Incident za 4 000 dolarů

Začlenění různých oddělení do plánu reakce na bezpečnostní incidenty slibuje nemalé přínosy. V nedávné době...


Začlenění různých oddělení do plánu reakce na bezpečnostní incidenty slibuje
nemalé přínosy.

V nedávné době jsem pracoval na tvorbě plánu reakce na bezpečnostní IT
incidenty jedné nadnárodní finanční společnosti. Dobrý plán pomáhá reagovat na
narušení bezpečnosti v klidu, opatrně a přitom rychle. Musí obsahovat informace
o tom, jak je narušení detekováno a analyzováno, jak je reakce na narušení
spravována a jak je realizována náprava. Současně obsahuje doporučení, jak
zajistit, aby k podobnému narušení nedošlo znovu. Mým hlavním problémem při
vytváření plánu je to, že čím více o něm přemýšlím, tím více lidí a oddělení
žádám o zapojení se do celého procesu. Do jedné reakce musí být zpravidla
zapracováno více vstupů, mimo jiné třeba i z firemního personálního oddělení.
Jednou ze skupin, které ale dosud na seznamu nejsou, je tým správy budov. Jeho
členové by přitom měli být přivoláni po nejednom bezpečnostním narušení. Možná
by tedy na seznamu měli být. V mém dosud nejoblíbenějším bezpečnostním narušení
to byl právě tým správy budov a jeho znalosti s likvidací škůdců, který odhalil
pachatele. Možná to zní v mé profesi trochu podivně, ale skutečně je tomu tak.
Jak se uvedená událost stala? Jednou jsem přišel do práce a zaslechl, že ve tři
hodiny odpoledne byly na burze s cizími měnami provedeny neoprávněné obchody za
8 milionů dolarů. Terminály, které k tomu byly použity, neprovádějí kontrolu
přístupu obchodník se pouze jednou přihlásí a potom už se počítá s tím, že
obchoduje stále jen on. Rychlost je totiž u tohoto typu transakcí
nejdůležitější.
Jakákoliv kontrola přístupu, která by zpomalila reakci na obchod, nám mohla
přinést ohromnou ztrátu. Jenomže obchodník se při odchodu zapomněl odhlásit.
Všichni lidé v daném oddělení vědí, že se mají odhlašovat, ale většina z nich
to rezolutně ignoruje. Vydělávají společnosti příliš peněz na to, aby bylo
možné je nějak snadno přimět k dodržování tohoto pravidla. Prozkoumali jsme
všechno: protokoly obchodovacího systému, systémové protokoly okolních PC,
síťový provoz k těmto obchodním systémům, úklidový personál, který se v té době
nacházel poblíž, kazety z průmyslových kamer prostě všechno. Nic ale nepomohlo,
dokud si jeden z členů týmu správy budov nevšiml zbytků návnady na myši na
vedlejším pracovním stole. Jedinou odpovědí, která nás napadla, bylo to, že
přes klávesnici obchodníka přeběhla myš a stlačila klávesu, kterou akceptovala
obchod za 8 milionů dolarů. Nakonec byla myška týmem správy budov chycena,
pokřtěna jménem Freddie a ponechána ve firmě jako domácí mazlíček. Nejhorší na
celém vyšetřování bylo, že další den ráno dealeři vycouvali z osmimilionového
obchodu a docílili zisku 4 000 dolarů. Takže když jsme je požádali, aby se
taková situace už neopakovala, zamávali nám před nosem údaji o ziscích a
vysmáli se nám. Nicméně krátce poté byly jejich terminály vyměněny za nové
modely, které dokážou uživatele odhlásit automaticky po určité době nečinnosti.

