Bezpieczeństwo - porozmawiajmy poważnie...

Nosiłem się z pomysłem na ten wpis od bardzo dawna. Ostatecznie wciąż się waham co o tym wszystkim myśleć. O czym?

A no o tym, że bezpieczeństwo w świecie IT stało się popularnym motywem. Stało się trendy. Czyli stan, o którym osoba odpowiedzialna za bezpieczeństwo informacji, wymarzyła sobie lat temu 10. Dziś pewnie pluje sobie w brodę. Ja sobie pluję. Bo wraz ze wzrostem popularności "bezpieczeństwa", bezpieczeństwo dewaluowało się. Brudziło. Podobnie jak sam internet, w którym od dawna więcej jest śmieci niż wartościowych treści. Co gorsza, bezpieczeństwo, hacking, wiedza o tym, zdaje się być przez niektórych postrzegana jak rodzaj elitarności. Zdaje się dawać urojoną przewagę nad innymi. Naturalny popęd defacto, ale ilu dziś siedemnastolatków wyposażonych w loica ma się za Petera Parkera?

Popularne jest przekonanie, że wyznacznikiem bezpieczeństwa jest ilość zabezpieczeń. Czasem ktoś pomyśli także o jakości zabezpieczeń, choć zazwyczaj gdy mowa już o jakości to wzmiankowany poziom bezpieczeństwa wyznacza iloczyn jakości i ilości. A przecież tak nie jest. Bezpieczeństwo to umiejętność zachowania równowagi między zabezpieczeniami a funkcjonalnością i wartością zabezpieczanego. Pomówmy o tym przez chwilę.

Co zabezpieczamy?

Czy pomyślałaś kiedyś czytelniczko albo Ty, czytelniku, co zabezpieczasz szyfrując swój dysk? Taki w domku, w komputerze który stoi w pokoju? No co tam masz, tak naprawdę? Zdjęcia z wakacji? CV? Nieopublikowane wiersze? Co zabezpieczasz, gdy zakładasz kolejne ACL na kolejne porty na swoim routerze? Zaszyfrowane pakiety http? Czy stajesz się bezpieczniejszy, gdy popatrzysz na kłódeczkę przy pasku adresowym? A na pewno to rozumiesz, wiesz co to oznacza? Jak myślisz, ilu złych przestępców czyha na Twoje dane dostępowe do Facebooka?

Tymczasem bez zmrużenia oka udostępniamy zdjęcia na portalach społecznościowych oddając je pod kontrolę, na którą nie mamy nawet złudnego wrażenia wpływu. Przesyłamy CV do pracodawcy, robiąc podobnie. Zakładając blokady na porty w końcu dojdziemy do takiego stanu, że nie uda nam się odpalić gry, a o uruchomieniu własnej nasłuchującej aplikacji będziemy mogli tylko poczytać w książkach o grzecznych chłopcach.

Poziom zabezpieczeń bowiem trzeba mądrze dostosować do zabezpieczeniami objętych elementów. Mówi się, że koszt przełamania zabezpieczenia powinien wynosić więcej niż wartość zabezpieczonych elementów. To uproszczenie. Nie jest tak do końca. Może się bowiem zdarzyć tak, że niezależnie od wartości elementów nie można je zabezpieczyć na tak wysokim poziomie.

Przykład? Nasz biznes opiera się na udostępnianiu usług powiedzmy finansowych. Realizujemy operacje kartami kredytowymi. Musimy więc przestrzegać bardzo surowych, ale jasno określonych reguł. Dodatkowo chcemy oferować dodatkowe usługi dla naszych klientów lub klientów naszych klientów. Musimy więc wystawić nieco więcej, niż każdy wystawia. Świadomie narażamy się na ryzyko, ale je podejmujemy.

Kiedy zabezpieczamy?

Analiza ryzyka. Dwa kluczowe słowa w kontekście bezpieczeństwa przez duże B. Firmy pracujące na rynku IT (choć moje doświadczenia ograniczone są głównie do dziedziny IT związanej z internetem) prześcigają się w ich tworzeniu. W czasie trwania analizy generowana jest lista aktywów (systemów, które będziemy zabezpieczać), lista potencjalnych zagrożeń wraz z prawdopodobieństwem wystąpienia, lista zabezpieczeń przeciw zagrożeniom wraz z ich ewentualną skutecznością. Na podstawie tych danych oblicza się różne współczynniki (między innymi tzw. security delta. Określa ona wartość bezpieczeństwa. W przypadku, gdy jest wyższa od zera uważa się, że wartość [koszt] bezpieczeństwa jest za wysoka, gdy niższa - wartość jest za niska). Na podstawie tych współczynników tworzona jest mapa bezpieczeństwa. Ta natomiast przekazywana jest właścicielom aktywów.

Tak, tak. To właściciel aktywów, a nie dział IT (albo jednostka wyznaczona do dbania o bezpieczeństwo informacji), podejmuje decyzje o wartości bezpieczeństwa i sposobie realizacji tegoż. Dział IT wchodzi do akcji dopiero, gdy właściciel systemu będzie tego oczekiwał.

Jak zabezpieczamy?

Złudne jest założenie, że wszystko da się zabezpieczyć systemowo. Wprowadzając firewalle, ipsy, ograniczać dostęp, szyfrując, tworząc DMZ i inne karkołomne zabezpieczenia. Przecież ktoś ostatecznie musi mieć dostęp do danych wrażliwych, które staramy się chronić. Inaczej jak miałyby powstać? Możemy potworzyć miliony procedur i najbardziej restrykcyjnych zasad wewnętrznych i pewnie i tak nie uda się wszystkiego ochronić. Ostatecznie dochodzimy do momentu, kiedy można zrobić tylko dwie rzeczy. Po pierwsze przenieść ryzyko na inny podmiot (ubezpieczyć się na wypadek utraty danych itd.). Po drugie - ryzyko zaakceptować.

Akceptacja ryzyka nie powinna być traktowana jako daleko idąca ignorancja. Wręcz przeciwnie. Raczej jako świadoma decyzja. Świadoma, to słowo, na które kładę nacisk. Nie można przecież doprowadzić do sytuacji, w której zabezpieczenia sparaliżują nasz biznes. W tym miejscu jest ogromne pole do popisu dla audytora, działu IT lub kogokolwiek, kto zajmuje się bezpieczeństwem. Należy właścicieli uświadamiać.

Świadome bezpieczeństwo

Moim zdaniem właśnie świadomość i konsekwencja są prawdziwymi wyznacznikami bezpieczeństwa. Te dwie cechy pozwalają na umiejętne odnalezienie równowagi między potrzebami zachowania odpowiedniego poziomu zabezpieczeń i płynności pracy.

A na koniec kilka sloganów, w które jeszcze wierze. Po pierwsze - bezpieczeństwo to proces. Nie wolno więc pracować w trybie reakcyjnym (rzucając się na głęboką wodę, zabezpieczając coś bez sensu i bez brania pod uwagę ewentualnych konsekwencji). Po drugie - nigdy nie przeprowadza się audytu niezabezpieczonych systemów. Jaki z tego sens? Audytowi poddaje się zabezpieczenia. Po trzecie - najsłabszym ogniwem jest człowiek, najbezpieczniejszy system operacyjny, najbezpieczniejsza aplikacja, najlepsze procedury nic nie dadzą, jeśli odpowiednio nie zabezpieczymy się przed człowiekiem wewnątrz.