Lwy, tygrysy, niedźwiedzie

Z Tomem Noonanem, założycielem i prezesem firmy Internet Security Systems, rozmawia Krzysztof Frydrychowicz.

Z Tomem Noonanem, założycielem i prezesem firmy Internet Security Systems, rozmawia Krzysztof Frydrychowicz.

Panuje opinia, że firmy zajmujące się bezpieczeństwem IT podsycają atmosferę zagrożenia..

... a firmy żyjące z ochrony antywirusowej same piszą wirusy, przed którymi później chronią. Trudno polemizować ze spiskowymi teoriami. Fakty mówią same za siebie. Na świecie są setki tysięcy hakerskich stron internetowych, co i rusz odnajdywane są dziury bezpieczeństwa w każdym elemencie infrastruktury informatycznej. Nie trzeba już dodatkowo podgrzewać emocji.

Jakie dostrzega Pan główne wyzwania w dziedzinie bezpieczeństwa IT?

Tom NoonanW sieci pojawia się mnóstwo nowych zagrożeń, jak chociażby phishing (wyłudzanie poufnych danych, np. numerów kart kredytowych przez przestępców podszywających się pod znany bank - red.), zaliczany przez FBI do najgroźniejszych plag w Internecie, czy SPIM - spam rozpowszechniany poprzez komunikatory instant messaging. Na szczęście w cyfrowym świecie wiemy, jak zabezpieczyć się przed następnym atakiem cyfrowych lwów, tygrysów i niedźwiedzi. Gorzej w przyrodzie, czego dowodem są katastrofalne huragany nawiedzające Florydę.

Prawdziwy problem leży gdzie indziej. Korporacje wydają krocie, a mimo to nadal nie czują się bezpiecznie. Raporty Gartnera pokazują, że firmy co roku zwiększają nakłady na bezpieczeństwo IT prawie o 30%. Więcej niż połowa przypada na koszty pracy - głównie administrację. Ta rozrzutność nie może trwać wiecznie! Błąd tkwi w dotychczasowym podejściu do budowy infrastruktury bezpieczeństwa. Nikt dotąd nie myślał o spójnej architekturze zdolnej zapobiec znanym atakom, a jednocześnie gotowej stawić czoła nowym zagrożeniom.

Reagowano na doraźne zagrożenia, dokupując po prostu kolejną warstwę zabezpieczeń - firewall, IDS, antywirus.

Jestem pewien, że niedługo korporacje będą zmuszone na nowo przemyśleć strategie bezpieczeństwa. Muszą zrobić duży krok w tył, porzucić obecnie stosowane zabezpieczenia i skoncentrować się na rozwiązaniach, które gwarantują ochronę przed każdym przyszłym rodzajem ataku. Większość dostawców nadal patrzy na bezpieczeństwo przez pryzmat ochrony antywirusowej - reagujemy dopiero gdy pojawi się zagrożenie. To było dobre 10 lat temu.

Jak zatem będzie w przyszłości wyglądać rynek bezpieczeństwa?

Uważamy, że przyszłość należy do zunifikowanych platform, które można skalować i rozbudowywać w miarę ujawniania się nowych zagrożeń. Na drugim biegunie są dostawcy, którzy przejmują rozwiązania różnych firm, specjalizowane do ochrony przed konkretnymi zagrożeniami, a następnie starają się je skleić w ramach jednej oferty. Wreszcie są firmy, które koncentrują się wyłącznie na wąskich dziedzinach, np. na ochronie treści albo zaporach firewall.

Moim zdaniem dwa ostatnie modele są skazane na porażkę. Raporty Gartnera pokazują, że zarządzanie poszczególnymi warstwami ochronnymi - zaporami firewall, systemami IDS, filtrami antywirusowymi, pociągają największe koszty, jakie przedsiębiorstwa ponoszą na bezpieczeństwo.

Czy kolejnym krokiem będzie integracja zabezpieczeń informatycznych z fizycznymi?

W pewnym sensie obserwujemy to już teraz. Przejawem tego procesu jest integracja systemów zarządzania bezpieczeństwem ze strukturami katalogowymi przedsiębiorstw. Za tym idzie kontrola dostępu do aplikacji i danych, ale również do pomieszczeń.

Podobno od niedawna w podziemie komputerowe inwestują grupy przestępcze, w tym rosyjska mafia. Ile w tym prawdy?

Rzeczywiście, panuje opinia, że od 2004 r. przestępczość sieciowa stała się intratnym zajęciem. Zresztą nie ma się czemu dziwić. Kilkanaście lat temu nikt nie mówił serio o zabezpieczaniu sieci. Z prostej przyczyny - w sieci nie było handlu. Historycznie wszędzie tam, gdzie pojawia się wymiana handlowa, dają o sobie znać przestępcy. Im bardziej będziemy uzależnieni od infrastruktury sieciowej jako medium handlu, tym bardziej będą się nią interesować grupy przestępcze.

Dlaczego uważa Pan, że klienci powinni dążyć, by o bezpieczeństwo ich sieci dbał ktoś inny niż ten, kto dostarczył elementy do jej budowy? Wygląda to na obronę ISS przed takimi potentatami, jak Juniper i Cisco.

Klienci, z którymi mamy do czynienia, są zbyt inteligentni, by nabrać się na retorykę wymierzoną w konkurenta. Przekonanie o celowości rozdzielenia ról dostawców infrastruktury i zabezpieczeń ma oparcie w argumentach.

Luki bezpieczeństwa mają źródło w infrastrukturze. W momencie zidentyfikowania słabości swojego systemu dostawca przełącznika, routera, serwera, aplikacji natrafia na konflikt interesów. Musi otwarcie przyznać się przed klientem do błędu - "Oto nowy system ochrony do naszego systemu ochrony, który niestety okazał się dziurawy..."

Badanie bezpieczeństwa systemów informatycznych wymaga ogromnych inwestycji. Co roku przeznaczamy na ten cel ponad 20% przychodów. Nie jesteśmy związani z żadnym dostawcą infrastruktury. Rodzi się więc kluczowe pytanie - czy klienci potrzebują niezależnej ekspertyzy na temat swoich zabezpieczeń, czy wolą polegać na opinii dostawców, którzy nie zawsze potrafią spojrzeć obiektywnie na jakość swoich produktów?