Pojistka proti následkům selhání

Aktuální informace o nadcházejících změnách v legislativě týkající se IT bezpečnosti a nedávný bezpečnostní in...


Aktuální informace o nadcházejících změnách v legislativě týkající se IT
bezpečnosti a nedávný bezpečnostní incident v naší společnosti mě přiměly k
přezkoumání způsobů, kterými jsme zajištěni proti potenciálním kybernetickým
hrozbám. Zatímco obvykle se při své práci zaměřuji na technickou stránku věci,
tentokrát šlo hlavně o peníze.
Musel jsem znovu zkontrolovat, jak dobře je moje společnost zajištěna, aby se
vypořádala s případnou žalobou nebo s potřebou platit nějaké odškodné, na které
by měla protistrana nárok v důsledku nějakého kyberneticko-bezpečnostního
incidentu.

Nový zákon
Stejně jako řada dalších bezpečnostních profesionálů se i já soustředím
především na to, abych udržel krok s překotně se měnícím prostředím počítačové
bezpečnosti. Až na druhé koleji pro mne zpravidla je otázka, jak se změny
prostředí promítají do záležitostí souvisejících s finančním zajištěním mé
společnosti.
V Kalifornii například nyní právě nabývá účinnosti zákon číslo 1386, který po
firmách požaduje, aby daly zákazníkům k dispozici informace o jakékoli
události, během níž se data, která s nimi souvisejí, mohla v důsledku
bezpečnostní slabiny dostat do ruky nepovolaným osobám. Chování v souladu se
zákonem 1386 přitom bude vyžadováno nejen po společnostech z Kalifornie tento
požadavek se týká všech společností, které v Kalifornii obchodují bez ohledu na
jejich sídlo. Jakákoli taková firma tedy bude muset odhalit informace o
bezpečnostních slabinách, resp. průnicích, které by se mohly dotknout zákazníků
z Kalifornie. Takže pokud firma sídlí v Bostonu nebo v New Yorku a má zákazníky
v Kalifornii, bude muset stejně svou činnost podřídit tomuto zákonu.
Byl jsem upozorněn na skutečnost, že jsou ve jmenovaném zákoně určité slabiny,
které nám dávají jistou míru flexibility. Jenom pro příklad: Tento zákon se
týká událostí, kdy se "důvodně věří", že byla data zákazníka kompromitována.
Podle mých zkušeností platí, že kdykoli je použita tato formulace, existuje
spousta prostoru pro její interpretaci. Termín "důvodný" se zdá být rozdílně
pojímaný podle toho, s kým hovoříte. Nicméně je třeba podotknout, že přesvědčit
soud, že právě ta interpretace, která vyhovuje naší společnosti, je ta správná,
by mohlo vyžadovat armádu právníků a spoustu času a peněz.
K dalším skulinám patří možná výjimka pro případy, kdy byla ukradená data
zákazníka uložena v šifrované podobě. Moje společnost uchovává všechna data
zákazníků v šifrované databázi Oracle. Můžeme tedy být v klidu?
Zákon nijak nespecifikuje typ vyžadovaného šifrování. To může být silné nebo
slabé. Takže otázkou je: Jestliže je hacker schopen zkompromitovat úložiště dat
a rozšifrovat data, je v takovém případě třeba o tom informovat zákazníky? A
jak ve skutečnosti zjistíte, že hacker data dešifroval?
V zákoně je rovněž uvedeno, že společnost není povinna informovat o
bezpečnostním incidentu v případě, jestliže právě probíhá její vyšetřování.
Taková vyšetřování ale mohou trvat roky.

