Nie ma dnia, w którym nie byłoby doniesień o poważnych naruszeniach bezpieczeństwa systemów. Ostatnich kilka wiadomości – między innymi włamanie do Plus Banku – trafiło już nawet do mediów głównego nurtu. Serwisy specjalistyczne (np. Niebezpiecznik.pl czy Zaufana Trzecia Strona) emocjonowały się doskonale przygotowanym atakiem na kancelarie prawnicze, który – zgodnie z przewidywaniami obu serwisów – zakończył się naruszenie tajemnicy adwokackiej. Za granicą tematem tygodnia był wyciek danych z serwisu Ashley Madison, którego specjalnością było aranżowanie kontaktów pozamałżeńskich. Cała sprawa miałaby posmak komedii, gdyby nie realne samobójstwa niewiernych mężów – na szczęście nie żon, bo większość damskich kont była prowadzona przez boty.
W realiach biznesu sprawa jest jednak dużo poważniejsza. Oprócz utraty reputacji i kontroli nad infrastrukturą wartą miliony, przewidziane jeszcze sankcje prawne: za nienależyte zabezpieczenie danych osobywych, za naruszenie tajemnicy przedsiębiorstwa; a dla instytucji finansowych – za naruszenie tajemnicy bankowej. Jeśli jakieś koszmary budzą szefów informatyki w środku nocy, to właśnie te związane z bezpieczeństwem. Firma Symantec szacuje, że w 2014 liczba ataków zwiększyła się o 40% w stosunku do roku poprzedniego. Każdego dnia było średnio 24 tzw. zero-day vulnerabilities, czyli podatności bez rozwiązania, ale z istniejącym atakiem (‘exploitem’). Czy prawdziwe jest przeświadczenie, że skala zagrożeń rośnie?
Tak. Wynika to ze złożenia się trzech trendów rosnących, w efekcie którego powstaje krzywa o kształcie zbliżonym do wykładniczej. Jeden to coraz większe znaczenie technologii informatycznych w gospodarce i – szerzej – życiu. Mniejszych i większych systemów informatycznych jest coraz więcej – każdy pojazd, urządzenie AGD, bramka na autostradzie to dzisiaj komputer, nie mówiąc o instalacjach przemysłowych czy systemach biznesowych. Drugi trend to ich coraz większa złożoność – to już nie setki, a tysiące i miliony linii kodu. Na dodatek wszystko jest połączone ze wszystkim, co otwiera pole do podsłuchiwania, ataków man-in-the-middle, włamań przez interfejsy, kradzieży tożsamości, itd. Teoria mówi że najbardziej bezpieczny system jest tak bezpieczny jak najsłabszy jego element – a gdy liczba elementów szybko rośnie, bezpieczeństwo gwałtownie spada. Trzeci trend to coraz większa liczba danych gromadzonych w systemach. Jeśli jedna transakcja bankowa albo rozmowa telefoniczna tworzy rekord danych o setce pól, to ile danych muszą gromadzić i przetwarzać systemy? Ile są one warte, skoro dotyczą tak podstawowych rzeczy jak przemieszczanie się osób, ich przyzwyczajenia konsumenckie, odwiedzane strony internetowe czy wypowiedzi? Albo ofert biznesowych, stanowisk w prowadzonych sprawach sądowych (casus kancelarii adwokackiej), strategii marketingowych czy przewidywanych inwestycji.
Wniosek jest prosty: problem z bezpieczeństwem jest z nami na dobre i będzie tylko narastał. Nie możemy dłużej nadganiać za zagrożeniami. Musimy zacząć je wyprzedzać.
To co powoli dociera do zarządów to fakt, że bezpieczeństwo informatyczne przedsiębiorstwa jest tylko częściowo związane z technologią. Że zawiera kilka innych elementów, które CIO niekoniecznie mają pod kontrolą, a które są równie istotne jak serwery, aplikacje, routery brzegowe i hasła.
