Bezpiecznie u podstaw

Osiągnięcie wysokiego poziomu bezpieczeństwa środowiska jest łatwiej osiągalne dla dużych organizacji, gdzie opłacalne są własne nakłady na wielopoziomowe zabezpieczenia sprzętowe i programowe. Wielopoziomowość zabezpieczeń, nawet tego samego rodzaju, ale pochodzących z różnych źródeł, jest istotnym czynnikiem ograniczającym ryzyko ich pokonania przez działającą z zewnątrz stronę o złych zamiarach.

Skala i zakres działania dużych organizacji uzasadnia także zatrudnianie własnych, odpowiedzialnych za bezpieczeństwo specjalistów i ciągłe doskonalenie ich wiedzy i umiejętności. Stała obecność takich specjalistów umożliwia obserwację zachowania środowiska i podejmowanie niemal natychmiastowych działań zapobiegawczych w przypadku zaobserwowania nieprawidłowości. Dużym organizacjom łatwiej również stosować okresowe, kompleksowe testy bezpieczeństwa całego własnego środowiska. Operacje takie są kosztowne zarówno w przygotowaniu, jak i wykonaniu i wymagają zazwyczaj udziału specjalistycznych organizacji zewnętrznych.

Nieco większym problemem, nawet dla dużych organizacji, jest testowanie bezpieczeństwa samych systemów informatycznych, udostępniających użytkownikom zewnętrznym pewien zakres funkcji samoobsługowych. Jeżeli system taki jest w całości tworzony przez własne zespoły projektowo-programowe, może ona mieć znaczny wpływ również na poziom jego bezpieczeństwa. Warunkiem jest jednak uwzględnianie aspektów bezpieczeństwa od samego początku tworzenia takiego systemu i systematyczna kontrola realizacji założeń w trakcie całego procesu jego powstawania.

Warunek ten często nie jest, niestety, spełniany. W praktyce dominuje dążenie do szybkiego uzyskania podstawowej funkcjonalności i późniejsze uzupełnianie jej o funkcje bezpieczeństwa. Takie podejście nie może zapewnić właściwego poziomu bezpieczeństwa i jest potem głównym źródłem problemów. Próby ich usuwania nie dają, bo nie mogą na tym etapie już dać, istotnego polepszenia, psując przy okazji jasność logiki całego systemu i utrudniając w ten sposób przyszłe w nim zmiany.

Wprowadzanie zmian w konstrukcji zabezpieczeń w późnych etapach projektu (albo, co gorsza, w jego kolejnej iteracji) pociąga za sobą wyższe nakłady i wymaga bardziej złożonych testów, w których gwałtownie rosnący udział mają testy regresyjne mające dowieść, że wprowadzone zmiany nie naruszyły funkcjonalności systemu w innych jego obszarach. Wielokrotnie negatywne wyniki tych testów uruchamiają spiralę zmian, wyjściem z której jest swoisty kompromis, oznaczający zgodę na mierny w istocie poziom bezpieczeństwa systemu przy pogorszonej jego funkcjonalności. Każda kolejna zmiana, którą trzeba wprowadzić do systemu, uruchamia ten sam mechanizm, czyniąc utrzymanie systemu w jako takiej sprawności bardzo kosztownym, a przy tym niepewnym.

Podobne zagrożenia mogą pojawić się w przypadku, gdy tworzeniem takiego systemu zajmuje się, na zlecenie, firma zewnętrzna. Organizacja zlecająca winna w takim przypadku zapewnić sobie prawo narzucania sposobu realizacji takiego przedsięwzięcia i kontroli w tym zakresie. To ostatnie jest jednak możliwe tylko wtedy, gdy organizacja ta dysponuje mogącymi tę funkcję wykonać specjalistami.

Rozwiązaniem stosowanym niezmiernie rzadko jest zlecanie kontroli projektu systemu i kodu jego programów przez niezależną stronę, która nie była w żaden sposób zaangażowana w tworzenie kontrolowanego systemu. Taka, starannie wykonana i poparta wynikami testów kontrola jest sposobem skutecznym, ale i bardzo kosztownym. Jej uproszczoną (a przez to i tańszą) odmianą może być poddanie systemu próbie znanych, spotykanych w praktyce ataków, którą to próbę przeprowadza się w wyizolowanym, służącym tylko temu celowi, środowisku.

Duże organizacje, takie jak np. banki, które przed laty pierwsze podejmowały próby obsługi swych klientów poprzez sieć Internet, przywiązywały do bezpieczeństwa związanych z tym działań olbrzymią wagę, często nie bacząc na związane z tym koszty. W pionierskim okresie popularyzacji tej drogi kontaktów z klientami odegrało to istotną rolę, skutecznie zachęcając ich do korzystania z niej.

Stan ten był jednak nie do utrzymania w dłuższym okresie, gdyż jak się okazało, pełne panowanie nad całą uczestniczącą w tym infrastrukturą nie było możliwe. W końcowym rachunku tańsze okazało się przejęcie części ryzyka i odpowiedzialności, dotąd obciążających wyłącznie klientów, na siebie. Nie bez znaczenia był tu też rozwój niektórych form ubezpieczeń od ryzyk związanych z działalnością operacyjną.

Mała firma, duży problem

W znacznie trudniejszej niż duże organizacje sytuacji znajdują się pod tym względem firmy średnie i małe, dla których samoobsługa za pośrednictwem sieci Internet jest istotnym źródłem dochodów. Nie dysponują one na ogół własnym zapleczem kadrowym, które mogłoby zajmować się sprawami bezpieczeństwa, tak jak to czynią duże organizacje, a za ich środowisko informatyczne odpowiada często inna organizacja, specjalizująca się w tego rodzaju usługach.

Ryzyko jest niepomiernie większe, niż w przypadku dużych organizacji. Firmy świadczące tego rodzaju usługi nie godzą się na rekompensatę szkód wykraczającą poza zwrot opłat w wysokości proporcjonalnej do czasu przerwy w obsłudze, nie rekompensując jednak w ogóle przerw określanych w umowach jako "krótkie". Przez te ostatnie rozumie się przerwy w obsłudze trwające od kilku do kilkunastu godzin.

Trudno doradzać małym firmom, by naśladowały omówione tu formy działań firm dużych. Wyjątkiem mogłoby być jedynie poszukiwanie stosownych form ubezpieczenia. Bez względu na to, czy korzystają one z własnych środowisk informatycznych, czy dzierżawią w jakiejś formie moc obliczeniową i inne zasoby obcych komputerów, są i będą bardziej narażone na skutki nadużyć i ataków.

W efekcie małe firmy są w znacznie gorszej sytuacji niż ich duże odpowiedniki, a ich mniejsza "masa krytyczna" zwiększa jeszcze ich podatność na naruszenie bezpieczeństwa informacyjnego i ich systemów informatycznych. Rozbieżność interesów i brak świadomości współistnienia w jednym, usługowym środowisku informatycznym utrudniają również porozumienie i jednolite stanowisko wielu takich małych firm wobec dostawcy usług.

Ważne również jednak, a może i najważniejsze w tej sprawie, jest to, by z ułomności bezpieczeństwa korzystania z systemów informatycznych na odległość zdawali sobie sprawę sami ich użytkownicy. Nauka przez powtarzane wielokrotnie negatywne doświadczenia wydaje się zbyt kosztowna, zaś nadużywane często wobec nich reklamowe zapewnienia o pełnym - rzekomo - bezpieczeństwie - po prostu nieuczciwe.