RSS
| Náš pocit falešného bezpečí |
 |
 |
 |
|
Autor: Tomáš Přibyl, externí odborný redaktor ICTsecurity S názorem „mám hardware, mám software, mám klid“ se lze setkat velmi část. Bohužel. ICT bezpečnost není jen o technice a technologii, ale (především!) o lidech: právě ti totiž představují největší bezpečnostní riziko. Pozor na lidský faktor Nejen v našich zeměpisných šířkách je obdivuhodně zakořeněný názor, že čím více máme zakoupeno a nasazeno specializovaného hardware a software, tím více máme bezpečnosti. Informační bezpečnost je zkrátka spojována s bezpečnostními produkty. Samotné produkty jsou ale málo, žalostně málo. Bezpečnost stojí a padá také na bezpečnostních politikách. A také na lidském faktoru: správcích, uživatelích, managementu… Zkrátka na organizačních faktorech. Snažit se vyřešit bezpečnost bez jasně nastavených mantinelů je jako vydat se na silnici bez předpisů… Vpravdě sebevražedné. Chybné nastavení nebo používání bezpečnostních produktů také může znamenat degradaci úrovně bezpečnosti. Ostatně, stačí, aby se v jedné firmě sešli dva administrátoři s odlišným pohledem na věc. Jeden razí zásadu, že co není zakázáno, to je povoleno. Druhý naopak zásadu, že co není povoleno, to je zakázáno. Jak asi bude vypadat firewall původně konfigurovaný jedním z nich, když druhý v době jeho nepřítomnosti provede nějaké změny? Navíc si pamatujte, že samotný bezpečnostní produkt nikdy nevyřešil jediný bezpečnostní problém. Ten vyřešilo až jeho (správné!) nasazení v praxi. Řešení? Stop nákupům! Jak vypadá typická situace v organizaci, která ICT bezpečnost neřeší systematicky? Vyskytne se problém, tak nasadí nějaké řešení. Vyskytne se další problém, nasadí další řešení. První řešení se ukázalo jako neúčinné, tak se přidá další řešení nebo se první rovnou nahradí. Atakdále. Výsledkem je prostředí, jehož jednotlivé prvky se překrývají, nezřídka se i bijí navzájem. A mezi nimi pochopitelně zůstávají neošetřené i neošetřitelné skuliny. Právě přidávání dalších a dalších prvků je problémem, bohužel více než častým. Přidávání znamená, že rostou náklady na údržbu (čas administrátorů, servis), že roste složitost systému a že klesá transparentnost celé sítě. Navíc stoupá i riziko poruchy nebo selhání (jejich odstranění pak trvá déle a je náročnější), a to přesně v duchu pravidla „čím komplikovanější systém, tím vyšší pravděpodobnost selhání“. Na této situaci se ale mnohé bezpečnostní firmy tak trochu přiživují. Stále donekonečna přichází s programy, které jsou „ještě lepší“, které mají další funkce, které spojují bezpečnost do větších celků nebo které naopak určité klíčové funkčnosti vytěsňují. Není se proto čemu divit, že někteří bezpečnostní specialisté volají „stop!“ a snaží se tento kolotoč nikam nevedoucích nákupů zadržet. Jako řešení navrhují zastavit na jeden rok veškeré nákupy hardware a software. Filozofie je jasná: držte současný stav a snažte se bezpečnost řešit v jeho rámci (tedy jinak než věčným přikupováním). Hledejte rezervy, hledejte nové cesty, hledejte řešení v rámci stávajících možností. To je rozhodně zajímavý názor a značnou míru logiky mu nelze upřít. I když je trochu extrémní: v praxi je asi nepředstavitelné, že by v rozpočtu některé organizace klesla položka „nákupy ICT bezpečnostních technologií“ na nulu, aby se zase po roce vrátila na určitou úroveň. Stejně tak je potřeba nákupy průběžně realizovat. Už jen proto, že staré systémy dosluhují nebo že opravdu přestávají stačit současným potřebám. Začněte s čistým stolem Z celého bludného kruhu se ovšem dá vystoupit – třeba tak, že se začne úplně znovu. To rozhodně neznamená, že se všechno dosud vybudované a nakoupené má vyhodit a že se bude budovat a nakupovat znovu. Prostě si jen zkuste odmyslet to, co už máte a začněte uvažovat, jak byste řešili bezpečnost vašeho systému takříkajíc na zelené louce. A až dospějete k nějakému výsledku, srovnejte si jej s tím, co máte. Zjistíte, co můžete použít, co jste pořídili zcela zbytečně (třeba pod tlakem nebo vlivem emocí) a co vám skutečně chybí. |
