Użytkownik też jest odpowiedzialny

Podczas konferencji ISSE/Secure 2007 w Warszawie mieliśmy okazję porozmawiać z Howardem Schimidtem, szefem firmy R&H Security Consulting, byłym doradcą Białego Domu ds. cyberbezpieczeństwa.

Podczas konferencji ISSE/Secure 2007 w Warszawie mieliśmy okazję porozmawiać z Howardem Schimidtem, szefem firmy R&H Security Consulting, byłym doradcą Białego Domu ds. cyberbezpieczeństwa.

W filmie "Szklana Pułapka 4.0" Bruce Willis broni kraj przed cyberprzestępcami. Atakują oni publiczną infrastrukturę sterowaną za pomocą komputerów. Szybko okazuje się jednak, że prawdziwym celem ataku jest supertajna serwerownia, która archiwizuje dane finansowe krytyczne dla funkcjonowania struktur państwa i gospodarki USA. Taki scenariusz to science fiction, czy też w ten sposób działa przyjęta w 2003 r. amerykańska strategia ochrony infrastruktury?

To fikcja. Problem jest jednak realny. Dane są obecnie najważniejsze. To dzisiejsze złoto. Dane to najcenniejszy element infrastruktury, niezależnie czy chodzi o bank, szpital, agencję rządową. W filmie wszystko jest w jednym miejscu. Walka o bezpieczeństwo danych w bankach, szpitalach i instytucjach państwowych w życiu realnym toczy się co dzień, ale na dużo mniejszą skalę.

Użytkownik też jest odpowiedzialny

Howard Schimidt

Często powtarza Pan, że reagowanie na zagrożenia nie wystarcza. Na czym ma więc polegać bardziej proaktywne podejście do problemu?

Wyróżniłbym trzy obszary. Po pierwsze sposób projektowania oprogramowania i sprzętu. Przez lata chodziło o wygodę użytkowania, administrowania, wdrażania. Bezpieczeństwo było na końcu listy. Teraz dostrzegamy potrzebę zmiany tego podejścia i testowania - już na etapie tworzenia kodu - czy oprogramowanie będzie odporne na błędy przepełnienia bufora, czy techniki typu SQL Injection lub Cross-site scripting. Drugim obszarem jest architektura systemów IT. Można zbudować bardzo bezpieczny dom z porządnymi zamkami w drzwiach wejściowych, systemem alarmowym, jednak furtka z tyłu zawsze stanowi problem. To samo dotyczy infrastruktury IT. Musimy myśleć o całej architekturze systemu, nie tylko "drzwiach frontowych". Tu wkracza zaniedbywany obszar - inżynieria architektury.

Trzeci czynnik to edukacja, nie tylko ta dotycząca użytkowników. Większość osób nie zna się na bezpieczeństwie IT. Muszą zostać odpowiednio przeszkoleni, tak jak uczą się kierować samochodem. Jeśli mojej wnuczce, która nie ma prawa jazdy, dam kluczyki do samochodu, to zrobi sobie krzywdę. Podobne niebezpieczeństwo stanowić będzie Internet, a tam zagrożenie kradzieży tożsamości czy numeru karty kredytowej. Problem nie ustąpi, jeżeli nie nauczy się użytkowników korzystać z komputera w bezpieczny sposób. Tej samej edukacji wymagają ludzie biznesu i osoby z administracji. To współdzielona odpowiedzialność.

Jeśli mowa o odpowiedzialności, to do tablicy najczęściej przywoływany jest Microsoft. W powszechnym mniemaniu ta firma zbyt późno zaczęła dostrzegać problemy bezpieczeństwa produktów. Pan pracował w tej firmie odpowiadając właśnie za... bezpieczeństwo.

