Jak přimět zodpovědné osoby k činnosti

Mathias zjišťuje, že odhalit bezpečnostní rizika je snazší, než přimět manažery k tomu, aby se s nimi vypořádali....


Mathias zjišťuje, že odhalit bezpečnostní rizika je snazší, než přimět manažery
k tomu, aby se s nimi vypořádali.
Před několika dny jsem dokončil rozsáhlý audit bezpečnostních rizik v
počítačových sítích našeho podniku a dal dohromady jeho výsledky. Pak jsem je
upravil do podoby přehledné zprávy. Samozřejmě, že jsem si ji nenechal jen pro
sebe. Možná, že jste to také už zažili. Takovou zprávu prostě předáte
příslušnému manažerovi, který se rozhodne neprovést některý z kroků nutných k
nápravě zjištěné hrozby. Snažíte se diplomaticky napravit vzniklé
nesrovnalosti, ale nechcete si nikoho znepřátelit. Co v takovém případě dělat?

Zjištění problému
Jako součást nedávných kroků ohledně konfigurace virtuální privátní sítě (VPN)
jsem provedl bezpečnostní audit zhruba 1 500 laptopů, které by brzy měly být
vybaveny příslušným klientským softwarem sloužícím právě pro připojení k VPN.
Všechny laptopy disponují shodným programovým vybavením, takže zhodnocením
jednoho z nich bych měl být schopen posoudit všechny současně. Samozřejmě za
předpokladu, že uživatelé na svých laptopech nic neměnili. K auditu jsem využil
několika automatizovaných nástrojů včetně aplikací Internet Scanner od firmy
Internet Security Systems a Nessus, což je open source software sloužící ke
zjišťování zranitelných míst. Jejich kombinace by měla postihnout přibližně 95
% všech potenciálních problémů. Provedl jsem také manuální kontrolu nastavení
přístupových práv a dalších nastavení operačního systému, která souvisejí s
bezpečností.
Přitom jsem zjistil vážnou bezpečnostní chybu ve Windows NT. Konfigurace totiž
umožňovala vytvoření prázdné relace (null session), kterou by hacker mohl
využít k tomu, aby se připojil k laptopům a získal přístup k souborům, aniž by
se musel autentizovat.

Zodpovědnost
Jak jsem tak večer dával u svého stolu dohromady výsledky, zaslechl jsem, jak
někdo klepe na dveře. Otevřel jsem a v nich stál náš výkonný ředitel. Chtěl
vědět, v jakém stavu je řešení nedávného virového útoku, který zamořil naši
síť. Bohužel jsem mu nebyl schopen poskytnout detaily, které požadoval. Moje
pracovní náplň spočívá v návrhu zabezpečení a nikoliv odpovědnost za zjišťování
virů, proto jsem ho odkázal na pracovníky našeho provozního oddělení.
Ale poselství bylo celkem jasné. Když se stane podobná událost a do jejího
řešení se nějakým způsobem rozhodne zaplést výkonný ředitel, okamžitě se obrátí
na manažera pro bezpečnost a žádá odpověď a v některých případech také
odpovědnost. Pokud se podobné incidenty stávají jen zřídka, dá se s tím smířit.
Ale pokud se něco podobného mělo odehrávat každý týden, mohl by ředitel
zpochybňovat efektivitu mé práce. Jinak řečeno, mohl bych zaplatit za chyby,
které udělalo naše provozní oddělení.
Jelikož jsem měl tuto epizodu čerstvě v paměti, na poradě s manažery našeho
provozního oddělení jsem vznesl problém týkající se obrazů disků (disk images)
základní konfigurace serverů a pracovních stanic. Současně jsem požádal
bezpečnostní oddělení, aby podrobně prozkoumalo všechny základní konfigurace
ještě před jejich nasazením do provozu. Následné změny v těchto konfiguracích
by měly být podrobeny stejnému zhodnocení.
Pokud by update konfigurace měl mít za následek její menší bezpečnost, pak je
třeba přezkoumat zbývající část infrastruktury a upravit ji tak, aby byla
zajištěna co nejlepší úroveň bezpečnostních opatření.
Zmínil jsem nedávný audit laptopů a svá doporučení, ale ze strany provozního
manažera jsem se setkal s odporem proti změně v jejich diskových obrazech. I
když jsem trval na tom, že onen problém s prázdnou relací znamená vážnou
trhlinu v zabezpečení, nijak jsem ho nezviklal. Nechtěl jsem tento problém dále
vyhrocovat a trvat na jeho okamžitém řešení, takže jsem nakonec tuto otázku
stáhl.
Po poradě jsem si vzal manažera stranou a zdůraznil mu závažnost odhalených
problémů. Zeptal jsem se rovněž, proč nezvážil mnou navrhované kroky k nápravě,
které měly být zahrnuty do základních diskových obrazů používaných k následné
aktualizaci konfigurací laptopů.
Několikrát se mi omluvil, ale základním odůvodněním z jeho strany bylo, že
"během šesti měsíců budeme upgradovat na nový operační systém, takže dramatické
změny by v této chvíli nadělaly více škod než užitku."
To vypadalo jako situace, která nemá řešení. Mám vyvolat konflikt s ním, nebo
raději mlčet a riskovat hněv ze strany našeho výkonného ředitele?