Najsłabszym elementem systemu bezpieczeństwa pozostaje człowiek i jego psychologia. Od czasu Kevina Mitnicka maksyma „łamałem ludzi, nie hasła” nic nie straciła na aktualności – choć jej twórca już odbył wszystkie wyroki i odkupił swoje winy. Coroczna analiza popularności haseł pokazuje niezmiennie te same pozycje: 123456, password, qwerty, itd. Serwis Gizmodo, mekka geeków z całego świata, nie owija w bawełnę: „Ludzie są idiotami i to się od lat nie zmienia”. Miesięcznik „Wired” już trzy lata temu napisał artykuł pod charakterystycznym tytułem „Zabić hasło. Ciąg znaków już cię nie ochroni”, gdzie opisywany był faktyczny przypadek utraty tożsamości, następnie jego przyczyny i sposoby ochrony. Konkluzja była jednak brutalnie prosta: cała filozofia dostępu musi się zmienić. Miną lata zanim dotrze to do świadomości użytkowników.
W układance bezpieczeństwa dochodzi kilka nowych elementów. Jednym z nich jest regulator, w ostatnich latach zdecydowanie bardziej aktywny oraz… coraz liczniejszy. Regulacje na temat bezpieczeństwa danych – w tym osobowych – wydaje dzisiaj już nie tylko Główny Inspektor, ale także inni regulatorzy: krajowy i ponadnarodowi. W korporacjach trwa prawdziwy wysyp nowych polityk, które muszą być dostosowane i wdrożone. A że korporacje z natury są różnorodne oraz pokrywają wiele krajów i kontynentów, to i polityki muszą być mało konkretne oraz powielać pewne standardy. W efekcie, CIO musi odnaleźć się w schizofrenicznej rzeczywistości: na jakiś temat (np. zarządzania zmianą w systemach) standardy kraju mówią jedno, standardy europejskie z grubsza to samo (ale bardziej ogólnie), zaś standardy korporacyjne coś innego – czasami nawet przeciwnego. Co zrobić? Jak nie zwariować?
Kolejnym elementem jest polityka ‘przynieś swoje urządzenie’ (bring your own device, BYOD). Realnym zjawiskiem jest przenikanie się świata urządzeń firmowych i prywatnych. Pracownicy korzystają ze służbowych telefonów, aby czytać prywatne maile. Jednocześnie przynoszą swoje tablety i podłączają do firmowej sieci wifi. Nie da się także całkowicie odizolować infrastruktury firmy od dostawców. Przecież cała historia informatyki w ostatnich kilkunastu latach to stopniowa integracja łańcuchów dostaw i, w konsekwencji, systemów. Trudno dziś sobie wyobrazić skuteczną produkcję czy handel bez dokumentów elektronicznych i interfejsów wychodzących poza granice przedsiębiorstwa.
I ostatni element: profesjonalizacja włamań. Dziesięć lat temu w internecie dominowali hakerzy domowi albo ideowi. Systemy łamali dla zabawy albo z powodów ideowych (np. zaszkodzenie nielubianej firmie). Dzisiaj szajki hakerskie to prawdziwe przedsiębiorstwa, zarządzające milionowymi budżetami i realizujące zlecenia. A jeszcze potężniejszy uczestnik to rządy szpiegujące rywali albo wykradające nowe technologie i tajemnice biznesowe. Przeciwko takiemu przeciwnikowi trudno samodzielnie cokolwiek poradzić.
Każdego CIO trapi pytanie: czy nasze systemy padną łupem hakera? Odpowiedź na nie jest stosunkowo prosta: tak, padną. Możliwe że już padły, tylko że to był dobry haker i jeszcze o tym nie wiecie. Proponuję rozważyć jeszcze jedną opcję: administrator systemów już znalazł w katalogu systemowym plik o nazwie pwned.txt i pseudonim albo nazwę grupy hakerskiej – ale nie powiedział menedżerom o tym, spodziewając się (zapewne słusznie), że wywoła to lawinę zdarzeń, której pierwszą ofiarą będzie on sam. Pytanie nie brzmi „czy”. Pytanie brzmi raczej „kiedy to się stanie i jakie będą straty”.
