CIO ma wiele zmartwień, ale jest jedna rzecz, która nie daje mu spać w nocy. Tą rzeczą jest bezpieczeństwo podległych mu zasobów informatycznych przedsiębiorstwa. I to szeroko rozumianych – od „twardych” (infrastruktura, aplikacje), poprzez „miękkie” (informacje krytyczne dla biznesu), aż po zasoby ludzkie. Czy jutro mi się nie włamią? Czy następny audyt nie wykryje poważnych luk? Czy nie znajdę danych pracowników mojej firmy na którymś z hakerskich portali? Czy konkurencja nie wykradnie planów najbliższej kampanii? Te – i sto innych, podobnych pytań - CIO stawiają sobie w chwilach zwątpienia.
Spróbujmy ulżyć szefowi informatyki. Oto sześć istotnych w roku 2016 pytań o bezpieczeństwo – wraz z odpowiedziami.
Do pewnego stopnia. Jak mówi popularny mem, „nie ma czegoś takiego jak chmura, jest tylko czyjś komputer po drugiej stronie kabla”. Z definicji, chmura to powierzenie komuś przetwarzania naszych danych bez wnikania w szczegóły techniczne zastosowanych rozwiązań. Pozbywając się złożoności związanej ze środowiskiem infrastrukturalnym, pozbywamy się jednocześnie kontroli. Czy także zaufania? Nie. Przecież, jako użytkownicy samochodu, także nie interesujemy się konstrukcją układu jezdnego i hamulcowego, od których zależy nasze bezpieczeństwo. Ufamy systemowi: normom technicznym, testom, okresowym badaniom technicznym. Skoro nie spędzamy nocy na studiowaniu schematów konstrukcyjnych zawieszenia samochodów, to znaczy, że mamy w sobie dość zaufania do dostawców samochodów. Dlaczego w takim razie wciąż zadajemy sobie pytanie odnośnie bezpieczeństwa chmury?
Albowiem pytanie, które mało kto sobie zadaje, a które jest równie istotne brzmi: czy mogę zaufać sobie? Wg. danych Ponemon Instutite, nieomal połowa firm w roku 2014 miała incydent bezpieczeństwa informacji – włamanie, wyciek, utratę hasła. Jeśli firma nie zatrudnia światowej klasy ekspertów do spraw bezpieczeństwa informacji i nie inwestuje znaczącej części swojego budżetu w bezpieczeństwo – cóż, wtedy lepiej powierzyć je fachowcom. A tych znajdziemy wśród poważnych dostawców chmury.
Oczywiście, że tak. Może nawet już to zrobili, choć o tym nie wiemy. Ale nawet jeśli jeszcze nie, to pytanie brzmi: kiedy byliby do tego zdolni i ile by ich to kosztowało. Realistycznie patrząc, każdy komputer włączony do zasilania i podłączony do sieci jest podatny na włamanie. Zabezpieczenia techniczne i proceduralne tylko zmniejszają ryzyko; mogą je zmniejszyć znacząco, ale nigdy do zera.
Właściwsze pytanie brzmi: po co mieliby to robić i jak jestem na to przygotowany/przygotowana? CIO powinien zdobyć się na rachunek sumienia. Jaką rolę systemy odkrywają w podstawowej działalności przedsiębiorstwa? Czy gotowe są scenariusze awaryjne na wypadek przypadkowego lub celowego skasowania części danych? Ile czasu trwa odtworzenie systemów? Czy mogę stać się obiektem wymuszenia?
To bardzo ważne pytanie, zwłaszcza w dobie ransomware, oprogramowania, które szyfruje dyski i żąda okupu. Nie bez powodu security łączy się z business continuity i disaster recovery, a scenariusze odtworzenia ćwiczone są przy także przy okazji cyberataków.
Ale żądania hakerów mogą być bardziej subtelne: pamiętajmy, że wielu z nich pracuje dzisiaj na zlecenie rządów oraz wielkich korporacji. Mogą użyć szantażu do wymuszenia niekorzystnych decyzji biznesowych, ukraść know-how firmy, wpłynąć na decyzje personalne albo „wstrzyknąć” nieprawidłowe dane, prowadzące do niekorzystnych posunięć rynkowych. Science fiction? Warto przypomnieć losy amerykańskiej Partii Demokratycznej, której maile „wyciekły” przed konwencją wyborczą, prawdopodobnie za sprawą rosyjskich hakerów. Ten „wyciek” może zaważyć na losie wyborów prezydenckich w USA.
Tutaj odpowiedź jest prosta: człowiek. Wszelkie statystyki wskazują jednoznacznie: to najsłabszy element system informatycznego. Hasła zapisywane na żółtych karteczkach przyklejanych do monitora. Powierzane całemu zespołowi, tak na wszelki wypadek. „Tylne wejścia” tworzone w aplikacjach i infrastrukturze, aby ułatwić sobie zadania serwisowe. Proste, łatwe do odgadnięcia kombinacje liter i cyfr. Niefrasobliwość w zostawianiu niezabezpieczonych smartfonów.
