Kwestia wiedzy i woli
-
- Leszek Grocholski,
-
- Andrzej Niemiec,
- 28.02.2005
W poważnej firmie czy instytucji w zasadzie każde nowe rozwiązanie sieciowe, a tym bardziej internetowe, powinno zostać przetestowane przez etycznych hakerów. Praktyka pokazuje, że administratorzy praktycznie nie reagują na informacje, że nowe rozwiązanie poddane zostanie testom wydajnościowym. Dlatego pozwalają na zeskanowanie portów, a następnie zablokowanie serwera przez etycznych hakerów. Przy drugiej próbie zablokowania serwera administratorzy zaczynają bardziej zdecydowanie reagować, natomiast dopiero trzeci atak i przekazanie im informacji o korzystaniu z usług etycznych szpiegów i hakerów wymusza na administratorach i oficerach bezpieczeństwa efektywne działania i ciągłą uwagę.
Na pewno nie ma najlepszej metody ochrony i zapewnienia bezpieczeństwa danych. Próby przekonania innych, że się taką metodę znalazło, świadczą o nikłej wiedzy i nadmiernym samouwielbieniu. Kluczem do sukcesu nie jest tworzenie nowych metod, ale systematyczne stosowanie już istniejących (np. norm ISO, zaleceń SEI, kodeksu etyki, ustawy o ochronie danych osobowych) właściwych dla wykonywanych zadań.
Zalecenia
Koszt ochrony informacji powinien być uzasadniony ekonomicznie. Zupełnie inne zasady bezpieczeństwa są stosowane w bankach, a zupełnie odmienne w małych firmach. Natomiast wszystkie organizacje mają możliwość pełnej ochrony i zapewnienia bezpieczeństwa zasobów, bowiem normy podpowiadają, co należy zrobić. Na podstawie norm można łatwo opracować procedury postępowania, zaś podstawowe procedury bezpieczeństwa wdraża się szybko i stosunkowo niewielkim kosztem:
Należy jednak cały czas pamiętać o tym, że 80-90% kradzieży danych dokonywanych jest wewnątrz organizacji (przez pracowników), zaś odpowiedzialne za bezpieczeństwo i ochronę danych osoby bardzo niechętnie przyznają się do popełnienia błędu. Szpiegostwo informatyczne i hakerstwo wymagają coraz większej wiedzy i umiejętności, których nie można wymagać od pracowników organizacji.
Jedynie audyty przeprowadzane przez firmy zewnętrzne mogą przynosić znaczne ograniczenie ryzyka niepowołanego dostępu czy zniszczenia zasobów. Audyty powinny być przeprowadzane na dwóch poziomach - proceduralnym, przez audytorów systemów zarządzania jakości (np. ISO 9001), oraz technicznym - przez etycznych specjalistów (hakerów) najwyższej klasy.
Dr inż. Leszek Grocholski jest pracownikiem naukowym w Instytucie Informatyki na Uniwersytecie Wrocławskim; dr inż. Andrzej Niemiec jest specjalistą w firmie PRIM sp. z o.o., rzeczoznawcą PTI i biegłym sądowym z zakresu informatyki.
(*) Cytaty za prof. Władysławem Turskim - "Inżynieria oprogramowania na rozdrożu", VI Krajowa Konferencja Inżynierii Oprogramowania, Gdańsk 2004 r.
Piotr Filip Sawicki
W dużych firmach w kwestii zarządzania bezpieczeństwem powinien obowiązywać trójpodział władzy i odpowiedzialności.
Za postępowanie zgodne z przyjętymi zasadami lub procedurami odpowiadają informatycy (operatorzy, administratorzy) i użytkownicy. Za tworzenie uregulowań oraz kontrolowanie na bieżąco, czy są one przestrzegane (albo szerzej - za monitorowanie bezpieczeństwa), odpowiada dział bezpieczeństwa. Z tego względu w dużych firmach osoby odpowiedzialne za bezpieczeństwo powinny być niezależne od dyrektora IT, a w mniejszych mogą mu podlegać, ale muszą być całkowicie niezależne od innych pracowników działu IT.
Trzecim elementem jest audyt, który weryfikuje, czy zasady i procedury w ogóle mają sens (choćby przez testy penetracyjne, czyli próby włamania z zewnątrz) oraz czy dział bezpieczeństwa dobrze wykonuje swoje zadania (takie jak uaktualnianie procedur, nadzór nad ich przestrzeganiem, wdrażanie nowych rozwiązań, czy monitorowanie bezpieczeństwa). Oczywiście w przypadku braku odpowiednich kompetencji w audycie wewnętrznym należy wręcz posiłkować się audytorami zewnętrznymi; ważne jest jedynie zachowanie niezależności od pozostałych dwóch elementów (i to już choćby z tego względu, że nikt nie powinien sam testować swojej pracy, bo zwykle ma podświadome opory przed jej zanegowaniem). Testów penetracyjnych nie powinien zatem wykonywać ani konfigurujący zaporę firewall informatyk, ani administrator bezpieczeństwa ustalający zasady konfiguracji. Jeżeli chcemy zbadać także prawidłowość reakcji na próby włamań, żaden z nich nie powinien nawet wiedzieć o planowanej akcji.