Byłem odpowiedzialny za bezpieczeństwo wewnętrzne, nie tworzenie oprogramowania. Jeszcze przed premierą Windows 2000 i Office 2000 prowadziliśmy wspólny projekt z działem deweloperskim. Doradzaliśmy im, co trzeba poprawić w oprogramowaniu z punktu widzenia ekspertów. To trudne zadanie. Deweloperzy tradycyjnie działali pod presją czasu, a nasze uwagi spowalniały ich pracę. W styczniu 2002 r. Bill Gates ogłosił strategię Trustworthy Computing, czyniąc bezpieczeństwo produktów priorytetem. Ta inicjatywa przyniosła konkretne efekty. Takie same priorytety ma Oracle, Sun, Cisco. Sądzę, że za 5, 7 lat liczba luk w oprogramowaniu zmniejszy się, a tym samym wzrośnie bezpieczeństwo produktów IT.

Gdzie jest obszar współdziałania sektora publicznego i prywatnego w zakresie cyber-bezpieczeństwa?

To zależy od kraju. Jest wiele państw, w których takie relacje się wytworzyły. Są też państwa, gdzie ich nie ma. Przykładem dobrej współpracy są np. Europejska Agencja Bezpieczeństwa Sieci i Informacji ENISA i Information Systems Security Association. Tego typu organizacje integrują środowisko ekspertów od bezpieczeństwa IT, pracujących w sektorze prywatnym i publicznym. Stanowią forum wymiany doświadczeń. Nie są to konieczne formalne umowy pomiędzy stroną rządową a biznesem. Wystarczy, że konkretni ludzie rozumieją swoje zadania. Zasoby, które chronią, mogą być różne, ale ich praca jest w zasadzie taka sama.

Mówi się, że przyszłe wojny przeniosą się z tradycyjnego pola bitewnego do sieci. Panuje też przekonanie, że Microsoft, Google i inne firmy - ze względu na strategiczne znaczenie - muszą współpracować z różnego rodzaju agencjami rządowymi w USA. Teoria spiskowa głosi zaś, że w ramach takiej współpracy w oprogramowaniu instaluje się "furtki" na zlecenie określonych służb.

To nieprawda. Microsoft, Sun, IBM, SAP, Siemens Nokia czy jakakolwiek inna firma produkują oprogramowanie nie dla rządu, ale dla klientów. Celowe tworzenie luk w oprogramowaniu nie miałoby sensu. To broń obosieczna. Wszyscy korzystamy z tych samych rozwiązań, stanowiłoby to więc zagrożenie dla bezpieczeństwa narodowego i gospodarki. W większości krajów - Polska prawdopodobnie nie jest tu wyjątkiem - średnio 85% tego, co nazywamy infrastrukturą krytyczną - zakłady energetyczne, banki, operatorzy - należy do sektora prywatnego, nie rządu. Istnienie takich furtek w oprogramowaniu, w przypadku toczącej się cyberwojny, spowodowałoby załamanie gospodarki światowej. Wiem, że nie stosowano takich działań w przeszłości ani obecnie. Nie sądzę również, aby ktokolwiek zdecydował się na to w przyszłości.

Kto jest odpowiedzialny za bezpieczeństwo IT: rządy, producenci oprogramowania, dostawcy Internetu, użytkownicy komputerów?

To wspólna odpowiedzialność. Producenci sprzętu i oprogramowania muszą czynić starania, aby ich produkty były bezpieczne. Dostawy Internetu muszą eliminować wirusy, trojany, ataki typu DoS. Przedsiębiorstwa powinny też podjąć działania, aby zapewnić pracownikom bezpieczną infrastrukturę. Część zadań ciąży zaś na użytkownikach końcowych, choć nie sądzę, aby odpowiedzialność za bezpieczeństwo była na nich spychana. Jeśli np. dostawca Internetu wykryje, że nasz komputer jest w sieci botnet, to powinien podjąć odpowiednie działania zaradcze. Ostrzec nas i poinstruować jak zabezpieczyć komputer. Jeśli nie zastosujemy się do wskazówek, to zostaniemy odłączeni od sieci. Dostawca Internetu nie odpowiada za bezpieczeństwo prywatnego komputera. To już nasza odpowiedzialność.

Rozmawiał Jarosław Ochab


TOP 200