Poprawnego zachowania nie da się zwalczyć za pomocą środków proceduralnych i technicznych, takich jak maski haseł czy polityka częstych zmian. To kwestia nawyków wyrobionych poprzez regularne szkolenia, świadomość i testy penetracyjne.
Od czasów Kevina Mitnicka wiadomo, że łamanie systemu zaczyna się od łamania człowieka. Nie zaszkodzi więc wykonać testy podatności na użytkownikach systemu. Czy klikną w link phishingowy? Czy podadzą przez telefon hasło albo odpowiedzi na pytania kontrolne osobie, która podaje się za serwisanta? Czy na portalach społecznościowych dostępne są dane – data urodzenia, imię partnera, rasa psa, marka samochodu – które ludzie najczęściej wybierają jako pytania kontrolne? Takie „społeczne testy penetracyjne” warto wykonać jako element testowania podatności przedsiębiorstwa. Techniczne „dziury” da się łatwo załatać, załatanie społecznych trwa dłużej, wymaga więcej energii, a rezultaty mogą być skromniejsze.
Tak. I jednocześnie przeciwnikiem. Sojusznikiem – ponieważ utrzymuje CERT, który odpowiada na zagrożenia w skali państwa. Dba o bezpieczeństwo infrastruktury krytycznej, sieci telekomunikacyjnych czy podstawowych usług (np. DNS). Ściga grupy przestępcze i zwalcza zagrożenia w skali państwa – np. ataki hakerskie płynące z krajów nieprzyjaznych.
Przeciwnikiem – ponieważ sam prowadzi działania wywiadowcze, w tym włamania. Po ostatnich zmianach w prawie (tzw. ustawa „antyterrorystyczna”) może pod pozorem „testowania zabezpieczeń” włamywać się do dowolnego systemu informatycznego. Na pewno nie poprawia to wiarygodności np. krajowych dostawców chmury, którzy nagle muszą mierzyć się z większym ryzykiem instytucjonalnym i prawnym oraz wdrażać nowe metody ochrony wrażliwych danych swoich klientów (np. szyfrowanie). Jeśli działamy w branży, w której interesy prowadzi także państwo i jego spółki (np. transport albo usługi telekomunikacyjne) otwarte pozostaje pytanie, czy służby państwowe nie będą próbowały poprawić konkurencyjności podległych sobie przedsiębiorstw poprzez działania wymierzone w przedsiębiorstwa konkurencyjne. Takie ryzyko dzisiaj CIO musi brać pod uwagę.
Jak w każdym kryzysie: ograniczyć straty, usunąć skutki, wyciągnąć wnioski. Rodzajów incydentów bezpieczeństwa może być wiele. Infekcja wirusowa pojedynczej stacji roboczej albo ransomware na laptopie jednego z menedżerów mają ograniczone skutki. Gorzej jeśli wyciekną kluczowe dane (osobowe, finansowe) albo przerwane zostanie funkcjonowanie podstawowych usług, jakie dział informatyki dostarcza przedsiębiorstwu.
Pierwsza rada – nie „zadeptuj” miejsca przestępstwa i reaguj adekwatnie do skali incydentu.
Najważniejsze działanie to zawsze oszacowanie strat i uniknięcie ich pogłębiania się. Jeśli mamy przesłanki, że haker naruszył integralność danych (np. zmodyfikował numery rachunków bankowych do przelewów), to lepiej wyłączyć systemy, niż dopuścić do wysłania pieniędzy do kogoś innego niż nasi kontrahenci.
Warto podczas usuwania skutków upewnić się, że nie zacieramy śladów i zabezpieczamy dowody w taki sposób, żeby mogły zostać użyte następnie w dochodzeniu. Zajmuje się tym cała specjalność IT forensics i warto mieć przynajmniej jedną osobę przeszkoloną z tej dziedziny. W przeciwnym wypadku może okazać się, że mimo iż mamy twarde dowody, że włamanie było dziełem sfrustrowanego byłego pracownika, to skazanie go w sądzie będzie niemożliwe, bo w zabezpieczeniu logów nie dopełniono odpowiednich procedur.
Wreszcie – wyciągnąć wnioski. To często ostatnio sprowadza się do „ukarać odpowiedzialnych” – zwłaszcza interesariusze biznesowi, jeśli zostali poszkodowani, domagają się głów. Tymczasem znacznie ważniejsze jest wyciągnięcie długofalowych wniosków. Co zawiodło? Jak możemy uszczelnić procedury? Dlaczego ostatni audyt nie ujawnił tej luki? Czy scenariusze testów penetracyjnych badają tę podatność? Czy hasła były zmieniane dostatecznie często? Czy wszystkie łatki systemowe były instalowane w porę?
