IT v krizi nebo krize v IT?

  • Autor příspěvku
  • Rubriky příspěvkuPráce
  • Čas na čtení:10 minuty čtení

Krize – slovo v dnešní době skloňované ve všech pádech. Jak se dotýká tato nemoc dneška vašeho IT? Prvním krokem téměř všech postižených firem bylo omezení či přímo zastavení investic do IT. Pominu smysluplnost kroku zakonzervovat oblast, která je pro provoz dnešních firem naprosto klíčová. Neviditelným důsledkem krize pro IT je razantní zvýšení bezpečnostních rizik. V čem je situace bezpečnosti IT jiná než před krizí, můžete se asi ptát? Před manažery IT v podnicích nyní bude postaven do dnešní doby mnohdy opomíjený úkol. Kromě starosti o „nepřítele před branami“ a budování hradeb proti útokům z internetu bude nyní nutno bedlivě sledovat „vnitřního nepřítele“. Ne, nejde o další hon na čarodějnice ve stylu padesátých let minulého století, ale o naprosto reálnou hrozbu pro vaše data.

Obchod je válka

Zkusme se podívat na tento problém očima lidí z obchodu, nikoliv z IT. Je ekonomická krize, kvůli navázání naší země na automobilový průmysl neujde problémům téměř nikdo. Pakliže nepodnikáte přímo v automobilovém průmyslu či nejste jedním s tisíců dodvatelů a subdodavatelů automobilek, jistě máte alespoň nemalé procento zákaznické báze právě z tohoto postiženého segmentu trhu. To znamená, že nepřímo dožene vlna omezování investic a nákupů téměř každou firmu v této zemi.
Vaši zákazníci budou zcela jistě šetřit a předpovědi obchodního oddělení, ještě před rokem optimisticky plné rozjednaných zakázek, začnou strádat na úbytě. Pokud ještě před rokem byl problém sehnat kapacity na splnění všech dojednaných obchodů, je dnes problémem č. 1 uzavření tolika obchodů, aby zajistil „uživení“ vašich stávajících kapacit. Zatímco před rokem jste téměř nepocítili odchod obchodníka, který si „odnesl“ 20 % z rozjednaných obchodů, které představovaly např. 150 % kapacit kterými jste reálně disponovali, dnes může být stejná ztráta smrtící. Konkurenční boj se tak více než kdy jindy zostří a lze čekat reálnou válku. Zatímco dříve se mlčky tolerovalo, že odcházející klíčoví lidé si berou s sebou „své obchody“ a „své vazby“, dnes se tento trend zhoupl do stavu, že odcházející lidé si snaží odnést i kontakty a obchody svých kolegů.

Si vis pacem, para bellum

Latinské přísloví (Chceš-li mír, připravuj válku) plně vystihuje dnešní situaci. Ano, ten kdo byl připraven na válku, zažívá dnes klid a může se soustředit na vlastní obchod. Ty firmy, které lehkomyslně pomíjely vnitřní bezpečnost IT, se dnes mohou potýkat s naprosto existenčními problémy. Ale přesto, že válka již vypukla, není pozdě se bránit a pokud ne přímo předejít škodám, tak alespoň minimalizovat případné následky.

Jaké otázky by měl klást majitel/manažer firmy svému IT?
·        jak jsou kontrolovány přístupy uživatelů do sítě
·        jaké oblasti dat jsou přístupné konkrétním uživatelům či skupinám uživatelů
·        jakým způsobem je kontrolován/auditován přístup k datům, včetně neúspěšných pokusů obejít přístupová práva
·        jak jsou kontrolovány komunikační kanály spojující firmu s okolním světem
·        kteří uživatelé/skupiny uživatelů mají přístup k jakým komunikačním kanálům
·        jak je kontrolováno zacházení uživatelů s přenosnými médii a periferními zařízeními
·        jak je kontrolováno připojování cizích zařízení a PC do firemní sítě
Pojďme popořadě projít zmíněné „bolavé“ oblasti.

Důsledná správa uživatelů, základ úspěchu

Základem jakéhokoliv bezpečnostní politiky je poctivě vedená správa uživatelských účtů. K čemu je sofistikovaný systém přístupových práv k datům a souborům, když nejsme schopni zjistit, že na účet pracovníka, který je již dva roky mimo společnost, někdo stále vesele pracuje? Naprosto fatální je také ignorování možností, které použitý systém správy účtů (typicky nějaká adresářová služba LDAP, jako např. Microsoft Active Directrory) poskytuje. Je třeba mít pod kontrolou celý „životní cyklus“ uživatelského účtu.  Na začátku požadujme jasná pravidla, kdo ve společnosti je zmocněn požadovat po IT vytvoření uživatelských účtů, kdo má práva požadovat změny účtů a přístupů a trvejme na tom, že HR důsledně bude informovat o dočasně (rodičovská dovolená, dlouhodobě nemocní, atd.) nebo trvale odcházejících pracovnících. IT má také pravidelně prověřovat, zdali některé účty nejsou neaktivní příliš dlouhou dobu (typicky 1-2 týdny) a případně je deaktivovat pro přihlašování. Další opomíjenou vlastností správy účtů je omezení pracovní doby, tj. doby, ve které se lze na účet přihlásit. U velké většiny administrativních pracovníků lze definovat minimálně dobu, kdy by neměli ve firemní síti pracovat. Pokud toto neumíme nastavit, jistě lze analýzou logů (na to existují cenově dostupné nástroje) zjistit aktivity uživatelů v neobvyklou dobu.

