Syta: Outsourcing jest niebezpieczny dla infrastruktury krytycznej (ROZMOWA)
O tym jakie zagrożenia stwarza niefrasobliwość i outsourcing w cyberprzestrzeni rozmawiamy z Jakubem Sytą, dyrektorem biura zarządzania usługami bezpieczeństwa w firmie Exatel.
BiznesAlert.pl: Panie dyrektorze, żyjemy w niespokojnych czasach. Wszyscy mówią dziś o bezpieczeństwie, w tym również cyberbezpieczeństwie. Na czym polega specyfika działania w przypadku ochrony obiektów infrastruktury krytycznej?
Jakub Syta: Zgodnie z nazwą, infrastruktura krytyczna chroni to, co jest krytyczne dla funkcjonowania całego społeczeństwa. Ataki na przedsiębiorstwa mogą prowadzić do sporych strat, ale najczęściej dotykają stosunkowo niewielkiej grupy użytkowników konkretnych usług. Jednak udane ataki na infrastrukturę krytyczną będą mieć wpływ na wszystkich. Niezależnie od tego, czy aktywnie funkcjonujemy w cyberprzestrzeni.
A jak traktuje się cyberbezpieczeństwo w innych, mniejszych przedsiębiorstwach?
Wbrew pozorom, nawet poważni przedsiębiorcy często nie zdają sobie sprawy z powagi sytuacji. Biznes niewiele wie o cyberbezpieczeństwie. Traktuje je niemal jak czarną magię. Popularne jest myślenie: mnie to na pewno nie dotknie. Niejednokrotnie w przedsiębiorstwach brakuje zaawansowanych narzędzi chroniących infrastrukturę. Nie mówiąc już o tym, czy to, co już funkcjonuje w firmach, spełnia minimum bezpieczeństwa. Między innymi wciąż nagminne jest instalowanie urządzeń i zaawansowanych systemów bez ich utwardzenia, na przykład pozostawiając domyślne hasła producentów.
Nie wierzę…
Naprawdę, tak zdarza się dość często. Nawet w dużych firmach. A przecież to wręcz zaproszenie do ataku.
Mój zespół weryfikuje bezpieczeństwo w rozmaitych organizacjach, a więc dla nas to codzienność. Wraz ze wzrostem obecności firm w sieci rośnie ich ekspozycja na ataki. To też szansa na popełnienie błędów. Jedno i drugie może zagrozić funkcjonowaniu firmy. Z naszego punktu widzenia sytuacja jest niezwykle dynamiczna. Zarówno nasi klienci, jak i my sami co chwilę jesteśmy narażeni na atak.
Profesjonaliści wiedzą doskonale, że lepiej jest uprzedzać atak (dobrze się do niego przygotowując) niż biernie czekać. Służą temu między innymi tak zwane audyty bezpieczeństwa, w których specjalizuje się Pana firma.
To prawda, ale audyty bezpieczeństwa są jedynie częścią szerszego zjawiska. Generalnie mówimy o trzech rodzajach mechanizmów kontrolnych. Po pierwsze – jak pan wspomniał – mechanizmy prewencyjne. Mają na celu uporządkowanie zabezpieczenia organizacji tak, by maksymalnie zmniejszyć prawdopodobieństwo i skutki ewentualnych incydentów. Po drugie, mechanizmy detekcyjne, takie jak audyty i testy penetracyjne. Pozwalają wykryć, że coś działa w niewłaściwy sposób. Po trzecie, mechanizmy korekcyjne, czyli naprawcze, które powinny nie tylko wykryć incydent, ale w aktywny sposób mu przeciwdziałać. To właśnie w trzecim rodzaju mechanizmów przede wszystkim widzimy naszą przewagę konkurencyjną. Ale główny wysiłek, powtórzę, powinien być skierowany na prewencję. Organizacja powinna być dobrze zabezpieczona.
Wróćmy zatem do prewencji. Na czym ma ona polegać?
