Prawdy nieoczywiste

Wydatki na bezpieczeństwo łatwo pochłoną każdy budżet, ale bynajmniej nie ze względu na liczbę czyhających na nas zagrożeń.

Wydatki na bezpieczeństwo łatwo pochłoną każdy budżet, ale bynajmniej nie ze względu na liczbę czyhających na nas zagrożeń.

Wielkość nakładów inwestycyjnych na systemy zabezpieczeń rozpatruje się zazwyczaj w odniesieniu do rozmiarów ryzyka i prawdopodobieństwa jego wystąpienia. Zdrowy rozsądek rzeczywiście ma tu zastosowanie, bo pod hasłem bezpieczeństwa można łatwo skonsumować dowolnie duży budżet. Rozsądek ten nie może jednak polegać wyłącznie na czynnikach racjonalnych, ponieważ wydatki na bezpieczeństwo nie są w praktyce kształtowane jedynie przez obiektywnie czy subiektywnie postrzegane ryzyko.

Wpływ na wydatki firm na bezpieczeństwo mają w dużej mierze dostawcy. Są to firmy mające udziałowców i dążące do maksymalizacji przychodów i zysków. Wiedząc, że klienci mają skłonność do zabezpieczania się jedynie przed naprawdę poważnymi zagrożeniami, dostawcy zabezpieczeń oferują produkty o wąskiej funkcjonalności. Gdy pojawia się nowy obszar ryzyka, można klientowi zaoferować nowy "punktowy" produkt, zaoferować dla niego wsparcie i wszyscy są szczęśliwi. Z racjonalnością ma to jednak niewiele wspólnego, a już na pewno nie z oszczędnościami.

Przykładów dobrego współdziałania dostawców z klientami w zwiększaniu przez tych ostatnich wydatków na bezpieczeństwo jest bez liku. W swojej krótkowzroczności większość firm uznała, że lepiej jest wdrożyć rozwiązania chroniące przed spamem, niż uniemożliwić jego rozsyłanie. Łatwiej jest wdrożyć i utrzymywać wielowarstwowe filtry działające na różnych poziomach abstrakcji, niż zadbać o poprawną konfigurację sieci czy zmienić domyślną przeglądarkę WWW. Prawda, łatwiej, ale czy na pewno taniej?

Koszty alternatywne

Najnowszych argumentów do dyskusji nad wydatkami na bezpieczeństwo dostarcza niepublikowany jeszcze raport sporządzony przez Departament Handlu Stanów Zjednoczonych dotyczący potencjalnych kosztów związanych z migracją amerykańskiej administracji z sieci IPv4 do IPv6. Jak donosi serwis internetnews.com, koszty tej operacji w owym raporcie są szacowane na 25-75 mld USD. Kwoty są niemałe, nawet jak na tamtejsze warunki, ale decyzja o przejściu na IPv6 została już podjęta - sankcjonuje ją rozporządzenie Biura ds. Zarządzania i Budżetu (OMB), zgodnie z którym, administracja federalna musi wdrożyć Ipv6 do czerwca 2008 r.

Czy amerykańska administracja federalna musiała migrować do IPv6? W kategoriach przymusu rozumianego jako bezwzględny warunek dalszego nieprzerwanego funkcjonowania - nie. Po pierwsze, dlatego że w Stanach Zjednoczonych nie występuje problem z niedostatkiem adresów IPv4. Po drugie, inwestycje w systemy chroniące istniejące sieci IPv4 zostały tam dawno poczynione. Po trzecie, nawet w Stanach powszechnie wykorzystywana jest translacja NAT. Stosując stereotypową logikę zakupu rozwiązań z dziedziny bezpieczeństwa, z migracją można by więc poczekać do czasu, gdy IPv4 zacznie administracji poważnie doskwierać.

A jednak OMB uznało, że czasu ma niewiele. Tamtejsi decydenci doszli do wniosku, że wdrożenie IPv6 będzie kosztować mniej niż skumulowane wydatki na systemy zabezpieczeń przed zagrożeniami - tymi już znanymi oraz tymi, którym hakerzy uraczą nas w niedalekiej przyszłości. Infrastruktura IPv6 niesie bowiem obietnicę eliminacji, a w najgorszym razie marginalizacji wielu spośród zagrożeń, które wymagają dziś specjalistycznych rozwiązań ochronnych. Pieniądze zostaną wprawdzie wydane, jednak ostatecznie uzyskany poziom bezpieczeństwa będzie wyższy niż w przypadku dalszego kontynuowania inkrementalnych inwestycji w rozwiązania specjalistyczne.

Zapewniane przez IPv6 silne uwierzytelnianie w warstwie TCP/IP wydaje się dziś konieczne, jest poza dyskusją - na braku tej funkcji w IPv4 opiera się coraz więcej ataków sieciowych. Praktyka pokazuje, że obrona przed nimi w wyższych warstwach jest niezbyt skuteczna, ponieważ cała architektura TCP/IP i działających powyżej powstała w zupełnie innych realiach. Zdrowy fundament w postaci bardziej nowoczesnej i niezawodnej architektury sieciowej stworzy warunki do wdrożenia bardziej bezpiecznych protokołów działających na wyższym poziomie.

