Czego o bezpieczeństwie nie powie Ci dostawca usług

Przed zawarciem umowy z zewnętrznym dostawcą usług IT często padają pytania o jego podejście do bezpieczeństwa informacji. Praktyka pokazuje, że należy krytycznie podchodzi do udzielanych odpowiedzi, ponieważ zdarza się w nich bagatelizowanie poważnych zagrożeń, z których część może mieć negatywny wpływ na klientów.

Jako przykład można podać firmę, która korzystała z serwera WWW oraz usługi bezpiecznego portalu oferowanych przez firmę specjalizującą się w hostingu. Bazując na obawach zgłaszanych przez jednego z klientów odwiedzających witrynę tej firmy, został przeprowadzany test pod kątem wykrycia podatności. Efektem była długa lista problemów wymagających naprawy. Firma domagała się reakcji od usługodawcy, który w ciągu kilku dni udzielił odpowiedzi. Analiza tej odpowiedzi pokazała kilka sygnałów ostrzegawczych, które często pojawiają się w takich sytuacjach. To ważne, żeby zwracać na nie uwagę, jeśli pojawią się w korespondencji z usługodawcą na temat bezpieczeństwa informacji.

"Od dłuższego czasu (lub nigdy) nie mieliśmy włamań"

To klasyczna odpowiedź, którą można zinterpretować następująco: “Nasze zabezpieczenia muszą być dobre, skoro nikt się nie włamał.” W tym miejscu można zacytować ekspertów od finansów: „Wysoka wydajność w przeszłości nie jest wskaźnikiem sukcesu w przyszłości”. Co więcej, wcale nie jest wykluczone, że zręczny haker od jakiegoś czasu penetruje już środowisko usługodawcy, skutecznie ukrywając swoją obecność.

Zobacz również:

"Nasz operator sieciowy ma świetne zabezpieczenia"

Rozważmy przykład, w którym usługa SaaS oferowana przez usługodawcę działa na infrastrukturze innej firmy, np. Amazon Web Services (AWS). W tym przypadku mamy do czynienia z infrastrukturą słynącą ze świetnych zabezpieczeń. Trzeba jednak pamiętać, że AWS nie może wziąć odpowiedzialność za poziom bezpieczeństwa samych aplikacji, które działają na jego infrastrukturze. Poleganie wyłącznie na zabezpieczeniach operatora sieciowego czy firmy hostingowej to tak, jakby nie używać zamków w mieszkaniu, bo lokalna policja cieszy reputacją bardzo skutecznej.

"Lista naszych zabezpieczeń jest publicznie dostępna"

Wiadomości od usługodawcy mogą zawierać odnośnik do strony podającej długą listę zabezpieczeń, np. szyfrowanie danych na pamięciach masowych, komunikację SSL czy zgodność ze standardem SSAE 16. Niestety tego rodzaju zabezpieczenia mogą nie obejmować całego portfolio usług. W omawianym przypadku dotyczyły tylko bezpiecznego portalu, ale nie obejmowały serwera WWW.

Tymczasem strona internetowa zawierająca luki może zostać wykorzystana przez hakera do infekowania szkodliwym kodem komputerów osób odwiedzających tę witrynę. Podobnej uwagi wymaga fakt, że wymieniane na liście środki zabezpieczeń często nie korespondują z rzeczywistością. Usługodawcy mogą podawać również informacje, które niekoniecznie muszą być prawdziwe.

"W przeszłości mieliśmy problemy, ale poprawiliśmy nasze zabezpieczenia"

W tym przypadku chodziło o odniesienie do problemów wynikających z luk w WordPressie. Natomiast za informacją o poprawie bezpieczeństwa kryła się instalacja łatki do WordPressa. To znowu pokazuje, że usługodawcy mogą deklarować różne rzeczy, ale w niejasny sposób tak, że nie wiadomo, co się za nimi faktycznie kryje. Opisane problemy dotyczą dostawców każdej wielkości i niezależnie od ich specjalizacji. Doświadczenie pokazuje niestety, że odpowiedzialność za zapewnienie bezpieczeństwa spada na barki firm. To do nich bowiem przyjdą klienci, jeśli coś pójdzie nie tak na skutek niewystarczających zabezpieczeń.

Czytając między wierszami

Jak można rozpoznać usługodawcę, który nie dostarcza rzetelnych informacji o jego zabezpieczeniach? Oto kilka sugestii.

Warto przeprowadzić skanowanie podatności. Jest wiele narzędzi ułatwiających wykonanie tej operacji. Można polecić Qualys zawierający wiele bezpłatnych testów. Testom można poddać własną stronę WWW umieszczoną w hostingu, jak również stronę należącą do firmy hostingowej. Należy też poszukać odpowiedzi takich, jak opisane wcześniej. Usługodawcy często wymagają, aby poinformować ich wcześniej o planowanym teście, żeby nie aktywować powiadomień o atakach. Żeby jednak uzyskać lepsze wyniki, lepiej tego nie robić. Brak informacji o planowanym teście umożliwia również sprawdzenie, jak dobrze działają narzędzia monitorujące.

Dobrym wyborem jest usługodawca, który zatrudnia dedykowanego specjalistę od bezpieczeństwa. Utrzymanie zabezpieczeń na przyzwoitym poziomie wymaga kogoś, kto nie tylko się na tym zna, ale też zajmuje się wyłącznie tym obszarem. Jeśli brakuje takiej osoby lub łączy ona jeszcze inne funkcje, należy być podejrzliwym co do jakości zabezpieczeń.

Na koniec, warto co jakiś czas, np. raz do roku, przeprowadzić ponowną ocenę firm, z których usług się korzysta. Dobrze, żeby ten proces był sformalizowany, a od usługodawcy należy prosić o pisemną odpowiedź na temat stosowanych zabezpieczeń. Zebranie takich odpowiedzi jest pracochłonne, ponieważ usługodawcy nie są skorzy do takiej współpracy. Mogą się nawet zdarzyć przypadki odmowy odpowiedzi. Mając odpowiedzi, należy szukać w nich opisanych znaków ostrzegawczych.

Dodatkowo samemu można poszukać informacji o danym usługodawcy, wystarczy skorzystać z wyszukiwarki internetowej. Mogą to być informacje o sytuacji finansowej, zmianach w kierownictwie, przypadkach cyberwłamań czy sporach sądowych. Takie informacje mogą dużo powiedzieć o badanym podmiocie. Nie należy się obawiać zmian. Jeśli usługodawca przestaje spełniać wymagania, trzeba poszukać nowego.