Řídit bezpečnost nebo být řízen bezpečností?

Informační bezpečnost se v současné době týká každého, kdo usedá k počítači. A nemusí se ani připojovat k internetu, jak se mnozí domnívají. Každý z nás proto otázky informační bezpečnosti MUSÍ řešit. Byť často proti své vůli...Komplexně nebo nekomplexně
Přitom by se daly rozlišit dva základní přístupy. První z nich je automaticky předpokládat, že je vše v pořádku, a bezpečnost řešit až na základě jednotlivých problémů. Druhý přístup se snaží problémy předvídat, předcházet jim a především se na ně připravovat. Vychází ze správného předpokladu, že dříve či později k nějakému bezpečnostnímu problému dojde. Tedy že se nikdy nepodaří vytvořit stoprocentně bezpečný a proti chybám odolný systém. A že odvážnému (a připravenému) štěstí přeje...
První přístup je bohužel v našich zeměpisných šířkách obvyklejší. Ač ve světě většina organizací počítá s třemi až pěti procenty svého ICT rozpočtu právě na zajištění bezpečnosti, u nás jsou ochranné prvky vnímány v lepším případě jako nutné zlo, v horším jako první věc, na které lze ušetřit.
Bezpečnost se pak nejčastěji řeší podle schématu: máme problém - honem to nějak vyřešme - máme další problém - honem to vyřešme nějak jinak (hlavně, aby to moc nestálo).
Podobné vytloukání klínu klínem je však sebezničující. V první řadě neřešíme příčiny, ale až vzniklé problémy. Neděláme nic pro jejich předcházení, ale řešíme obtíže až v okamžiku, kdy přijdou a zpravidla nám přerůstají přes hlavu. Nekoncepční nasazení některých bezpečnostních prvků pravidelně vytváří další skuliny vhodné pro vznik bezpečnostního incidentu. Tato (ne)koncepce nerespektuje pravidlo, že nejlepší bezpečnostní incident je takový, který vůbec nevznikne". V neposlední řadě je metoda zpětné reakce nákladná. Nejen proto, že investice do prevence jsou vždy levnější než řešení následných problémů. Ale třeba i proto, že k rozhodování dochází pod vlivem emocí nebo v časovém stresu, takže rozhodně není podloženo fakty nebo reálnými potřebami.


