Rumor security department
Otevřená zadní vrátka
Je překvapivé, jak snadno je firma zranitelná vnitřními útoky. Jsou sice papírově nemožné a zpětně dohledatelné, ale v reálném životě realizovatelné a vina kolektivní. Nechci zabíhat do detailů, jen bych chtěl nastínit model mechanismu, kterým se dá takovýmto nešvarům ubránit. Nejprve se zastavím u příčin existence těchto děr v obraně.
Současný stav
Každá organizace většího rozměru disponuje oddělením, které má na starosti bezpečnost (firemních a zákaznických dat, dostupnost klíčových systémů, školení zaměstnanců proti social engeneeringu apod.). Oddělení bezpečnosti bývají podřízena „vlastníkům" dat a systémů, kteří IT a souvisejícím technologiím rozumějí většinou jen z uživatelského pohledu.
Náklady na bezpečnost se dají rozdělit do dvou skupin: přímé a nepřímé. Přímé náklady jsou zřejmé: platy, technické vybavení apod. Nepřímé náklady jsou větším oříškem a neměl jsem možnost se setkat se způsobem jejich měření (rád bych se mu věnoval v jiném článku) jde převážně o vícenáklady ke stávajícím projektům, nebo úplné znemožnění některých směrů vývoje. O všech těchto nákladech rozhoduje vlastník dat a úkolem bezpečnosti je najít slabá místa v projektech nebo stávající infrastruktuře a vyčíslit rizika. Všechno se zdá být pod rozumnou měrou kontrolováno.
Jak to vypadá s bezpečností v tomto modelu?
Jednoduše – oddělení bezpečnosti je trnem v oku všem, kteří do firmy chtějí zavést něco nového. Její povětšinou byrokraticky alibistický přístup znepříjemní nejednomu projektu průběh. Na druhou stranu díky tomuto oddělení vlastníci dat/systémů znají a schvalují rizika vzniklá s novými projekty. Oddělení bezpečnosti bývá z velké časti postaveno na formulářích nebo informačních systémech, které ukazují, že pro bezpečnost bylo uděláno maximum. Správa těchto systémů a obhajoba jejich potřebnosti se neprovádí sama. Teprve zbývající množství času a energie je věnováno hledání děr. Zvenku (myšleno z pohledu vedení, klientů a akcionářů) tedy vše vypadá v naprostém pořádku a rizika i odpovědnosti jsou evidována a vyčíslena.
Co je v tomto stavu iluzí a co je opravdu zabezpečeno?
Stávající model je schopen zajistit velmi dobrou obranu před vznikem nových bezpečnostních děr s novými projekty a občas odhalí i nějakou chybu, která se v minulosti opominula. Má ale tři zásadní slabiny.
Oni to neřekli
Oddělení bezpečnosti je vystaveno pokušení nechat projekt s měřitelným bezpečnostním rizikem schválit vlastníka a nevysvětlit mu možné související problémy. Tento alibismus může vést k používání systémů s bezpečnostními riziky, která sice vlastník schválil, ale nezná (a ani nemůže znát) jejich možné důsledky.
Šéfa šéfa šéf – filtrování informací
Mnohem zásadnější problém vidím v tom, že byrokracie v libovolné organizaci má tendenci maskovat problémy. Jednoduše řečeno, když bude mít řadový IT specialista ve svém systému díru, nepodá ji svému nadřízenému (zadavateli) jako kritickou, ale jako nezbytně nutnou. Šéfa šéf už ji reportuje jako problém, který mají i jiné systémy a k nejvyššímu vedení IT (jeden z mála zdrojů informací pro vlastníky dat a potažmo akcionáře) se dostanou jen ta nejzávažnější bezpečnostní rizika. V důsledku výše načrtnutých skutečností není překvapením, že poukázání na zásadní bezpečnostní chybu v systému od jeho konkrétního správce může snadno zaniknout v byrokraticko alibistickém okolním prostředí (pokud na něj není poukázáno přímo zneužitím této díry).
Vnitřní útok – šuškanda
Nejproblematičtější mi připadá obrana vůči útokům zevnitř. V IT se většinou během prvních pár měsíců díky šuškandě (oběd, team-building, pauzy na cigárko, vtípky na schůzích apod.) dozvíte o zajímavých, již schválených výjimkách a legračních způsobech jejich vzniku (byly uděleny po dvou letech od uvedení do provozu, centrální bezpečnostní logy jsou schovávány deset let, ale při správném nastavení databáze klientů se v jejím logu objeví třeba úryvky z Viewegha apod.).
O tom, že většina útoků pochází zevnitř, se asi nemusím rozepisovat. Zaměstnanci IT bývají velmi vynalézaví v oblasti social engineeringu a umí se jím zaměřit na slabá místa organizace. V kombinaci s jejich znalostmi z šuškandy se v jejich hlavách ukrývají informace umožňující vést rafinovaný útok zevnitř s velmi dobrým maskováním stop.
