O opłacalności inwestycji w bezpieczeństwo, tworzeniu planów awaryjnych i podatności elektrowni na włamania rozmawiamy z Wojciechem Świątkiem, dyrektorem grupy Motorola Security Services na Europę, Afrykę i Bliski Wschód.

Najbardziej gorącym tematem w ostatnim okresie nie jest bezpieczeństwo systemów IT, lecz danych, zwłaszcza tych, które nosimy w telefonach czy palmtopach. Czy sądzi Pan, że wkrótce standardem stanie się ich należyta ochrona, np. poprzez szyfrowanie?

To zależy od tego, o jakich danych mówimy. Informacje kontaktowe i inne, tzw. dane wrażliwe, prawnie chronione, muszą być w odpowiedni sposób zabezpieczone. Co do reszty, trzeba samemu odpowiedzieć sobie na pytanie, gdzie leży granica? Przyjąłbym taki wskaźnik: "Czy to, co mam na laptopie niezaszyfrowane, można opublikować na pierwszych stronach gazet?" Standardem staje się szyfrowanie całych dysków, co w dużej mierze rozwiązuje ten dylemat. Należy jednak pamiętać, że szyfrowanie danych zabezpiecza nas przed nieautoryzowanym do nich dostępem. Nie pomoże, gdy po rozszyfrowaniu zostaną np. przegrane na dysk USB, czy do pamięci telefonu.

Wracając do kwestii ochrony dużych systemów. Spodziewa się Pan wzrostu ataków na infrastrukturę krytyczną. Niedawno słyszeliśmy o włamaniach do systemów zarządzających pracą elektrowni. To chyba trochę przesadzone doniesienia. Niemożliwe jest przecież, aby systemy IT nadzorujące pracę sieci wodociągowej, gazowni czy elektrowni były sterowane za pomocą konsoli na PC i to dostępnej przez sieć IP z poziomu Internetu.

Niestety, takie ataki stały się obecnie możliwe. Historycznie SCADA (Supervisory Control And Data Acquisition) - systemy zarządzające infrastrukturą krytyczną - były zlokalizowane i odseparowane. Aby się do nich "dobrać", trzeba było fizycznie włamać się na teren jakiegoś zakładu. SCADA, wykorzystujące protokoły takie jak ModBus, również weszły w erę IP. Do komunikacji z różnego rodzaju kontrolerami i czujnikami zaczęto też wykorzystywać technologie bezprzewodowe. Zdarza się, że takie systemy są w mniej lub bardziej bezpośredni sposób podłączone do Internetu. SCADA to nowy obszar bardzo dużego zainteresowania ze strony "świata podziemnego".

Biorąc pod uwagę powyższe przykłady, czy da się policzyć zwrot z inwestycji w bezpieczeństwo?

W obszarze bezpieczeństwa dużo rzeczy robi się po to, aby nic się nie stało. Dopiero jak nastąpi coś złego, można oszacować straty. Przykładowo, jeśli podczas trzęsienia ziemi operator telekomunikacyjny w Turcji straci główny system, to nie ma możliwości obsługi abonentów. W takim wypadku łatwo jest policzyć straty i opłacalność budowy zapasowego centrum danych. Natomiast zapora ogniowa zabezpieczająca przed "mitycznym złem" to rzecz zupełnie niepoliczalna. Trudno jest do tego przyłożyć konkretne kwoty. Ktoś może się włamać do naszej firmy i tylko zmienić stronę, ale może też wykraść wszystkie dane. W przypadku bezpieczeństwa ROI jest trudnym wskaźnikiem.

Co w takim razie z planami disaster recovery? Czy problemem jest ich brak, czy fakt, że są przegadane i zbyt skomplikowane?

