Malé firmy, velké (bezpečnostní) problémy

Pokud se informační technologie vyvíjejí tempem překotným, pak pro oblast informační bezpečnosti to platí přinejmenším dvojnásob. Nestojíme už přitom jako dříve proti vandalům, nýbrž proti profesionálním zločincům, jejichž možnosti a motivace jsou přece jen vyšší. Základním kamenem soudobé informační bezpečnosti je právě uvědomění si tohoto faktu: naším nepřítelem je profesionální zločinec. Motivace hackerů dnes není vedena snahou se realizovat nebo zviditelnit, ale snahou vydělat (si). Mění se tak cíle jejich útoků, způsoby provedení, možnosti…


Nejčastěji je v této souvislosti zmiňována průmyslová špionáž. Což je sice hezký a nebezpečný příklad, ale praxe nám ukazuje, že u zvláště malých a středních podniků spíše teoretický. Jsou zde totiž hrozby jiné a vážnější, které mohou mít na chod a stabilitu společnosti mnohem větší dopad nežli ten nejrafinovanější špión.

Jedná se třeba o neschopnost zajistit utajení informací. To má dopady nejen na důvěru či nedůvěru zákazníků, ale třeba i na schopnost plnit legislativní podmínky (ochrana osobních údajů, zdravotní dokumentace apod.). Přitom právě riziko trestněprávních postihů bývá v mnoha případech větším motivátorem než možná ztráta zákazníků.

Jistě, i průmyslová špionáž představuje problematickou oblast. Ale týká se spíše velkých projektů a firem, které se pohybují na velmi úzkém a jasně definovaném segmentu trhu. Malé organizace jsou přece jen pružnější a zpravidla pro ně není problém operativně měnit náplň činnosti a pohybovat se směrem k inovacím.

ÚTOČÍ SE, KDE TO JDE

Musíme si uvědomit také další skutečnost: celosvětovým trendem je orientace útočníků na tzv. měkké cíle. Proč by se zbytečně trápili někde, kde mají mnoho přirozených i umělých překážek, když jinde mají – obrazně řečeno – dveře otevřené? Názorným příkladem nám mohou být třeba internetové podvody, phishing.

Prvním cílem agresorů se staly velké americké banky. Tyto ale přijaly odpovídající protiopatření a rychle reagovala i legislativa. Ostatně, tyto instituce byly okolnostmi nuceny reagovat, protože začaly jako na běžícím pásu prohrávat milionové žaloby se spotřebitelskými organizacemi, které je obvinily z liknavosti a záměrného ignorování nebezpečí. Banky se zkrátka ze zodpovědnosti snažily vyzout tím, že nastavily pro zákazníky nerovné podmínky (je pravda, že zákazník by neměl porušovat některá bezpečnostní přikázání – na druhé straně by systém měl být nastavený tak, aby známá rizika byla co nejvíce eliminována).

Každopádně pozornost podvodníků se přesunula z bankovního sektoru nejprve jinam – a později úplně mimo území Spojených států, kde jim začala být horká půda pod nohama. A tak zatímco ještě v roce 2004 byl neanglický phishing kuriozitou, loni samozřejmostí. Dokonce se objevily i jeho první české mutace. Pomiňme nyní fakt, že české banky přes všechna možná varování možnost příchodu phishingu podcenily, a podívejme se na to, kdo se stal obětí těchto podvodů. Jen a výhradně domácí uživatelé, drobní živnostníci a malé firmy. V celé nahotě se tak ukázal problém, se kterým se malé organizace potýkají: bez větší nadsázky se dá říci, že musejí čelit stejným problémům jako velké organizace, ovšem s rozpočtem domácích uživatelů. Obvyklých 5 až 6 procent z ICT rozpočtu ročně jdoucího do informační bezpečnosti totiž v jejich případě nestačí.

Pokud máme pokračovat ve výčtu problémů, tak je zde kromě internetových podvodů v mnoha různých podobách velké riziko problémů se spywarem (spy softwarem, sledovacími programy) nebo dalšími škodlivými kódy. Ty jednak slouží k získávání informací z napadených stanic a sítí (typicky přihlašovací jména a hesla, ale také topologie sítě apod.), jednak způsobují nemalé potíže při provozu a jednak se stávají branou pro další útoky. Typicky pro zneužití počítačů neoprávněnými osobami – k provádění DoS (odepření služby) útoků, ke zneužívání jejich výpočetní kapacity (např. při prolamování šifer), k rozesílání spamu (kdy útočník přenáší náklady na nákup hardwaru i využití internetu na postiženého – uvádí se, že osmdesát procent celosvětového spamu odchází právě ze zneužitých počítačů).

