Firmy nemají ponětí o hodnotě svých dat

Sejdou-li se v jedné diskusi témata bezpečnost IT a Microsoft, je zpravidla postaráno o dlouhou výměnu názorů. Řeč p...


Sejdou-li se v jedné diskusi témata bezpečnost IT a Microsoft, je zpravidla
postaráno o dlouhou výměnu názorů. Řeč patrně přijde na útoky zneužívající
slabiny jeho produktů, na porovnávání s konkurencí i na služby, které Microsoft
v oblasti bezpečnosti poskytuje.
Na všechna výše zmíněná témata došlo i při našem rozhovoru se specialistou
Microsoftu na bezpečnost Miroslavem Langem. Miroslav Lang působí v Microsoftu
od počátku roku 1995, kdy byl přijat jako první konzultant pro střední a
východní Evropu, čímž vlastně v tomto regionu vznikla divize Microsoft
Consulting Services. Postupně se stal vedoucím konzultantem a zároveň
technickým expertem Microsoftu pro oblast bezpečnosti, PKI a elektronického
podpisu. V těchto oblastech pomáhá i vývojovým skupinám v Redmondu a pobočkám v
regionu EMEA a v Asii.

Jaké jsou v oblasti bezpečnosti IT nejčastější problémy vašich zákazníků?
Největším problémem je patrně skutečnost, že řada lidí vnímá bezpečnost jen
jako jakýsi přídavek, který je třeba někam přimontovat. A její implementaci
nezahrnuje do návrhu designu celého řešení. Na naši práci pak řada klientů
nahlíží asi tak: Když jste ze společnosti Microsoft, tak nám tady něco
naklikejte, aby to bylo bezpečné.
Zákazníci dost často přehlížejí problémy související s jejich aplikacemi. Když
k nim přijdeme, zpravidla již nějaké provozují ale bohužel dost často nevědí,
jaké mají požadavky, kam si ukládají data, jestli používají integrované
autentizační mechanismy a podobně. Mimochodem právě ony integrované standardní
autentizační mechanismy jsou spíše výjimkou, daleko častěji jsou využívány
nějaké proprietární databáze uživatelů.

Jak firmy problémy s aplikacemi řeší?
Používané aplikace lze rozdělit do čtyř skupin: Zaprvé na vyvinuté a koupené,
za druhé pak na ty, kde autor nebo firma existuje, případně jsou dostupní, a na
ty, kde dostupní nejsou. Pokud není možné se s autorem spojit, pak už zpravidla
nelze zjistit, jak vlastně aplikace funguje.
Jestliže jsou autor nebo autorská firma dostupní, je možné je přimět ke
spolupráci. Lze se dohodnout na akceptování určitých požadavků kladených na
aplikace fungující v daném konkrétním prostředí, určit, jak se mají chovat, jak
mají být testovány a podobně. Když bych použil přibližného srovnání s našimi
produkty, řekl bych, že pokud něco nese označení Microsoft Certified, tak to
splňuje určité požadavky. A určitou obdobu certifikátů by měl mít i zákazník
aplikace v jeho IT prostředí by měly splňovat pevně dané podmínky.
Tento požadavek ale naráží na jeden velký současný problém, a tím jsou lidské
zdroje. Lidé něco stojí, zvyšují náklady. Pokud však nejsou k dispozici,
dochází při návrhu bezpečnostních řešení ke kuriózním situacím: Jen těžko lze
udělat návrh, když neznáte přesné požadavky klienta, zákazník jejich naplnění v
podstatě není schopen financovat a nemá lidské zdroje, aby vám pomohl.
Když se podíváme na bezpečnost z nadhledu, zjistíme, že je hlavně o lidech a o
procesech; teprve potom o technologiích. Mělo by tedy být například vždy
zřejmé, kdo je ve firmě zodpovědný za správu změn, mělo by se vědět, jakým
způsobem se změny do systému zavádějí. V praxi se ale stává, že se na pokyn z
vyšších míst kvůli vývoji nebo prodeji nového produktu narychlo nasazuje nějaký
software. A nikoho nezajímá, co to přinese z hlediska bezpečnosti.

Je ale nastíněné řešení vhodné i pro menší firmy?
Pokud firma nemá své IT prostředí standardizováno, pak je to problémem ve velké
i v malé organizaci. Když například existuje několik skupin uživatelů, které
pro stejný úkol používají různé aplikace ať už kvůli tomu, že se za ně
zaplatilo, nebo proto, že se třeba zaměstnanci nechtějí učit ovládat nové verze
tak není standardizován/minimalizován počet aplikací, čímž problém jen narůstá.
Malá firma má zpravidla méně aplikací, a tedy i snáze definovatelné prostředí.
Nemá 2 000 počítačů, ale třeba jen 50, takže je pružnější. Možná nemá tak
silnou pozici u některých dodavatelů jako velká firma, aby je mohla úspěšně
tlačit k dodržování určitých pravidel... Ale moje zkušenost říká, že velké
firmy, které mají v tomto ohledu pozici silnou, ji dost často nevyužívají.

