Bezpieczeństwo IT – zmiana paradygmatu

"Będziemy walczyć na plażach, będziemy walczyć na lądowiskach, będziemy walczyć na polach i na ulicach, będziemy walczyć na wzgórzach, nigdy się nie poddamy" – zapowiadał w słynnym przemówieniu z czerwca 1940 r. Winston Churchill. Jego postawę – i niezachwianą wiarę w zwycięstwo, "niezależnie od tego, jak długa i trudna będzie droga do niego" - powinni wziąć za przykład współcześni specjaliści odpowiedzialni za bezpieczeństwo systemów IT.

Internetowi przestępcy są nieustępliwi, coraz bardziej wyrafinowani i nieprzewidywalni. Trudno pozostać optymistą, gdy klienci, inwestorzy i regulatorzy wymagają 100% zabezpieczenia poufnych zasobów i skutecznego chronienia prywatności, a jednocześnie agencje rządowe i organizacje mające ważne znaczenie we współczesnym świecie nastają na nasze dane, oprogramowanie i sieci.

Walka o bezpieczeństwo jest obecnie trudniejsza niż kiedykolwiek – tym bardziej, że większość firm i instytucji w XXI wieku do obrony wykorzystuje "średniowieczne" narzędzia i taktykę, np. opierając się na systemie haseł i firewalli. Nic więc dziwnego, że w wielu przypadkach walka taka jest z góry skazana na porażkę. Problem polega na tym, że zbyt duża jest wiara w systemy oparte na budowaniu wirtualnych ścian wokół danych i systemów. Ochrona firmowego terytorium informatycznego to dziś za mało.

Zobacz również:

Postanowiliśmy bliżej przyjrzeć się temu, jak może – i powinien – wyglądać nowoczesny system bezpieczeństwa informatycznego. Zebraliśmy opinie specjalistów ds. bezpieczeństwa, konsultantów IT, menedżerów. Oto, co udało się ustalić.

Trzeba skupić się na analizie ryzyka i ludziach, a nie tylko na urządzeniach i danych

Znacznie lepszym od powszechnego dziś podejścia do kwestii bezpieczeństwa jest opracowanie taktyki defensywnej zbudowanej w oparciu o odpowiednio wytypowany zestaw najważniejszych dla danej organizacji ocen ryzyka. Oczywiście, kluczowym zagrożeniem jest zawsze utrata/ujawnienie krytycznych dla firmy danych – więc ochrona informacji musi być jednym z priorytetów. Ale są również inne – zakłócenie pracy organizacji, naruszenie reputacji, niewywiązanie się z obowiązków, ryzyko inwestycyjne, czy szkody wynikające z naruszenia własności intelektualnej.

Które z nich mogą być najbardziej szkodliwe dla organizacji? Czy został przeprowadzony ich audyt? Jak chronić organizację przed każdym z nich? Wszystkie wymienione zagrożenia są jak najbardziej realne i niebezpieczne, a klasyczne podejście do bezpieczeństwa IT, oparte na ochronie firmowego terytorium, zwykle nie oferuje w tych dziedzinach żadnych zabezpieczeń.

Niezbędna jest więc rzetelna, kompleksowa ocena ryzyk – to proces bardzo zbliżony do tego, który przeprowadzany jest podczas zakupu ubezpieczenia. Należy rozważyć wszystkie możliwe czarne scenariusze, ocenić, który z nich jest najbardziej realny i potencjalnie szkodliwy. Zasady oceniania ryzyk i zapewniania ochrony przed nimi różnią się w zależności od branży i charakteru działalności danej organizacji. W niektórych przypadkach niezbędne będzie zastosowanie odpowiedniej technologii, w innych restrukturyzacja procesów czy wprowadzenie zmian w procedurach i szkoleniu pracowników.

Trzeba pamiętać też, że niektóre firmy muszą wdrożyć pewne systemy bezpieczeństwa niezależnie od tego, jak one same oceniają ryzyko, ponieważ wymaga tego od nich prawo. Dla nich wyzwaniem będzie opracowanie takiej strategii, która umożliwi skuteczne pogodzenia wymagań regulatorów z potrzebami danej organizacji, jej funkcjonowaniem, finansami i strategią. Najważniejszą i najskuteczniejszą strategią wydaje się jednak przeprowadzenie odpowiedniej oceny i selekcji potencjalnych ryzyk, a następnie skupienie się na tych, które stanowią największe realne zagrożenie dla firmy.

