Stan umysłu nie systemu

Z Piotrem Wieczorkiem, dyrektorem Departamentu Wsparcia Zarządzania Technologiami Sieciowymi oraz Biura Bezpieczeństwa Technologicznego Polskiej Telefonii Cyfrowej, rozmawia Tomasz Marcinek.

Z Piotrem Wieczorkiem, dyrektorem Departamentu Wsparcia Zarządzania Technologiami Sieciowymi oraz Biura Bezpieczeństwa Technologicznego Polskiej Telefonii Cyfrowej, rozmawia Tomasz Marcinek.

Zajmuje się Pan bezpieczeństwem teleinformatycznym od wielu lat. Wypracował Pan już sobie jakąś "własną filozofię" w tej dziedzinie?

Mam takie powiedzenie, że bezpieczeństwo to stan umysłu, a nie stan systemu. W praktyce tak właśnie jest, bo bezpieczeństwo zależy przede wszystkim od postaw ludzi. Żeby było bezpiecznie, nie wystarczy im coś kazać - oni muszą być wewnętrznie przekonani, że tak właśnie jest dobrze dla nich i dla firmy. Z mojego punktu widzenia będzie lepiej, gdy połowa użytkowników będzie rzeczywiście dbać o bezpieczeństwo, niż gdy wszyscy otrzymają instrukcje co mają robić, a nikt ich nie będzie przestrzegał.

O, to dosyć oryginalne. Ale nie chce Pan chyba przez to powiedzieć, że zabiegi techniczne w dziedzinie bezpieczeństwa nie mają większego sensu...

Nie, nie to mam na myśli. Podkreślam jedynie, że w świecie, który nie jest idealny nie można budować bezpieczeństwa licząc, że wszyscy zachowają się właściwie. Technologia jest ważna, ale nie załatwia wszystkiego - Kevin Mitnick pisał w swojej książce - łamałem ludzi, nie systemy. To były lata 80/90 - od tamtej pory nastąpił wprawdzie postęp w dziedzinie zabezpieczeń, ale w ludzkich głowach niewiele się zmieniło. Po co szukać dziury w oprogramowaniu, aby włamać się do bazy danych, skoro można poprosić o hasło, podszywając się pod pracownika działu informatyki?

Czego Pan się boi jako osoba odpowiedzialna za bezpieczeństwo w dużej firmie?

Piotr Wieczorek

Piotr Wieczorek

Najbardziej się boję wyjątkowo niekorzystnego zbiegu okoliczności. Ktoś zrobi coś niecałkiem zgodnie z zasadami, ktoś inny zapomni włączyć jakąś opcję, a ktoś jeszcze inny w tym samym czasie zacznie sprawdzać naszą odporność. Takie rzeczy są możliwe i trzeba się ich bać.

Druga rzecz, której się obawiam, to czyjeś zaplanowane działanie mające na celu wykradzenie danych bądź działanie podobne w skutkach dla firmy. Nie boję się młodzieży (tzw. script kids) bawiącej się automatami do włamywania, ani nieco poduczonych ciekawskich. Boję się ludzi, którzy mają motywację, cierpliwość i duże pieniądze za sobą, a więc profesjonalistów.

Trzecia rzecz, która mnie nurtuje, to możliwość skoordynowanego działania od wewnątrz. Bądźmy realistami - ochrona w czasie rzeczywistym ma sens, ale nie wobec wszystkich zasobów. O pewnych wydarzeniach dowiadujemy się nie w momencie, gdy trwają, ale nieco później i szansa na to, że ktoś zrobi coś złego i wyjdzie z firmy, istnieje. Wiemy jednak, że jesteśmy taką osobę w stanie namierzyć, zidentyfikować i wskazać organom ścigania.

Skoro ludzie są tak ważni, to jak chce ich Pan nakłonić do współpracy przy budowie systemu bezpieczeństwa?

To się nie dzieje z dnia na dzień - robimy to drobnymi krokami. Staramy się być na widoku, żeby ludzie nie zapominali, że zagrożenia istnieją, i że my jesteśmy po to, żeby ich chronić. Raz na jakiś czas wysyłamy do pracowników maila przypominającego, żeby nie otwierali załączników do listów od osób, których nie znają, że jak tylko wydaje im się, że coś jest nie tak z komputerem, to żeby natychmiast dzwonili do nas itp. Budowanie bezpieczeństwa wymaga komunikacji.

Najnowszy projekt związany z edukacją w tym zakresie to wewnętrzny portal na temat bezpieczeństwa. Użytkownicy znajdą w nim informacje istotne z naszego punktu widzenia, ale też wiele takich, które dotyczą bezpieczeństwa osobistego, np. jak zabezpieczyć komputer domowy, jak sprawdzić, czy ktoś nie podszywa się pod serwis bankowowy, jak sprawdzać, czy bankomat jest bezpieczny itd. Docelowo zamierzamy jeszcze wykorzystać firmowy system e-learning do przeprowadzania cyklicznych szkoleń.

A jak radzicie sobie Państwo w relacjach z działami, które mają jakiś związek z informatyką? Bardzo łatwo wyobrazić sobie, że stawiane przez Państwa wymogi mogą, mówiąc delikatnie, utrudniać im życie...

Od początku mojej pracy w PTC staram się przekonywać kierowników i zarząd, że bezpieczeństwo to taka sama dziedzina jak marketing czy finanse - nie najważniejsza ze wszystkich, ale bez której na dłuższą metę firma nie może funkcjonować. Wszyscy się przyzwyczaili, że jest jakaś procedura zatwierdzania faktur, więc mogą się przyzwyczaić i do tego, że jest określona procedura weryfikacyjna, np. przy uruchamianiu nowych usług. To przeważnie działa.

Ważne jest, aby zachować elementarne poczucie realizmu. To jest biznes i jeśli jakiś projekt jest dla firmy bardzo ważny, to zostanie zrealizowany - czy się to działowi bezpieczeństwa podoba, czy nie. I teraz, czy opłaca się grać Rejtana i nie wskórać nic, czy też lepiej spróbować się porozumieć i uzyskać choćby minimum? Może się powtarzam, ale dla mnie nie istnieje bezpieczeństwo absolutne - lepiej, żeby nowy system miał podstawowe zabezpieczenia, niż żeby ktoś go robił całkiem po swojemu - z tego prędzej czy później będą problemy.

Każdy nowy projekt jest przez nas opiniowany - nie wtedy, gdy rozwiązanie działa, ale już na etapie wstępnego projektu, a później jeszcze przed ostatecznym uruchomieniem. Większość problemów udaje się wyeliminować już w początkowej fazie. Poważne zastrzeżenia zdarzają się zresztą w sumie rzadko - w ubiegłym roku na ponad 150 projektów mieliśmy poważniejsze uwagi chyba w trzech przypadkach.

Nasz podpis na dokumentacji jest ważny nie tylko dla sponsorów biznesowych, ale i dla wykonawców projektu. Jeżeli uruchomią coś bez naszej zgody, biorą na siebie pełną odpowiedzialność za wsparcie operacyjne. Takie wsparcie musi być w pogotowiu 24 godziny na dobę, wykonawcy biorą więc na siebie ryzyko, że w razie wystąpienia problemów nie będą spać dłuższy czas. Nikomu się to nie uśmiecha, więc raczej przystają na nasze warunki.


TOP 200