Jeśli miałbym przedstawić tylko jeden wniosek z przeprowadzonych badań, to byłoby to coś, co nazwałbym "bojaźnią przed bezpieczeństwem".

Chodzi przede wszystkim o lęk przed przyznaniem się do tego, że w instytucji wystąpiły kłopoty związane z bezpieczeństwem systemów informatycznych, a - być może nawet - że w ogóle z ich bezpieczeństwem nie jest najlepiej. Informacje o wystąpieniu ataku docierają zazwyczaj najwyżej do kierownictwa instytucji, a kierownictwo dba o to, żeby nie wyszły na zewnątrz, a już w szczególności nie dotarły do jednostki nadrzędnej.

Nikt z respondentów, którzy reprezentowali zaatakowane instytucje, nie przekazał informacji o tym fakcie do swojej jednostki nadrzędnej. Tylko 5% poinformowało organy ścigania i tylko 7% zgłosiło problem do organizacji reagującej na takie zdarzenia. Tymczasem zgłaszanie i informowanie powinno być standardem. Jeżeli przynajmniej w sposób podstawowy dbamy o bezpieczeństwo naszych zasobów, to nie jest rzeczą wstydliwą przyznanie się, że ktoś zaatakował nasze systemy. Co więcej, takie działanie pozwala na poprawę sytuacji - nie tylko zresztą naszej, ponieważ o zagrożeniu, które nas dotknęło, mogą zostać poinformowani inni.

Brak skłonności do współpracy z podmiotami zewnętrznymi widać też w odpowiedzi na pytanie o metody kontroli zabezpieczeń. Najczęstszą metodą takiej oceny jest audyt własny i własne testy penetracyjne. Obie techniki są jak najbardziej godne zastosowania, niemniej jednak kontrola samego siebie nie zawsze jest najskuteczniejszą metodą.

Zauważyć niewidzialne

Skąd bierze się tak niska skłonność do współpracy z innymi? Z pewnością ważną rolę odgrywa obawa o wizerunek, lęk przed negatywną oceną ze strony innych. Być może jednak rzeczywiście nie ma tego podstawowego poziomu bezpieczeństwa i przyznanie się do tego staje się kłopotliwe. Czy wskazują na to inne wyniki ankiety?

Mimo że najprawdopodobniej na ankietę w większości odpowiedzieli ci, którzy chcieli się pochwalić, że u nich nie jest tak źle, to niektóre wyniki są niepokojące. Z dużym prawdopodobieństwem można powiedzieć, że odpowiedzialni za sieć administratorzy zauważają tylko to, co jest łatwe do zauważenia. Jeśli przyznają się do błędów, które u nich wystąpiły, to tylko do tych, których konsekwencje widać niemalże od razu (lub nie są one kłopotliwe w ujawnieniu). Odnotowują wirusy (68%) i błędy ludzkie (42%), ale kategorie takie jak "nieuprawniony dostęp do informacji wrażliwych", "wyniesienie danych" czy "dostęp do sieci bezprzewodowych" pojawiają się w odpowiedziach niezwykle rzadko. Zauważyć je jest z pewnością trudniej. Być może jednak warto sięgnąć głębiej do swojej sieci i prowadzić bardziej szczegółową kontrolę - w szczególności, czy ktoś z wewnątrz instytucji nie korzysta z niej w sposób nieuprawniony. 65% ankietowanych, którzy posiadają sieć bezprzewodową odpowiedziało, że ta sieć w ich instytucjach jest "raczej bezpieczna". Niestety, nasuwa się podejrzenie, że to "raczej" jest wynikiem niewiedzy, jak ją chronić i czy rzeczywiście nikt z niej nielegalnie nie korzysta. To jest właśnie fragment tego niewidzialnego zagrożenia.

Skutek tego, że jesteśmy świadomi tylko tego, co dobrze widzimy, jest widoczny w odpowiedziach na temat używanych technik bezpieczeństwa. Zdecydowanie najbardziej popularne rozwiązania to systemy antywirusowe i tzw. firewalle (w obydwu przypadkach zdecydowanie ponad 90%). Natomiast stosowanie technik szyfrowania, zarówno komunikacji, jak i zasobów, jest niezwykle rzadkie. Przejęcia niezaszyfrowanej poczty elektronicznej zazwyczaj nie widać.

Zresztą, sama technika to nie wszystko. Systemy antywirusowe posiadają niemalże wszystkie ankietowane instytucje, a to przecież właśnie "atak złośliwego oprogramowania (wirusów)" był wskazywany jako najczęściej występujący problem. Dlatego tym bardziej niepokoi fakt, że w niewielu instytucjach przeprowadzono szkolenia dla personelu. A przecież świadomość tego, jakich socjotechnik używają przestępcy do nakłonienia użytkownika, aby otworzył załącznik e-maila (czytaj: zainstalował konia trojańskiego na atakowanym komputerze), z pewnością zdecydowanie poprawiłaby tę sytuację.

Przede wszystkim organizacja

Na szczęście nie ze wszystkim jest źle. Jest dobrze, jeśli chodzi o wspomniane już, niektóre techniki ochrony (system antywirusowy, firewall). Bardzo dobrze jest z archiwizacją danych - istnieje ona w 90% przebadanych instytucji. Badanie pokazało jednak, że to aspekt organizacyjny jest kluczowy dla poprawienia bezpieczeństwa sieci. W wynikach widać wyraźną, pozytywną przewagę w zakresie stanu bezpieczeństwa w instytucjach, które wydzieliły specjalne komórki zajmujące się bezpieczeństwem. Tam jest wyższy poziom wiedzy na temat bezpieczeństwa IT, powszechniejsze stosowanie odpowiednich procedur i technik, są lepiej przeszkoleni użytkownicy, częściej i skuteczniej reaguje się na naruszenie bezpieczeństwa. W takich instytucjach zazwyczaj jest też wydzielony budżet na bezpieczeństwo IT, co często w ogóle pozwala przełamać niemoc w tej dziedzinie. Niestety, z badań wynika, że tylko 15% instytucji ma tego typu komórki.

Jakie są więc kluczowe wnioski z badania? Powołujmy struktury organizacyjne odpowiedzialne za bezpieczeństwo i nie obawiajmy się współpracować z innymi w poprawieniu i utrzymaniu bezpieczeństwa swoich sieci. Większość problemów związanych z technikami i organizacją bezpieczeństwa można dość łatwo rozwiązać. Warto pamiętać, że współpraca z innymi, na przykład zgłaszanie incydentów do zespołów typu CERT, może być pomocna nie tylko bezpośrednio dla nas, ale też przyczyniać się do ogólnej poprawy bezpieczeństwa sieci, co przecież jest zjawiskiem jak najbardziej korzystnym dla wszystkich.

Mirosław Maj pracuje w Naukowej i Akademickiej Sieci Komputerowej; jest kierownikiem zespołu CERT Polska.