Bezpieczeństwo to więcej niż sprzęt i software

Wiele firm – w tym również dostawcy rozwiązań z zakresu security – traktują zapewnienie bezpieczeństwo jak wyzwanie typowo techniczne. Chcą wdrażać oprogramowanie, sprzęt i usługi, które będą identyfikowały i neutralizowały zagrożenie. Mało kto włącza do tego procesu ludzi – tych samych, którzy tworzą i wykorzystują chronione informacje. Wiele firm celowo wyłącza ludzi z procesu zapewnienia bezpieczeństwa… m.in. dlatego, że im nie ufa.

Problem w tym, że nie istnieje żadne cudowne automatyczne i autonomiczne rozwiązanie, w 100% chroniące organizacje przez atakami informatycznymi, a usuwanie ludzi z procesu zapewnienia bezpieczeństwa sprawia, że stają się oni leniwi i przestają dbać o bezpieczeństwo wychodząc z założenia, że skoro nie mają na nic wpływu, to ich aktywność w tym zakresie nie ma znaczenia.

Dlatego właśnie niezbędna jest zmiana podejścia do kwestii zabezpieczenia informacji i systemów – priorytetem powinien być człowiek, a nie program czy urządzenie. Skoro najgłośniejsze i najbardziej skuteczne ataki przeprowadzane są właśnie z wykorzystaniem "czynnika ludzkiego" (błędów pracowników, trików socjotechnicznych itp.), to proces bezpieczeństwa musi znacznie silniej niż obecnie opierać się na właśnie na ludziach.

Bezpieczeństwo to dynamiczna gra, w której nieustannie zmieniają się warunki i realia. Prawie co chwilę niezbędne jest sprawdzanie, czy wdrożone zabezpieczenia są odpowiednio dobrane do bieżącego poziomu zagrożeń. "Dynamiczny" i "gra" to słowa, które nie zostały użyte przypadkowo. Bezpieczeństwo jest dziedziną, w której non stop trwa ruch, a stała uwaga jest niezbędna. Nie od dziś jest tak, że każdy nowy system zabezpieczający szybko jest rozpracowywany przez specjalistów od łamania zabezpieczeń. Ludzie są z natury predysponowani do takich działań, warto wykorzystać to również do zapewnienia bezpieczeństwa, a nie tylko polegać na zautomatyzowanych rozwiązaniach.

Niezbędne jest wejście w skórę ludzi, którzy opracowują nowe metody ataków i techniki łamania zabezpieczeń. Skoro dla nich to gra, warto sprawić, by bezpieczeństwo stało się grą również dla pracowników firmy. Niech będą jej uszami i oczami, niech aktywnie uczestniczą w wykrywaniu zagrożeń, a nie pozostają jedynie biernymi użytkownikami, wierzącymi, że bezpieczeństwo zapewni im jakiś działający w tle system. Warto przestać traktować ludzi jako część problemu – niech staną się częścią rozwiązania.

Pięć wymiarów bezpieczeństwa

Perspektywa stworzenia perfekcyjnego systemu bezpieczeństwa jest odległa, ale dostępnych jest już wiele wzorców i praktyk, które ułatwiają odpowiednie zmodyfikowanie zasad funkcjonowania systemu bezpieczeństwa. Cechą wspólną wszystkich nowych rozwiązań jest konieczność stałego modyfikowania i udoskonalania zabezpieczeń. Trzeba konsekwentnie stosować i udoskonalać rozwiązania wdrożone z myślą o zabezpieczeniu przed najważniejszymi zagrożeniami, a jednocześnie rozwijać wiedzę i umiejętności pracowników w zakresie identyfikowania i blokowania nowych niebezpieczeństw.

Ten nowy model ma pięć wymiarów:

- Ograniczenie stosowania rozwiązań informatycznych z zakresu bezpieczeństwa do podstawowych, krytycznych zasobów;

- Ochrona kluczowych zasobów wielowarstwowymi systemami zabezpieczającymi;

- Zaangażowanie osób mających dostęp do informacji do ochrony wykorzystywanych przez nich danych i systemów;

- Nawiązanie współpracy z partnerami biznesowymi w celu wzmocnienia zabezpieczeń ich i własnych systemów;

- Zdefiniowanie bezpieczeństwa jako problemu biznesowego, a nie tylko technicznego.