Audytora zewnętrznego bać się nie należy. Owszem, mamy stuprocentową gwarancję, że audytor będzie się chwalił swoimi osiągnięciami i komentował odkrycia (sam kiedyś na forum stowarzyszenia ISACA prezentowałem najbardziej kuriozalne przypadki napotkane w swojej karierze), ale raczej nie będzie podawał nazwy firmy. Warunek jest jeden - nie może być to "człowiek z ulicy". Powinien to być audytor posiadający oficjalny certyfikat (np. CISA, CIA). Każdy certyfikowany audytor zobowiązany jest bowiem do przestrzegania kodeksu etyki. Udokumentowane jego złamanie oznacza odebranie certyfikatu.
Wymienione kwestie trójpodziału władzy i odpowiedzialności powinna regulować precyzyjnie Polityka Bezpieczeństwa firmy, a właściwie Strategia Bezpieczeństwa. Jest to zwykle pierwszy rozdział Polityki lub też całkowicie odrębny dokument zwany czasem Dokumentem Głównym Polityki. Istnienie takiego dokumentu jest wymagane m.in. przez ustawę o ochronie danych osobowych. Strategia przede wszystkim wyraża wolę zarządu, definiuje role czy grupy odpowiedzialne za ochronę i ich wzajemne relacje oraz wyznacza (nazywa) klasy i poziomy ochrony informacji i znaczenia zasobów. W przeciwieństwie do całości Polityki jest to dokument jawny i może być udostępniany zainteresowanym na dowód podjęcia tematu bezpieczeństwa przez firmę.
Prawdziwy praktyczny sens Strategii to wyrażenie woli zarządu - jasno i wprost, przede wszystkim na potrzeby wewnętrzne. Strategia w firmie powinna pełnić rolę konstytucji - źródła prawa i ostatecznego dokumentu, do którego odwołujemy się w przypadku sporów. Bez istnienia takiego dokumentu wszelkie techniczne zabezpieczenia będą sabotowane, a organizacyjne omijane. Niezależnie od tego, w jak dużym stopniu są oparte na zdrowym rozsądku, świadomości zainteresowanych, dobrych przykładach albo nawet zaleceniach i normach zewnętrznych.
Znam to dobrze z własnej praktyki audytorskiej i administracyjnej. Gdy nie ma spisanych jasno zasad, nie są one wspierane przez zarząd i brakuje ich źródła, zawsze znajdzie się jakiś dyrektor, który uzna, że jest ważniejszy niż jakiekolwiek przyjęte rozwiązania. Gdy ograniczymy na zaporze firewall prawo korzystania z określonych usług i protokołów, dyrektor będzie wydzwaniał i krzyczał na administratorów lub szefa IT tak długo, aż ten dla niego lub jego pracowników zrobi wyjątek. Gdy zdefiniujemy w systemie rolę użytkowników, precyzyjnie określając i ograniczając ich uprawnienia, dyrektor będzie wydzwaniał i krzyczał na administratorów lub szefa IT tak długo, aż ten dla niego lub jego pracowników zrobi wyjątek i na przykład przydzieli im uprawnienia administracyjne. Za każdym razem dyrektor będzie groził interwencją na poziomie zarządu i zwykle taka groźba zadziała.
Od tej reguły znam właściwie tylko jeden wyjątek. W jednej z instytucji centralnych najwyższego szczebla administratorzy sieci stanęli przed problemem przeciążonego łącza internetowego oraz braku pieniędzy na zwiększenie jego przepustowości. Problem rozwiązali zdecydowanie i skutecznie. Bez niczyjej zgody zainstalowali serwer pośredniczący w dostępie do Internetu (tzw. proxy) w sposób uniemożliwiający jego ominięcie, a następnie odcięli na nim dostęp do stron pornograficznych. Łącze natychmiast zostało odciążone, a od ponad trzech lat funkcjonowania tego rozwiązania nie zanotowano ani jednej interwencji pracowników. Jednocześnie audyt zewnętrzny wykazał, że wszelkie inne regulacje w tej instytucji, przyjęte przez dział IT na podstawie zasad tzw. dobrej praktyki, są nagminnie obchodzone lub łagodzone przez interwencje z urzędników wysokiego szczebla.
Piotr Filip Sawicki jest audytorem systemów IT i specjalistą ds. bezpieczeństwa. Posiada certyfikat CISA i jest w trakcie uzyskiwania CISM.
