Malá a střední

n Tomáš Přibyl nformační bezpečnost se dnes týká každého. Nelze se spoléhat na to, že představuji jen malou or...


n Tomáš Přibyl

nformační bezpečnost se dnes týká každého. Nelze se spoléhat na to, že
představuji jen malou organizaci, a tudíž na ni nemusím klást takový důraz jako
velká nadnárodní korporace. Abychom tento často zažitý omyl pochopili, zkusme
se podívat na věc očima útočníka (lhostejno, zdali má podobu virů, hackerů,
rozesílatelů spamu apod.). Tito napadají počítače
a e-mailové adresy, nikoliv konkrétní osoby nebo organizace. I když i takovéto
útoky samozřejmě jsou, tak představují výjimky potvrzující pravidlo.
Právě podceňování problémů je největším nebezpečím na straně malých a středních
organizací. Někdy nejde o podcenění v pravém slova smyslu, ale spíše o
nemožnost uvolnit odpovídající zdroje - nebo o neschopnost vytěžit z uvolněných
zdrojů maximum. Bezpečnost ICT je totiž velmi širokou oblastí, kterou je
potřeba řešit na několika frontách ve vzájemné součinnosti, přičemž velké
organizace jsou zde ve výhodě. Mohou si dovolit vyčlenit na řešení bezpečnosti
odpovídající specialisty, nebo dokonce celá oddělení s vlastním rozpočtem. O
něčem podobném se malým organizacím třeba se dvaceti nebo padesáti pracovníky
asi může jen zdát... A tak přestože z hlediska celkového rozpočtu nebo při
přepočtu "na hlavu" vydávají velké organizace na bezpečnost méně, jsou na tom
výrazně lépe.
Ovšem malé organizace mají některé výhody, které by měly využít ve svůj
prospěch. Třeba výrazně jasnější strukturu technologií (topologie sítě,
používaný software nebo hardware aj.). Je ale zapotřebí konstatovat, že z této
výhody až nezdravě často dokáží udělat nebezpečnou nevýhodu, a tak se v praxi
nejčastěji setkáváme s decentralizovanou sítí s nejasnou strukturou. Kde jinde
by přitom měla být struktura jasně stanovená a spravovatelná než u sítí malého
rozsahu?
V síti s nejasnou strukturou se přitom velmi obtížně efektivně nasazují
jakékoliv ochranné prvky, brání se případným incidentům nebo implementuje
bezpečnostní politika. Tím se dostáváme k další slabině, kterou u malých a
středních sítí můžeme často nalézt: k absenci bezpečnostní politiky. Samozřejmě
nemáme na mysli mnohasetstránkový dokument počítající se všemi možnými a
nemožnými eventualitami, jehož prostudování přesahuje hranice lidských
možností. Ale 95 procent bezpečnostních rizik lze zcela eliminovat nebo alespoň
jim účinně předcházet jen krátkým školením či instruktáží. Ostatně,
jednostránkový seznam základních instrukcí bezpečné práce s počítačem je na
rozdíl od objemného svazku snadno zapamatovatelný a především prakticky
využitelný.
Bezpečnostní politika by kromě základních pravidel chování měla obsahovat také
jasně definované pravomoci, zodpovědnost jednotlivých osob a možné scénáře.
Jednak je totiž zapotřebí, aby každý uživatel měl možnost někam hlásit
podezřelou aktivitu na počítači nebo v síti (nebo jakoukoliv jinou mimořádnou
událost) a jednak aby měl možnost případné problémy konzultovat. Bez existence
nějaké vyčleněné síly (byť nemusí být na plný úvazek - desetičlenná firma si
těžko může dovolit zaplatit vlastního bezpečnostního konzultanta) pak nastává
situace, že bezpečnost řeší všichni, ale v konečném důsledku nikdo. Tato
pověřená osoba má zodpovědnost, dále provádí monitoring a kontrolu stanovených
činností. Nemělo by přitom jít o externistu, ale o interního zaměstnance, který
je přece jen pružnější a více dostupný. Tím ale neříkáme "ne" outsourcingu:
naopak - i velmi malé organizace mohou outsourcing velmi obratně využívat. Může
jim pomoci snížit náklady na provoz. Ostatně, pronájem části hardwaru a
softwaru rozhodně vyjde, zvláště v případě velmi malých organizací, výrazně
levněji než jejich pořizování a údržba.
Důraz je také zapotřebí klást na výběr vhodného softwaru, kdy je nutno
zohlednit nejen hledisko informační bezpečnosti, ale třeba i struktury nákupů.
Při padesáti počítačích je luxus mít (a spravovat!) pět nebo šest verzí
jednoho, nebo dokonce několika operačních systémů. Stejně tak je minimálně
nešťastné řešit bezpečnost stylem "je problém - něco nasadíme - je jiný problém
- nasadíme něco jiného". Tato koncepce je především nekoncepční (na problémy
reagujeme zpětně namísto toho, abychom jim aktivně předcházeli) a v konečném
důsledku nejhorší možná. Namísto rozumného jednání dochází k nákupům pod vlivem
stresu a v konečném důsledku i bez vzájemné návaznosti. Není lepší v klidu si
předem vybrat specializovaný software, který umožní incidentům účinně
předcházet a který se skládá z několika vzájemně propojených prvků (tedy je
komplexní, a tudíž jednodušší na instalaci, provoz nebo údržbu)?
A jaké jsou nejčastější prohřešky proti přikázáním informační bezpečnosti v
malých a středních organizacích? Především je to nastavení administrátorských
práv pro všechny uživatele. Samozřejmě, že toto je jednodušší z hlediska
celkové správy, ale na druhé straně se jedná o velmi nešťastný zvyk z hlediska
bezpečnosti. Síť složená výhradně z administrátorů znamená pro případného
útočníka velmi vítaný cíl...
Dalším obecně rozšířeným nešvarem jsou hesla, která jsou buď sdílená, nebo
veřejná (třeba z pochopitelného důvodu zastupitelnosti). Takováto hesla ovšem
jaksi nemohou svoji ochrannou roli plnit. Často se také lze setkat s tím, že v
malých organizacích jakékoliv přihlašovací prvky chybí zcela. Dostáváme se tedy
k tomu, co jsme kritizovali už na počátku článku: podceňování problematiky
informační bezpečnosti.
A konečně na závěr bychom rádi upozornili ještě na jedno podceňování, a to v
rámci struktury nasazení bezpečnosti. Často se stává, že malé a střední
organizace si svou situaci ulehčují nasazením pouze jedné vrstvy bezpečnosti -
nicméně pokud tato vrstva selže nebo je obejita (příkladů bychom mohli jmenovat
desítky), tak už útočníkovi nestojí v cestě žádná síla, která by jeho rejdům
učinila přítrž.
Autor je odborníkem v oblasti počítačové bezpečnosti.
5 1898 / jaf









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.