Je v tomto ohledu u nás stejná situace jako v zahraničí?
Uvedené problémy se ve stejné míře týkají zákazníků v tuzemsku i za našimi
hranicemi. Výjimkou je do určité míry státní správa, která není hnána tlakem na
konkurenceschopnost a má relativně velký aparát, který je schopen personálně
zajistit správu změn, sledování bezpečnosti a podobně.
U nás i v zahraničí se firmy snaží šetřit, a první, co bohužel přijde na řadu,
je oblast IT, kde se šetří na lidech i na technologiích. Často se pak stává, že
i když má IT oddělení snahu zavádět preventivní opatření, nakonec se bezpečnost
řeší, až když se něco stane.

Existují nějaké typické bezpečnostní oblasti, které firmy přeceňují nebo naopak
podceňují?
Firmy často přeceňují nebezpečí přicházející zvenčí a nedoceňují skutečnost, že
nejde jen o ochranu prostřednictvím IT. Když do budovy přijde uklizečka a
odnese si počítač, mohou se data rovněž dostat tam, kam by neměla. Pro ředitele
firem je uchopitelné, že mají kvůli bezpečnosti dokumentů sejf, mezi cenné věci
řadí televizor, video... Ale mnozí z nich si nedokážou představit hodnotu svých
informací.
V řadě organizací vůbec není jasné, jak kritické jsou které informace pro
fungování firmy. Bezpečnost má přitom několik stránek nejen utajení, ale i
integritu, autentičnost a dostupnost. Když budou data nedostupná třeba proto,
že někdo ukradl počítač, může to být často větší problém než to, že byla
prozrazena. Většina lidí chápe pod pojmem informační bezpečnost nějaké
nastavení v operačních systémech a v aplikacích; přitom zapomínají, že jde
hlavně o lidi a o procesy, které mají být nějak vyjádřeny prostřednictvím
technologií. Když nebudu mít jasno, co chci chránit a jaké mám prostředí, jaké
mám požadavky na cokoli nového, co tam přijde, tak to budu moci jen těžko
chránit. Navíc to, že jsem něco v oblasti bezpečnosti něco podnikl dnes, ještě
neznamená, že to bude fungovat i zítra objevují se stále nové aplikace, nová
slabá místa.

Je tedy hlavním problémem skutečnost, že firmy v oblasti bezpečnosti nemají
jasno, nebo spíše snaha šetřit?
IT bezpečnost je brána jako něco, čemu nerozumím, nemohu si na to sáhnout a
nechápu, proč bych do toho měl investovat. Ani nevím, co pro mě bude znamenat
ztráta dat. Nevím, jak dlouho bez nich vydržím. Netuším, že tohle je pro mě
kritická informace a tahle ne. A nejde přitom ani tak o utajení, ale o onu
dostupnost.

Když už jste se zmínil o nebezpečí zvenku jedním takovým nebezpečím je i
software se spoustou bezpečnostních slabin. Je podle vás v tomto směru i u
softwaru Microsoftu možná změna k lepšímu?
Naši programátoři procházejí vzdělávacími kurzy zaměřenými na to, jak bezpečně
psát. Vývojáři a vývojářské skupiny daleko více naslouchají lidem, jako jsme
my. My totiž mluvíme přímo se zákazníky a na základě reálných zkušeností po
vývojářích chceme, aby implementovali určitá bezpečnostní vylepšení.
Existuje návrh softwaru a pak je tu výsledný kód. Otázkou je, co se testuje. Je
zjevné, že nelze otestovat všechno. Takže je to jen o tom, co všechno jsem
schopen otestovat, kdo to testuje a zda má správné testovací scénáře.
Základní programátorský axiom říká, že v každém programu je alespoň jedna
chyba. Důležité je, abychom byli schopni chyby rychle odstranit. Ve středověkém
Španělsku když si chtěl někdo udělat jméno, zaútočil na nějakého známého rytíře
a pokud se mu podařilo ho porazit nebo zranit, tak se stal známým. Dnes hackeři
útočí na Microsoft.
Říká se, že naše produkty obsahují spoustu chyb. Ale to ještě neznamená, že v
jiných produktech chyby nejsou, což si mnozí lidé myslí. Taková představa je
ale možná ještě nebezpečnější. Tím, že ty chyby nejsou známy, je samozřejmě pro
potenciálního útočníka obtížnější se o nich dozvědět a využít jich. Ale na
druhou stranu pokud se tak stane, je nižší pravděpodobnost, že se to někdo
dozví.

Je něco, co vás u zákazníků v poslední době překvapilo?
Vzpomínám si na jednu skutečně velmi "bezpečnou" aplikaci. Aby ji bylo možno
používat, musí uživatel zadávat dvě hesla. Jedno si vybere, druhé mu aplikace
automaticky vygeneruje. Problémem ovšem je, že vygenerované heslo je
nezapamatovatelné a on má pouze 30 vteřin na to, aby ho přijal. Pokud ho
nepřijme, tak se vygeneruje heslo další. A takhle to pokračuje. Takže nakonec
to heslo musí přijmout a přijme ho tak, že si ho napíše na kus papíru. Což je
skutečně velmi "bezpečné".

Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.