Ograniczenie stosowania rozwiązań informatycznych z zakresu bezpieczeństwa do podstawowych, krytycznych zasobów

Z jakiegoś powodu dla wielu firm od lat priorytetem jest ochrona wszystkich elementów ekosystemu w równym stopniu. Ta metoda jednak nie działa.

Dużo bardziej rozsądnym rozwiązaniem jest wytypowanie zasobów, którym należy w pierwszej kolejności zapewnić bezpieczeństwo, a następnie skupić się na zrealizowaniu tego celu. Trzeba wybrać to, co jest najcenniejsze dla firmy, co ma największy wpływ na jej funkcjonowanie, ocenić ryzyko, określić najlepszą metodę zredukowania go, a następnie ją zastosować.

Nie należy łudzić się, że będzie to proste. Wiele organizacji ma poważne problemy z jasnym określeniem, co jest dla nich najcenniejsze. Pierwszym wyborem są zwykle dane, ale przecież niemniej ważna jest ciągłość pracy, funkcjonowanie systemów, spełnienie wymagań prawnych itp. Jednym z najpoważniejszych problemów związanych z realizacją tego zadania będzie konieczność przeprowadzenia "reformy mentalnej" – kompleksowej zmiany podejścia do ochrony najważniejszych zasobów/procesów.

Ale warto przeprowadzić taką analizę i precyzyjnie wybrać te zasoby, które wymagają priorytetowej ochrony – ponieważ im większy obszar ma zostać zabezpieczony, tym trudniej to zrobić. Odpowiednio ukierunkowane, mniej kompleksowe podejście pozwoli na uzyskanie skutecznej ochrony tych obszarów, które najbardziej tego potrzebują.

Ochrona kluczowych zasobów wielowarstwowymi systemami zabezpieczającymi

Każdy, kto będzie próbował stworzyć system zabezpieczający oparty wyłącznie na prewencji i profilaktyce, jest skazany na porażkę. Nie istnieje metoda upewnienia się, że coś jest perfekcyjnie chronione. Zamiast na prewencji, lepiej skupić się na byciu elastycznym, a system ochrony powinien być zbudowany z wielu komponentów.

Świetną inspiracją dla tworzenia rozwiązań bezpieczeństwa IT może być system wzorowany na biologicznym, w którym najczęściej możliwe jest odbudowanie odporności i wyzdrowienie. W takim systemie kluczowe jest rozpoznanie i zidentyfikowanie ataku, a następnie powstrzymanie go tak, by nie wyrządził większych szkód. Zakłada on, że atak wcześniej czy później i tak nastąpi, nie da się go uniknąć, a zagrożenia wciąż ewoluują. Takie podejście warto zaimplementować również w systemie IT.

Trzeba założyć, że organizacja zostanie skutecznie zaatakowania i budować strategię bezpieczeństwa w oparciu o tę wiedzę. Tym bardziej, że obecnie wiele firm i instytucji faktycznie jest inwigilowanych przez przestępców, rządy, konkurentów itp. Źródeł potencjalnego ataku może być wiele, a bezpośrednimi celami mogą być centra danych, komputery PC lub urządzenie mobilne. Zabezpieczenie każdego z nich wymaga innego podejścia.

Zaangażowanie osób wykorzystujących informacje do ochrony danych i systemów

Dopóki maszyny faktycznie nie przejmą władzy na wszechświatem, to ludzie pozostają podstawowym źródłem zagrożenia, a także słabymi punktami, które są wykorzystywane do przeprowadzania ataków. Ale nie zapominajmy, że jednocześnie są oni potencjalnym, bardzo skutecznym, elementem systemu zabezpieczającego.

Większość złożonych zagrożeń budowana jest w oparciu o najróżniejsze techniki socjotechniczne – przestępcy próbują podejść nas za pośrednictwem serwisów społecznościowych, wiadomości e-mail, itp. Pozyskanie w ten sposób dostępu np. do komputera menedżera czy innych kluczowych pracowników zapewnia im punkt wejścia do firmowego systemu IT. Wiedzę o tym, jak wygląda modus operandi przestępców można jednak – wystarczy postawić się na ich miejscu i zastanowić kto z pracowników czy partnerów może być potencjalnym celem.