Odchod zaměstnance
Kromě situací, které postihuje nový kalifornský zákon, se nás ovšem dotýkají i
jiné případy, kdy bychom se mohli ocitnout v roli poškozeného a potřebovat
určitá pojistná plnění.
Nedávno jeden zaměstnanec před tím, než opustil naši společnost, vytvořil
několik nových účtů na rozsáhlém, veřejně přístupném FTP serveru, který
obsluhuje nějakých 400 uživatelských účtů. Jeden z vytvořených účtů přitom
nakonfiguroval tak, aby měl administrátorská práva, a poté vytvořil vztah
důvěry (trust relationship) mezi FTP serverem a jedním dalším serverem. Ten měl
přímý přístup do databázového serveru, na kterém jsou uložena data týkající se
kreditních karet našich zákazníků. Prostřednictvím prostého přihlášení k FTP
serveru tak mohl mít přístup k databázovému serveru a zkopírovat citlivá data.
Naštěstí jsme akci dotyčného zaměstnance zjistili krátce poté, co odešel, a to
prostřednictvím rutinního auditu, který zahrnoval kontrolu přidělených
administrátorských práv. Naše vyšetřování ukázalo, že nebyla kompromitována
žádná data našich zákazníků, ale tento incident pro nás byl dostatečným
podnětem k tomu, abychom se znovu zamysleli nad problémem pojištění proti
podobným incidentům.

Žádnou publicitu, prosím
I kdybychom mohli útočníka chytit, moje společnost, stejně jako mnohé další, by
měla jen velkou nechuť k tomu, aby útočníka hnala před soud a nechala ho
uhradit škody. Původně jsem chtěl, aby naše firma podnikla proti onomu
dřívějšímu zaměstnanci příslušné právní kroky, ale náš management rozhodně
netoužil po publicitě, která by byla s takovým činem nezbytně spojena. A i
kdybychom nakrásně k žalobě přistoupili, bylo by velmi těžké prokázat, že právě
tento člověk prováděl zmíněnou neautorizovanou aktivitu. Ano, jeho účet byl
použit, ale my bychom pravděpodobně museli prokázat, že právě on osobně se
dotýkal příslušných kláves při snaze o získání přístupu k systému
prostřednictvím zadních dvířek.
Když má nějaký uživatel administrátorská práva k systému, dává mu to do rukou
schopnost udělat mi ze života skutečné peklo. V tomto případě mohl smazat celou
databázi, a způsobit tak významný výpadek, který by nás stál nemalé peníze.
Po pravdě řečeno kdyby to udělal, ztratili bychom velkou část našich příjmů za
dobu, v níž bychom se snažili obnovit původní data. Náš web s aplikacemi pro
e--komerci generuje více než 1 miliardu amerických dolarů ročně na on-line
transakcích. Web samozřejmě replikujeme, abychom minimalizovali riziko výpadku,
a pokud už k němu dojde, abychom maximálně zkrátili jeho dobu. Ale tento
administrátor mohl způsobit pád obou systémů původního i replikovaného jen
kdyby chtěl.
V závislosti na rozsahu poškození by mohla našemu IT týmu trvat náprava až 6
hodin. Taková doba nefunkčnosti by nám přinesla až šesticifernou ztrátu.
Abychom mohli získat zpět alespoň část ztracených peněz, bylo by moudré mít tu
správnou pojistku a být schopni získat dostatečné podklady, které by nám dávaly
právo požadovat pojistné plnění.
Vznesl jsem několik dotazů na naše právní oddělení a zjistil jsem, že naštěstí
máme v naší pojistce doložku o kybernetické bezpečnosti, která pokrývá ztráty
vzniklé jako následek nečestného nebo kriminálního jednání našich zaměstnanců.
V tomto scénáři je ošetřena i situace, kdy zaměstnanec opustil firmu dříve, než
nelegálně přistoupil k naší infrastruktuře a způsobil nám škody. Už samotný
fakt, že si připravil zadní dvířka pro průnik do systému v době, kdy byl naším
zaměstnancem, stačí k tomu, abychom byli kryti pojištěním.
Řešíte podobné problémy jako Mathias Thurman? Podělte se o svoje zkušenosti s
námi i se čtenáři Computerworldu. Můžete psát na adresu bezpecnost@idg.cz.

Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.