Že se chyby opakují, je pochopitelné. Žijeme v době, kdy musíme řídit „život“ rostoucích počítačových sítí (množství dat i hardwaru podle střízlivých odhadů roste ročně o 30 procent). Kormidlovat tak na ně navazující politiky je čím dál obtížnější.
Navíc si k tomu přidejme rychlý nástup nových hrozeb, větší komplexnost (systémů i hrozeb), vyšší požadavky na bezpečnost a konektivitu… Je pochopitelné, že spoustu věcí řešíme systémem „udělej a zapomeň“. I tak máme starostí dost.
Pomocnou ruku nám přitom podávají mnohé nové technologie, které se objevují jako houby po dešti a slibují – často až zázračné – hledání neznámých hrozeb. Leč technologie samy o sobě nejsou ničím, protože jsou toliko vykonavateli našich bezpečnostních politik.
Ruku na srdce: právě s politikami to jde často z kopce. A čím déle to jde z kopce, tím vyšší nabíráme rychlost.
Co je víc?
První typickou chybou je, že klademe veškerý důraz na infrastrukturu namísto toho, abychom se věnovali kritickým aplikacím. Vycházíme z logiky, že když pojede infrastruktura, tak aplikace už nějak rozchodíme – bez infrastruktury bychom byli v koncích.
To je sice pravda, ale přesto zkusme logiku otočit. Věnujme důraz kritickým aplikacím – a ty ať si samy řeknou, co ke svému životu skutečně potřebují. Jednak zjistíme, které aplikace jsou skutečně kritické, jednak objevíme i to, která infrastruktura je skutečně nezbytná.
Když uvažujeme o politice, převažuje často technicistní přístup. Orientujeme se na IP adresy, porty, protokoly či VPN tunely. Ale to je opravdu ona příslovečná orientace na kvantitu (hlavně ať toho co nejvíce šlape!) před kvalitou (to, co skutečně potřebujeme, musí jet za každou cenu). Díváme se na cestu, nikoliv na cíl.
Dokumentace tak často jen udržuje zdání fungování. Je to jako v onom starém vtipu, kdy střelec vystřelí a mine terč. Když se zjišťuje, jak se to mohlo stát, dá prst před hlaveň, stiskne spoušť, s radostným úsměvem se podívá na ustřelený prst a prohlásí: „Tak u mě je všechno v pořádku.“
Aneb bezpečnostní politika by měla obsahovat i to, proč se některé kroky vyžadují, aby bylo možné zhodnocení, zda je jejich prosazování smysluplné. Aneb proč je toto pravidlo vůbec zavedené? Jakou kritickou aplikaci podporuje (a jak)?
Dalším extrémně častým problémem je, že pravidla se neodstraní poté, co zmizí důvod jejich využití. A není to problém nový: autor těchto řádků už několik let nespolupracuje s jistou firmou, ale jeho e-mail dosud nikdo nedeaktivoval a stále zůstává funkční.
Autor se v něm čas od času jej tak „prohrábne“ a s uspokojením konstatuje, že vše je v pořádku a že se nic nezměnilo.
Když něco nasadíme, nasadíme i odpovídající pravidla. Ale co když ono „něco“ dáme pryč: opravdu vždy odpovídajícím způsobem pravidla změníme? Žijeme v obavě, že zásah do pravidel něco pokazí. A až křečovitě se držíme starého dobrého pravidla IT „když to funguje, tak na to nesaháme“.
Jenže toto lpění je už přežité. K čemu jsou pravidla pro neexistující aplikace? Tedy pravidla, která nic neřeší. A že po čase dochází ke vzniku často protichůdných pravidel, snad ani nemluvě. V bezpečnostní politice není podobná kolize často hned patrná. Zaručeně se ale projeví nejméně vhodným způsobem a v nejhorší chvíli.
Dalším velkým problémem je tolerování nebo rovnou podporování neefektivní komunikace. Udržování velké IT infrastruktury vyžaduje povícero týmů. Zjednodušeně řečeno je to jednak bezpečnostní tým, který definuje a vynucuje politiky, jednak operační tým, který zajišťuje síťovou dostupnost a správnou funkci. A také aplikační tým pro správu procesů.
Často každý sám sebe považuje za nejdůležitější, každý ignoruje toho druhého a jeho potřeby. Pokud už jsou týmy přinucené komunikovat, tak jen proto, aby komunikovaly, nikoliv proto, aby si předaly informace.
Týmy zkrátka sledují různé cíle. A často to podporuje i fakt, že jsou hodnocené právě podle nich. Jak z tohoto začarovaného kruhu ven? Každá rada je tu drahá, ale když si problém uvědomíme, máme napůl vyhráno. Nicméně na tu druhou polovinu si musíme odpověď najít sami.
Bez dokumentace ani ránu
Nakonec je to špatné dokumentování: nedostatečné nebo žádné. Papírování je nejméně příjemná část IT, s tím se nedá, než souhlasit. Ale zároveň je to kritická činnost. Není-li nějaké pravidlo dokumentované, nevíme (nepamatujeme si...), proč existuje.
Zvykové právo nemá v ICT co dělat. Možná tak ve statickém systému, ale v dynamickém kyberprostoru ne.
Přesně s touto situací se svého času setkala americká NASA, když její astronauti začali v devadesátých letech létat na ruskou stanici Mir. Potřebovala přitom nějaká data týkající se dopravních lodí Sojuz, dostala ovšem odpověď v duchu: „Na toto se doptáme, to není problém. Toto ještě dohledáme, ti jsou v důchodu. Ale tohle vám už nikdo neřekne, protože Voloďa předloni umřel.“
Bez dokumentace prostě nelze řídit změny, které mají skutečný význam a vliv.
Tento příspěvek vyšel v Security Worldu 2/2016. Časopis (starší čísla i předplatné těch nadcházejících) si můžete objednat na adrese našeho vydavatelství.
PŘEDPLATNÉ
ČLÁNKY DO MAILU