Kwestia strat jest podstawowa z punktu widzenia bezpieczeństwa. Oczywiście idealnie byłoby, gdyby wszystkie systemy były zabezpieczone na wszelkie sposoby i przed wszystkimi zagrożeniami. Tylko wszyscy wiemy, że to jest niemożliwe – nieskończone bezpieczeństwo to nieskończone koszty, nie wspominając o uciążliwościach dla użytkowników. Spróbujmy więc przypomnieć zasadę proporcjonalności: bezpieczeństwo systemu powinno być adekwatne do wartości danych, które są w nich przechowywane i ewentualnych strat związanych z przestojem.
Dochodzimy więc do najważniejszego pytania: czy dział informatyki oraz CIO osobiście rozumie biznesowe znaczenie danych oraz procesów w swoim przedsiębiorstwie w wystarczającym stopniu, aby określić ten poziom ryzyka? Tylko jeśli odpowiedź na pytanie brzmi twierdząco, może prawidłowo zaplanować działania i inwestycje w bezpieczeństwo. A jeśli nie – powinien jak najszybciej we współpracy z przedstawicielami biznesu jest w stanie zidentyfikować kluczowe, przesądzające o bezpieczeństwie przedsiębiorstwa, „informacyjne gorące plamy” – czyli miejsca (stanowiska, osoby, procesy) szczególnie narażone i szczególnie celne. W bezpieczeństwie – jak wszędzie – obowiązuje zasada Pareto: za 80% ryzyk odpowiada 20% systemów i osób. Jedynym sposobem na zapewnienie rozsądnego bezpieczeństwa przy ograniczonych zasobach jest właśnie zrozumienie, gdzie znajduje się te kluczowe 20%.
Ostatni temat, jaki warto poruszyć, to „lęk przed bezpieczeństwem” – zjawisko, które towarzyszy nam zarówno w życiu prywatnym, jak i zawodowym. Wielka inwigilacja osób, firm i państw, ujawniona przez Edwarda Snowdena, to oczywiście wierzchołek góry lodowej. Specjaliści radzą dzisiaj założyć, że cokolwiek zostaje wysłane do chmury powinno być traktowane jako publicznie dostępne – nie tylko dla rodzimych rządów i operatorów telekomunikacyjnych, ale także dla konkurencji.
Microsoft ostatnio znalazł się w ogniu krytyki, gdy przeanalizowano telemetrię Windows 10. Domyślne ustawienia zbierają o nas naprawdę wiele danych. Ale – dodajmy sprawiedliwie – w nowym systemie można tę telemetrię wyłączyć. Nie da się tego natomiast zrobić w usługach Apple i Google oraz większości aplikacji ściąganych na platformy mobilne. Prywatność stała się walutą, którą płacimy za prawo do używania przyjemnych i użytecznych gadżetów. Jakie to będzie mieć dla nas długofalowo konsekwencje? Jakie to będzie mieć konsekwencje dla naszego biznesu? Na dzień dzisiejszy trudno powiedzieć.
Nie inaczej jest w środowisku korporacyjnym. Polityki bezpieczeństwa dopuszczają dzisiaj inwigilowanie użytkowników środowiska informatycznego właściwie bez ograniczeń – co robią, z kim korespondują, ile czasu spędzają z którymi aplikacjami plikami. Część z nich kopiuje wszystkie wiadomości mailowe oraz załączniki, które wysyłają. Niektóre przechwytują także połączenia HTTPS – jeśli więc z sieci firmowej logujemy się do bankowości elektronicznej, nasz pracodawca ma wgląd w stan naszego konta i wszystkie operacje.
