczeń pochwalił się nawet, że to nie pierwsze jego takie zdarzenie bo wcześniej wyszedł cało także z sytuacji, kiedy był mocno pijany i potrącił go pociąg. Pozwala mi to sądzić, że ryzyko pewnych zdarzeń dla osób mocno pijanych jest niższe niż tych trzeźwych ;P

JanStefan   6 #12 24.04.2013 20:53

Nie ma czegoś takiego jak "bezpieczeństwo" - słowo "bezpieczeństwo" ukazuje coś fikcyjnego, ale w coś co ludzie wierzą by mogli skupić się na innych procesach aniżeli zapewnieniu sobie "bezpieczeństwa". Tak samo jest ze słowem "bóg", "temperatura ujemna" itd. itp. Ostatnio taką specyfikę znaczenia słów nabierają słowa "masło" które masłem nie jest, "sok" który sokiem nie jest itd. itp. Tym samym rozwodząc się nad nijakim bezpieczeństwem nie rozmyślamy dosłownie o bezpieczeństwie, a o dodawaniu argumentacji - nadawaniu sensu tego słowa, chociaż według mnie jest to bezsensu :)

To tak jakby mówić o bezpieczeństwie jadąc motocyklem 300 km/h i argumentować bezpieczeństwo tym, że trzymasz kierownicę.

A i jeszcze jedno. Ludzie nadają sens słowu "bezpieczeństwo" by uciec od losowości życia, czyli pewnej bezbronności. Z tego powodu też poszukują boga...

Pozdrawiam
JanStefan

Autor edytował komentarz.
tfl   8 #13 24.04.2013 20:55

@januszek

A czy czytales na tyle uwaznie, zeby zauwazyc ze zdanie, z ktoreg fragment cytujesz konczy sie pytajnikiem?

Shaki81 MODERATOR BLOGA  38 #14 24.04.2013 22:15

@januszek - "Chciałbym zobaczyć jak w 4-5 min budzisz ŚWIADOMOŚĆ bezpieczeństwa teleinformatycznego np u członków zarządu szpitala, o którym pisuje Shaki81 na swoim blogu" - też chciałbym to zobaczyć:) Pewnie bahus obnażyłby wszystkie słabe punkty moich zabezpieczeń (a na pewno takie mam), zarząd by mnie wywalił, a mój ewentualny następca robiły by to samo co ja, czyli kleił te graty, aby to wszystko się jakoś toczyło a nie zajmował się jakiś tam bezpieczeństwem o którym rzeczony zarząd nie ma pojęcia.

Co do samej kwestii bezpieczeństwa. Każdy jest na tyle bezpieczny na ile sobie to bezpieczeństwo przygotował.

bachus   20 #15 24.04.2013 22:49

@Shaki81: ale to jest właśnie złe podejście, że zewnętrzy audyt, czy konsultacja jest w celu kompromitacji/ośmieszenia IT i w najlepszym wypadku obcięciu premii a w najgorszym zwolnieniu. To nie tak działa. Tak samo, jak np. trener w siłowni wytyka błędy i jego rada potrafi odmienić o 180 stopni sposób wykonywanego ćwiczenia, albo dietetyk podpowie, że jedzenie jogurtu "light" (bez tłuszczu) nie oznacza, że się zrzuci oponę (bo zawiera dużo cukru).
Ktoś, kto prosi o pomoc z zewnętrz tylko z racji chęci dogryzienia swoim pracownikom wydaje niepotrzebnie pieniądze.

januszek   19 #16 25.04.2013 07:24

@bachus: Na pewno Shaki81 doskonale to wie ;) Ty postaraj się zrozumieć, że najlepszą metodą poprawienia bezpieczeństwa teleinformatycznego w tym Szpitalu byłoby powołać Shakiego na członka Zarządu ;P

Teraz poważnie: W firmach (spoza branży IT), działy IT, szczególnie te małe (często jednoosobowe, zwykle przypadkowe wybrane z pośród pracowników lepiej orientujących się technicznie), potężnie niedofinansowane, które używają "cudów na kiju" aby cała ich muzealna infrastruktura (czasem sprzęt jest w takim stanie, że nawet do muzeum się już nie nadaje) jako tako funkcjonowała - nie mają w przyrodzie większego wroga niż Pana Teoretyka Security IT, który w ramach auditu, stara się pojęcie "bezpieczeństwa teleinformatycznego" wytłumaczyć mikrozarządzającemu firmą Zarządowi, składającemu się w 100% z nietechnicznych koniunkturalistów i karierowiczów (państwowy beton, o którym pisałeś, przy nich wydaje się być bardzo plastyczny) ;)

Axles   17 #17 25.04.2013 10:23

Kolejny bardzo dobry wpis od Bahusa, jednak nie powstałby bez januszka i tfl. Bardzo dobrze się czyta waszą dyskusję lecz bynajmniej nie dlatego, że macie odmienne zdania :)

tfl   8 #18 25.04.2013 11:21

@januszek

Troche, jakby miec pretensje do Kimi Raikkonena, ze opowiada kurierowi o wchodzeniu w zakrety na mokrej nawierzchni przy 300 km na godzinę.

Teraz powaznie: gdy chodzi o zarabianie pieniedzy w branzy it, a nie sklejanie modeli w muzeum techniki, specjalista do security jest osoba nieodzowna. Podkreslam - zarabianie pieniedzy. To znaczy takich pieniedzy, ktore pozwalaja na danie pracy kilkuset osobom, eksploracje rynkow zagranicznych, ROZWOJ, a nie wakacje raz w roku w Egipcie z czteroosobowa rodzina.

nawiasem mowiac: Jakos trudno mi uwierzyc, ze firmaw, w ktorej "czasem sprzęt jest w takim stanie, że nawet do muzeum się już nie nadaje" jest w stanie wylozyc kilkanascie tysiecy zlotych na audyt zewnetrzny waskiego wycinka infrastruktury.