A když už jsme u spamu: opět nejvíce zasahuje malé firmy, u kterých výrazně snižuje produktivitu práce. Kdybychom se chtěli dostat do nekonečné spirály, tak teď přineseme varování před podvody šířenými pomocí spamových zpráv…

MĚNÍ SE PŘÍSTUP

Ale abychom nebyli pouze posly špatných zpráv: na poli informační bezpečnosti se toho v nedávném období udělalo hodně dobrého. Bezpečnost dnes berou vážně výrobci operačních systémů i kancelářských programů, databází i serverových aplikací. Zatímco ještě před několika lety byla bezpečnost v lepším případě považována za konkurenční výhodu, dnes se bere za samozřejmost.

Což je dobře a v žádném případě její důležitost nesnižuje. Trh se díky tomu začíná jasně polarizovat: je vidět, kdo se bezpečnosti věnuje dlouhodobě a vážně a kdo je naopak laxní a velkoryse si ji dovoluje ignorovat. Svědčí o tom třeba dlouhodobý vývoj trendů v počtu a závažnosti bezpečnostních chyb.

Mění se ale přístup nejen dodavatelů, ale i samotných firem a uživatelů. Dnes už asi nikdo nebude bezpečnost zpochybňovat slovy „ono to nějak dopadne“, v nejhorším případě se ji bude snažit zredukovat na nezbytně nutné minimum nebo zefektivnit. Smutnou pravdou totiž je, že to už několikrát „nějak dopadlo“ a kdo bezpečnost ignoroval, musel opakovaně přerušovat práci, obnovovat data ze záloh, přeinstalovávat software – což v konečném důsledku rychle překročilo náklady na investice do prevence. Vždyť nechráněný počítač připojený k internetu se stává cílem nějakého typu útoku za méně než deset minut…

Neradostná situace je tak snad jen s tzv. běžnými uživateli. Statistiky ukazují, že jimi způsobené bezpečnostní incidenty nejsou ani tak dílem neznalosti, jako dílem nedbalosti. Doma se totiž uživatelé chovají výrazně bezpečněji než na pracovišti, kde spoléhají na solidnější zabezpečení nebo rychlý a profesionální zásah správce. Toto je ale problém hlavně větších organizací, kde nepořádníci hřeší na anonymitu – ta v malých a středních firmách rozhodně není kdovíjak velká.

Bez zajímavosti jistě není i fakt, že své „máslo na hlavě“ mají v této oblasti i výrobci bezpečnostního softwaru. Dlouhé roky byli papežštější než papež – a najednou se ukazuje, že právě chyby v jejich aplikacích hackeři čím dál raději využívají k průnikům do systémů. Je to logické: výrobci operačních systémů i aplikací se „poučili z krizového vývoje“, takže jejich překonání je stále obtížnější. Naproti tomu útok proti bezpečnostní aplikaci znamená, že hacker už před sebou nemá žádnou překážku, získává přístup do systému s vysokými právy a může se aktivně podílet na tvorbě „bezpečnosti“. Zatímco v roce 2004 bylo možné počet objevených zranitelností v bezpečnostních programech počítat na prstech, v loňském roce už bylo veřejně známých chyb na sta.

Jistě bude zajímavé v této souvislosti sledovat pohyby v kvalitě aplikací a podílech na trhu poté, co Microsoft oznámil na letošní rok svůj záměr vstoupit coby plnohodnotný hráč na pole bezpečnostních technologií.

ŘEŠENÍM JE KOMPLEXNOST

A znovu na optimistickou notu: bezpečnostní programy sice trpí neduhem zranitelnosti, ale jinak jejich kvalita i schopnosti utěšeně rostou. Ostatně, je to dáno celkovým vývojem.
Po čistě antivirové aplikaci by dnes neštěkl ani pes (mezi padesáti nejrozšířenějšími škodlivými kódy v roce 2006 nebyl ani jeden virus). Proto se výrobci už před několika lety snažili zákazníka strhnout na svoji stranu pomocí přidaných vlastností – které jsou ale dnes považované za standard.

Právě vyhynutí virů a jejich nahrazení dalšími škodlivými kódy (typicky právě výše zmiňovaným spywarem) vedlo ke zkvalitnění bezpečnostních programů. Ty se musely přestat spoléhat na vyhledávání pomocí databázi vzorků a musely přejít na proaktivní metody. Rychlost reakcí AV průmyslu totiž přitlačila „do kouta“ tvůrce škodlivých kódů, kteří museli změnit taktiku boje. Těžko můžete vyhledávat v databázi kód, který se nešíří (např. je staticky umístěný na webu), a jejž tak v databázi nemáte. Ale zastavit jej musíte…

Dnes jsou bezpečnostní aplikace opravdu komplexními „řídícími středisky“ ICT security – obsahují antivirus, antispyware, filtr spamu, firewall, systémy detekce průniku, mnohdy i další funkce. Každý domácí uživatel tak má k dispozici sofistikovanou konzoli, která byla ještě před několika lety nedosažitelným snem každého bezpečnostimilovného administrátora.

Z tohoto vývoje přitom mohou těžit právě malé a střední organizace – stačí jen chtít, prostředky na velmi solidní ochranu jsou za rozumných podmínek dnes k dispozici více než kdy dříve.