Jako manažer jsem rád, když jsou zaměstnanci iniciativní. Není ale snadné říci NE, když se o tuto aktivitu někdo pokusí. Jako manažer bezpečnosti však musím přísně odmítat vše, co by mohlo způsobit naši zranitelnost. Tento týden došlo ke střetu iniciativy našich pracovníků a zabezpečení.
Konflikt vzešel z nového programu, který nazýváme Inovace. Je to podobné staré známé schránce s návrhy, kde mohou lidé z IT oddělení předávat své nápady pro zlepšení procesů a systémů. Je-li jejich návrh schválen, může osoba, která s ním přišla, zahájit realizaci. Obvykle se účastním většiny porad, kde se zmíněné iniciativy zaměstnanců probírají, protože je to způsob, jak zajistit, že nevytvoří nějaké bezpečnostní riziko. Nemohu však zvládnout všechny, a tak jsem před pár týdny chyběl na jedné z nich – inovační tým na ní udělil povolení návrhu, že bychom mohli použít službu Akamai ke zvýšení rychlosti jedné z našich základních aplikací.
Prvotní myšlenkou bylo vyřešit problémy s dostupností a latencí, které jsme měli s jedním z našich programů pro řízení životního cyklu produktů. Pobočka v Izraeli si totiž stěžovala, že získání dat z centrální aplikace trvá příliš dlouho. Protože je zároveň jednou z největších výrobních závodů podniku, mají jejich požadavky vysokou prioritu, a obvykle jsou jim plněny.
O plánu využít Akamai jsem nevěděl vůbec nic až do začátku tohoto týdne, kdy jsem dostal e-mail od manažera síťového provozu, který byl pověřen změnou řídicího procesu. Měl obavy z plánované síťové změny v našich základních firewallech a chtěl si být jist, že jsem to schválil. U inovačních iniciativ se nečeká, že by zahrnovaly jakékoli významné změny infrastruktury. K tomu jsou určeny „projekty“.
Zastavil jsem se u našeho bezpečnostního inženýra a zeptal se ho, jaké síťové změny se čekají u iniciativy Akamai. Seznámil mne s plánem přidat jedno pravidlo – povolení portu 443 (lépe je znám jako HTTPS) – do našeho firewallu propojující naši infrastrukturu s internetem, aby bylo možno přistupovat k interní aplikaci provozované na webovém serveru. To bude OK, myslel si onen zaměstnanec, protože přenosy jsou šifrované a skutečnou identitu webového serveru maskujeme. Odvětil jsem mu však, že tomu tak není, protože otevření firewallu do interní infrastruktury je neakceptovatelné – šifrování přenosů jen kóduje přenosy, ale nezajišťuje žádnou ochranu před útoky.
Server ve zbídačeném stavu
Na základě pouhého tušení jsem provedl rychlou kontrolu webového serveru a samozřejmě nebyl řádně záplatovaný. Ve skutečnosti byl ve velmi špatném stavu. Bezpečnostní záplaty a antivirový stroj nebyly aktualizované, bylo spuštěno mnoho nepotřebných služeb a aplikace byla zranitelná proti útokům skriptování mezi weby (CSS – Cross-Site Scripting) a SQL injection.
Dále jsem chtěl vědět, zda by naše duševní vlastnictví bylo uloženo i na serverech mimo naši firmu. Odpovědí bylo, že by byly optimalizovány jen části webové stránky aplikace a naše duševní vlastnictví by uchováno na serverech Akamai nebylo. Velmi divné, pomyslel jsem si, protože celá pointa služby Akamai je dostat data co nejblíže koncovým uživatelům.
Protože se stížnosti z Izraele týkaly stahování velkých souborů, bylo rozumné předpokládat, že právě ty musejí být uloženy někde v infrastruktuře Akamai. Pár diskuzí s představiteli firmy Akamai mou úvahu potvrdilo. A co hůře, testování dokonce zahrnovalo zrcadlo naší produkční aplikace včetně veškerého našeho cenného duševního vlastnictví. Potřebuji vidět smlouvu o utajení, prohlásil jsem. Vyhýbavé pohledy ostatních moji důvěru nezvýšily. Samozřejmě že žádná taková dohoda neexistovala.
Tato jednoduchá iniciativa se změnila v noční můru zabezpečení a nemohl jsem udělat nic jiného, než změnu až do ošetření všech rizik zamítnout. Myslím ale, že se nám to podaří, i když ne tak rychle, jak by si někteří přáli.