W inicjatywie wymuszonej przez rozporządzenie OMB nie chodzi wyłącznie o protokół IPv6, ale o całą infrastrukturę związaną z IPv6 i wynikające z jej uruchomienia korzyści. Jest ich potencjalnie bardzo wiele, jak np. bezpieczne - szyfrowane i silnie uwierzytelniane - zapytania i odpowiedzi do systemów DNS (ograniczenie zjawisk, takich jak spoofing i phishing), bezpieczne połączenia między serwerami pocztowymi (ograniczenie spamu), czy lepsza kontrola dostępu do systemów i danych (zapobieganie szpiegostwu militarnemu i przemysłowemu oraz kradzieży danych osobowych).

Bijmy się w piersi

Argumentem podnoszonym przeciw bardziej odważnym zmianom w architekturze systemów - nawet jeśli przyświeca im szczytny cel w postaci podniesienia bezpieczeństwa - jest konieczność dokonania zmian w leciwych i zwykle słabo udokumentowanych aplikacjach. To żadna nowość, ale tak się składa, że - z punktu widzenia działów biznesowych - za słabą dokumentację aplikacji odpowiada ten sam dział IT, który broni swojego status quo, unikając poważniejszej debaty na temat bezpieczeństwa, ewentualne sprowadzający ją do dyskusji o kolejnych produktach.

Faktem jest, że to działy biznesowe sterują obecnie kierunkami rozwoju informatyki w firmach i to na ich życzenie skomplikowanie aplikacji - a więc także kłopoty z ich utrzymaniem i zabezpieczeniem bywają większe, niż mogłyby być. Faktem jest też, że wiele zagrożeń pozostaje poza wszelką kontrolą działu IT. Jego odpowiedzią nie może być jednak kupowanie kolejnych wąsko zdefiniowanych systemów zabezpieczeń. Opasłe bądź źle napisane aplikacje i równie opasłe systemy służące do ich ochrony to scenariusz, który trzeba przewidzieć i umiejętnie go uniknąć, inaczej rachunki za "bezpieczeństwo" rzeczywiście będą duże.

Wracając do kwestii związanej z dostawcami, producenci oprogramowania od zawsze dążą do tego, by zmusić klientów do dostosowania się do ich cyklu produkcji, a więc również do ich struktury kosztów i ich rozkładu w czasie. Nowa wersja, nowy moduł funkcjonalny, nowa licencja - tak wygląda współpraca nie tylko z dostawcami aplikacji biznesowych, ale także z dostawcami zabezpieczeń. Wiele działów IT wciąż traktuje firmy tworzące zabezpieczenia jak wybawicieli, którzy co prawda za pieniądze, ale jednak, chronią firmę przed coraz to nowymi zagrożeniami. Przekonanie to jest umiejętnie podsycane przez samych dostawców prześcigających się w udowadnianiu nam wszystkim jak bardzo potrzebujemy ich pomocy.

Jeśli na sprawę spojrzeć nieco trzeźwiej, można dojść do innych wniosków. W przypadku dostawców systemów zabezpieczeń informowanie o zagrożeniach, czy nawet niekiedy straszenie potencjalnymi konsekwencjami podatności systemów na ataki, to nic innego, jak marketing - działanie mające kreować popyt. Chociaż wiele z firm produkujących zabezpieczenia zatrudnia naukowców i światowej klasy specjalistów, nie są to już od dawna placówki badawcze działające w imię wspólnego dobra. Gdyby eksperymentów polegających na wyszukiwaniu luk w systemach zaniechano (a w każdym razie, gdyby zaniechano publikowania ich wyników), dynamika rozwoju branży byłaby zapewne znacznie słabsza.

Nie system, lecz proces

Wydatki na systemy zabezpieczeń nigdy nie są sprawą oczywistą. Rozpatrując potencjalne zagrożenia, nie można ograniczać się jedynie do spojrzenia akademickiego, w którym koszty zabezpieczeń są pochodną kalkulacji statystycznej i oceny zdolności firmy do utrzymania ciągłości pomimo wystąpienia niepożądanych zdarzeń. Wydatki na bezpieczeństwo to pochodna decyzji podejmowanych wiele lat wstecz, a dotyczących m.in. kształtu architektury informatycznej i sieciowej, modelu przetwarzania i udostępniania aplikacji, stopnia skomplikowania warstwy aplikacyjnej i wielu innych czynników.

Nie można też ulegać wrażeniu, że wydatki na bezpieczeństwo muszą być ponoszone w taki czy inny sposób, ponieważ do tej pory tak było. Kontynuacja to w informatyce dobra rzecz, ale bywa, że rewolucja jest opłacalna, nawet jeśli nie jest to oczywiste na pierwszy rzut oka. Niech każdy sam rozważy, czy wolałby co roku malować swój dom i uzupełniać braki w tynku, czy też pokryć go dobrą warstwą ochronną, która przetrwa wiele lat. W tym drugim przypadku koszt początkowy będzie zapewne większy, ale po kilku latach oszczędności będą oczywiste. Wystarczy nieco wyobraźni.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200