Uvedu příklad: V organizaci je vše zabezpečeno, oddělení bezpečnosti nepodepsalo za posledních pět let žádnou výjimku – jednoduše nic nečekaného nehrozí. Jeden z IT specialistů ale ví, že recepční a hlídači používají už deset let univerzální kód k otevření serverovny a že v ní se mu povede do sítě zapojit zařízení, které v předem určený okamžik vypne systém, o který se on kdysi staral (administrátorská hesla zůstala stejná). V hospodě se s kamarády vsadí, že se dostane do novin a v serverovně se vyfotí v kukle s teroristickým transparentem. Fotku a článek o tom, jaká to byla bžunda pošle hodinu před výpadkem systému na svůj blog a třeba i do redakce novin. Záleží na firmě, kde pracuje, ale útok může způsobit od výpadku semaforů po zveřejnění osobních údajů klientů téměř cokoliv. Poškození dobrého jména společnosti a pokles cen akcií (popřípadě důvěry v dopravní policii, magistrát…) na sebe pravděpodobně nedá dlouho čekat.
Návrh modelu řešení
Zajímá mě řešení především posledního problému ve velké organizaci. Pro malou firmu bude obdobné, jen mnohem jednodušší.
Agent 007
Každý kluk chtěl být kdysi agentem, ale v dospělosti vůči špiclování většinou získáme přirozený morální odpor. Proč píšu o špiclování? Jak jsem napsal, zdrojem nejpřesnějších návodů pro útok zevnitř je šuškanda. Pravdivé parametry bezpečnostních děr ale existují jen v drbech přímo u zdroje – v IT. Šuškanda se možná rozšíří po pobočce, maximálně po regionu, do ústředí se dostane jen stěží. Mým návrhem, jak řešit situaci je nasazení člověka přímo do IT, který povede projekt, který bude ze své podstaty problematický z pohledu bezpečnosti (např.: zajištění přístupu německého oddělení 2nd level helpdesk do všech evropských poboček, home office pro vybrané zaměstnance nebo libovolný projekt týkající se osobních údajů).
Tento člověk by byl v odpovídajícím utajení přímo podřízený managerovi oddělení „Rumor security". Úkolem tohoto oddělení bude odhalit skrytá kritická bezpečnostní rizika, navrhnout řešení a ve formě informace pro vlastníka a doporučení pro lokální oddělení bezpečnosti je vracet dotčeným vlastníkům dat.
Agent má výhodu proti stávajícím mechanismům odhalování děr pomocí najatých hackerů a ITILu. Spočívá v přístupu těchto zaměstnanců k informacím v jejich nezkreslené podobě přímo mezi kolegy.
Krycí jméno Beruška
Vzhledem k delikátnosti situace je bezpodmínečně nutné utajit identitu člověka, který z šuškandy zjišťuje, kde nechal tesař díru. Nástrojů k tomuto utajení je několik. Můj návrh je následující. Vedoucí oddělení „Rumor security" si pod záminkou vedení projektu na pobočkách v Evropě vybere své spolupracovníky a dohodne se s nimi, že stráví x procent své pracovní doby prací na identifikaci bezpečnostních rizik. Tato procenta pracovní doby budou hrazena z evropských projektových peněz, takže se ani přímý nadřízený nebude podivovat, cože to tam ten jeho Míra občas kutí a hlavně se po odhalení chyby, která se týká i jeho nezačne po Mírovi vozit. Vzhledem k potřebě vysoké míry loajality jednotlivých zúčastněných by bylo dobré motivovat jednotlivé informátory z projektových peněz odpovídající formou a využít každé možnosti k přesunu informátora do jiného IT oddělení, nebo na jinou pobočku, pokud možno k těm nejkritičtějším systémům z pohledu úniku dat a výpadků (a to možná i za cenu lehkého přikrášlení životopisu).
Spása neexistuje
Žádný bezpečnostní mechanismus není dokonalý, ale některé nedokonalosti je možné řešit a myslím, že zásadně ztížit útoky zevnitř za cenu několikačlenného týmu pro celou Evropu je mnohem výhodnější, než mediální publicita způsobená opravdovým útokem. Spoléhání firem na strach zaměstnanců z toho, že by byli nakonec dopadeni a jejich loajalitu je dojemné, ale je opravdu nutné? Jsem zvědavý, kolik firem začne situaci řešit až po prvním úspěšném útoku zevnitř.
Morální rozměr
Uvědomuji si, že nasazování agentů není společensky oblíbený prostředek zajištění vyšší bezpečnosti. Jsou-li ale agenti využíváni za podmínek, že jejich informací nesmí být nikým zneužito k perzekuci zodpovědného jedince, myslím že jde o fér metodu.