Bezpieczniej już było. Przez informatykę przetacza się właśnie kolejna fala, której na imię internet rzeczy (Internet of Things, IoT). Wszystko staje się połączone ze wszystkim; technologie mobilne dały nam łączność, ale przeniosły zagrożenia bliżej nas. Ceną za posiadanie usług bankowych w kieszeni w postaci aplikacji dla smartfona jest dzisiaj wyniesienie zagrożeń dla osobistych finansów wszędzie tam, gdzie nosimy komórkę – oraz powiązanie ich bezpieczeństwa ze wszystkimi aplikacjami, które na niej mamy. Ćwierć wieku temu napadów na banki dokonywano z użyciem pistoletu i kominiarki; dzisiaj wystarczy do tego spreparowany plik na smartfonie i znajomość luk bezpieczeństwa w aplikacji serwerowej.
Kto więc odpowiada za bezpieczeństwo informatyczne? Polecam spotkać tego człowieka - wystarczy spojrzeć w lustro. Domagając się wygody, integracji wszystkiego ze wszystkim, ułatwień w uwierzytelnieniach, uproszczonych dostępów, danych kontekstowych dostępnych zawsze i wszędzie – sami tworzymy okoliczności, w których jedna luka bezpieczeństwa otwiera drogę do całego świata danych dostępnych w chmurze. Coś za coś. Albo integracja i łatwość, albo wysokie bezpieczeństwo –tę prawdę mniej albo bardziej boleśnie CIO poznają na własnej skórze.
Nie mam dobrych wiadomości – świat w ogóle staje się coraz mniej bezpiecznym miejscem, a wojna informacyjna nasila się. Dzisiaj obiektem ataku jest estońska infrastruktura rządowa, jutro superkomputery odpowiedzialne za transakcje HFT na giełdach – skala hakerstwa państwowego i korporacyjnego cały czas rośnie i trudno się spodziewać, że ten trend szybko się zmieni.
Nigdy. Jeśli można wskazać najmniej roztropne zdanie, jakie CIO może wypowiedzieć, to „jesteśmy dobrze zabezpieczeni”. Menedżer, który tak mówi, albo kusi los, albo przecenia możliwości swoje i swojego zespołu, albo przeinwestował. Albo, co najgorsze, w ogóle nie zna podatności swojego środowiska.
Zapewnienia „jesteśmy bezpieczni”, zwłaszcza wypowiadane publicznie, działają na społeczność hakerów jak płachta na byka – nie spoczną, dopóki nie udowodnią, że osoba tak twierdząca myli się. Przecenianie możliwości podległego zespołu to wyraz arogancji – dość częstej, niestety, cechy społecznej informatyków, a menedżerów informatyki w szczególności. Jak już wspominaliśmy, nie ma czegoś takiego jak „doskonale zabezpieczony system” – oczywiście poza takimi, które są odłączone od prądu i sieci. Są tylko systemy warte mniej niż koszt ich złamania.
Możliwe, że taki menedżer przeinwestował – czyli przeznaczył na bezpieczeństwo siły i środki nieadekwatne do wartości danych, które system przechowywał. Należy mu powinszować umiejętności zabiegania o środki finansowe na technologię, ale przezornie wypada także zapytać, czy inne systemy wyglądają równie dobrze. Ostatnia możliwość – w ogóle nie wie, co się dzieje, nie zna podatności swojego środowiska informatycznego, nie bada ich i nie wie, na ile wytrzymałe są zabezpieczenia – jest całkiem prawdopodobna. „Tyle wiemy ile nas sprawdzono” – słowa Wisławy Szymborskiej stosują się nie tylko do ludzi, ale także do systemów.
To tylko kilka z pytań, które szefowie informatyki sobie zadają. W tle czai się kolejnych kilkadziesiąt, a co miesiąc dochodzą nowe. Zła wiadomość jest taka, że jeśli jest jeden czynnik, który nie spadnie z agendy CIO przez najbliższych kilka lat, to właśnie bezpieczeństwo. Dobra – że będzie wzrastała świadomość użytkowników biznesowych, a wraz z nią ich skłonność do poświęcania czasu i pieniędzy na potrzeby bezpieczeństwa IT.
Spokojnie nie będzie; będzie ciekawie. Ale to właśnie ciekawość i nowe wyzwania to to, co trzyma nas w informatyce!
Więcej pytań związanych z bezpieczeństwem IT będziemy mieli okazję zadać podczas najbliższego spotkania CIONET, Cyber Security, 15 września w Warszawie. Szczegóły i rejestracja na spotkanie: http://www.cionet.com/events/89075/ . Zapraszamy!