Tlak na řešení
Rozhodl jsem se předložit manažerovi cosi, co pracovně nazývám prohlášením o
odpovědnosti za riziko. Pokud se nakonec manažer rozhodne, že nechce
implementovat nápravné kroky k vyřešení známého bezpečnostního problému, napíšu
zprávu, která vymezuje zranitelnost systémů, potřebná opatření a rizika, která
vyplývají z toho, že tato opatření nebudou provedena. Poté požádám manažera,
aby na tento dokument napsal zdůvodnění, proč se rozhodl příslušné kroky
neprovést, a toto zdůvodnění podepsal. Tato zpráva pak putuje k výkonnému
řediteli, který ji musí také podepsat. V případě, že se vyskytne incident
způsobený již dříve zdokumentovaným problémem, mám v ruce dokument, který mě
zbavuje zodpovědnosti.
Takový dokument samozřejmě žádný manažer podepsat nechce. Ale samotný tento
proces jej donutí k přijetí odpovědnosti za rizika vyplývající ze skutečnosti,
že určitý problém není vyřešen. Když si provozní manažer předložený papír
přečetl, rychle se rozhodl, že daná otázka je natolik vážná, že vyžaduje změnu
a opravu zranitelných systémů. Další krok
Rozhodl jsem se dále pokoušet své štěstí. Nebyl jsem spokojen s
administrátorským heslem používaným na desktopech. Bylo snadno uhodnutelné,
neodpovídalo firemní politice týkající se hesel, a navíc ho mnoho zaměstnanců
již znalo. Budoucí plán počítá s využitím SecurID tokenů pro přístup ke správě
systémů, ale do té doby by se mělo heslo změnit. Manažer se zamračil, zaťal
zuby a souhlasil, že vyřeší i tento problém.
Ve skutečnosti byl kvůli tomuto zjištění velmi v rozpacích a požádal mne, abych
celou věc udržel v tajnosti. Souhlasil jsem pod podmínkou, že budou přijata
odpovídající opatření k vyřešení situace.
Myslím, že způsob, jakým jsem problém vyřešil, lze považovat za férový a
poctivý. Přesto jsem snad mohl použít nějaké lsti, aniž bych musel zatlačit
manažera do kouta. Přiznávám ale, že lepší řešení neznám.

Bezpečnostní knihovna
I v České republice je již naštěstí možno objednat naprostou většinu odborných
knih z oblasti IT. Některé z těch, které jsou věnovány bezpečnosti IT, jsou
dokonce dostupné v češtině. My vám doporučujeme jednu v originále:
Securing Windows NT/2000 Servers for Internet (Stefan Norbert, Deborah
Russelová; OReilly & Associates, 2000)
OReilly stále vydává výborné příručky a tato kniha je toho dalším příkladem.
Pokud odpovídáte za bezpečnost Windows NT nebo Windows 2000, je pro vás tento
titul povinnou četbou. Autoři poskytují detaily mnoha klíčových prvků
zabezpečení Windows, od služeb přes profily a obecné optimální postupy. Raději,
než by čtenáři radili, aby zaškrtl tohle políčko nebo zastavil onu službu,
popisují účel oné služby nebo volby a všechny důsledky její deaktivace.
Neodpustím si ale jedno upozornění: Kniha se nezabývá zabezpečením Internet
Information Serveru.

Užitečné odkazy
- Enterprise management software, jako například Tivoli
(www.tivoli.com/products/solutions/operations) od IBM nebo Unicenter
(www3.ca.com/Solutions/SubSolution.asp?ID=2846) od Computer Associates,
představují mocné nástroje pro implementaci a správu změn v konfiguraci
zabezpečení jak na desktopech, tak i na serverech.
- Nástroj pro vzdálené skenování Nessus (www.nessus.org/index2.html) je
dostupný ve verzích pro Unix i Windows. Na uvedené adrese najdete mj. jeho
zdrojový kód.
- Při vyhodnocení zabezpečení jsem využil Internet Scanner od firmy Internet
Security Systems. Více informací o něm naleznete na adrese www.iss.net.

Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.