Vladimir Djurdjič: Varnost pred vsem

Vladimir Djurdjič: Varnost pred vsem
Objavljeno: 26.3.2005 12:17 | Avtor: Vladimir Djurdjič | Kategorija: Mnenja | Revija: November 2004

Zdi se, da danes skoraj ni več teme v računalništvu in informatiki, ki ne bi bila prežeta s takimi ali drugačnimi vidiki varnosti. Nekaterim se to zdi počasi že nekako "oguljena" tema, o kateri vsi pišejo in iz katere vsi želijo skovati nekakšen dobiček ali kako drugo korist. Toda po drugi strani je res, da o varnosti nikoli ne vemo preveč. Zlasti zato, ker take informacije pogosto naletijo na gluha ušesa ali pa gredo skozi eno uho noter, skozi drugo pa takoj ven. Pogosto za načrti manjkajo ustrezna dejanja ali pa so ta nezadostna.

To seveda ne pomeni, da področje varnosti zanemarjamo. Prav nasprotno. Po nedavni raziskavi družbe IDC med največjimi svetovnimi podjetji se je celo izkazalo, da je področje varnosti po pomenu preraslo domala vsa druga področja, celo sam cenovni vidik naložb in vse bolj prisotne poizkuse omejitve, če ne celo zmanjšanja sredstev za informacijsko tehnologijo. Vsa pomembnejša področja in ponudniki varnostnih izdelkov doživljajo pravi razcvet, rast prodaje je med najvišjimi v računalništvu. V čem je torej problem?

Napaka je v dojemanju varnosti. Vse preveč ljudi meni, da je mogoče varnost preprosto kupiti. V obliki izdelka. Namestimo ga, malo preizkusimo in to je to. Najočitnejši plod takega razmišljanja so varnostne naprave (security appliances), ki vsaj v reklamah obljubljajo odstranitev vseh nevšečnosti, ne da bi morali na odjemalce namestiti dodatno programsko opremo in s tem porabiti potencialno kar obilo časa. So kot nekakšno "univerzalno zdravilo", ki brez truda odpravi vse tegobe tega časa, pa naj gre za viruse, nezaželeno pošto, vohunske programe, poskuse vdora in še kaj.

Čeprav so varnostne naprave in druga sodobna programska oprema dobrodošla orodja, ki nedvomno prispevajo k večji varnosti, pa pogosto pustijo napačen vtis. Občutek, da je s tem vse rešeno in se lahko posvetimo drugim stvarem, medtem ko se varnostni mehanizmi samodejno posodabljajo in skrbijo za "varnost". Ta občutek pa je pogosto celo bolj usoden, kot če bi imeli računalniški sistem povsem nezaščiten. Niso redki primeri, ko so bili velike zlorabe ravno tam, kjer so bili varnostni postopki "dorečeni", a v resnici docela nepopolni.

Iz vsega tega ni težko sklepati, da je varnost pravzaprav cilj nekega procesa, ki se mora odvijati nenehno in v katerem je zdrava mera skepse več kot dobrodošla. Varnost seveda niso samo orodja, temveč postopki in pravila, ki so zgrajena, usklajena na ravni celotnega podjetja in kar se da dosledno uporabljena v praksi. Zmotno je tudi pogosto razmišljanje, da je varnost računalniških sistemov zgolj naloga službe za IT. Varnost informacij v najširšem pomenu besede je namreč stvar vsakega uslužbenca, celo tistih, ki morda sploh ne uporabljajo računalnikov.

Lep zgled za ponazoritev tega so nevarnosti, ki pravzaprav prihajajo iz samega podjetja, ne pa nekje od zunaj, iz interneta. Kaj nam pomaga, če imamo še tako sodobne računalniške varnostne mehanizme, ko pa nam lahko nekdo mimo vratarja brez težav odnese cel fascikel papirja. Ali pa prenosni disk velikosti MP3 predvajalnika, na katerem je dovolj prostora, da lahko naredimo domala celotno kopijo poslovnega informacijskega sistema. Statistike kažejo, da večina zlorab računalniških sistemov pravzaprav prihaja iz samega podjetja ali pa so bile opravljene s pomočjo informacij, ki so prišle od "znotraj".