Raději tedy komplexně
Naproti tomu komplexně budovaná informační bezpečnost nabízí mnoho nezanedbatelných výhod. Především nedochází k tomu, že je oddělen vlastní chod organizace a budování bezpečnosti. Nelze zkrátka vytvořit situaci, aby si jedno oddělení "dělalo bezpečnost" bez provázanosti se skutečnými potřebami a aktivitami organizace.
Stejně tak nelze slepě kopírovat modely odjinud. Uvědomme si, že každá organizace představuje unikátní soubor softwaru, hardwaru, jejich nastavení, cílů, potřeb, zkušeností i schopností uživatelů, správců apod. Nasazení jakéhokoliv bezpečnostního prvku by proto měla předcházet analýza nasazení včetně jeho vlivu na současný stav.
Komplexní bezpečnost zároveň znamená, že už nikdy nebudeme nepřipravení na rizika a skutečné incidenty - že si nebudeme v příslušné situaci vědět rady. Čím dříve a důrazněji jsme schopni při zjištění mimořádné situace zakročit, tím dříve se s problémem vypořádáme. Následky takového incidentu jsou pak nulové nebo velmi mírné ve srovnání s reakcí pozdní, nesprávnou nebo dokonce žádnou. Jen komplexně budovaná bezpečnost včetně veškeré infrastruktury nám dává záruku, že se o hrozícím nebo probíhajícím incidentu vůbec dozvíme. Mnohé útoky totiž nemusí být na první pohled patrné - jenomže život ve sladké nevědomosti naši ICT infrastrukturu neochrání...
Mechanizmy jsou vytvářené tedy jednak jako prevence, jednak jako detekce, jednak jako reakce. Vytvořit stoprocentně bezpečný sys-
tém je utopie, takže je rozhodně lepší předpřipravit "krizové scénáře", které nám pomohou rychle a správně se rozhodovat. Není nic horšího než odhalený problém, nad kterým se mávne rukou prostě jen proto, že jej není komu nahlásit nebo se vůbec neví, kdo je osobou odpovědnou podobné hlášení přijmout a nasadit sérii protiopatření.
V komplexně budované informační bezpečnosti také nedochází k tomu, že by si žila vlastním životem, že by se vytvářela bezpečnost pro bezpečnost, vymýšlely se nové úkony, opatření, předpisy a směrnice jen proto, aby oddělení ICT bezpečnosti mohlo vykazovat činnost. A když dojde k reálným problémům, situace je stejná jako v organizaci s neřešenou bezpečností. Pravděpodobně jste se také v praxi setkali s administrátory a s administrátory fungujících systémů (těch je všude plno, když nejsou problémy - ale při prvním náznaku potíží se vypaří jako pára nad hrncem).
Pamatujte si také, že bezpečnost je zapotřebí mít na paměti už od počátku - při vytváření nového systému, nákupu nových technologií, při vývoji softwaru, organizačních změnách apod., prostě při jakémkoliv pro firmu klíčovém úkonu s dlouhodobým dopadem. Bezpečnost pak do koncepce zapadá bez použití násilí, je jednodušší, účinnější, pro uživatele, správce i management přijatelnější. Jaký rozdíl oproti situaci, kdy se vytvoří systém a pak se zoufale hledá "jak bychom na to bezpečnost vlastně napasovali".
Bezpečnost je také dlouhodobou záležitostí - proto je jí lepší věnovat na počátku odpovídající pozornost. Odměnou za vynaložené úsilí, čas a prostředky bude z dlouhodobého hlediska konstatování, že "se jenom vezeme". Což je při správně vytvořených politikách, nastavených mechanismech, vhodně zvoleném softwaru i hardwaru pravda. Pokud bezpečnost při startu odbudeme s tím, že se jí budeme věnovat později, budeme se co chvíli prát s nečekanými a především zbytečnými problémy.
Komplexní bezpečnost má také jeden zajímavý atribut: není zatížena emocemi. To je velmi častý problém, pokud se rozhodujeme impulzivně nebo v časové tísni (zvláště bezprostředně po incidentu, kdy všichni hřímají: "toto se už nesmí opakovat!").
Poslední pádný argument se jmenuje cena. Byť se to na první pohled nemusí vždy zdát, komplexní bezpečnost je nejlevnější řešení. Už jen proto, že čestně počítá se všemi náklady a že je možné je kvantifikovat. U chaotického systému tomu tak není a ICT bezpečnost se stává bezednou černou dírou...


Všelék outsourcing?
Dnešní svět informační bezpečnosti je ovšem extrémně široký a někdy až nepříjemně dynamický, takže mnohdy není v silách organizace (byť by měla na problematiku vyčleněné samostatné oddělení i rozpočet) sledovat aktuální trendy, reagovat na ně, orientovat se v nabídce služeb a řešení (antivirový program si dnes asi nikdo nebude dělat na vlastní pěst)...
Proto často přichází ke slovu outsourcing. Tím se rozumí smluvní vztah mezi dodavatelem a odběratelem za účelem přenesení odpovědnosti za určitou část provozu odběratele na dodavatele. V reálném světě outsourcing využíváme prakticky na každém kroku (např. služby). V oblasti informatiky se pak jedná o přenesení části provozu (hardware, software, lidské či časové zdroje apod.) na jiný subjekt.
Nezanedbatelnou výhodou jakéhokoliv outsourcingu obecně je, že zadavatel se může plně soustředit na hlavní obor své činnosti a nemusí se věnovat aktivitám, které odčerpávají jeho energii. V případě zkušeného dodavatele je též zaručena kvalita služeb. Následuje zjednodušení manažerské práce a v návaznosti na to odpadá nutnost každodenní kontroly. Kromě toho je outsourcing ideální v případě nárazové výpomoci, kdy není nutné narychlo najímat a zaškolovat pracovní sílu. Vlastní zaměstnanci jsou často vnímáni jako velmi drahý zdroj kvůli nutnosti pravidelného školení (které není pro zaměstnavatele ekonomicky zajímavé), nutnosti sociálních výhod (placená dovolená apod.) a především se obtížně mění jejich stavy (rychlé nabírání nebo redukce v případě potřeby).
Outsourcing také znamená přenesení odpovědnosti - externí dodavatel má zpravidla snahu být dobrý, protože nemá nic jisté (což se nedá říci třeba o interních zaměstnancích). Jednoznačným argumentem číslo jedna je ale snaha o finanční úsporu (čas, peníze aj.). Díky outsourcingu dochází ke snížení a zprůhlednění nákladů a nárůstu efektivity.


