;

Bezpečnost – příležitosti i hrozby

13. 7. 2012
Doba čtení: 13 minut

Sdílet

 Autor: Fotolia © ktsdesign
Jak vnímají aktuální bezpečnostní hrozby dodavatelé řešení pro tuto oblast? Které sféry jsou z hlediska zabezpečení IT a fyzické bezpečnosti v současnosti nejpalčivější? A jak se s nimi potýkají samotní uživatelé?

Co je podle vás největším bezpečnostním rizikem cloud computingu?

Pavel Šuk, Kerio Technologies: Pokud firma začne používat více služeb „zvenčí“, každý člověk ve firmě si musí pamatovat několik hesel, pokud možno různých pro každou službu. V určitém okamžiku to pak přeroste přes hlavu a normální uživatel začne používat jenom pár hesel nebo dokonce jen jedno. Od toho je už krůček k tomu, že když se povede jenom jedno heslo někde pustit do světa, ať už vinou uživatele nebo hacknutím jedné ze služeb, pro hackera se otevře brána k ostatním službám. A v nich máte svá firemní data.

Podobné riziko se objeví, když zaměstnanec odchází z firmy. Nestačí ho jenom vyřadit z interních systémů, ale někdo musí pamatovat na to, do kterých externích aplikací měl ještě přístup. Tato rizika řeší sdílené autentizační služby, kde můžete centrálně řídit všechny přístupy svých zaměstnanců. Pokud zvolíte lokální řešení, máte plně pod kontrolou celou firmu.

Pavel Krčma, AVG: Že uživatelé podlehnou mylnému dojmu o 100% bezpečnosti řešení. Jakýkoli cloud je pouze více či méně kvalitně postavená síť počítačů, a i když obvykle zálohovaná, redundantní a monitorovaná 24 hodin denně – výpadkům se občas nevyhne. Pro mě důvěryhodný poskytovatel cloudového řešení uvádí tzv. dostupnost, která umožní zvážit, zda pravděpodobnost výpadku je akceptovatelná, dále střední dobu, za kterou je schopen obnovit provoz po výpadku, a také v jakém režimu ukládá data – zda jsou plně zálohována a jak často. Není to tak dávno, co jeden z poskytovatelů cloudových služeb ztratil část dat a obnovení provozu trvalo několik dní. Z reakcí klientů bylo vidět, že si vůbec nepřipustili, že tato možnost může nastat.

Peter Dekýš, Eset: Konkrétní rizika jsou závislá na technologiích použitých v cloudu, potřebách zákazníka a mohou být různá u konkrétních klientů a pro specifická řešení. Všeobecně je však rizikem schopnost provozovatele cloudového řešení analyzovat, implementovat a zabezpečit stejnou úroveň důvěrnosti, integrity a dostupnosti zdrojů, které jsou životně důležité pro zákazníka.

Dalibor Kačmář, Microsoft: Jako potenciální problém vidím například to, že datová centra, zejména veřejná, se mohou stát cílem útoků výrazně snadněji, protože jsou známá a náleží nadnárodní korporaci. Za vhodné řešení považujeme přístup, kdy jdou datová centra provozována se zvýšenou úrovní bezpečnosti, a to jak po produktové stránce, kdy jsou použity upravené verze produktů určené pro multitenantní prostředí, tak i z hlediska architektury a dozoru. Mezi způsob ochrany patří i minimální zveřejňování technických detailů cloudových služeb, které nejsou podstatné pro funkci uživatelských služeb.

Jak doporučujete řešit otázku zálohování dat u různých typů cloudových služeb?

Pavel Krčma, AVG: Záleží na službě, jejích parametrech a typu dat. U méně spolehlivých bych preferoval zálohování na svá média, u spolehlivějších a samozřejmě dražších se dá věřit zálohování na straně poskytovatele. Ovšem business-critical data důrazně doporučuji zálohovat vícenásobně, tedy např. nejen u poskytovatele, ale i na vlastních médiích.

Peter Dekýš, Eset: Doporučujeme řešit ideálně v procesu Business Impact Analyse, a sice definováním potřebných RPO (Return Point Objectives), tedy toho, kolik dat si můžeme dovolit ztratit u jednotlivých služeb. Použití konkrétní strategie zálohování implementuje provoz cloudu.

Dalibor Kačmář, Microsoft: Data zákazníků by měla být z důvodu vyššího zabezpečení a dostupnosti 2x živě replikována. Navíc existují služby, s jejichž pomocí lze data zálohovat mezi jednotlivými datovými centry po světě. Tyto služby a zálohy však neochrání data před chybou uživatele nebo aplikace, který s nimi pracuje.

Které z aktuálních typů hrozeb považujete za nejnebezpečnější či nejvíce podceňované?

