Od obchodu se strachem k rozumné bezpečnosti dat

V dnešní době, kdy většina firem uchovává své obchodní, účetní a další, pro podnikání podstatné informace, v elektronické podobě, je na místě se zamyslet nad ochranou těchto dat. Majitelé a manažeři firem, stejně jako jednotliví uživatelé, jsou přesvědčováni neutuchající mediální a marketingovou masáží, co je kýženou cestou k bezpečnosti jejich dat. Tato kampaň je intenzivně podporována hororovými scénáři ztráty nebo přímo zneužití dat, ať již na základě havárie, nedbalosti uživatele nebo cíleného útoku.

Auditorské a poradenské firmy přesvědčují své potenciální zákazníky o nezbytnosti pravidelných bezpečnostních auditů jako cesty k dokonale bezpečnému IT a bombardují potenciální zákazníky normami (ISO 17799 a další) a zákony (zákon č. 151/2000 Sb. o telekomunikacích, zákon č. 101/2000 Sb. o ochraně osobních údajů, atd.). Prodejci nejrůznějších softwarových i hardwarových bezpečnostních prostředků se zase předhánějí v prezentaci svého zboží a prezentují rizika, která „právě jen jejich unikátní řešení“ odstraní. Pro samotné IT manažery je to spletitá džungle plná marketingových pastí, pro majitele nebo manažery podniku je to už vůbec nepřehledné bludiště.

Kde je tedy pravda? Jako obvykle se pravda skrývá někde mezi oběma výše popsanými extrémy, tedy někde mezi pravidelnou „zdravotní prohlídkou informačního systému“ a nasazením sofistikovaných prostředků ochrany dat.

Na začátku byla data

Před jakoukoliv investicí do ochrany dat je třeba se zamyslet nad tím, jaká data vlastně uchováváme, v jaké podobě a jakou mají hodnotu. Slovo „hodnota“ zde nepředstavuje přímo vyčíslitelnou cenu pro nás nebo pro další subjekty (např. konkurenci), ale i cenu, kterou by nás stála ztráta či poškození dat. Je to podobné jako s autem, jeho krádeží je majiteli způsobena škoda ve výši reálné ceny auta, ale další škoda se dá vyčíslit tím, jaké náklady vzniknou náhradou vozu – zápůjčkou náhradního vozu nebo nákupem nového. Do doby, než krádež auta majitel vyřeší, může např. přijít o obchody tím, že není schopen se dostavit za zákazníkem (ať již pro dojednání nového obchodu nebo splnění podmínek stávajícího). Jako poslední, nikoliv však nejmenší škoda je ztráta dobrého jména (např. opět vlivem nemožnosti splnit smluvní podmínky). Analogicky se můžeme dívat na ztrátu, krádež, poškození či zneužití našich dat.

Ztráta a zničení dat

Snad každý, i domácí uživatel zažil nějakou ztrátu dat vlivem havárie PC nebo zničení média, na němž data byla uložena. Asi každý si někdy omylem smazal data nebo je přepsal neaktuální starou verzí. V tento okamžik zoufale hledáme nějakou zálohu dat nebo jsme odsouzeni k jejich opětovnému vytvoření. Do této kategorie také patří záměrné zničení, poškození nebo změna dat. Tento případ je horší než samotná ztráta, protože modifikaci dat obvykle nepoznáme hned a pokud ano, pak je těžké nalézt a opravit takto poškozená data. Pamatujte na to, že nejen „nepřítel z internetu“ je hrozbou, stejně nebezpečný (možná ještě nebezpečnější) může být „vnitřní nepřítel“ v podobě zneuznaného zaměstnance, který zná strukturu a hodnotu dat.

Zneužití či krádež dat

Kromě ztráty je další reálnou hrozbou, že se naše data dostanou do nepovolaných rukou a budou využita či zneužita. Nemusí jít zrovna o zneužití čísla vaší kreditní karty, které jste svěřili pochybnému internetovému obchodu, ale stačí pouhé „vytunelování“ kontaktů z vaší elektronické pošty. Např. různé viry jsou schopny se po napadení PC rozeslat na všechny kontakty v adresáři uživatele. Jakou pověst získá uživatel takového zavirovaného PC z nějž proudí nabídky na viagru nebo „zaručeně pravý odkaz na fotky nahé Anny Kurnikovové“, případně se rozesílá virus samotný, není asi třeba příliš rozepisovat. O tom, jakou škodu na pověsti toto znamená v případě firemního PC, ani nemluvě. Je třeba připomenout, že romantická představa hackera dobývajícího se do našich sítí a PC je spíše námětem na film, drtivá většina (téměř 90%) úniků dat má na svědomí „vnitřní nepřítel“ v podobě zaměstnance postižené společnosti. Škála možných zneužití dat je velice pestrá, od pouhé diskreditace postižené společnosti až po využití dat v konkurenčním boji (např. průmyslová špionáž).