Zacznę od rzeczy podstawowych. Organizacja powinna wiedzieć, co należy chronić oraz jakie są elementy składowe jej infrastruktury. To wydaje się oczywiste, ale – proszę mi wierzyć – nawet w dużych przedsiębiorstwach bywają z tym kłopoty. A jeżeli nie wiemy, co mamy chronić, sytuacja staje się niezwykle skomplikowana. Następnie należy upewnić się, czy pracownicy mają odpowiednie uprawnienia, czy infrastruktura jest odpowiednio skonfigurowana, czy architektura spełnia minimum bezpieczeństwa, czy oprogramowanie jest aktualizowane, czy wymagania i szczegóły konfiguracyjne są udokumentowane, a logi generowane przez urządzenia są zachowywane i regularnie analizowane.
Dopiero na tym fundamencie możemy budować kolejne warstwy prewencji. Między innymi audyt, czyli proces, który pozwala zweryfikować, czy zasady, które opracowała firma, są w niej egzekwowane. Elementem audytu są też testy penetracyjne, które umożliwiają sprawdzenie, czy sieć zapewnia minimum bezpieczeństwa.
A to tylko podstawowe elementy, jakie należy wziąć pod uwagę. Z tego powodu, podczas tworzenia systemów ochrony teleinformatycznej, preferuje się podejście procesowe, które układa wszystkie elementy w jeden spójny system.
Na czym polega test penetracyjny?
Pozornie jest bardzo prosty. Specjaliści bezpieczeństwa uruchamiają narzędzia i analizują te odpowiedzi, które wskazują błędy w konfiguracji lub utrzymaniu rozwiązań IT. Jednak tak naprawdę jest to praca, która wymaga znacznych umiejętności. Narzędzia wskazują na potencjalne błędy, ale to specjalista musi ocenić, czy naprawdę są one obecne w infrastrukturze. Musi też porównać mniej ważne sygnały, by odkryć, że ich kombinacja może otworzyć sieć wewnętrzną na świat. Wyzwaniem jest też samo zidentyfikowanie infrastruktury czy wersji oprogramowania.
Często bazuje się w pełni na możliwościach darmowych narzędzi testowych, jednak z rzeczywistym testem penetracyjnym nie ma to wiele wspólnego. Trochę jest w tym winy zamawiających, którzy nie potrafią dobrze przygotować wymagań. Zdarza się, że nie znają różnicy między testem penetracyjnym a skanowaniem podatności na atak.
Wracamy zatem do Pana poprzedniej myśli. Najważniejsi są ludzie i ich umiejętności.
Tak, niezbędna jest ogromna wiedza. W Exatelu podchodzimy do naszych usług całościowo. Nie chodzi nam o to, żeby włamać się do sieci klienta i sporządzić potem raport. Nawet w dużych firmach dział IT często liczy jedynie kilka osób, które nie mają czasu na wdrażanie zaleceń. Ważne więc, by nie tylko zidentyfikować luki, ale by zaproponować – albo nawet wspomóc – wdrożenie konkretnych rozwiązań. Ważne też, by przejąć od klientów realizację części zadań, na przykład konfigurowanie systemów bezpieczeństwa czy stałe monitorowanie i reagowanie na ataki.
Czyli klasyczny outsourcing.
Faktycznie, klasyczny outsourcing. W pierwszej linii Security Operations Center (SOC) mamy zespół analityków – wspierany zaawansowanym oprogramowaniem – który stale monitoruje bezpieczeństwo naszych klientów. Jeśli zauważą zagrożenie, powiadamiają o tym klienta, albo (jeśli sytuacja jest poważna) reagują samodzielnie. W skrajnym przypadku mogą w kontrolowany, bezpieczny sposób wygasić ruch w jego sieci. Podobnie działamy przy innych atakach: malware, DDoS czy wycieku istotnych informacji. Wychodzimy z założenia, że klient może oczekiwać pełnej usługi i mieć wpływ na to, które elementy chce oddać do realizacji wyspecjalizowanym podmiotom. Bo ochrona informacji jest zbyt poważnym zagadnieniem, by zdawać się wyłącznie na łut szczęścia i realizowanie zadań w wolnych chwilach przez administratorów, którzy na co dzień rozwijają i utrzymują infrastrukturę.
Rozmawiał Mieczysław Starkowski