Outsourcing ano, ale...
Teď by se mohlo zdát, že využití outsourcingu je ideálním řešením vždy a všude. To nicméně není pravda, protože ne všechno je tak růžové, jak by se na první pohled mohlo zdát. Outsourcing má také svá "ale" - nejsou to přímo nevýhody, ale určitá řekněme rizika nebo omezení. Sem patří třeba limitovaná možnost kontroly a nemožnost ovlivňovat některé procesy.
V každém outsourcingu (nejen v případě IT bezpečnosti) je potřeba zajistit manipulaci s citlivými informacemi. Jejich výměna je zkrátka nevyhnutelná, a proto je potřeba dobře ošetřit práci s nimi - technicky (šifrování apod.) i právně (smlouvy aj.). Přesné vyčíslení vzniklých škod je totiž v případě nějakého incidentu zpravidla obtížné (třeba při medializaci úniku citlivých informací). Často se namítá, že možné je, ale v konečném důsledku pak záleží na použité metodice a nikoliv na všech ovlivněných skutečnostech. Proto se nejčastěji používá zavedení vysokých smluvních pokut, které jsou pro případného viníka dostatečnou hrozbou. Možnost jednoznačného určení viny je dalším důvodem nutnosti kvalitně zpracovat outsourcingové smlouvy.
Rozhodnout se pro outsourcing v oblasti informační bezpečnosti je otázkou zásadní a velmi dlouhodobou. Ne vždy je to samozřejmě výhodné, ale právě v tom je tajemství úspěchu schopných - najít onu tenkou linii, která není přesně dána a která pokaždé vede jinudy.
V případě rozhodování ohledně outsourcingu IT bezpečnosti působí několik protichůdných proudů. Ideální je samozřejmě zajišťovat si co nejvíce služeb vlastními silami, a to zvláště v takto kritické oblasti. Všechno je nablízku, pod kontrolou a relativně snadno ovlivnitelné. Máme možnost sledovat, jak věci probíhají či kdy budou hotové. Ale to je jen jeden úhel pohledu. Přestože věci mohou probíhat k maximální spokojenosti managementu, nemusí být stoprocentně v pořádku třeba právě z hlediska bezpečnosti.
Navzdory určitým otazníkům začíná outsourcing v oblasti informační bezpečnosti poslední dobou ve světě vítězit. Důvodů je několik. Na prvním místě je ovšem zapotřebí zmínit fakt, že IT bezpečnost se stává nesmírně širokou oblastí, kde je velmi obtížné sledovat aktuální trendy a zachovat si schopnost stopro-
centně na ně reagovat. Většina organizací už pochopila, že starat se o bezpečnost "na koleně" je drahé a málokdy účinné a že je lepší starost o elektronickou bezpečnost přenechat kvalifikovaným profesionálům.


