Włamanie na życzenie

Jak sprawdzić, czy system informatyczny jest dostatecznie zabezpieczony? Coraz częściej pojawiają się opinie, że w tym celu najlepiej wynająć osoby doświadczone w pokonywaniu elektronicznych zabezpieczeń. Kilka dużych polskich firm skorzystało z tej metody.

Jak sprawdzić, czy system informatyczny jest dostatecznie zabezpieczony? Coraz częściej pojawiają się opinie, że w tym celu najlepiej wynająć osoby doświadczone w pokonywaniu elektronicznych zabezpieczeń. Kilka dużych polskich firm skorzystało z tej metody.

Włamanie kontrolowane, czyli sprawdzanie bezpieczeństwa systemów informatycznych z perspektywy potencjalnego intruza, zyskuje coraz większą popularność. Trend ten przybrał na sile zwłaszcza po spektakularnych atakach typu Denial-of-Service, kiedy to znacznie wzrosło poczucie zagrożenia ze strony elektronicznego podziemia. "Każda firma powinna się na to zdecydować. Korzystanie z usług wynajętych włamywaczy pozwala spojrzeć na system z zewnątrz" - mówi szef działu informatyki dużego polskiego przedsiębiorstwa, zapytany o przydatność włamań kontrolowanych przeprowadzonych przez firmę zewnętrzną. "Wcale nie trzeba podejmować ryzyka ujawnienia danych własnych bądź klientów. Takie przedsięwzięcie trzeba tylko odpowiednio zorganizować. Bezpieczeństwo gwarantuje odpowiednio skonstruowana umowa" - dodaje. Nawet anonimowo odmawia podania jakichkolwiek szczegółów dotyczących testów. Nie daje się też namówić na ujawnienie nazwy firmy.

Bez obaw

W Polsce działa co najmniej kilkanaście firm, oferujących usługę, polegającą na podjęciu próby włamania kontrolowanego. Wykonanie usługi, często zaliczanej do pakietu o nazwie "audyt bezpieczeństwa", rozpoczyna się od rozmów, które pozwalają ustalić wszelkie szczegóły dotyczące sposobów, zakresu testów i ceny. A nie są to usługi tanie. Cena audytu waha się wokół kilku tysięcy dolarów. Jeśli ostatecznie dochodzi do porozumienia, ważnym elementem umowy staje się klauzula o obowiązku dochowania tajemnicy przez usługodawcę.

Zarówno firmy wykonujące testy, jak i przedstawiciele przedsiębiorstw, które zdecydowały się je przeprowadzić, zgodnie podkreślają, że umowa jest najczęściej jedyną, aczkolwiek wystarczającą gwarancją zabezpieczenia się przed ewentualnymi negatywnymi konsekwencjami, wynikającymi z korzystania z usług sieciowych włamywaczy. Sceptycy zwracają uwagę na ryzyko przedstawienia przez firmę wykonującą audyt niepełnego raportu, w którym są zatajane pewne nieprawidłowości i luki w systemie. Przedstawiciele firm zajmujących się bezpieczeństwem, a także ich klienci twierdzą, że taki scenariusz jest mało prawdopodobny. "Większe obawy powinno budzić to, że takie testy często są dokonywane na serwerach produkcyjnych, których działanie nie może być wstrzymane nawet na chwilę" - mówi pracownik, zajmujący się bezpieczeństwem jednego z banków, który udostępnia usługi bankowości elektronicznej.

Wyposażeni w informacje

Po podpisaniu umowy strony przystępują do rozmów o środowisku informatycznym klienta. "Musimy wiedzieć o każdym funkcjonującym w sieci urządzeniu, o każdym systemie operacyjnym, jego wersji, zainstalowanych poprawkach. W przeciwnym razie audyt nie będzie kompletny" - podkreśla Krzysztof Młynarski z firmy Centrum Bezpieczeństwa Sieciowego. Następnie pracownicy firmy, specjaliści od danego typu urządzeń bądź konkretnego systemu operacyjnego przygotowują się do przeprowadzenia testów, wyszukując informacje o potencjalnych błędach. Wreszcie stosując narzędzia dostępne w Internecie monitorują sieć klienta z zewnątrz, próbując znaleźć "dziurę". Kolejnym etapem standardowego audytu jest sprawdzenie, czy poza błędami logicznymi istnieją błędy fizyczne, np. czy pomieszczenie, w którym znajdują się serwery, jest należycie zabezpieczone przed włamaniem.