Kluczowe są wiedza i zdrowy rozsądek. Jeśli ktoś ma doświadczenie, brał udział w sytuacjach kryzysowych, to jest w stanie opracować DRP. Niech będzie daleki od doskonałości, niepokrywający wielu obszarów, ale odpowiadający na jedno fundamentalne pytanie: "Co robić, jak nie wiemy co robić". W tworzenie takiego planu muszą włączyć się osoby, którym w sytuacjach kryzysowych firma powierza prawo podejmowania decyzji, pozwalających poruszać się naprzód. Jeśli dana organizacja decyduje się na takie podejście do sprawy, to można stworzyć plan disaster recovery, który naprawdę funkcjonuje i pokrywa nie tylko zagrożenie typu "trzęsienie ziemi", ale zostawia również miejsce na myślenie.

W prezentacji podczas naszej konferencji Semafor w zabawny sposób nakreślił Pan obraz inwestycji w bezpieczeństwo w dużych organizacjach. Czy jest aż tak źle?

Inwestycje w bezpieczeństwo IT są po to, aby chronić biznes. Bardzo dużo wydatków kierowanych jest w nieodpowiednią stronę. Często osoby, które podejmują decyzję o zakupie, są pod zbyt dużą presją sprzedawców. Prawdą jest, że w większości wypadków rozwiązania uznanych dostawców zapewnią porównywalny, dobry poziom ochrony. Jest jednakże dużo obszarów zaniedbywanych. Mam tu na myśli edukację pracowników, czy też dbanie, aby infrastruktura była jednolicie zabezpieczona, np. poprzez odpowiednie patchowanie, zamiast pogoni za rozwiązaniami do zabezpieczenia przed atakiem "dnia zerowego". Na bezpieczeństwo trzeba spoglądać od strony operacyjnej, ale i realiów, a więc dziur, które spotyka się regularnie i które nie są trudne do załatania.

Podkreśla Pan jak istotne jest, aby nie zaniedbywać bieżących aktualizacji oprogramowania. Na rynku jest wiele kompleksowych rozwiązań do ochrony IT, także takich zawierających mechanizmy obsługujące patchowanie, czy poszukujących luk systemowych. Czy ich zastosowanie nie wystarczy?

Wzięcie rozwiązania z półki najczęściej nie rozwiąże problemów. O ile od strony technologicznej wystarczy wybrać dobry produkt, o tyle nie możemy zapominać, że jest jeszcze sfera nietechnologiczna. Konieczne jest zdroworozsądkowe podejście np. do kwestii testowania i planów reakcji. Tego nie rozwiąże łatwo technologia. To są problemy wymagające zdecydowanego podejścia, aby uciąć złe praktyki, wymusić pewne procesy.

Mówi się, że działy IT są komórkami biznesowymi. Czy te dwa światy tworzą jedność?

IT to jest dział inżynieryjny. To dział ludzi, których najczęściej celem i pasją jest tworzenie "sprytnej" infrastruktury. Podobnie jak projektant samochodów chce, aby jego auto było piękne. Nieważne ile to będzie kosztowało. Jeżeli IT jest zarządzane mądrze, łącząc wizje dwóch światów - biznesu i IT - wtedy można uzyskać dobre efekty i pokazać działom IT, że ich praca przyczynia się do rozwoju całej firmy.

Może działom informatycznych trochę na siłę narzuca się rolę biznesową?

Całkiem dobrze rozumiem dlaczego ludzie zajmujący się administrowaniem systemami, nie do końca interesuje aspekt biznesowy. Nie uda się do końca zrobić z IT działu biznesowego. Informatyka to jednakże fundamentalny element firmy. "Płacimy wam, więc róbcie tak jak my chcemy", albo "Sami nie wiecie czego chcecie. Dajemy wam gotowe rozwiązanie i cieszcie się, że tyle dostaliście..." - to skrajne przykłady stereotypowej komunikacji obu stron. Jestem jednak przekonany, że można znaleźć wspólny język. Znam wiele takich przypadków.

Rozmawiał Jarosław Ochab