Audyt nie tylko IT

Audyt bezpieczeństwa to pojęcie szersze niż tylko kontrola sprzętu oraz oprogramowania i nie może się ograniczać jedynie do infrastruktury teleinformatycznej.

Audyt bezpieczeństwa to pojęcie szersze niż tylko kontrola sprzętu oraz oprogramowania i nie może się ograniczać jedynie do infrastruktury teleinformatycznej.

Gdy przeprowadzane są audyty bezpieczeństwa, często przykłada się bardzo wielką wagę do spraw związanych z infrastrukturą teleinformatyczną. Szczegółowo przegląda się stan, konfigurację, eksploatację zapór sieciowych, serwerów, stacji roboczych oraz innych elementów, często marginalizując pozostałe miejsca, które także powinny zostać zbadane.

Pali się

Niefachowców może dziwić fakt, że przy projektowaniu zabezpieczeń systemu jako całości należy wziąć pod uwagę także takie zdarzenia losowe jak pożar, powódź, wybuch gazu czy katastrofa budowlana. Inne, często uwzględniane na Zachodzie zdarzenia (upadek samolotu, atak terrorystyczny) są w Polsce znacznie mniej prawdopodobne. Pod względem szkód numerem jeden wśród zdarzeń losowych niszczących infrastrukturę firmy pozostaje pożar. Wcale nie musi on wybuchnąć w serwerowni, by spowodować zniszczenie maszyn i danych. Gdy powstanie kondygnację wyżej i rozprzestrzeni się na kilka pomieszczeń, strażacy będą zmuszeni użyć znacznych ilości wody do ugaszenia go. Woda penetruje pomieszczenia - w wielu budynkach spłynie szachtami kablowymi, tunelami wewnątrz połączeń i szczelinami do pomieszczeń niżej. Czasami właśnie do serwerowni, niszcząc w niej wrażliwą elektronikę.

Prawdopodobieństwo zalania wodą z uszkodzonej instalacji wodno-kanalizacyjnej jest tym wyższe, im bliżej serwerowni przebiegają piony z rurami. Bardzo wzrasta, gdy serwerownia sąsiaduje z pomieszczeniami socjalnymi wyposażonymi w dopływ wody i kanalizację (łazienka, kuchnia). Bardzo częsta przyczyna - awaria wężyka przy WC - spowodowała zalanie niejednego pomieszczenia z serwerami. Przy planowaniu warto więc brać pod uwagę sąsiedztwo serwerowni, co może znaleźć odzwierciedlenie w audycie. Ważne są wówczas różne zabezpieczenia od wysokiego progu, po wyniesienie podłogi serwerowni i odpowiednią konstrukcję sufitu.

Może się okazać, że pożar wybuchnie tam gdzie spowoduje największe szkody dla komputerów firmy, czyli w serwerowni. Z reguły pobiera ona co najmniej kilka kilowatów mocy (maszyny plus klimatyzacja), a bywa, że pobór projektuje się na kilkadziesiąt kW. Gdy przy takim odbiorze wystąpi awaria elektryczna, może ona wywołać groźny w skutkach pożar.

Najczęstszą odpowiedzią administratorów na pytanie w sprawie zabezpieczeń przeciwpożarowych jest wskazanie informacji o zainstalowanym automatycznym systemie gaszenia pożaru w serwerowni. Dobrze, jeśli taki system jest i został prawidłowo wdrożony. Audyt powinien to uwzględniać, pokazując zarówno słabe, jak i mocne jego strony.

Jak po sznurku

Należy zwrócić uwagę na sposób i drogę zdalnego dostępu do firmy.

Dwustopniowe uwierzytelnienie jest podstawowym zabezpieczeniem. Najczęściej używane są tokeny. Trzeba sprawdzić czy pracownicy rzeczywiście korzystają z tokenów, czy wprowadzone obostrzenia dotyczące np. miejsc i godzin logowania a także stacji roboczych są w mocy.