Nedostupnost dat

Mít data a nemít k nim přístup? I to je reálnou hrozbou dnešních uživatelů. Klasickým příkladem může být virus/červ, který se šířil díky chybě ve Windows a projevoval se tak, že pár sekund po startu počítače se objevil dialog, že do cca 30 sekund bude PC vypnuto. Takže uživatel měl sice svá data, ale vlivem činnosti červa k nim vlastně nemohl (za 30 sekund se mnoho stihnout nedá). V podnikovém prostředí to může být ještě horší. Útokem znepřístupněný web server s internetovým obchodem může znamenat v lepším případě poškození jména firmy, v horším případě její likvidaci. Je třeba se zamyslet nad tím, co pro majitele dat nebo jeho spolupracující obchodní partnery znamená nedostupnost konkrétních dat. Je možné, že zjistíte, že jednodenní výpadek webového serveru s prezentací společnosti neznamená celkem nic, ale výpadek mailového systému po dobu 1 hodiny je katastrofou.

Včasná prevence je lepší nežli pozdní léčba

Pokud si už uvědomujeme rizika, která našim datům hrozí, je na místě stanovit si bezpečnostní politiku pro nakládání s daty. Zjednodušeně řešeno, měli bychom mít jasno v tom KDE a JAK jsou naše data uložena, KDO a JAKÉ přístupy má k datům, před JAKÝMI hrozbami a JAK jsou data zabezpečena a JAK splňujeme případné legislativní nároky na uložení a zabezpečení dat. Probereme ve zkratce oblasti, na které je třeba se při definování bezp. politiky zaměřit:

# fyzická bezpečnost

Asi každý uzná, že chránit sofistikovanými systémy přístupy do informačních systémů a pak mít servery v neuzamčené serverovně, není to pravé řešení. V oblasti fyzické bezpečnosti se zaměřujeme na vybudování organizačních a technických opatření proti neautorizovanému přístupu, poškození, znehodnocení, zničení či jiným zásahům do dat včetně zamezení neautorizovaného přístupu do prostor, kde jsou data fyzicky uložena. Nezapomínejme, že tato oblast se týká i bezpečného uložení záloh kritických dat.

# personální bezpečnost a řízení přístupů

Při budování bezpečnostní politiky je třeba jasně definovat uživatelské přístupy k datům. Bez znalosti toho, kteří uživatelé pracují s jakými daty nelze tuto oblast bezpečnostní politiky zvládnout. Je třeba definovat opatření pro ochranu a kontrolu přístupu k informacím. Zde platí, že uživatel má mít přístup k systémům a datům, se kterými opravdu pracuje. Benevolence v definici přístupů vede k tomu, že se radikálně zvýší riziko poškození dat (úmyslného i neúmyslného či z nedbalosti) nebo dokonce zcizení a zneužití dat. Zde je třeba připomenout, že kromě přístupů k datům je nutno ošetřit i možnost si tato data „odnést“. V dnešní době, kdy každý vlastní USB klíče či paměťové karty s kapacitou v řádu stovek MB či jednotek GB, je vynesení dat z organizace naprosto reálné.

# legislativní otázky

Do oblasti bezpečnosti IT patří také splnění legislativních požadavků na ochranu a nakládání s některými druhy dat. Snad každá organizace uchovává např. osobní data, která podléhají zákonu č. 101/2000 Sb. o ochraně osobních údajů. Je třeba znát a respektovat další zákonné normy, které upravují např. právo autorské, definují elektronický podpis a jeho užívání. V oblasti legislativy je nejlepší najít partnera, který organizaci pomůže dostát všem zákonným normám, které se IT dotýkají.

# definice havarijních plánů

V neposlední řadě by se každá organizace měla připravit na havarijní situace (živelné pohromy, požár, úmyslné zničení dat nebo infrastruktury, atd.), které poškodí IT organizace natolik, že je bude třeba znovu vybudovat. Zde je opět rozumné zhodnotit, které systémy a která data jsou kritická a zaslouží si ochranu s možností rekonstrukce v řádu jednotek hodin a které systémy mohou být rekonstruovány po delší dobu. Některé organizace budou nuceny kritické systémy duplikovat v geograficky vzdálené lokalitě, aby v případě havárie a zničení provozního systému bylo možno de facto ihned obnovit provoz z těchto záložních systémů. V oblasti havarijních plánů je nutno také myslet na zálohování dat a protože zde platí „těžko na cvičišti, lehko na bojišti“, je dobré si např. jednou ročně zkusit „cvičný poplach“ s rekonstrukcí kritických systémů. To jistě přináší dodatečné náklady do IT, ale zároveň garantuje, že v případě havárie je organizace schopna udržet kontinuitu provozu informačních systémů.