Mam nieodparte wrazenie, ze twoje doswiadczenia w tej dziedzinie ograniczaja sie do prosby sasiadki o zweryfikowanie bezpieczenstwa jej strony internetowej w ovh, ktora przez allegro prowadzi sprzedaz recznie robionych zaproszen na sluby. Ewentualnie podpierasz sie przykladami szpitala, ktory (kiedy ostatnio sprawdzalem) zajmowal sie leczeniem ludzi, a nie robil pieniadze na rynku IT (btw- wole, zeby zarzad szpitala byl w stanie wybrac lekazy, ktorzy odrozniaja watrabe od nerki, niz specjalistow od bezpieczenstwa. Kazdy powinien skupic sie na tym, co robic potrafi).

bachus   20 #19 25.04.2013 11:38

@tfl: mam wrażenie, że teraz Ty się zapędzasz i uważasz, że IT jest dla IT a nie dla ludzi. Infrastruktura informatyczna (czy to w Google, czy w szpitalu) jest NARZĘDZIEM, a nie sztuką dla sztuki. To taka sama pomoc w biznesie, jak kserokopiarka, ciepła woda w kranie, światło i drożny kibelek. Czy widziałeś od środka IT w firmach państwowych? Tam "dobre IT" oznacza w wielu sytuacjach dla pracowników i co najgorsza dla osób decyzyjnych nowy monitor i szybki komputer i dobrze działający FB, czy inne NK. To, że lokalny informatyk własnym młotkiem kuje korytka pod kabel na trzecie piętro, to nie ważne. To, że główny serwer działa na dysku IDE SATA bez RAID, to nie ważne. "Backup? Po co backup? Przecież mi komputer działa! Co mi pan tu truje o jakiś kopiach!".

januszek   19 #20 25.04.2013 11:45

@tfl: Niezłe ;) Już widzę jak Kimi Raikkonen robi audyt w DHL-u i tłumaczy potem prezesom, że gdyby kurierzy wchodzili w zakręty agresywniej to efektywność firmy i co za tym idzie zyski, wzrosły by wykładniczo ;P

tfl   8 #21 25.04.2013 11:53

@bachus

Nie. Po prostu zdaje sobie sprawe, ze w instytuacja panstwowych typu szpitale itp, sa inne, wazniejsze elementy, na ktore trzeba wydawac pieniadze. Z drugiej strony sa takie podmioty (glownie na rynku IT), ktore swoja przyszlosc uzalezniaja od bezpieczenstwa. Ale dzialalnosc szpitala statutowa, ze tak powiem, nie jest uzalezniona od zapewniania dostepu do internetu, albo innych (setek innych) czynnikow, ktore moga zostac zagrozone. Wobec tego nie zgadzam sie z ogolnianiem poziomu "dbania" o bezpieczenstwo wsrod wszystkich instytucji, firmy itd, ktore posiadaja staly dostep do internetu i jeden komputer i tych, ktore zyja tylko dzieki informacja, ktore generuja i sposobie ich generowania.

a jesli takie rozbieznosci wystepuja to nie mozna na calosc patrzec z jednej perspektywy.

januszek   19 #22 25.04.2013 12:07

@tfl: Jeśli masz na myśli pewien szczególny wycinek tych przedsiębiorstw z branży IT dla których infrastruktura IT jest tym czym dla ryby jest woda, czyli takich firm, dla których "wydatek kilkunastu tysięcy złotych na audyt zewnętrzny wąskiego wycinka infrastruktury" to inwestycja a nie koszt - to po co piszesz o: "złych przestępcach czyhających na dane dostępowe do Facebooka" albo o szyfrowaniu dysku, "takiego w domku, w komputerze który stoi w pokoju?"? Sam wymieszałeś i rozbełtałeś realia ;)

tfl   8 #23 25.04.2013 13:24

@januszek

Chodzilo mi wtedy o to, ze czasem bez sensu stosowane sa zabezpieczenia przed niebezpieczenstwem, ktorego nie ma. "Poziom zabezpieczeń bowiem trzeba mądrze dostosować do zabezpieczeniami objętych elementów. "

2099   8 #24 25.04.2013 13:38

Panowie gratuluję dyskusji, czyta się bardzo dobrze. Wydaje mi się że główna różnica w waszych podejściach wynika z doświadczeń i pracy w różnych środowiskach. Ja pracuję w małej kilkunastoosbowj firmie a i tutaj temat security naszej sieci pojawia się pomimo braku elementarnych znajomości zagrożeń.
Czasem zawirusuje ktoś genialnie kompa, czsem szef paranoidalnie stwierdza że nasza wewnętrzna poczta została udostępniona konkurencji. Takie zagrożenia i urojenia to ciągły temat niekończących się spotkań bezskutecznie promujących ideę "safety first" :)
Bezpieczeństwo to teraz tym bardziej chodliwy i medialny towar, bo media atakują nas obrazami czy to czychających na nasze dane hakierów, czy też koreańsko-chińskich elektronicznych bandytów przygotowujących grunt pod III wojnę. O nieuczciwej konkurencji i możliwości walki z konkurencją w internecie można by pisać i pisać- ale ze zrozumieniem tego co napisano byłoby jak zawsze....