W pewnych przypadkach stosuje się specjalne zasady dostępu i one także powinny zostać sprawdzone. Mowa tutaj o dostępie wymagającym weryfikacji nie tylko użytkownika za pomocą dwustopniowego uwierzytelnienia, ale także połączenia i jego komputera, a później zapisu i kontroli sesji przez osobę trzecią pełniącą rolę strażnika dostępu.

W niektórych firmach strażnikiem jest osoba z działu informatyki, np. pełniąca dyżur w centrum zarządzania. Należy sprawdzić, czy mechanizm przerwania sesji przez strażnika działa prawidłowo, czy odbywają się wszystkie najważniejsze etapy nawiązywania połączenia, czy aktywność jest rejestrowana itd.

Gdzie ta kasetka?

Jednym z najważniejszych elementów zabezpieczenia, o który pytają audytorzy, są kopie bezpieczeństwa. Oczywiście powinny one być wykonywane regularnie, zgodnie z rozsądną polityką. Bardzo wiele napisano na temat backupu, sprzętu i oprogramowania, ale w wielu firmach można spotkać prosty, ale poważny błąd - przechowywanie kasetek z backupem w tym samym pomieszczeniu co serwery.

Rozsądny audyt powinien także przewidywać sprawdzenie planu awaryjnego - odtworzenie danych z ostatniej dostępnej kopii bezpieczeństwa. Jest to dość ważny test, bowiem w inny sposób nie można się przekonać na pewno, że plan zadziała. Praktyka pokazuje, że w wielu firmach po awarii nie wszystkie dane są dostępne, czasami ta czy inna opcja odtwarzania danych nie działa, nie udaje się prawidłowo uruchomić klastra itd. Przyczyn może być wiele - od niezgodności programowych, przez problemy ze sprzętem, aż po błąd w konfiguracji wykonywanego backupu. To wszystko trzeba sprawdzić i drobiazgowy audyt bardzo pomoże w przygotowaniu firmy, by była odporna na najgorsze - utratę danych.

Niestety mało firm przeprowadza test planu awaryjnego, polegający na symulowaniu utraty sprzętu wraz z danymi w nim zapisanymi. Dobry audytor powinien zbadać nie tylko to czy są wykonywane kopie bezpieczeństwa, ale także założenia polityki wymiany taśm, miejsce ich przechowywania oraz sprawne działanie planu awaryjnego.

Utratę danych firmy może spowodować nie tylko pożar - bardzo skutecznie zrobi to złodziej, kradnąc komputery. Gdyby firma nie posiadała kopii bezpieczeństwa, praktycznie zostałaby z niczym. Nowy sprzęt można szybko kupić, ale z danymi nie będzie tak łatwo. Zabezpieczenia techniczne powinny objąć solidne drzwi z dobrym zamkiem, zabezpieczenia okien, a także system alarmowy z powiadomieniem. W wielu firmach stosuje się kontrolowane bramki wejściowe otwierane kartami zbliżeniowymi - jest to dobry pomysł, gdyż utrudnia złodziejowi dostęp tą drogą. Jednocześnie nie można zapominać o tym, że intruz wybierze drogę dla niego najprostszą - wcale nie musi wchodzić przez chronione drzwi wejściowe czy okna, gdy może wyważyć słabsze mechanicznie drzwi od garażu albo wybić fragment lekkiej ściany kartonowo-gipsowej i wejść z niechronionego pomieszczenia obok. Audyt powinien obejmować także takie niewyrafinowane zabezpieczenia mechaniczne jak kraty i drzwi, bowiem tylko kompletny system może ochronić przed zagrożeniem.

