Toto pravidlo je výstižné více, než jsme si ochotni připustit: říká nám, že máme tendenci ignorovat věci, které prostě neregistrujeme.
Prvním a největším problémem, který se ovšem často přehlíží, jsou vlastní zaměstnanci. Nedávný průzkum mezi zdravotnickými zařízeními v USA ukázal, že sedmdesát procent z nich zaznamenalo během uplynulých dvanácti měsíců bezpečnostní problém. Přitom pod dvěma třetinami problémů byla podepsána – zvědavost interních zaměstnanců.
Ač může být zdravotnictví v mnohém specifické, vlastní pracovníci představují zpravidla velký problém: a protože je poměrně obtížně řešitelný, tak jej administrátoři a IT manažeři raději neřeší a činnost vykazují upíráním pozornosti vnějším směrem.
A propo: další statistika ukázala na „interní lidský faktor“ v trochu jiném světle. Společnost CheckPoint zjistila, že za 52 procent interních bezpečnostních průšvihů mohou noví zaměstnanci, za 44 procent lidé od kontraktorů. V obou případech tedy osoby mající přístupová práva i pravomoci, ale ne zkušenosti. Možná dobrý tip, kterým směrem máme upřít svoji pozornost.
Neautorizované mobily
Čím dál větším problémem jsou neautorizovaná zařízení v síti. Někdo chce rozšířit své pracovní možnosti využíváním mobilní kanceláře a vlastního notebooku, někdo do sítě připojuje chytré telefony.
Výjimkou nejsou ani případy, kdy si zaměstnanci donesou starší počítač z domu, protože na dvou strojích paralelně se jim pracuje lépe.
Zařízení jsou neautorizovaná, často s pochybným původem softwaru (i legální, jinak domácí program může být na základě licenčních podmínek nelegální; o bezpečnostních aspektech ani nemluvě), nejsou spravovaná, nemají jasná přístupová práva – máme pokračovat? Zařízení vlastně ani nemusí být připojeno do interní sítě a může se stát zdrojem problémů. Aneb která bezpečnostní politika toleruje zpracování interních dat na neznámých strojích?
Ovšem také všemocní správci mívají často „máslo na hlavě“ a jejich prohřeškem jsou zapomenuté servery. Jedná se zpravidla o zařízení, jež se tak nějak stalo součástí serverovny a které prostě „zapomnělo odejít“. Nikdo už neví, kdy, kdo a proč ho poprvé zapnul, ale přesně v duchu informatického pravidla „dokud to funguje, tak na to nesahej“ nikoho ani nenapadne server vypnout.
A pokud napadne, raději myšlenku zavrhne – obává se, že by ve firmě nenašel někoho, kdo k němu zná heslo... Že se vám to stát nemůže? Problém se prý týká více než dvaceti procent organizací... Opravdu nemůže?
Velkým prohřeškem jsou VPN klienti. Nebezpečně často vycházíme z logiky, že VPN jaksi automaticky garantuje bezpečnost a bezpečí. To ano, ale pouze v určité míře: jen pro přenos dat (zpravidla bezpečným způsobem skrze nebezpečné prostředí).
VPN klienty je ovšem nutné doplnit dalšími bezpečnostními prvky: autentizací, autorizací, firewally, šifrováním a dalšími podle aktuálních podmínek. VPN klienti zkrátka prodlužují rozsah lokální sítě – a tedy i prostředí, nad nímž je nutné bdít a které je nutné chránit.
Nastavení správ
Typickým receptem na problémy je přidělení administrátorských práv každému. Proč se trápit hledáním problému a následného řešení, když pouhou změnou z uživatele na administrátora jako mávnutím kouzelného proutku vše funguje? Nekomunikující zařízení komunikují, netisknoucí tiskárny tisknou apod.
Po nějakém čase může nezávislý pozorovatel s údivem konstatovat, že se setkal s nejosvícenější organizací na světě: administrátory najdete na recepci, účtárně, ve výrobě či v logistickém skladu.
Zkuste se na celý problém ale podívat jinak: podle organizace BeyondTrust se většiny zranitelností ve Windows týkají pouze účtů s administrátorskými právy.
Když je nepotřebným odeberete, nebude se vás týkat devadesát procent zranitelností ve Windows 7 a sto procent chyb Internet Exploreru či MS Office v roce 2010. Nejsou to dostatečně pádné argumenty na degradaci některých administrátorů?
Pozor také na nesprávné nastavení práv! Opět jde o jednu z činností, které jsou poměrně náročné na práci a čas (a to dlouhodobě), takže se jí raději vyhýbáme. Výjimkou tak nejsou aktivní účty zaměstnanců, kteří již dávno nejsou na výplatní pásce společnosti.
Nejde přitom jen o uživatele, ale často také o administrátory („pod svícnem je největší tma“) a další osoby s mimořádnými právy. O problémech dat, která se objevila tam, kde se prostě objevit neměla, by se daly napsat knihy.
Vypínání bezpečnostních aplikací je dalším obvyklým prohřeškem. Někdy je ale i potřebné: třeba vývojáři potřebují pro svou práci specifické prostředí. Ovšem pokud se v takovém případě řekne „A“, musí se říci i „B“: výjimku lze udělit, ale společně s dalšími omezeními (týkajícími se přístupu do sítě nebo k internetu apod.).
Není možné mít v síti plnohodnotný výjimečný počítač: to pak můžeme veškeré snahy o bezpečnost rovnou zabalit. Často se lze ovšem setkat s vypnutou bezpečnostní aplikací i na místech, kde to příliš ospravedlnitelné není.
Informační bezpečnost zkrátka stoprocentně naplňuje biblické „vidíš třísku v oku svého bratra, ale trám ve vlastním ne“. Dáte skutečně ruku do ohně za to, že se vás žádná z výše uvedených třísek netýká?