Wszystko, co chcielibyście wiedzieć...

...o trendach w zapewnieniu bezpieczeństwa, współpracy międzynarodowej w związku z nowymi zagrożeniami, blokowaniu ataków i pomocy, jakiej udzielają takie organizacje jak CERT Polska, rozmawiamy z Krzysztofem Silickim, dyrektorem technicznym NASK.

Pytanie być może wyda się banalne, ale jak sprawdzić, czy firma jest bezpieczna?

Wbrew pozorom to bardzo trudne! Właśnie po to wymyślono audyty bezpieczeństwa teleinformatycznego. Jest to jedna z podstawowych usług, z której powinni korzystać szefowie firm i organizacji, używających sieci teleinformatyczne. Audyty wykonuje się w Polsce od wielu już lat. Klientom najbardziej odpowiada realizacja
od strony praktycznej. Szczególnie dotyczy to firm z sektora finansowego, których przedstawiciele podkreślają, że dla nich istotna jest praktyczna analiza poziomu bezpieczeństwa eksploatowanych systemów. Przedsiębiorstwa takie muszą znać stan bezpieczeństwa systemów IT, szczególnie tych, które są narażone na kontakt ze światem zewnętrznym. Tego nie wykaże krótki audyt, będący jedynie wypełnieniem listy kontrolnej. Oprócz dokumentów i certyfikatów, liczy się ocena rzeczywistego stanu bezpieczeństwa.

W jaki sposób przeprowadza się taki audyt?

Posiadamy własną metodologię, opracowaną przez lata i regularnie aktualizowaną o nowe aspekty, związane z nieznanymi dotąd zagrożeniami. Audyty przeprowadzamy z zewnątrz.
Jest to tzw. test penetracyjny. Przeprowadzamy także audyty kompleksowe, od wewnątrz, włącznie z analizą kodu źródłowego aplikacji. Dokonujemy także audytów bezpieczeństwa organizacyjnego. Sprawdzamy m.in. podatność firmy na ataki socjotechniczne. Audyt może potrwać nawet kilka tygodni i jego wynikiem
jest raport, który posłuży do wyciągnięcia wniosków i poprawy stanu bezpieczeństwa
w obszarach zagrożonych.

Kiedy jest najlepszy moment, aby przeprowadzić szczegółowy audyt?

Może to się wiązać np. z usługą bezpiecznego hostingu i kolokacji. Zanim zbuduje się taką usługę, należy dokładnie poznać stan bezpieczeństwa przejmowanych pod opiekę systemów klienta. Audyt bezpieczeństwa kodu źródłowego jest ważny, gdy w grę wchodzi hostowanie aplikacji. Jeśli posiada ona luki, zapewnienie jej bezpieczeństwa może być niemożliwe. Spotkaliśmy się też z przypadkiem, w którym aplikacji biznesowej klienta nie można było w żaden sposób "załatać" i musiała zostać wymieniona. Traktujemy systemy jako całość. Nasi klienci wymagają od nas usług daleko wykraczających ponad standard, także pod względem bezpieczeństwa, są nimi np. hostowane u nas serwisy ministerstw i innych agencji rządowych.

Gdzie napotykacie na problemy?

Często musimy działać na żywych, pracujących produkcyjnie systemach. Niektóre działania audytowe mogą powodować przestoje w pracy, mocno obciążać sieć czy aplikacje. Z jednej strony klient chce być audytowany, z drugiej strony wie, że audyt może wywołać uszczerbek w pracy jego systemów. Właśnie ten dylemat jest problemem u niektórych klientów. Nie ma jednak innego, równie skutecznego sposobu zbadania podatności na niektóre ataki niż rzeczywisty test.