Přichází služby MSS
Zajímavé je, že byť outsourcing ICT bezpečnosti mnohde teprve nabírá dech, bývá už označován jako přežitek a na jeho místo začíná nastupovat služba Managed Security Services (MSS). Jejím cílem je převzít každodenní rutinní starosti o zajištění bezpečného provozu sítě, dále pak nárazové aktivity v době zvýšených nároků (epidemie internetových červů, velké DoS útoky či další podobná rizika) a především trvalé monitorování stavu bezpečnosti a jeho řízení. Služba provádí dohled nad bezpečnostními prvky, jako jsou firewally, antivirové programy, VPN, systémy detekce uživatelského či síťového průniku apod. V případě MSS se přitom nejedná o čistý outsourcing, protože služba není nasazena metodou "instaluj, fakturuj a zapomeň". Zadavatel totiž získává nejen očekávanou jistotu zabezpečení, ale zároveň i možnost sledovat informace o stavu bezpečnosti v rámci lokální sítě a informace o jejím aktuálním stavu. Dodavatel pak zajišťuje nejen provoz bezpečnostních prvků, ale i jejich udržování v aktuálním stavu. (Pozor! MSS neřeší kompletní bezpečnost, stará se i o monitoring a správu bezpečnostních zařízení v reálném čase plus reaguje na incidenty.)
Služby MSS jsou určeny pro ty, kdo si uvědomují, že jakoukoliv technologii nestačí pouze mít a používat (event. outsourcovat), ale je nutné ji také udržovat aktuální, průběžně monitorovat, získaná data zpracovávat a dále analyzovat. A v neposlední řadě pak na zjištěné skutečnosti reagovat. Jinými slovy: udržovat nějaký systém pouze v chodu je v dnešní době málo, je nutné sbírat a analyzovat data generovaná bezpečnostními zařízeními a rozpoznávat známky škodlivé aktivity v reálném čase. Podobný proaktivní a preventivní přístup je mnohem efektivnější než klasické reaktivní metody. Naprosté většině případných incidentů se tak zabrání dříve, než se vůbec stanou. Reagovat na bezpečnostní chybu instalací záplaty je u kritických systémů málo - protože v době vydání záplaty je chyba už často zneužitá. Stejně tak nestačí, aby správce jednou za týden prošel logy a pokoušel se v nich odhalit pokus o útok (pokud byl útok úspěšný, tak je dávno po něm).
Cílem služby MSS je převzít každodenní rutinní starosti o zajištění bezpečného provozu sítě, dále pak řešit nárazové aktivity v době zvýšených nároků a především trvale monitorovat stav bezpečnosti a jeho řízení. Služba má za cíl provádět dohled nad bezpečnostními prvky jako firewally, antivirové programy, VPN, systémy detekce průniku uživatelské či síťové apod.
Dalo by se také říci, že služba MSS v oblasti bezpečnosti přenáší monitoring, řízení a odpovídající reakce (tedy zodpovědnosti) na externí tým profesionálů s tím, že ponechává interním pracovníkům dostatečný prostor volnosti a navíc jim nabízí jednu nezanedbatelnou výhodu: informovanost.


MSS: výhody
Kromě výše uvedeného má MSS i další výhody. Především umožňuje vyvarovat se nejčastějších chyb s monitorováním a správou bezpečnostních zařízení. Patří sem zejména špatná analýza problému na počátku hrozby, nemožnost mobilizovat dostatečné zdroje při počínajícím incidentu, nedostatek zkušeností, pouze interní pohled místo externího nadhledu apod.
Kvalita na úrovni dodavatele je přitom zpravidla vyšší než při řešení problému vlastními silami. To se projevuje mj. i při definování zodpovědnosti. Těžko za bezpečnostní incident postihnete vlastního zaměstnance ve stejné míře, v jaké můžete s dodavatelem MSS služeb stanovit pokuty a penalizace za nedodržení kvality či termínů. Navíc do nákladů nemůžete započítat pouze práci, kterou interní profesionálové věnují řešení otázek informační bezpečnosti, ale rovněž náklady na jejich proškolení a soustavné vzdělávání. Tato kompletní čísla pak vypadají úplně jinak než pouhé porovnávání přímých nákladů.
Služeb MSS přitom nevyužívají jen velké společnosti, ale i malé firmy, instituce či organizace, které potřebují řešit otázku informační bezpečnosti, ale nemohou si dovolit vlastní oddělení nebo pracovníka informační bezpečnosti.
Z výše uvedených řádků by se dalo vytušit, že MSS je univerzálním prostředkem na všechny bezpečnostní neduhy dnešního světa. Teoreticky by to mohla být pravda, ale realita (opět) bývá poněkud jiná. Před nasazením MSS si je třeba uvědomit, že rozsah nabízených (a především poskytovaných) služeb musí plně pokrývat bezpečnostní požadavky organizace v oblasti dostupnosti, utajení či integrity dat. Před výběrem dodavatele je proto nutné striktně specifikovat tyto a další klíčové prvky pro fungování organizace - a ty pak nekompromisně vyžadovat. Dodavatel musí prokázat nejen svoji schopnost dostát těmto požadavkům při získávání zakázky, ale i při běžném provozu. Navíc je pochopitelné, že dodavatel se snaží zajistit si zákazníka dlouhodobě - takže občas bývají problémy s jeho změnou, neboť smlouva je postavena na dlouhodobé bázi a špatně se z ní "uhýbá"...
Současný svět ICT je nesmírně složitým mechanismem - a problematika bezpečnosti je ještě složitější. Od určité úrovně organizace nebo při práci s daty citlivého charakteru ji prostě nelze dělat "na koleně" metodou pokus-omyl. Stejně tak nelze bezpečnost provozovat pouhým zadáním externí firmě a více se o ni nestarat. Je potřeba ji aktivně řídit, mít o ní přehled, poučit se z chyb druhých a sledovat nejnovější trendy.


Komentáře