# organizační opatření

Je na místě uživatele seznámit s tím, jaká pravidla mají dodržovat při práci s IT společnosti. Zde platí, že bez seznámení uživatele s těmito pravidly by mu neměl být dán přístup k žádným systémům. Bohužel zde často organizace selhávají, protože nový pracovník „musí hned začít dělat byznys“ a tak často ze základního proškolení o bezpečnosti IT sejde. Nejde o to, jen seznámit uživatele s příkazy a zákazy, ale hlavně mu vysvětlit, jak z jeho pohledu nevinné události mohou ohrozit bezpečnost dat organizace. Uživatel často ani netuší, jaké riziko představuje, když nechá rodinné příslušníky, aby „pracovali“ s jeho firemním notebookem a připojovali se nekontrolovaně na internet. Totéž platí o přenosných médiích. Uživatel musí být nejen poučen o pravidlech, ale měl by dostat základní informace o významu bezp. politiky a rizicích, která nedodržováním pravidel hrozí.

Bezpečnostní audit s rozumem

Mnohé firmy podlehnou pokušení provést bezpečnostní audit jenom s pomocí externího partnera a svěří se mu plně do rukou. Stejně jako není úplně ideální auditovat bezpečnost IT pouze svými prostředky, není také nejlepší cestou spolehnout se jen na externí autoritu. Základem by měla být interním IT definovaná bezpečnostní politika. Ta by měla vzniknout za aktivního přispění dalších oddělení, která by měla definovat povahu a hodnotu dat, která vytváří a zpracovávají. S takto vytvořenou bezpečnostní politikou může interní IT provést jakýsi „předaudit“, nakolik je tato politika naplňována v praxi. Na toto postačí pouhý seznam bodů s hodnotami splňujeme/splňujeme částečně/nesplňujeme. U posledních dvou hodnot (splňujeme částečně/nesplňujeme) by mělo být doplněno, proč tomu tak je. Je možné (a často to tak v praxi je), že splnění brání objektivní technické nebo jiné překážky.

Takto je společnost připravena definovat jasné zadání pro externího auditora či konzultanta v oblasti bezpečnosti a ví, jaká očekávání od této služby má. Zároveň je interní IT schopné plnohodnotně se účastnit auditu jako rovnoprávný partner a nikoliv jako mentorovaný žáček pod přísným zrakem zkoušejícího učitele, jak tomu v praxi často bývá. Bezpečnostní audit je proces zmapování aktuálního stavu bezpečnosti dat a hledání cest k nápravě nalezených nedostatků a zlepšení stávajícího stavu. Výstupem je jasná zpráva CO konkrétně potřebuje firma provést za změny a JAKÝ je smysl těchto změn s respektováním běžného provozu v podniku, reálné hodnoty spravovaných dat a s rozumným zhodnocením potenciálních rizik. Poté lze přistoupit k plánování investic do bezpečnosti dat s plným vědomím všech zúčastněných, proč se tak děje. Uživatelé si budou vědomi, jaké změny nastanou v jejich běžném používání výpočetní techniky a co je jejich důvodem. IT oddělení bude vědět, jak pracné bude realizovat navržené změny z pohledu implementace, následné údržby a provozu. Vedení společnosti či majitelé budou seznámeni s tím, proč tyto konkrétní náklady mají vynaložit.

Technické prostředky zabezpečení dat

Ve chvíli, kdy máme jasno v otázkách bezpečnostní politiky, víme, nakolik ji splňujeme a kde nás naopak bota tlačí, můžeme začít uvažovat o tom, jaké technické prostředky nám pomohou tyto nedostatky odstranit. I v této oblasti bych apeloval na „zdravý selský rozum“. Jistě je lákavé nakoupit high-end bezpečnostní systémy a zařízení, ale před nákupem bychom měli mít představu CO chceme řešit a JAKOU MÍRU bezpečnosti chceme dosáhnout. Jiná míra bezpečnosti bude rozumná v bance a jiná ve výrobním podniku. Různé organizace budou definovat odlišné druhy dat jako kritické. Vždy je třeba mít na paměti, že neexistuje obecně platná definice bezpečností politiky, obecná šablona bezpečnostního auditu a obecný seznam hardwarových a softwarových prostředků ochrany dat a informačních systémů. Vždy budete řešit tuto problematiku právě pro vaše prostředí a jen s vědomím neopakovatelnosti v této oblasti budete schopni dosáhnout stavu blízkého ideálnímu zabezpečení vašich dat a IT.

A nakonec domácí úkol…

Na závěr bych rád připomněl, že i doma dnes jistě máte IT prostředí, byť miniaturní a že i domácí IT by mělo respektovat alespoň základní principy bezpečnosti. Jako malý domácí úkol si zkuste definovat, jaké hrozby číhají na vaše „malé domácí IT“, jaká data vytváříte a uchováváte doma, co by znamenala jejich ztráta či zničení. Definujte si, do jakých prostředků pro zabezpečení dat chcete investovat s ohledem právě na cenu dat. Toto malé domácí cvičení vám pomůže k pochopení výše uvedených principů a pravidel před jejich aplikací v mnohem rozsáhlejší džungli podnikového IT.

Podobné příspěvky