Wiara w pieczątki

W wielu firmach zaufaniem są obdarzane kiepskiej jakości faksymile, jeśli tylko są "wyposażone" w odpowiednią ilość pieczątek. Wiara w moc pieczątki jest jednym z najgorszych problemów w polskich firmach. Wywodzi się prawdopodobnie z czasów minionego ustroju, gdzie żartobliwie mówiąc nikt bez pieczątki nie podejmował decyzji. Fałszerstwo faksu jest bardzo łatwe do wykonania i trudne do wykrycia z uwagi na niską jakość odebranego dokumentu. W dobrze przygotowanych audytach powinno znaleźć się miejsce na sprawdzenie jak pracownicy reagują na ewidentnie fałszywy faks zawierający jakieś polecenie. Bardzo niewiele firm przeprowadzających audyty zwraca uwagę na odporność firmy na ataki socjotechniczne, a kompleksowy audyt powinien obejmować także i to zagadnienie.

Logi, logi

Podczas pracy każdego systemu teleinformatycznego powstają zapisy w odpowiednich dziennikach. Logi systemowe to bardzo istotna część systemu, bowiem zawierają opisy wszystkich podlegających kontroli zdarzeń. Sam proces rejestracji, od wyzwolenia mechanizmu zapisującego informację aż do jej zarejestrowania w systemie, powinien zostać sprawdzony. Bardzo ważne są ustawienia zdarzeń w systemie operacyjnym lub aplikacji powodujących powstanie śladu w postaci zapisu do logu - to też powinno zostać zweryfikowane pod kątem zgodności z ustaloną polityką.

Należy sprawdzić, czy logi są prawidłowo archiwizowane, jak wygląda ich retencja, czy są odkładane na drugą maszynę, czy wprost na drukarkę (kłopotliwe, choć bardzo bezpieczne rozwiązanie - przy pewnych założeniach wydruku nie można zmienić ich zdalnie).

Należy sprawdzić logi z programu antywirusowego, czy odbywa się aktualizacja, jakie są raporty zagrożeń, czy są maszyny powodujące problemy. W przypadku baz danych należy sprawdzić sekwencje logów archiwalnych odkładanych przez bazę, ich rozkład w czasie itd.

Audyt bezpieczeństwa nie będzie kompletny, jeśli w trakcie jego przeprowadzania nie zostaną sprawdzone zapisy powstające w wyniku działania procesów teleinformatycznych.

Byle nie wszystko w jednym miejscu

Jednym z najpoważniejszych błędów jest przechowywanie kasetek z kopiami w tym samym pomieszczeniu co serwery. Nawet jeśli są przechowywane w sejfie odpornym na niewielki pożar, mogą ulec zniszczeniu poprzez działanie pary wodnej powstałej przy gaszeniu. Nie każdy sejf jest szczelny. Gdy firma posiada oddziały znajdujące się dość blisko siedziby głównej, gdzie znajduje się centrum przetwarzania danych, warto część kopii przechowywać w sejfie jednostki. Dobrze dobrany schemat odkładania kasetek znacznie zmniejszy prawdopodobieństwo utraty wszystkich danych w razie zniszczenia całej infrastruktury centrali firmy. Posiadanie w wybranym oddziale zapasowego centrum też jest możliwe, ale znacznie bardziej kosztowne niż sejf na kasetki z backupem. Gdy siedziba firmy jest tylko jedna - można posłużyć się skrytką bankową. Niestety, jest to stosunkowo rzadkie, a błędy i niedopatrzenia w tym zakresie są najczęściej spotykane w małych i średnich firmach. Spotkałem się nawet z sytuacją, gdy wszystkie ważne dokumenty papierowe były przechowywane na półkach w segregatorach obok szaf serwerów, a między segregatorami leżał stos kasetek DLT, a wśród nich znajdowała się także ta z kopią bezpieczeństwa. Wszystko w jednym pomieszczeniu. Jednocześnie firma miała jedną z lepszych zapór sieciowych i stan bezpieczeństwa serwerów był bez zarzutu, a nie można było tego powiedzieć o firmie jako całości. Właśnie z powodu takich kardynalnych błędów audyt nie może ograniczać się tylko do jednego zagadnienia - zabezpieczeń ściśle teleinformatycznych.