Velik dela razlogov, zakaj lahko pogosto govorimo o razmeroma veliki nevarnosti, je ta, da so varnostni mehanizmi postavljeni le enkrat, pa še teh se ne držimo povsem dosledno. Še več, če ni rednega nadzora, je samo vprašanje časa, kdaj bo vse skupaj degradiralo na izhodiščno stanje pred ukrepi. Velik del krivde gre na račun tistih, tudi v samih vodstvih podjetij, ki se z varnostnimi določili načelno strinjajo, v praksi pa ravnajo drugače.

Zato se je po svetu, zlasti v velikih podjetjih, začel uveljavljati profil delovnega mesta, ki mu nekateri že pravijo CISO (Chief Information Security Officer) ali direktor informacijske varnosti. Le človek s primerno avtoriteto in pooblastili lahko zagotovi resnično učinkovit, celovit in "živ" varnostni sistem, ki se nenehno razvija, prilagaja novim nevarnostim in optimizira že vpeljane procese. Predvidevam pa, da se bo ta tip delovnega mesta selil v vse manjša in manjša podjetja, pa čeprav le kot funkcija. Odgovornost, ki stoji za tem, si tako pozornost vsekakor zasluži.

Brez takega sistematičnega pristopa se kaj hitro znajdemo v razmerah, ko moramo za zagotovitev "nemotenega delovanja" skleniti kompromis, ta pa ruši vpeljani koncept. Lep praktičen zgled so uporabniki prenosnih računalnikov. Med temi je v podjetjih dobršen del takih, ki so na vodstvenih položajih. Žal moram ugotoviti, da se skoraj v vsakem podjetju med njimi najdejo tudi taki, ki svoj položaj zlorabijo in nehote s tem načenjajo varnostno politiko, ki so jo postavili drugi, pogosto v neki veji podrejeni.

Prenosnike uporabljajo doma v povsem zasebne namene, vanje nameščajo programe, ki so jih dobili iz sumljivih virov (ja, otroci imajo radi prenosnike), ob tem pa pozabljajo, kakšne posledice imajo njihova dejanja. Da ne govorimo o tistih, ki prenosnike pustijo na zadnjem sedežu avtomobila in jih dobesedno "ponujajo" še tako amaterskemu vlomilcu. Kaj šele profesionalcu, ki dobro ve, kakšno ceno imajo lahko informacije na disku prenosnika.

S tem pa smo se dotaknili le nekaterih vidikov pomanjkljive varnostne politike, ki pogosto dobro zastavljena, a le redko dosledno spoštovana. Glavna težava je v tem, da je že sama naloga identifikacije vseh varnostnih vidikov, na katere moramo biti pozorni, zelo, zelo zapletena. Naloga, ki zahteva že v malo večjem podjetju celega človeka ali celo ekipo ljudi. S tega stališča je torej zmotno, da to vlogo po logiki razmer samodejno pripišemo vodji informacijske službe (CIO) ali nekomu iz njegove ekipe. Ti ljudje imajo pogosto na skrbi že cel niz drugih nalog in težav, zato je vprašanje, kako temeljito in trajno se lahko posvetijo vidikom varnosti. Sploh pa je sporno, da varnost informacij pripisujemo tehnologiji, ne pa poslovnim procesom.

Varnostna politika je torej nov vidik v razvoju koncepta sodobnih poslovnih združb. Temu primerno zahteva tudi spremembo v strukturi, načinu razmišljanja in izvajanja nalog. Vloga direktorjev za informacijsko varnost pa ni izolirana izjema in posebnost v korporativnem okolju, saj zahteve novega poslovnega okolja narekujejo vpeljavo novih delovnih mest, ki so prav tako mešanica informacijskih in poslovnih vplivov. Eno takih je mesto za vodje korporativnega razvoja (CEA, Chief Enterprise Architect), ki združuje smer poslovnega in informacijskega razvoja v celovit in nenehno obnavljajoč se proces. A to je že druga tema.

Vse preveč ljudi meni, da lahko varnost preprosto kupimo. V obliki izdelka. Ga namestimo, malo pretestiramo in to je to.

Naroči se na redna tedenska ali mesečna obvestila o novih prispevkih na naši spletni strani!
Prijava

Komentirajo lahko le prijavljeni uporabniki