Firmy twierdzą, że to konieczne środki, aby zapewnić produktywność, wydajność oraz zapanować nad ryzykiem wycieku kluczowych informacji. Ale pracownicy czują się inwigilowani i przeświadczeni, że cała ta polityka służy jedynie zbieraniu „czarnych teczek”, których w razie potrzeby będzie można użyć przeciw nim. I choć szefowie informatyki dostrzegają niechęć użytkowników, to uważają to za niezbędny koszt zapewnienia bezpieczeństwa. Ich spokój może być pozorny – użytkownicy zamiast korzystać z internetu z urządzeń firmowych, wnoszą własne i korzystają z nich w miejscu pracy. Czy to sprawia, że całe środowisko jest bezpieczniejsze? Niekoniecznie. Rzeczywistość bring your own device stanowi wyzwanie dla przedsiębiorstw, z którym dopiero uczą się radzić sobie – zarówno od strony technicznej, jak i proceduralnej.
A przecież pamiętamy, że jedną z kluczowych form kapitału przedsiębiorstwa jest kapitał zaufania. Pomiędzy pracownikiem a pracodawcą, szefem a podwładnym, koleżankami i kolegami w zespole. W firmie, w której jest wysoki poziom zaufania, wszystkie rzeczy idą szybciej, ludzie dzielą się pomysłami, nowe rozwiązania są szybciej przyjmowane, a na dodatek panuje lepsza atmosfera pracy. W firmie, która wobec wszystkich jest podejrzliwa i każdego traktuje jak potencjalnego złodzieja i przestępcę, poziom zaufania będzie generalnie niski. W każdym, nawet najprostszym działaniu potrzebne będą wielopoziomowe kontrole, podpisy, formalne „podkładki”; ludzie będą chować swoje pomysły dla siebie, a innym mówić nie to, co myślą, a to, co tamci chcą usłyszeć. Wdrażając politykę bezpieczeństwa trzeba pamiętać o tym nieuchwytnym czynniku jakim jest zaufanie. Może z takiej analizy wyjdzie nam, że lepiej obniżyć bezpieczeństwo niż zniszczyć kulturę partnerstwa i współpracy.
Użytkownicy mogą być też wielkim sprzymierzeńcem w wyzwaniach związanych z bezpieczeństwem. Wskazując nam podatności, przekazując sugestie, udostępniając swoje dane – słowem, współpracując – mogą bardzo pomóc CIO we wdrożeniu i utrzymaniu właściwego poziomu bezpieczeństwa infrastruktury i danych. Tymczasem wśród wielu szefów informatyki dominuje myślenie o użytkowniku jako przede wszystkim źródle zagrożeń. Czas odejść od niego – do firm wkracza pokolenie ‘cyfrowych tubylców’, ludzi wychowanych z komputerem, internetem i telefonem komórkowym. Czas wykorzystać potencjał, który w nich drzemie.
Podsumujmy więc stan rzeczy AD 2015. Wygląda na to, że przyszło nam żyć w ciekawych czasach. Zagrożenia rosną lawinowo. Równie szybko rośnie liczba regulacji, które obowiązują w zakresie bezpieczeństwa. Jednocześnie mamy coraz więcej elementów, nad którymi trzeba zapanować. Już nie tylko systemy i sieci, ale także użytkownicy, procedury, dane i procesy biznesowe. Tylko całościowe rozważenie ryzyk i podatności pozwoli nam odpowiedzieć na nasilającej się zagrożenia. Sojusznikiem CIO może być biznes i świadomi użytkownicy. Warto o tym pamiętać i nie przepuścić takiej okazji. „Uszczelniając” procedury i kontrolę użytkowników pamiętajmy jednak o tym, co nieuchwytne – tkance zaufania, jaka łączy firmę z jej pracownikami. Zbyt daleko posunięta nieufność może krótkoterminowo pomóc w zapewnieniu bezpieczeństwa informacji, ale za cenę naruszenia tej subtelnej tkanki. Nie warto tej ceny płacić.
