Bezpečnost není jen IT

DELOITTE_logo_bl_2016„Existuje stále poměrně velké procento firem, v nichž si ani klíčoví manažeři neuvědomují, že strategii kybernetické a informační bezpečnosti, a celkově IT, je nutné přizpůsobit byznysovým cílům a plánům, a samozřejmě i postavení firmy na trhu,“

říká Jan Balatka, ředitel analytických a forenzních služeb společnosti Deloitte.

balatka

O kybernetické bezpečnosti se dnes hodně mluví, ale překvapivě v řadě firem pouze mluví. Jak kybernetickou bezpečnost vnímají české firmy, jaké chyby dělají při přípravě své bezpečnostní strategie, a také trochu o tom, s jakými předsudky či fámami se musejí bezpečnostní specialisté potýkat si ICT Network News povídaly s ředitelem analytických a forenzních služeb společnosti Deloitte Janem Balatkou.

Společnost Deloitte poskytuje své služby v oblasti bezpečnosti jak státním organizacím, tak soukromým subjektům. Jsou v jejich potřebách nějaké rozdíly, nebo existuje jen jedna bezpečnost?

Bezpečnost je jen jedna, to je samozřejmě pravda. Rozdílné jsou ale aktivity, které je třeba chránit, a také hrozby. Obecně lze říci, že oblast kybernetického zločinu se profesionalizuje a útoky jsou mnohem cílenější, než v minulosti. To znamená, že se také liší hrozby pro komerční sektor a pro státní správu. Musíme mít ale neustále na paměti, že kybernetická bezpečnost je jen jednou z mnoha oblastí. Nelze jen chránit počítačové či informační systémy. Do bezpečnosti obecně patří též ochrana majetku či lidí. Proto společnost Deloitte mluví o tom, že jde o multidimenzionální problematiku.

Oblast kybernetické bezpečnosti má jedno specifikum, na které nesmíme zapomínat. Svět IT je mnohem propojenější, takže zajistit ochranu proti kybernetickým útokům vyžaduje mnohem komplexnější přístup. Dnes je naprostou samozřejmostí, že informační systémy firem jsou propojeny například v rámci holdingových struktur, jsou součástí nějaké širší sítě. To samozřejmě zvyšuje riziko, že do sítě pronikne nějaký škodlivý kód, případně se do ní dostane nepovolená osoba. Ve státní správě je situace velmi obdobná, jednotlivé její složky jsou propojeny do větších systémů, podle toho, jaké je jejich postavení v celkové struktuře. Takže i zde může nastat podobná situace.

Ale ani pokud jde o fyzickou bezpečnost, nemusí být situace tak jednoduchá, jak by se na první pohled zdálo. Mohli bychom se domnívat, že by to nemusel být až takový problém, vždyť prostor lze snadno definovat, stejně jako osoby, které mají do objektu přístup, nebo mohou ovládat bezpečnostní systémy. Jenže do hry obvykle vstupuje další partner, například bezpečnostní agentura. A najednou se celý problém trochu komplikuje a dostáváme se do obdobné situace, jako v případě kybernetické bezpečnosti. I bezpečnostní agentury bývají často propojené s partnery a to platí ji o jejich informačních systémech. To znamená opět potenciální zranitelné místo. I když si manažeři zvolí důvěryhodnou agenturu, určitá netěsnost může nastat například v síti partnera a přístup k vnitřním bezpečnostním systémům tak může získat někdo, kdo jej mít nemá.

Tím se vlastně dostáváme tak trochu na začátek. Bezpečnost nikdy nezajistíme jen jedním rozhodnutím nebo krokem, vždy je o řetěz opatření v celé řadě oblastí, které na sebe musí vzájemně navazovat a doplňovat se. A právě v tomto multidimenzionálním přístupu vidím výraznou přidanou hodnotu, kterou může společnost Deloitte svým zákazníkům nabídnout.

07_01_Hlavni1_Balatka_obr2

Zůstaňme ještě chvíli u kybernetické bezpečnosti. O té se v poslední době hodně mluví, data analytických agentur ukazují, že počet útoků neustále vzrůstá a jsou sofistikovanější. Ačkoli si manažeři začínají uvědomovat důležitost obrany proti kybernetickým útokům, v řadě případů je jejich ochota do této oblasti investovat poměrně malá. Mají pocit, že vše zajistili tím, že pořídí například antivirový program. Setkáváte se také s tímto přístupem?

