Według ostrożnych szacunków globalny rynek bezpieczeństwa informatycznego na koniec roku 2005 będzie miał wartość 21 mld USD. Przychody największego gracza na tym rynku (firma Symantec)wyniosły ponad 1,9 mld USD w roku obrachunkowym zakończonym w kwietniu 2004 r. Powszechne odczucie jest takie, że wzrastająca skala zagrożeń wymusza większe inwestycje w bezpieczeństwo. Czas odwrócić to stwierdzenie i zapytać, jaka jest efektywność tych wydatków, skoro mimo wzrastających inwestycji bezpieczeństwo informatyczne jest nadal niedostateczne?

Ostatnie lata to rozkwit rynku bezpieczeństwa informatycznego. Wraz z coraz większym "usieciowieniem" społeczeństwa i przedsiębiorstw pojawiają się nowe zagrożenia. Jednocześnie coraz większą rolę zaczęły odgrywać działy bezpieczeństwa w przedsiębiorstwach. Odpowiadają nie tylko za bieżące neutralizowanie zagrożeń, ale także za politykę bezpieczeństwa i świadomość użytkowników. Wraz z rozkwitem tej dziedziny wzrasta rola standardów bezpieczeństwa informatycznego oraz specjalistów znających i stosujących te standardy.

Może się wydawać, że ten artykuł neguje wartość standardów bezpieczeństwa i audytów informatycznych. Tak jednak nie jest. W istocie postuluje jedynie, by bardziej uwzględniały one praktykę i realia ekonomiczne organizacji i jej otoczenia biznesowego.

Bezkompromisowy standard

Na I Krajowej Konferencji Jakości Systemów Informatycznych miało miejsce ciekawe zdarzenie. Krzysztof Młynarski, ekspert z firmy Teleinformatica, postawił tezę, że właściwie nie wiadomo jak ocenić, czy systemy informatyczne firmy są dobrze zabezpieczone czy nie. Skontrował tę opinię przedstawiciel organizacji ISACA mówiąc, że jakość zabezpieczenia systemów może oddać audyt informatyczny wg standardów COBIT.

Obaj panowie mieli rację. Ekspert - praktyk z firmy zabezpieczającej systemy i sieci miał na myśli rzeczywistą ochronę systemów przedsiębiorstwa, stosownie do jego możliwości oraz wartości zgromadzonych w systemach informacji. Przedstawiciel ISACA miał oczywiście na myśli spełnienie wszystkich punktów z promowanego przez swoją macierzystą organizację standardu. Mówili o dwóch różnych "bezpieczeństwach". Niestety, nader często są one mylone także przez firmy.

W przypadku stosowania rozmaitych wytycznych, takich jak COBIT, charakterystyczna jest ich bezkompromisowość. Na stronie ISACA (http://www.isaca.org/cobit.htm ) można znaleźć krótki opis standardu. Uderza jego zawiła terminologia ("implement effective governance over the IT that is pervasive and intrinsic throughout the enterprise") oraz obszerność - cały standard obejmuje aż 38 procesów biznesowych IT oraz aż 318 szczegółowych wytycznych kontrolnych.

Zwraca uwagę kompletny brak odniesienia do wielkości organizacji, nasycenia jej biznesu środkami informatycznymi, istotności składowanych informacji i - nade wszystko - kosztu eliminacji ryzyka. Stosowanie takiego "bezkompromisowego" audytu można zilustrować przykładem z życia.

Otóż podczas prowadzenia audytu w przedsiębiorstwie z branży FMCG zauważono, że jeden ze światłowodów rdzenia sieci biegnie kilkumetrowym odcinkiem w łatwo dostępnej listwie, razem ze zwykłą skrętką. Ten fragment listwy odpinany będzie każdorazowo, gdyż ta część otwartej przestrzeni biurowej wymaga zainstalowania nowego gniazdka. Osoba niepowołana, argumentował audytor, mogłaby w ten sposób uzyskać dostęp do fizycznego łącza i to ryzyko powinno być wyeliminowane.

Oczywiście każdy praktyk wie, że światłowód to nie rura z wodą ani kabel elektryczny i nie da się uzyskać dostępu do sygnału wewnątrz światłowodu bez jego fizycznego przecięcia (które musiałoby być zanotowane przez oprogramowanie zarządzające siecią). Gdyby to się nawet stało, obróbka przeciętego światłowodu wymaga specjalistycznego sprzętu i wiedzy, nie mówiąc o tym, że urządzenie, które mogłoby sygnał w tym światłowodzie "odczytać", kosztuje kilkanaście tysięcy złotych. Sygnał w światłowodzie był szyfrowany przynajmniej przez dwa protokoły wyższych warstw. Ewentualny intruz musiałby więc ponieść koszty kompletnie niewspółmierne do korzyści, które mogłaby przynieść kradzież przesyłanych światłowodem informacji. Niestety, ta argumentacja trafiła w próżnię - opisywana firma została zmuszona do przeprowadzenia inaczej tego fragmentu rdzenia sieci, ponosząc bardzo duże koszty rekonfiguracji sieci.

Inne zalecenie dotyczyło tego, by gniazdka RJ45 aktualnie niewykorzystywane przez żadne stanowisko pracy były nieaktywne, tj. niepodłączone do koncentratora w szafie krosowniczej. Oczywiście dostęp fizyczny do szafy krosowniczej (znajdującej się w chronionym pomieszczeniu) jest ograniczony do grupy uprawnionych osób, a każde wejście do tego pomieszczenia wymaga autoryzacji i jest rejestrowane. W efekcie konfiguracja nowego miejsca pracy trwa wielokrotnie dłużej, kosztuje dużo więcej, zaś pracownicy z komputerami przenośnymi nie mogą się ad hoc podłączać do sieci. Korzyści z takiego ograniczenia trudno jednoznacznie wskazać - mimo to musiało być ono zrealizowane.