(Z)Łamane przez poufne

Głęboką tajemnicą natomiast jest otoczona struktura lokalnych systemów bezpieczeństwa oraz te wszystkie działania, które mają na celu zabezpieczenie systemów i sieci przed świadomym atakiem z zewnątrz lub wewnątrz. Firmy wychodzą z założenia, że im mniej wiadomo o sposobach stosowanych do ochrony swoich zasobów, tym mniejsze prawdopodobieństwo naruszenia bezpieczeństwa. Trudno powiedzieć, czy założenie to jest prawdziwe (gdyby tak było, oprogramowanie open source byłoby mniej bezpieczne od systemów zamkniętych, a powszechnie uważa się, że jest odwrotnie), ale nie sposób znaleźć firmy, która precyzyjnie wyliczyłaby, jakie systemy bezpieczeństwa stosuje.

Od tej reguły istnieje wszakże wyjątek, za to bardzo istotny. Struktura systemów bezpieczeństwa i procedury jego zapewnienia ujawniane podczas integrowania własnych systemów informatycznych z systemami innych firm. W dobie outsourcingu, podwykonawstwa oraz coraz powszechniejszych usług sieciowych łączenie systemów informatycznych wymaga bardzo starannego potraktowania bezpieczeństwa. Aby zapewnić ochronę kanału komunikacji między systemami i bezpieczeństwo każdego systemu, ważne są: szczegółowe dopracowanie standardów uwierzytelniania oraz audyt rozwiązania jako całości. Nie sposób tego osiągnąć bez intensywnej komunikacji między stronami takiego połączenia. Firma jest zmuszona ujawnić przynajmniej część swoich procedur, standardów i narzędzi. Z reguły poprzedza to umowa o wzajemnej ochronie informacji (non-disclosure agreement).

Firmy, w których wiele zależy od sprawności zasobów informatycznych, regularnie wynajmują specjalizowane przedsiębiorstwa do przeprowadzania audytów bezpieczeństwa. Oczywiście, ich wyniki są otoczone ścisłą tajemnicą. Ujawnienie ewentualnych luk spowodowałoby natychmiastowy atak. Publiczne chwalenie się, że "wszystko jest w porządku" prawdopodobnie wywołałoby podobną reakcję - na pewno znalazłoby się wielu takich, którzy postanowiliby udowodnić, iż jednak nie wszystko jest w porządku. Są przedsiębiorstwa, które - z różnych względów - są szczególnie lubianym przez hakerów celem takich ataków. Należą do nich z pewnością Microsoft i ostatnio także SCO. W Polsce prym wiodą Telekomunikacja Polska i instytucje rządowe. Informatycy z tych firm zdają sobie sprawę, że są "na celowniku". Jeżeli ich witryna internetowa zostanie skompromitowana, natychmiast dowie się o tym cała Polska albo nawet świat. Wtedy wszelka poufność bierze w łeb, a komunikacji nie da się uniknąć.

Czas odpowiedzi

Firma, której bezpieczeństwo zostało naruszone w sposób niewidoczny dla przypadkowych osób, stara się to zataić. Czasami jednak nie da się tego zrobić, firmy są więc zobligowane do wydania oświadczenia.

Zawsze pierwszym celem jest uspokojenie użytkowników i klientów. Nawet w przypadku kradzieży numerów kart kredytowych (takie sytuacje miały miejsce w amerykańskich sklepach internetowych) albo istotnego naruszenia bezpieczeństwa intranetu (jak w przypadku Microsoftu) organizacje starają się przede wszystkim przekonać, że właściwie nic się nie stało. Firma SCO po ewidentnym włamaniu do jej systemów z godnym podziwu uporem twierdziła, że przeprowadza planowany upgrade serwerów i oprogramowania. "Nie mówimy niczego, a jak już musimy, to kłamiemy" - prosto ujmuje to Security Officer z sieci handlowej.

Czasami, by przekonać swoich klientów i użytkowników do dalszego korzystania z serwisu po naruszeniu jego bezpieczeństwa, firma decyduje się na opisywanie własnych systemów zabezpieczeń z obowiązkowym dodaniem, że są "nowe", choć "sprawdzone". Warto jednak zwrócić uwagę, że nigdy nie są to opisy zbyt szczegółowe, co najwyżej ograniczają się do ogólnego przytoczenia nazw zastosowanych metodyk i systemów, nigdy zaś dokładnie nie przedstawiają "systemu obronnego" firmy.

Każdy incydent bezpieczeństwa pociąga wykonanie odpowiedniej procedury, na końcu której, wg wspomnianych standardów OCTAVE, są komunikacja z organami bezpieczeństwa i wewnętrzna komunikacja w firmie. W tym pierwszym przypadku chodzi o to, by odpowiednie służby podjęły śledztwo, które potencjalnie może doprowadzić do wykrycia sprawcy; w drugim, by tak zmienić procedury bezpieczeństwa i stosowne regulaminy, aby zmniejszyć ryzyko pojawienia się podobnych przypadków w przyszłości. W tej fazie komunikacja biur bezpieczeństwa jest dość intensywna. "W przypadku ewentualnego incydentu bezpieczeństwa musielibyśmy powiedzieć o nim menedżerom wyższego szczebla, a potem upewnić się, że procedury bezpieczeństwa zostaną stosownie uaktualnione i zako-munikowane osobom odpowiedzialnym" - potwierdza pracownik sieci handlowej.

Broń informacyjna

Jeżeli powszechnie uważa się, że informacja jest bronią, to informacja na temat systemów bezpieczeństwa w firmie jest superbronią. W sieci dzień i noc toczy się nieustająca wojna między hakerami a specjalistami od bezpieczeństwa. Żadna ze stron nie prezentuje otwarcie swojej broni, a jeśli już to robi, to po to, by uspokoić swoich żołnierzy i sojuszników oraz by odstraszyć przeciwnika. Taki wniosek wypływa z analizy podejścia do komunikacji w zakresie bezpieczeństwa systemów informatycznych.