Pro člověka, který se v této oblasti nepohybuje, může být někdy poměrně složité dohlédnout komplexnost celé problematiky. Snažíme se našim klientům vysvětlit, že není otázkou, jestli se stanou obětí kybernetického útoku, ale spíše kdy. Nedávno zaznělo na Světovém ekonomickém fóru, že existují dva typy firem, ty které byly napadeny, a ty, které o tom ještě neví. To je - byť s určitou nadsázkou - pravda. Ukazuje se, že preventivní přístup, který se používal v oblasti kybernetické bezpečnosti v minulosti, selhává, úplně zabránit průniku útočníka do sítě je prakticky nemožné. Jde jen o to, kolik času a prostředků ho to bude stát.

Tomu musí být samozřejmě přizpůsoben i přístup k budování obrany. Firmy mají v některých případech pocit, že pokud provedou bezpečnostní audit, je vše v pořádku. Jenže to je vlastně jen takové papírové cvičení, které testuje jen některé části systémů. Problém je, že nikde není zaručeno, že si bezpečnostní ředitel nebo auditor dokáží pospojovat celý prostup útočníka.

V praxi se tak ukazuje jako mnohem efektivnější celý systém skutečně otestovat. K tomu slouží tak zvané RED týmy. To jsou týmy složené z expertů i zástupců zákazníka, jejichž úkolem je pokusit se skutečně proniknout dovnitř, a to jakýmkoli způsobem. Tento tým pak zkouší fungování různých systémů, jeho členové se například pokoušejí proniknout fyzickou ochranou a dostat se přímo k systémům uvnitř společnosti. Stejně tak se ale pokoušejí simulovat kybernetický útok – využívají k tomu například phishing, využívají informace z veřejných zdrojů a kombinují je třeba s metodami sociálního inženýrství. Zkouší získat nějaké vodítko, které by usnadnilo útok, nebo dokonce přístup například pomocí telefonátů či podvržených e-mailů.

Výhodou je, že bezpečnostní pracovník ve firmě okamžitě vidí, jaké metody RED tým zkouší využít a jak je úspěšný. Kde se mu podařilo objevit dvířka a kudy postupuje dále uvnitř systémů. Tento test je velmi rychlý a přínosný. Klient může okamžitě vidět slabiny svého řešení a nemusí čekat několik měsíců na obsáhlou mnohastránkovou zprávu, ze které často ani nevyčte konkrétní informace.

To velmi pomáhá odpovědným manažerům či bezpečnostním specialistům poznat, jak se skutečný útočník chová, jak přemýšlí, a samozřejmě vidí, kolik času či zdrojů potřebuje k průniku do systému. Je to vlastně nejjednodušší způsob, jak přivést odpovědné osoby ve firmách či na úřadech k poznání, že je to skutečně spíše otázka času – kdy k (úspěšnému) útoku dojde, než jestli k němu dojde. Díky tomu jsou pak schopni mnohem efektivněji nasměrovat investice do oblastí, kde to jejich konkrétní systémy potřebují.

Poměrně častým nešvarem řady českých (a nejen českých) firem je, že bezpečnost chápou jako součást agendy IT oddělení. Bezpečnostním specialistou je pak obvykle běžný síťový administrátor, který dostal tuto oblast na starost tak trochu navíc. Setkáváte se s tímto přístupem i u svých zákazníků? Jak se jej snažíte změnit?

Neplatí to zdaleka u všech firem, ale tento přístup není zas tak výjimečný. Platí to dokonce i v relativně velkých společnostech. Manažeři ve firmách si totiž často zcela neuvědomují, co vše do zajištění bezpečnosti spadá a jak široká je to problematika. Bezpečností strategie musí úzce souviset s tím, jaké je postavení firmy na trhu a jaké jsou její byznysové cíle – zda chce zvyšovat počet zákazníků nebo marži a podobně. Tyto cíle by totiž měla bezpečnostní strategie – a to jak v oblasti kybernetické, tak obecné bezpečnosti – podporovat.