Ponieważ to personel często jest wykorzystywany jako furtka umożliwiająca atak, warto włączyć pracowników firmy do systemu zabezpieczającego i zrezygnować z ograniczania ich roli w systemie zabezpieczeń, mimo że przez lata tak robiono. W czasie II wojny światowej propaganda często nawoływała do zachowania dyskrecji dotyczącej tego co jest wytwarzane w fabrykach. Ten pomysł wcale nie był nierozsądny i sprawdzi się również dziś. Poziom bezpieczeństwa w organizacji zależy bezpośrednio od wszystkich pracowników i warto im to uświadomić. Dzięki temu nie tylko będą bardziej uważali i unikalni potencjalnie niebezpiecznych zachowań, ale dodatkowo zachowają czujność i być może poinformują dział IT o zauważeniu podejrzanej aktywności.

Nawiązanie współpracy z partnerami biznesowymi w celu wzmocnienia ochrony systemów

W ciągu ostatniej dekady wiele firm w znacznym stopniu zwirtualizowało swoje systemy, m.in. dzięki powszechnemu korzystaniu z outsourcingu, rozproszonej struktury, telepracy itp. To sprawia, że praktycznie niemożliwe staje się stosowanie zabezpieczeń w starym stylu i budowanie wirtualnych ścian wokół firmowego ekosystemu IT, sytemu haseł oraz tradycyjnych, opartych na sygnaturach zabezpieczeń antywirusowych itp.

Przestępcy i hakerzy, również ci pracujący na zlecenie rządów, śledzą nowinki i są doskonale przygotowani do wykorzystywania słabości takich rozwiązań. Ich produkty potrafią dziś bez problemu łamać najnowocześniejsze zabezpieczenia, a także samoczynnie mutować i dopasowywać się do nowych wyzwań. Praktyka pokazuje, że jeśli z jakiegoś powodu trudno jest zaatakować bezpośrednio jakąś firmę, to na cel biorą jej kontrahentów lub klientów. Dlatego też tak ważne jest, by ściśle współpracować z partnerami i przekonywać ich do wdrożenia koncepcji opisanych w tym tekście. Między firmami istnieje prawdopodobnie bardzo wiele połączeń i potencjalnych słabych punktów, a ich eliminacja leży we wspólnym interesie.

Dzielenie się najlepszymi praktykami działa w obie strony. Aktywna współpraca to znacznie lepsze rozwiązanie niż wysiłki podejmowane samodzielnie.

Bezpieczeństwo to problem biznesowy, a nie tylko techniczny

Bezpieczeństwo informatyczne nie jest problemem działu IT czy, szerzej, kwestią technologiczną. To jeden z najbardziej podstawowych problemów kategorii zarządzania firmą… szkoda jednak, że mało która organizacja tak go traktuje.

Owszem, za wdrażanie zabezpieczeń odpowiada szef działu IT, ale odpowiedzialność za ich skuteczność spoczywa na całej organizacji. Czas zacząć postrzegać bezpieczeństwo informatyczne jako holistyczny proces, w którym wykorzystywanych jest wiele różnych technologii, w którym uczestniczą jednak wszyscy pracownicy i który jest wspólną odpowiedzialnością całej organizacji.

Kompleksowe podejście jest tu kluczem. Niezbędne jest, by swoje role i swoje odpowiedzialności mieli w tym procesie wszyscy, od działu IT, przez menedżerów, pracowników, partnerów, dostawców, aż po klientów. W tym modelu zadaniem działu IT jest audyt zagrożeń i opracowanie systemu ochrony, a następnie wspieranie całej organizacji i jej otoczenia w realizowaniu jego założeń.

Sprawdzenia wymagają najdrobniejsze szczegóły. Czy np. dział marketingu używa narzędzi analitycznych sprawdzonych pod kątem bezpieczeństwa przez dział IT? Czy dostawcy uzyskujący dostęp do firmowych zasobów korzystają z odpowiednio bezpiecznych procesów? Czy kadra zarządzająca używa odpornych na przechwycenie metod komunikowania się?

