Čtvrtstoletí bezpečnostních paradoxů aneb Jak různé organizace bojují s digitálními hrozbami
K tomuto článku mě dovedlo jakési rychlé ohlédnutí, co jsem za cca 25let, kdy se profesionálně věnuji kyberbezpečnosti viděl, protože ať už přímo nebo externě jsem měl možnost seznámit se s kyberbezpečností snad asi ve všech sektorech.
Nebudu mluvit o technologiích, ty se za 25 let neustále měnily i s ohledem na vývoj kyberútoků, kdy v 90. letech, v éře, kdy mnoho hackerských aktivit bylo motivováno spíše zvědavostí než zlým úmyslem až po dnešek, kdy zde kromě profesionální kyberkriminality máme i kybernetickou válku.
Přístupy organizací k řešení kyberbezpečnosti, ale v zásadě přetrvávají, stále se lze potkat s dobrou, špatnou, nebo bizarní bezpečností. Bezpečnost je postavena na třech základních pilířích, lidech, procesech a technologiích.
Dobrá bezpečnost
A třebas je to k nevíře, skutečně existuje. Ovšem pozor, dobrá nikoliv dokonalá, ta existuje asi jen v pohádkách. Dobrá bezpečnost může mít slabá místa a přesto v celku poskytovat dostatečnou úroveň ochrany a jak je teď moderní říkat, kybernetické odolnosti. A hlavně, a to platí pro všechny uvedené stavy, že v čase se to bohužel mění.
Příčiny: lidé (máte v IT bezpečnosti několik zkušených lidí, kteří umí odlišit důležité věci od nedůležitých), technologie (máte dostatečný rozpočet na pořízení bezp. technologií), management (vedení chápe smysl IT bezpečnosti, podporuje ji, a to se i promítá do rozumně navržených procesů).
Důsledky: IT bezpečnost omezuje a nikdo nemá rád omezení, ale s odstupem času nakonec lidé, kterým ta omezení hodně vadila zjišťují, že přínosy jsou větší než ta omezení a sami bezpečnost začínají ze své vůle prosazovat, byť by nemuseli.
Špatná bezpečnost
Pro IT bezpečáka je špatná bezpečnost příležitost ke zlepšení, ovšem za předpokladu, že má IT bezpečnost podporu vedení a adekvátní budget. Špatná IT bezpečnost se týká i organizací, kde by vedení chtělo lepší, ale kterým nezbývají peníze na IT bezpečnost, a proto nemůže být dobrá, ale přesto se tam lidi snaží i z toho mála co mají udělat maximum, a na mě takovýto přístup dělá dobrý dojem.
Příčiny: nejsou znalí lidé, a (nebo) není podpora managementu, a (nebo) není budget na bezpečnost.
Důsledky: větší volnost ve smyslu „bezpečnost není a tak nikoho neomezuje“ se zdá být pozitivem, ale opak je pravdou. Když se organizace stane žádaným cílem, pak mají všichni práce nad hlavu, a stojí to v konečném důsledku i mnohem více peněz než mít dobrou bezpečnost.
Bizarní bezpečnost
Na první pohled se bizarní bezpečnost jeví jako dobrá bezpečnost, ale ve skutečnosti je to bezpečnost špatná. Nakupují se různé bezp. krabičky, často bez rozmyslu, ale s jejich výstupy se nepracuje, protože by mohly ukázat na problémy. Zabrání se přístupu k bezp. logům např. z právních důvodů, ale zároveň se uvádí, jak je vše bezpečnostně monitorováno. Nebo se nakoupí technologie pro ochranu emailů a pak se nezapne její funkcionalita. Nebo se monitoruje „zakázaný“ síťový přístup k serveru, ale přístup se nezakáže, atd. Zpravidla se to týká organizací, které se soustředí jen na splnění všech legislativních požadavků, ale přehlíží se reálná rizika. Většinou jde o státní nebo státem regulované organizace.
Příčiny: většinou se šéf IT bezpečnosti snaží být jen v souladu s povinnými normami, aby prošel auditem, a zároveň se chce zalíbit vedení, že „nedělá problémy“. Příčinnou je tzv. bezpečnostní divadlo, kdy se zavedou bezpečnostní opatření, která mají jen vytvořit iluzi vysoké bezpečnosti, ale ve skutečnosti nic takového nepřinášejí a jsou nepřiměřená skutečným rizikům.
Důsledky: paradoxně tímto přístupem šéf IT bezpečnosti dělá vedení problémy, ale to vedení to zjistí až když se něco vážného stane. Nejenže se tímto způsobem utopí peníze, ale bezpečnost se reálně nezvýší.
Ale aby někdo neřekl, že jen kritizuji a nenabízím žádné řešení, tak bych vám doporučil, abyste na pozice CISO dosazovali skutečně jen experty, kteří nejen dané problematice rozumí (psáno zde), a mají i kuráž ji prosadit (psáno zde) a ti měli možnost si sestavit svůj tým.
Posuzujte rizika, vytvářejte reálné rizikové scénáře a ideálně rizika i kvantifikujte, ať máte v ruce jasný argument, jaká může být reálná výše škod a jaké jsou proti tomu směšné náklady na opatření.
Na organizaci a její systémy nahlížejte jako na celek, jedině tak můžete navrhovat účinnou bezpečnostní architekturu a obranu v hloubce, tzv. defense in depth, aby v okamžiku, kdy jedno opatření selže, tak aby zafungovalo druhé. Nedopusťte, aby byla bezpečnost ve vaší organizaci řešena v různých odděleních, a každé si prosazovalo svá vlastní řešení, technologie apod.
Ať už je vaše úroveň bezpečnosti jakákoliv, tak si dejte pozor na nepřiměřeně vysoká opatření, ta totiž začnou lidem vadit a začnou proti nim bojovat, a tedy je obcházet. Vždy proto vezměte v úvahu i chování lidí, jde o tzv. human centric security přístup k návrhu bezpečnostních opatření.
Úroveň vašich opatření vždy prověřujte, protože byť to na papíře může vypadat dobře, tak v reálu to nemusí vůbec fungovat. Dělejte proto důkladné skeny zranitelností, penetrační testy, red a purple teaming cvičení. Vyplatí se to.
Nezapomínejte, že nejslabším článkem stále bude člověk, který není a nikdy ani nebude zcela imunní vůči technikám sociálního inženýrství. Viděl jsem jak v objektu s vysokou fyzickou ochranou byla pronesena zcela legálně a neskrytě zbraň, stačilo jen správně použít sociotechniky a celá fyzická bezpečnost s rámy, kamerami a bůhvíčím dalším se složila jako domeček z karet. A místo zbraně může být proneseno jakékoliv zařízení, které může následně posloužit k ovládnutí koncového zařízení, distribuci malware a exfiltraci dat.
K článku “Čtvrtstoletí bezpečnostních paradoxů aneb Jak různé organizace bojují s digitálními hrozbami” se zde nenachází žádný komentář - buďte první.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.