Klíčovým faktorem v celém systému jsou totiž konkrétní lidé a informace, které tito lidé mají. Ve firmě by mělo být vždy několik úrovní bezpečností. Tou první úrovní jsou samotní zaměstnanci, protože jsou to oni, kdo se dostává do každodenního kontaktu s prostředky či informacemi, které je třeba chránit. Někdy se říká, že právě zaměstnanci jsou nevědomky nejlepšími pomocníky útočníků. Proto je důležité zajistit, aby měl každý zaměstnanec určité povědomí o tom, co bezpečnost skutečně znamená a co to obnáší. Měl by se podle toho chovat, když zakládá jméno, heslo nebo doménu, ale také například v okamžiku, kdy ho někdo další požádá o sdělení nějaké – na první pohled relativně nezajímavé či bezpečné – informace.

Zároveň musíme mít na vědomí, že v tomto případě nemusí jít o IT specialisty nebo bezpečnostní odborníky, takže je potřeba vždy nalézt únosný poměr mezi množstvím znalostí a požadavků, které jsou jim potřeba předat, a jejich reálnými úkoly ve společnosti. I proto by měla vždy existovat druhá úroveň, a to je bezpečnostní specialista, který dohlíží na uživatele, na to, co dělají IT odborníci, a pomáhá jim, aby jejich činnost byla bezpečnější. Neměl by mít jen klasický přístup, kdy něco jen zakazuje a přikazuje. Lidé jsou ve firmě hlavně kvůli byznysu, aby vydělávali. Potřebují k tomu IT i další informace, které by měly být zabezpečené.

Existuje ale ještě jedna úroveň, na kterou se zapomíná. Dnes se říká, že bezpečnost není otázkou IT, ale otázkou managementu. A je to naprostá pravda. Zakladatelé, vlastníci a vedení podniku si musí uvědomovat, na čem vydělávají. Pokud podcení bezpečnost, může úspěšný kybernetický útok – ať již třeba skutečné napadení systémů nebo dnes tak populární vydírání (ransomware) – přímo ohrozit nejen hospodářský výsledek celé společnosti, ale i její samotnou existenci.

Zejména kybernetickou bezpečnost bychom možná opravdu intuitivně řadili do kompetence IT oddělení. V čem se může skrývat úskalí takového řešení?

Hlavním problémem je, že IT oddělení se obvykle soustředí jen na kybernetickou bezpečnost. Jenže útočník je většinou inteligentní člověk, a tak zkouší více způsobů. Znamená to, že půjde cestou co nejmenšího odporu. Nemá smysl snažit se například napadnout firemní firewall nebo změnit nastavení jeho pravidel tam, kde třeba paní na recepci o jakýchkoli zásadách bezpečnosti vůbec nic netuší a nechá vás projít přímo k zařízení připojenému do vnitřní sítě nebo vám sdělí informace využitelné pro získání přístupu.

Často se stává, že není nastolena rovnováha mezi investicí do bezpečnosti a chováním lidí. Ve firmě například mají kvalitní VPN, všichni mají jednotné notebooky a nastavena složitá hesla, a pak všechny informace přesouvají přes nezabezpečené flashdisky. Druhým důležitým aspektem je, že výrazně roste počet informací a objem dat a také systémů, které je zpracovávají. Zabezpečení je tak čím dál složitější a generuje bezpečnostní údaje, které bezpečnostní specialisté ve firmách již nejsou schopni řádně využívat. Typickým problémem je centralizovaný monitoring. Velká část firem jej má již nasazený a pravidla nastavená. Zádrhelem je, že když nastane několik souběžných událostí, nejsou bezpečnostní specialisté schopni zpracovat velké množství takto získaných dat a na jejich základě nějak reagovat.

Prostředí je již natolik komplexní, že chování již nelze postihnout pravidlem. Pokud by to bylo možné, všichni by si je nastavili. Často jde při útocích o úplně nové způsoby, záleží jen na kreativitě útočníka, zda najde způsob, který dříve nebyl znám. Při použití současných technologií je potřeba stanovit pravidla chování uživatelů. To, co by dnes měly firmy sledovat, jsou anomálie, nestandardní chování systémů nebo uživatelů. Právě to by mělo rozsvítit „červenou“ kontrolku. Snažit se spoléhat na předem nastavená pravidla nebo být schopen reagovat jen na známé typy útoků je totiž cestou do pekla. Skutečně robustní systém kybernetické i obecné bezpečnosti musí být připraven na nové typy útoků, na nevyzkoušené cesty či přístupy, a ze sledu událostí poznat, že se skutečně o útok jedná.

Více o společnosti Deloitte na  http://www2.deloitte.com/cz/cs.html

Autor: Petr Smolník, šéfredaktor