Audyt bezpieczeństwa to test sieci i systemów informatycznych, umożliwiający określenie podatności organizacji na atak hakera, awarie techniczne i katastrofy naturalne.

Na poważnie o audycie bezpieczeństwa zaczęto mówić pod koniec lat 90., ale polskie przedsiębiorstwa, które w owym czasie rzetelnie przeprowadziły test odporności systemów informatycznych na zagrożenia, można policzyć na palcach jednej ręki. Hasło "bezpieczeństwo" nabrało nowego wymiaru po atakach terrorystycznych w USA. Na fali wydarzeń z 2001 r. audyty bezpieczeństwa przeprowadziły najpierw firmy, które bez informatyki w zasadzie tracą rację bytu, czyli banki i inne instytucje finansowe. W ostatnim roku popularność audytu zaczęła wzrastać także w innych branżach.

Czy warto chronić wszystko?

Pierwszą fazą audytu jest ocena ryzyka, której efektem jest spis zagrożeń, prawdopodobieństwa ich wystąpienia i wartości informacji, która może być zagrożona. Na podstawie dyskusji z zarządem dalszemu testowaniu poddawane są te obszary, w których ryzyko zagrożenia jest największe i w których wartość informacji jest najwyższa. Innymi słowy, nie warto zabezpieczać wszystkiego i za wszelką cenę.

Druga faza to plan audytu, określający co i w jaki sposób będzie badane. Na tym etapie stwierdza się, w których systemach są przechowywane i przetwarzane dane uznane za wartościowe czy najbardziej zagrożone. W rozmowie z szefem działu IT konsultanci posługują się często gotowymi zestawami pytań. Daje to względną gwarancję, że systemy istotne z punktu widzenia bezpieczeństwa nie zostaną przeoczone. W zasadzie nigdy nie bada się wszystkich maszyn, systemów i urządzeń sieciowych.

Szukanie dziury od środka

Test bezpieczeństwa to najczęściej połączenie testu konfiguracji z testem penetracyjnym. Test konfiguracji jest poszukiwaniem luk tam, gdzie konsultanci spodziewają się je znaleźć, dysponując pełnym dostępem do systemów. Z kolei test penetracyjny jest symulacją ataku hakera, nie dysponującego autoryzowanym dostępem, lecz próbującego włamać się do nich.

Wykonujący test konfiguracji konsultanci analizują słabe punkty, posiłkując się dokumentacją. Najczęściej zajmuje to około miesiąca, ale w bankach i dużych firmach może to trwać nawet cztery miesiące. "Testowi konfiguracji poddane mogą zostać wszystkie systemy operacyjne, urządzenia sieciowe, zapory firewall. Szuka się luk, które mogą zostać wykorzystane przez hakerów" - mówi Rafał Grzech z ComArchu.

Test penetracyjny trwa o wiele krócej niż audyt konfiguracji - od jednego dnia do dwóch tygodni. Test penetracyjny to nie tylko środki techniczne, ale również socjotechnika. Pracownicy nabierają się na proste sztuczki! Człowiek, który udaje roznosiciela pizzy, jest wpuszczany do pomieszczeń, do których nie powinien mieć dostępu. Pracownicy podają swoje hasła przez telefon osobie, która podaje się za pracownika serwisu.

Koszty i efekty audytu technologii

Test bezpieczeństwa powinien objąć też infrastrukturę i procedury disaster recovery. Sprawdzenie procedur postępowania w razie pożaru, awarii zasilania, ataku DOS czy odcięcia podstawowego ośrodka przetwarzania może ograniczyć się - i często ogranicza się - do dokumentacji. Koszt symulacji dużej awarii może być gigantyczny, jeśli w wyniku błędnego zaprojektowania mechanizmów bezpieczeństwa audyt przerodzi się w zatrzymanie systemu i przerwanie działalności organizacji.

"Łatwo jest wywołać katastrofę, testując nieprzygotowaną do niej organizację. Firmy są tego świadome i często ograniczają się do przeglądu dokumentów, licząc na to, że wiele błędów już tam zostanie wyłapanych. Zdarzają się symulacje, w których firmy przenoszą się w całości do ośrodka zapasowego. Tego jednak nigdy nie robi się na ślepo. Dochodzenie do gotowości do wykonania kontrolowanego przeniesienia do ośrodka zapasowego to kwestia kilku lat, w ciągu których przeprowadzane są testy cząstkowe. Większość firm jest na razie na etapie sprawdzania poprawności odtwarzania kopii zapasowych" - mówi Jakub Bojanowski, dyrektor działu zarządzania ryzykiem Deloitte.

Koszty audytu bezpieczeństwa są ściśle związane ze stopniem skomplikowania środowiska informatycznego. Audyt środowiska składającego się z kilku serwerów i podłączonych do nich stacji roboczych wykonany przez dużą, renomowaną firmę informatyczną to koszt rzędu 30-100 tys. zł. Cena za szeroko zakrojony audyt złożonego środowiska może nawet przekroczyć pół miliona złotych. Oczywiście jest sporo mniejszych firm, które za wykonanie audytu bezpieczeństwa wezmą o wiele mniej pieniędzy. Wartość i wiarygodność raportu audytorskiego trudno jest ocenić, nie zamawiając drugiego raportu dla porównania.

Posługując się przykładem ComArchu, efektem audytu są dwa raporty: inny dla zarządu i inny dla osób bezpośrednio odpowiedzialnych za bezpieczeństwo. Pierwszy raport daje zarządowi szerokie spojrzenie na kwestie ochrony informacji w firmie. Drugi pokazuje konkretne błędy w konfiguracji i sposoby ich poprawienia, zawierając między innymi instrukcje typu "w polu A zmień wartość X na Y".

Podejście organizacyjno-proceduralne

"Po pierwsze, audyt bezpieczeństwa zawsze powinno przeprowadzać się w odniesieniu do czegoś - polityki bezpieczeństwa, wymogów prawa. Po drugie, audyt ma dotyczyć przyszłości, a nie przeszłości. Zapewnienie firmie stałego bezpieczeństwa na określonym poziomie wymaga ustalenia organizacji i procedur bezpieczeństwa. Nie może całe bezpieczeństwo opierać się na tym, że ktoś sam się kontroluje, musi być możliwość nadzoru przez kogoś na wyższym poziomie hierarchii.

Czy współpraca z użytkownikiem IT jest objęta jakimikolwiek procedurami? Czy jest jakiś system zleceń i wniosków? To przykładowe pytania, na które odpowiedź powinna być twierdząca" - twierdzi Jakub Bojanowski z Deloitte. Inaczej już w chwilę po zakończeniu audytu znów nie wiemy, czy organizacja jest bezpieczna, czy nie.