Wieści ze strefy

Ostrożnie z bezpieczeństwem

Duże zainteresowanie wzbudził wykład Piotra Wąsikowskiego, wiceprezesa Stowarzyszenia Jakości Systemów Informatycznych, dotyczący kwestii kupowania usług lub produktów informatycznych, w szczególności w obszarze bezpieczeństwa. Dostawca i klient, negocjując umowę, stają do trudnej gry, w której często szanse stron są nierówne. Jakoś tak się dzieje, że w informatyce tą słabszą stroną na ogół jest klient.

Zdaniem P. Wąsikowskiego 9 z 10 takich umów podpisywanych w Polsce zawiera tak niekorzystne dla odbiorców zapisy, że w ogóle trudno zrozumieć, dlaczego zostały one podpisane. Nie chodzi tutaj o nieuczciwość ze strony dostawcy - on po prostu wykorzystuje brak profesjonalizmu i doświadczenia u odbiorcy. Dostawca wykorzystuje to zarówno w czasie formułowania zapisów umowy (np. wymuszając określone zapisy stwierdzeniami, że "tak się to robi", "to nasz standard korporacyjny", "to jest standardowa umowa"), jak i później na etapie wdrożenia - jeśli klient nie będzie dbał cały czas o swój interes, to we wdrożeniu udział będą brać zamiast doświadczonych specjalistów początkujący praktykanci (które to zjawisko często widać we wdrożeniach realizowanych dla instytucji państwowych).

Nagminnym błędem jest przyjmowanie standardowej wersji umowy, która praktycznie zawsze jest napisana tak, by była w możliwie dużym stopniu korzystna dla dostawcy, a niekorzystna dla klienta. Przykładowo, dostawcy lubią zapisać, że "będą zabezpieczać system informatyczny klienta", a nie, że go zabezpieczą. Ta lingwistyczna różnica trybu jest bardzo istotna - w pierwszym przypadku dostawca może zawsze się tłumaczyć, że się starał, no ale cóż ... po prostu nie wyszło.

Osobne zagadnienie to outsourcing - zdaniem Piotra Wąsikowskiego lektura niektórych umów o świadczenie usług outsourcingu informatycznego sprawia, że włosy stają dęba na głowie. Zdarzają się nawet takie umowy zawierane przez bardzo poważne instytucje, które dostawca usług za minimalną opłatą karną może zerwać w ciągu kilku tygodni. Żadna z firm, która istotną część swoich systemów oddała w outsourcing, tego nie przeżyje.

Adam E. Patkowski z Wojskowej Akademii Technicznej zaprezentował wykład o audycie, mówiąc ciekawie i zajmująco, co w przypadku akurat tego tematu jest trudną sztuką - przynajmniej jeśli oceniać typowe wystąpienia na różnych konferencjach dotyczące audytu informatycznego. Wykładowca podkreślił, że podstawowym źródłem negatywnego oceniania wartości audytu jest, po pierwsze, niezrozumienie, że ma on pełnić rolę okresowej funkcji kontrolnej, a po drugie, wybieranie wykonawcy audytu z zastosowaniem kryterium ceny. Czy wybór menedżera na podstawie głównie ceny, jakiej żąda za swoje usługi, a nie rzeczywistej ich wartości dla biznesu, nie wydałby się absurdalny? Tymczasem w przypadku audytorów tak często się czyni.

Sytuacji nie poprawia powszechne zjawisko nadużywania czy wręcz zawłaszczania słowa audyt. O audycie mówią wszyscy, choć na myśli mają inwentaryzację, przegląd wersji oprogramowania czy inne, dość banalne czynności z audytem mające niewiele wspólnego. Mnożą się audyty oprogramowania, audyty sieci i inne marketingowe formułki z wplecionym słowem audyt, co prowadzi do rosnącej konfuzji użytkowników odnośnie do rzeczywistej roli i wagi audytu teleinformatycznego.

Porady i doświadczenia

STREFA BEZPIECZEŃSTWA zgromadziła sto kilkadziesiąt uczestników - głównie menedżerów średniego i wyższego szczebla.

STREFA BEZPIECZEŃSTWA zgromadziła sto kilkadziesiąt uczestników - głównie menedżerów średniego i wyższego szczebla.

W części poświęconej zarządzaniu incydentami duże zainteresowanie wzbudziło wystąpienie Piotra Wieczorka z Departamentu Wsparcia Zarządzania Technologiami Sieciowymi i Biura Bezpieczeństwa Technologicznego w Polskiej Telefonii Cyfrowej SA (Era). Z tematu na pozór wyświechtanego, jakim jest działanie firmy w warunkach infekcji wirusowej, P. Wieczorek uczynił umiejętnie przypowieść o tym, jakich błędów nie wolno popełniać nie tylko w takiej, ale w każdej innej sytuacji kryzysowej.

"Wiele czasu można zmarnować, gdy ludzie nie wiedzą, czy mogą podjąć decyzję, której skutki będzie odczuwać cała organizacja, np. odciąć łączność z Internetem na jakiś czas. Ludzie muszą wiedzieć, kiedy i jakie decyzje mogą podejmować" - radził. Wskazywał też, jak ważne podczas sytuacji kryzysowej jest odseparowanie osób bezpośrednio zaangażowanych w jej eliminację od pracowników firmy, którzy domagają się informacji o tym, co się dzieje. O klarownej komunikacji i zabezpieczeniu jej alternatywnych kanałów wspominał kilkakrotnie.

Mirosław Maj z CERT Polska prezentował w swoim wystąpieniu empiryczne doświadczenia w reagowaniu na zewnętrzne włamania ze szczególnym naciskiem na błędy popełniane w momencie wykrycia faktu ataku lub tuż po nim. "Wyłączenie podejrzanego komputera, a nawet odłączenie go od sieci często zaprzepaszcza szansę wykrycia rzeczywistych sprawców włamań. Jeśli komputer był pod kontrolą intruza przez wiele miesięcy, pozostawienie go w takim stanie jeszcze jakiś czas niewiele zmieni, może zaś przysporzyć cennych danych pomocnych w zidentyfikowaniu sprawców" - mówił. Podczas swojego wystąpienia uczulał także słuchaczy na problemy przy poszukiwaniu sprawców działających przez sieci operatorów zagranicznych, wskazując jednocześnie na ścieżki kontaktowe wypracowane przez CERT Polska.

Interesującą prezentację wygłosił Tomasz Grabowski z Akademickiego Centrum Informatyki Politechniki Szczecińskiej. Wskazywał, że empiryczne testy gotowych rozwiązań do ochrony przed atakami DoS są na razie niedoskonałe i nadają się raczej dla operatorów, niż dla firm. Wskazywał także, by nie sugerować się zapewnieniami dostawców, że ich routery są odporne na ataki DoS.


TOP 200