Przedstawiciele jednego z dużych polskich banków, planującego wykonanie włamań kontrolowanych do własnego systemu, zwracali uwagę, że firma, która otrzyma pełną informację o sieci, do której ma się włamać, nie ma możliwości spojrzeć na nią z perspektywy hakera. Wobec tego wykonywanie testu mija się z celem. Z kolei Krzysztof Młynarski uważa, że naśladowanie działania prawdziwego hakera, który nic lub niewiele wie o danej sieci, jest nieefektywne. "Ewentualne korzyści nie są współmierne do czasu i kosztów, jakie trzeba poświęcić, by je osiągnąć. W takim przedsięwzięciu musiałoby uczestniczyć jednocześnie co najmniej kilkanaście osób. Oczywiście na życzenie klienta podjęli-byśmy się takiego zadania, ale cena byłaby bardzo wysoka" - mówi Krzysztof Młynarski.

Pewność nie sprawdzona

Wiele polskich przedsiębiorstw, które od pewnego czasu funkcjonują w sieci, nigdy nie korzystało ani nawet nie rozważało możliwości wynajęcia firmy zewnętrznej do testów bezpieczeństwa. Przedstawiciele BPH twierdzą, że bezpieczeństwo ich systemu opiera się na sprawdzonych rozwiązaniach renomowanych firm zagranicznych. "Nie ma potrzeby dokonywania kontrolowanych włamań. Nasi pracownicy sami testują systemy, ale pod kątem ich prawidłowego funkcjonowania. Audyty bezpieczeństwa wykonywane są przez firmy zewnętrzne" - mówi Tadeusz Liszka, zastępca dyrektora Centrum Bankowości Elektronicznej BPH.

Z włamań kontrolowanych nie korzystał również Powszechny Bank Gospodarczy - pionier polskiej bankowości internetowej. System funkcjonuje już od ponad 2 lat. "Bezpieczeństwo syste-mu opiera się na technologii tokenów. To ich producent wynajmuje firmę zewnętrzną, która testuje to rozwią- zanie" - wyjaśnia Andrzej Grandys, współtwórca systemu, obecnie dyrektor Zespołu Informatyki Makroregionu Centrum Pekao SA. Już po uruchomieniu systemu do banku zgłosiła się znana firma z propozycją przeprowadzenia audytu bezpieczeństwa. O odrzuceniu oferty zadecydował brak zaufania do osób, które miały go przeprowadzić. Andrzej Grandys przyznaje też, że zaproponowana cena usługi była bardzo wysoka.

Praca z hakerem

Najrozsądniejszym rozwiązaniem kwestii bezpieczeństwa wydaje się zatrudnienie na stałe specjalisty ds. bezpieczeństwa. Ci, którzy takich pracowników szukali, wiedzą, że nie jest to zadanie łatwe. Pokusę stanowić może zatrudnienia byłego hakera. Nie jest tajemnicą, że wielu obecnych polskich spec-jalistów w tej dziedzinie jeszcze kilka lat temu z dumą nazywało się hakerami. Nawet jeśli nie włamywali się do banków, to próbowali dostać się do komputera kolegi ze studiów, który rzucił im to wyzwanie. Jednak zatrudnianie aktywnych hakerów - zarówno na stałe, jak i do wykonania testów - wzbudza wiele kontrowersji.

Argumentem "za" jest przekonanie o tym, że hakerzy mają doświadczenie, którego nie jest w stanie zdobyć pracownik firmy komercyjnej. Prawdopodobnie tym kierowała się komisja amerykańskiego Senatu, która niedawno spotkała się ze zwolnionym z więzienia słynnym hakerem Kevinem Mitnickiem w celu przedyskutowania poziomu bezpieczeństwa rządowych i prywatnych systemów informatycznych. Zdecydowanie mocniejsze argumenty przemawiają jednak przeciw współpracy z hakerami. Ich zatrudnianie jest równoznaczne z wyposażaniem włamywaczy w coraz lepszy sprzęt. Nawet jeśli etyka nie pozwoli im szkodzić pracodawcy, to będą szkodzić innym. "Hakerzy to ludzie nastawieni na destrukcję. Nie sądzę, by ich wiedzę i umiejętności można wykorzystać do tego, aby coś tworzyli. Nie jestem pewien, czy są zdolni do kreatywnych działań" - powątpiewa Andrzej Grandys z Pekao SA.

Realne zagrożenie

Przerażające przykłady płynące z zagranicy, takie jak kradzieże numerów kart kredytowych przechowywanych w sklepach internetowych, na razie nie dotyczą polskiego Internetu. Biorąc pod uwagę niekwestionowany przez fachowców fakt, że 80% przypadków naruszenia bezpieczeństwa dokonywanych jest przez pracowników firm, wydawać się może, że wykonywanie włamań kontrolowanych jest niepotrzebne. Warto jednak zwrócić uwagę na jeszcze jeden fakt, o którym zwykle wspominają przedstawi-ciele firm zajmujących się ochroną systemów informatycznych: większość klientów zgłasza się w momencie, gdy bezpieczeństwo ich systemów zostało już naruszone.


TOP 200