Přístupy, přístupy a zase přístupy

Pokud tedy kontrolujeme a řídíme uživatelské účty, pak je možno přikročit ke správě uživatelských přístupů. Cestou do pekel jsou individuální definice přístupů pro konkrétní uživatele. Vždy je lepší definovat skupiny uživatelů se stejnými právy přístupu ke konkrétní službě či datům. Nastavení práv se tak děje na skupinu, která se v čase obvykle nemění (nebo minimálně) a jen pouhým vřazením do či smazáním ze skupiny nastavíme uživateli dané oprávnění.
Pokud hovoříme o přístupech ke službám a datům, je vhodné auditovat (a de facto všechny běžné systémy to umožňují) přístupy uživatelů – jak úspěšné, tak i neúspěšné. Kromě neúspěšných pokusů o přístupy, které nezřídka systémy vyhodnotí a hned nahlásí správci formou mailu či jiného upozornění, nás musí zajímat i z hlediska systému legitimní aktivity uživatele, které ovšem vykazují nějaké neobvyklé vlastnosti. Tak  nás např. zajímá, proč se pan XY přihlašuje v noci a přistupuje k souborovému serveru, kde je výkresová dokumentace našich projektů? Nebo proč odcházející finanční controller ve tři ráno tiskne na tiskárnu v účtárně? Obvykle takové jevy v logu není snadné (pokud to přímo není nemožné) najít. Opět ale existují nástroje, které dokáží najít i takové, z hlediska systému korektní, ale z hlediska naší bezpečnostní politiky neobvyklé či přímo nebezpečné aktivity.

Není nad dobrého vrátného

Další oblastí, kterou je nutno mít důsledně pod kontrolou, jsou komunikační kanály spojující firmu s vnějším světem. Dnes není problém mailem poslat desítky nebo dokonce stovky MB dat, aniž si toho někdo všimne. Totéž platí o přístupu na internet, kdy přes různé elektronické úschovny dat dokážete během pár minut odtransportovat z firmy obrovské množství dat, aniž to vzbudí pozornost. I při naprosto důsledné správě účtů a přístupů uživatelů k datům budete těžko kontrolovat, kam tito uživatelé „odešlou“ data, k nimž mají naprosto legitimní přístup. Kromě základu, tj. důsledného logování provozu na těchto komunikačních kanálech, je velice žádoucí definovat a implementovat politiku „kdo, kdy, kam a jaká data“ smí touto cestou transportovat. Na trhu se nabízí systémy, které důsledně ohlídají, že mailem nepůjde odeslat nic, co je ve formátech dokumentů, které nesmí opustit firmu (samozřejmý je systém výjimek pro vybrané uživatele) a to dokonce i pokud uživatel takové dokumenty „zabalí“ některým archivačním programem (typicky populární ZIP), včetně zaheslování takového archivu. Totéž, co zde je napsáno o mailu, lze aplikovat, opět s pomocí vhodného software, na přístup k webu a různým „elektronickým úschovnám“.
Spolehlivý strážce pomyslné brány v podobě mailového serveru či webové proxy je prostě k nezaplacení.

Perifierie a přenosná média – Achilova pata vnitřní bezpečnosti

Přes všechno, co zde bylo popsáno, zbývá ještě jedno slabé místo. Nyní dokážete kontrolovat tok dat mimo firmu, ale jen pokud uživatel použije některý komunkační kanál spojující firmu online s vnějším světem. Zbývá ale problém, jak ošetřit, že si uživatel nepřipojí USB flash disk (SD kartu z foťáku, mobilní telefon, PDA, atd.) a bez problémů si neodnese kopii dat v kapse mimo firmu. Neprávem opomíjenou oblastí byla donedávna právě kontrola periferních zařízení. A přitom je to při kapacitách dnešních přenosných médií a směšných cenách za 1 GB prostoru naprosto nejjednodušší cesta, jak odnést firmě data. Opět v omezené míře dokážete ošetřit některé případy prostředky operačního systému, ale pouze software třetích stran dokáže ošetřit i toto nebezpečí.

Štěstí přeje připraveným

Je naprosto zřejmé, že válka o informace a data se přesunula dovnitř firemní infrastruktury. Kdo se v „době hojnosti“ před aktuální krizí nepřipravil na tuto eventualitu, může (a to doslova) splakat nad výdělkem. Chcete čekat, až se konkurence slétne jako hejno supů na vaše zákazníky, vaše know-how a další strategická data jen proto, že jste „ušetřili“ na interní bezpečnosti IT? Nebo se raději dáte do práce, dokud jsou vaše „informační sýpky“ plné a myši (interní uživatelé) si je ještě