Právní komplikace
Zapojení několika oddělení do systému reakce na incidenty se tedy může z
dlouhodobého hlediska vyplatit. Vše, co jsme se rozhodli zahrnout do reakčního
plánu, je tam z dobrého důvodu. Ale teď, když jsme byli skoro hotovi, byl
výsledkem naší práce extrémně dlouhý dokument, který přinášel skvělý teoretický
přístup, ale vůbec se nepodobal mým zkušenostem z dřívějšího úspěšného zvládání
bezpečnostních narušení. Například se zde zmiňoval problém soudního vyšetřování
nebo získávání a uchování důkazů. Jde o specializovanou oblast a čím více ji
zkoumáme, tím více zjišťujeme, co je potřeba udělat. Vezmeme-li v úvahu počet
právních jurisdikcí, ve kterých naše nadnárodní společnost působí, získáme
extrémně složitý soubor pravidel, která by se měla během reakce dodržovat. Tím
se reakce stává velice složitou. Současně ale přece chceme, aby naši technici
přemýšleli jasně a rychle. Pokusíme-li se dodržovat nejlepší postupy soudní
praxe, zpomalíme svou reakci a pravděpodobně se vystavíme většímu riziku.
Nebudeme-li však postupovat podle daných pravidel, naše data nám nebudou
pravděpodobně nic platná, pokud půjdeme k soudu. Mnoho lidí řeší tento problém
přivoláním specialistů. Pokud však mají být k užitku, je třeba je zavolat včas.
Na druhou stranu je ovšem třeba zvážit fakt, že je budete potřebovat pouze
tehdy, pokud se bude narušení s vysokou pravděpodobností řešit u soudu. Mám
problémy s hledáním lidí, kteří jsou ochotni přijmout takové rozhodnutí,
protože je obtížné jej učinit v rané fázi celého procesu.

Rozhodování
Vezměme si historicky podložený a v legendách barvitě vyvedený objev Clifforda
Stolla, který ve svých účetních záznamech našel chybu ve výši 57 centů (jak je
podrobně popsáno v jeho knize The Cuckoos Egg Kukaččí vejce). Pár centů je
částka, která nikoho nezajímá a většina lidí by se vůbec neobtěžovala zkoumáním
důvodu rozdílu. Ale Stolla ano a nakonec objasnil případ rozsáhlé mezinárodní
špionáže. Kdybyste ale byli v jeho kůži, ve které fázi procesu byste se
rozhodli zavolat soudní specialisty? Kdybyste je zavolali v okamžiku nálezu
rozdílu ve výši 57 centů, vysmáli by se vám. Nejde ale jen o externí
specialisty. Máme rovněž trvalý problém s již výše zmiňovaným oddělením
lidských zdrojů (HR). Chce být zapojeno do každé reakce, a to od samého
začátku. V praxi je to teď tak, že pokud někdo zjistí narušení bezpečnosti,
musí nejdříve kontaktovat oddělení lidských zdrojů a poté bezpečnost IT. Lidé z
HR to zdůvodňují tím, že za každým narušením bezpečnosti stojí lidé, takže
jejich zkušenosti jsou nezbytné. Na jednu stranu tomuto argumentu rozumím a v
některých případech je pomoc HR neocenitelná. Jednou jsem musel vyšetřovat
jistého švýcarského zaměstnance, který vyhledával na internetu dětskou
pornografii. Ale protože jsou práva zaměstnanců ve Švýcarsku skutečně úžasná,
bylo naše vyšetřování ochromeno. V tomto případě nás zastoupilo oddělení
lidských zdrojů a situaci brilantně vyřešilo. Ale někteří zaměstnanci HR mi
koukali přes rameno i v době, kdy jsme se nedávno pokoušeli zvládnout virus.
Ten infikoval naši síť šest hodin předtím, než antivirové společnosti přišly se
signaturami, které jsme potřebovali. A většinu týmu, který se tímto incidentem
zabýval, tvořili nekompromisní technici jedovatě ignorující zaměstnance z HR.
Snaha o zastavení bitevní nálady těchto dvou táborů mi zabrala více času, než
jsem tomu mohl a chtěl věnovat. Pln naděje doufám, že budeme moci nalézt s HR
kompromis, ale myslím si, že bude potřeba více interní diplomacie, než se
spolupráce stane standardní. Navzdory těmto problémům jistě stojí za to
zahrnout do našeho reakčního plánu ostatní oddělení. Ve skutečnosti, jak tak
hodnotím proces a postupy, které uvádíme do praxe, si ale pokládám jednu
otázku: Jak nám to všechno pomůže vypořádat se s Freddiem?









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.