Niezbędna jest stworzenie i stosowanie ogólnokorporacyjnej polityki bezpieczeństwa, która będzie funkcjonowała na zasadach podobnych do tych, jakie obowiązuje w zakresie przestrzegania przepisów prawa czy rekrutacji pracowników i do której stosować się będą wszyscy, od zarządu do szeregowych pracowników. Ale nie warto przesadzić, wprowadzenie zbyt wielu i zbyt skomplikowanych zasad sprawia, że organizacja stanie się mniej bezpieczna, bo wiele osób zacznie ignorować zbyt skomplikowane do spełnienia zalecenia.

Cyfrowa era wyprzedziła specjalistów IT?

W ciągu ostatnich dwóch dekad proces digitalizacji biznesu nastąpił tak szybko i tak niepostrzeżenie, że wielu specjalistów ds. bezpieczeństwa zostało w tyle. Problem jest zresztą szerszy, bo opóźnienia dotyczą nie tylko personelu, ale też rozwoju całego modelu biznesowego. Nie ma co jednak płakać nad rozlanym mlekiem, jedynym rozsądnym rozwiązaniem jest przystosowanie się do nowych realiów. A to oznacza, że specjaliści ds. bezpieczeństwa muszą porzucić model oparty na zabezpieczaniu cyfrowego obszaru hasłami i ścianami, a skupić się na ludziach i zwalczaniu konkretnych zagrożeń.

Trzeba przestać rozpaczliwie próbować chronić informacje w takie sam sposób, jak wówczas gdy większość danych była przechowywana i przetwarzana w firmowych centrach danych. Takie podejście jest podobne do średniowiecznego modelu ochrony państwa w czasie wojny, czyli zamykania się w ufortyfikowanych miastach i zamkach, podczas gdy wróg zdobywał przewagę na pozostałym obszarze królestwa.

Oczywiście, są scenariusze w których rygorystyczna ochrona określonych zasobów ma sens, szczególnie jeśli chodzi o obszary krytyczne dla funkcjonowania firmy. Wtedy najlepszym rozwiązaniem jest ścisła kontrola dostępu, bo im mniej osób ma dostęp, tym mniejsza szansa, że ktoś zdoła sforsować zabezpieczenia. Jeśli kogoś wpuszcza się za ten mur, trzeba mieć do niego 100% zaufania, bo niezależnie od poziomu przywilejów, zdeterminowany człowiek znajdzie sposób by obejść zabezpieczenia.

Nadszedł czas na skupienie się na holistycznie postrzeganych zagrożeniach i włączenie całej organizacji w proces bezpieczeństwa. Zabezpieczenie firmy nie może już dłużej polegać na instalowaniu firewalli i antywirusów, a następnie zapominaniu o nich w nadziei, że bezobsługowo zapewnią bezpieczeństwo. Jest to proces, który nigdy nie ustaje i w których zaangażowany powinien być każdy człowiek i dział organizacji. Ryzyka się zmieniają, zmienia się też kontekst biznesowy, relacje z partnerami, natura informacji i warunki działania. Do wszystkich tych zmian trzeba się przygotować i dopasować. Ludzie zawsze będą próbowali obchodzić zabezpieczenia i zwykle im się to udaje, więc lepiej sprawnie reagować na podejmowane przez nich działania.

Firmy muszą też zaakceptować fakt, że 100% bezpieczeństwo jest niemożliwe i w końcu się do nich włamie. Dlatego powinny być przygotowane na taką ewentualność i wiedzieć nie tylko jak odpierać ataki, ale również minimalizować ich skutki. Kluczem jest elastyczność, gotowość do poniesienia strat i umiejętność odbudowywania systemu, podobnie jak w biologii.

Przez ostatnie 40 lat bezpieczeństwo IT oznaczało stosowanie oprogramowania i sprzętu, rola człowieka w tym układzie była ograniczona do minimum. Dziś widzimy, że to był błąd, bo największym zagrożeniem pozostaje właśnie czynnik ludzki, ale na szczęście, może on być jednocześnie jednym z najlepszych zabezpieczeń. Dlatego niezbędna jest zmiana zarządzania w firmach tak, by wszyscy mieli świadomość, że bezpieczeństwo jest wspólnym obowiązkiem. Zmiana taka nie nastąpi szybko i nie będzie łatwa do przeprowadzenia.


TOP 200