Před nějakými patnácti lety byly papírové šanony pečlivě vyrovnané v plechových, uzamčených a střežených skříních – a bezpečnost elektronických dat bral opravdu vážně jen málokdo.
Dnes je situace opačná: používáme šifrování, řízení identit a přístupů, logovací systémy... Milióny ztracených nebo odcizených kusů hardwaru pak vypovídají o tom, že jsme fyzickou bezpečnost krapet odsunuli na vedlejší kolej.
Důvod je poměrně prozaický: bezpečnost informací a bezpečnost fyzická se odjakživa řídí různými entitami. Kdysi řešili fyzickou bezpečnost různí provozní manažeři, ale protože jen málokdy rozuměli počítačům, tak informační bezpečnost dostali do vínku správci sítí a administrátoři. A tak nějak už to víceméně zůstalo.
Propojení světů
V poslední době je nicméně zřejmá snaha oba dosud se míjející světy propojit. S tím, jak informační technologie čím dál více přesahují do reálného světa, je to více než logické.
Mezery ve fyzické bezpečnosti totiž znamenají zásadní ohrožení informační bezpečnosti: asi si každý dovede představit, jak usnadněnou práci má útočník s fyzickým přístupem ke zdrojům. Dostává se k neveřejným informacím, může přinášet či odnášet hardware (nebo ho překonfigurovávat), může prakticky cokoliv: fantazii se meze nekladou.
A naopak: nedostatečné zabezpečení informačních technologií představuje pro bezpečnost fyzickou ohrožení vpravdě smrtelné. K čemu jsou ostnaté dráty, vodní příkopy, padací mosty nebo strážní věže, když si útočník dokáže skrze zranitelný systém přidělit přístupová práva?
Hranice mezi virtuálním a reálným světem jsou zkrátka čím dál víc rozostřené. Útočník pak může dle své libosti mezi nimi beztrestně přecházet a využívat je ku prospěchu svému.
Žádný antivirový software nezabrání krádeži hardware, žádná petlice nezastaví malware. Přitom šikovné propojení obou světů dovoluje jak snížit náklady (odstranění duplicit nebo zbytečných činností), tak zvýšit bezpečnost.
Proto nabývá na významu oblast označovaná jako Physical and Environmental Protection Controls (volně Řízení ochrany fyzického a funkčního prostředí). Jeho úkoly se dají rozdělit do čtyř základních oblastí:
- Fyzická bezpečnost. Tu si lze poměrně snadno představit: jde o ploty, dveře, okna, zámky, turnikety – ale také třeba hasicí přístroje.
- Řízení procedur. Nastavení pravidel, jakými má celé prostředí fungovat. Tedy jak se výše uvedené dveře, okna nebo turnikety používají. Jak reagovat na situace běžné a jak se chovat v situacích mimořádných. Kdo je zodpovědný za provoz a kdo za kontrolu atd.
- Technické prostředky. Sem patří například antivirové programy, šifrovací systémy nebo firewally. Ale také systémy autentizační: jak v kybernetickém (hesla aj.), tak fyzickém světě (osobní identifikační karty apod.). A také systémy řízení kontroly přístupu. Tedy toho, kdo a za jakých podmínek může oprávnění k přístupu získat.
- Řízení legislativy a zajištění souladu. Tedy zajištění kompatibility se zákony na ochranu soukromí a dalšími normami, s politikami, výrobci doporučenými postupy apod.
Propojení obou světů je jedna věc, ovšem větší důraz na fyzickou bezpečnost druhá. V dnešním mobilním světě jsou ztráty či odcizení hardware s daty prakticky na denním pořádku.
Jak na to?
Fyzická bezpečnost má přitom mnoho rozměrů. V první řadě jde o odrazení útočníků. Neb „příležitost dělá zloděje“ a když si něco o ukradení nebo zneužití říká, tak to také dříve či později ukradené nebo zneužité bude.
Dalším rozměrem je rozpoznávání autorizovaných a neautorizovaných osob, které se děje podle vlastnictví něčeho (token, klíč...) nebo znalosti něčeho (PIN, heslo...). Ideálně pak kombinací obojího.
Zpomalit, znesnadnit nebo rovnou znemožnit pokusy o útok představuje další dimenzi fyzické bezpečnosti. K pokusu o útok dříve nebo později dojde; nevíme jen kdy, kde a jak.
Proto je třeba se na něj připravit a nasadit bezpečnostní opatření taková, která budou mít co nejširší záběr. Nebudou tedy jednoúčelová proti úzce vymezené hrozbě. V konečném důsledku se totiž připravujeme na nepřipravitelné a pokus definovat sto situací znamená, že nastane stá první.
V neposlední řadě si uvědomme, že fyzická bezpečnost slouží k detekci průniků a shromažďování důkazů. Technické prostředky detekce (od kamerových systémů až třeba po čidla detekující pohyb nebo dokonce schopná rozeznávat počet osob ve střeženém prostoru) nebo záznamu (ukládání dat, logů a jejich zpětné vyhodnocování) totiž usnadňují vyšetřování každého incidentu.
A nakonec musíme zmínit aktivaci odpovídajících prvků. Detektor kouře by měl kouř nejen detekovat, ale někam a nějak bleskurychle podat zprávu. Totéž systém monitorování pohybu osob: neměl by pohyb pouze zaznamenat, ale při narušení střeženého prostoru by měl aktivovat přesně daný běh událostí.
Ač jsou prognózy ve světě informačních technologií krajně nejisté, je evidentní, že fyzická a informační bezpečnost se budou do budoucna více a více prolínat.
A je docela dobře možné, že jednoho dne díky automatizaci, integraci, internetu věcí a nutnosti čelit čím dál sofistikovanějším hrozbám splynou úplně.
Tento příspěvek vyšel v Securityworldu 2/2014.
PŘEDPLATNÉ
ČLÁNKY DO MAILU