Pavel Šuk, Kerio Technologies: V Čechách určitě zákon o tom, že vám kdokoliv může poslat e-mail pod záminkou, že se jedná o obchodní sdělení. To byl nejspíš dobře míněný nápad, ale jeho implementace vysloveně nahrává spammerům.

Pavel Krčma, AVG: Největším nebezpečím je sám uživatel či spíše z jeho hlediska bezpečnosti nevhodné návyky. Na vině jsou často nepatřičně stanovená pravidla informační bezpečnosti. Často se setkávám s tím, že z různých důvodů je vynucena komunikace s externími subjekty bez jakéhokoli zabezpečení, podpisů a formáty souborů, které jsou vysoce rizikové z hlediska exploitování. A to i směrem k vysoce postaveným pracovníkům, kteří bývají prvními cíli útoků.

Peter Dekýš, Eset: Jednou z podceňovaných hrozeb je podle mého názoru nevhodné chování uživatelů. Šíření infiltrací často závisí na neuváženém kroku uživatele, který si například nainstaluje podvodný ovladač, odpoví na phishingový e-mail apod. Stejným selháním uživatele je vyzrazení citlivých informací v důsledku spearphishingu.

Máte pocit, že se zlepšuje situace v oblasti využívání DLP – ať už je to například šifrování dat na mobilních zařízeních nebo prevence úniků dat při e-mailové komunikaci apod.?

Pavel Krčma, AVG: Velmi pomalu. Obávám se, že si lidé stále nepřipouštějí, že jejich data mohou být zajímavá, a tudíž se mohou stát i předmětem krádeže.

Pavel Šuk, Kerio Technologies: V každém případě doporučuji každou informaci, která je pro firmu důležitá, posílat šifrovaným e-mailem. Únik informací nemusí vypadat jenom jako v nějaké detektivce. Stačí to, že administrátor serveru má přístup k citlivým datům. A zkusit sledovat e-maily od nějakého „šéfa tam nahoře“ může být velice lákavé.

Peter Dekýš, Eset: Společnosti poskytující DLP zlepšují své existující technologie nebo investují do nových oblastí, např. souvisejících s mobilitou. Za stále opomínané však považuji následující prvky v cílovém prostředí implementace DLP: důslednou klasifikaci dat – kategorizaci dat podle jejich citlivosti, a to včetně příslušných pravidel jak s nimi zacházet. Dále správu aktiv – definování důležitých procesů nebo jiných prvků, určení jejich významu a potřeby ochrany s ohledem na dosažení podnikatelských cílů firmy. A v neposlední řadě také proces řízení informační bezpečnosti – bez systematického řízení rizik aktiv organizace nasazené DLP už dávno nemusí odrážet aktuální potřeby společnosti.

Dalibor Kačmář, Microsoft: S rozmachem mobilních zařízení a řešení, která si přinesou uživatelé do práce sami, tento problém naopak roste. Graduje navíc spolu s vyšší heterogenností prostředí, pokud neexistuje striktní firemní politika. Navíc se do firemních sítí dostává stále více zařízení, která nesplňují současné trendy v zabezpečení mobilních zařízení, např. TPM čipy, a jsou používány verze operačních systémů, které rovněž tuto ochranu nevyužívají. Problém jde ale daleko hlouběji. Ne všechna zařízení jsou dostatečně monitorována a spravována. Je tedy běžné, že nejsou vynucovány bezpečnostní aktualizace a v případě ztráty nebo odcizení je nelze vzdáleně smazat. Řešením je používat zařízení podporující HW ochranu a šifrování dat – tyto postupy vynutit firemní politikou.

Jaká je nejlepší prevence před úniky dat skrze zaměstnance – insidery?

Pavel Krčma, AVG: Já osobně považuji za nejlepší prevenci spokojené a loajální zaměstnance, pak nebudou mít žádnou motivaci data vynášet. Dále je důležité, aby se každý pracovník dostal pouze k informacím, které potřebuje ke své práci. Často vidím ve společnostech sdílené adresáře, kam má každý přístup nebo i právo zápisu, a vyskytují se zde důvěrné informace. To znamená vyloženě koledování si o problém nejen z hlediska vynášení informací, ale i možnosti virové nákazy.

Pavel Šuk, Kerio Technologies: Vlastnit co nejméně citlivých dat a ty si pak dobře chránit. A mít správné zaměstnance, protože kdo bude opravdu chtít, k datům se vždy dostane.

Peter Dekýš, Eset: Za nejlepší prevenci před únikem informací prostřednictvím zaměstnanců považuji průběžné testování způsobu komunikace (e-mailem, telefonem), dodržování pravidel skartace nebo nakládání s přenosnými médii, a to například formou sociálního inženýrství. Zaměstnanci jsou vystaveni simulaci konkrétního pokusu podvodníka o krádež dat. Tyto praktické zkušenosti pracovníků jsou pak cennější než jakékoli školení. Důležité je také nastavení jasně definovaných a zaměstnancům sdělených pravidel pro poskytování a nakládání s daty společnosti. Právě testování sociálním inženýrstvím může poukázat na nedostatky v této oblasti.

Setkáváte se s případy útoků na konkrétní osoby v podnicích a organizacích – tedy tzv. spearheadingem? Jak probíhají a nakolik úspěšné jsou?

Pavel Šuk, Kerio Technologies: Bohužel jsem to několikrát zažil na vlastní kůži. Stačí se probojovat přes recepci, ať už nějakým urgentním požadavkem nebo jinou nátlakovou metodou, a jsou u vás. Naštěstí šlo vždycky o někoho, kdo se nám snažil něco prodat, ne ukrást.

Pavel Krčma, AVG: Ano, je to běžný způsob, jak se dostat k zajímavým informacím. Vzhledem k vysoké citlivosti takových případů, zvláště pokud jsou úspěšné, se nedá spolehlivě sestavit statistika. Nicméně průběh je obvykle podobný: identifikace důležitých osob, nejslabšího místa (např. nijak nezabezpečená komunikace exploitovatelným souborovým formátem), útok vedený pomocí unikátního a na míru napsaného kódu.

Jak by měl CIO postavit business case na bezpečnostní řešení? Co použít jako benchmark jak po stránce technologií, tak celkových výdajů na bezpečnost?

Peter Dekýš, Eset: CIO by měl svůj business case postavit na faktech vyplývajících z bezpečnostních rizik společnosti, zjištěných v procesu řízení informační bezpečnosti. Benchmarkem daného řešení a jeho finanční náročnosti je potom minimalizace rizika na akceptovatelnou úroveň za cenu menší než ztráta společnosti, která je vyčíslená jejími vlastníky v případě naplnění hrozby, resp. rizika. Z tohoto pohledu CIO musí postavit business case pro bezpečnostní řešení na podpoře vlastníků aktiv společnosti.

Dalibor Kačmář, Microsoft: Takový business case jistě sestavit lze, je ale obecně obtížné definovat procento výdajů. To totiž nemusí přímo souviset s cenou samotného HW nebo SW vybavení datového centra. Cena zabezpečení by se měla odvíjet od ceny, kterou hodnotíme data a poskytované služby. Pokud např. výpadek DC nebo ztráta dat může způsobit zastavení provozu firmy na několik dní nebo týdnů, pak cena zabezpečení by se měla odvíjet od tohoto finančního rizika.

Jak by podle vás měly vypadat adekvátně (fyzicky) zabezpečená serverovna či menší datové centrum? Co je adekvátní při zabezpečení koncových stanic a jaké jsou trendy fyzické bezpečnosti v této oblasti?

Dalibor Kačmář, Microsoft: Kvalita bezpečnosti závisí jednoduše na míře, jíž chci dosáhnout, a ceně dat a provozovaných služeb. Jinou bude mít malé datové centrum čítající jednotky serverů, jinou základní bankovní systém. Bezpečnost lze definovat na celé řadě úrovní – od vhodného umístění datového centra (dostatek energie a její záložní varianty, fyzická dostupnost a politická stabilita v oblasti) přes řízení přístupu (omezení bez výjimky, vícefaktorová autentizace s biometrickými principy), striktní oddělení rolí zaměstnanců (není možné, aby administrátor systému mohl fyzicky přistoupit k zařízením a naopak), anonymní uložení dat (nelze jednoduše odvodit, kde fyzicky jsou konkrétní data uložena) až po auditování jakékoli operace. Všechny tyto principy jsou popsány ISO normami, získáním jejich atestu a implementací odpovídajících procesů je možné dosáhnout kvalitativně vyšší bezpečnosti.

ICTS24

Miloš Rážek, Telmo: Studie ukazují, že až 86?% bezpečnostních incidentů způsobují interní zaměstnanci postižených společností. Proto se tyto organizace stále více zaměřují na zajištění vlastních dat a citlivých obchodních informací. Kromě běžných přístupových systémů v kombinaci s PIN jsou v poslední době stále častěji používané biometrické systémy zajišťující vysokou bezpečnost při vstupu do sálů datových center či klecí s datovými úložišti a servery. Taktéž jsou více využívány kamerové systémy zajišťující dohled nad činností zaměstnanců v těchto prostorech včetně záznamu a indexace událostí pro jejich zpětné vyhledávání.

Stále běžnějším se stává také používání speciálních kamer s vysokým rozlišením a úhlem záběru 360 stupňů. Ty zajišťují detailní přehled nad děním ve dne i v noci a při velmi špatných světelných podmínkách, navíc s možností využití jak ve venkovních, tak i ve vnitřních prostorách.