WYWIADY
EN FACE: Wojciech Materna...
... prezes Stowarzyszenia Informatyka Podkarpacka i szef rzeszowskiej firmy IT Top
Dyskryminacja i złe praktyki w przetargach publicznych
Rozmawiamy z dr. inż. Andrzejem Zalewskim z Politechniki Warszawskiej, biegłym sądowym, który brał udział w opracowywaniu rekomendacji dotyczących udzielania zamówień publicznych na dostawę zestawów komputerowych i systemów IT.
powiększ tekst 
ARCHIWUM
Nie należy bać się bezpieczeństwa
3 czerwca 2008
Mirosław Maj Jeśli miałbym przedstawić tylko jeden wniosek z przeprowadzonych badań, to byłoby to coś, co nazwałbym "bojaźnią przed bezpieczeństwem".Computerworld — Chodzi przede wszystkim o lęk przed przyznaniem się do tego, że w instytucji wystąpiły kłopoty związane z bezpieczeństwem systemów informatycznych, a - być może nawet - że w ogóle z ich bezpieczeństwem nie jest najlepiej. Informacje o wystąpieniu ataku docierają zazwyczaj najwyżej do kierownictwa instytucji, a kierownictwo dba o to, żeby nie wyszły na zewnątrz, a już w szczególności nie dotarły do jednostki nadrzędnej.
Nikt z respondentów, którzy reprezentowali zaatakowane instytucje, nie przekazał informacji o tym fakcie do swojej jednostki nadrzędnej. Tylko 5% poinformowało organy ścigania i tylko 7% zgłosiło problem do organizacji reagującej na takie zdarzenia. Tymczasem zgłaszanie i informowanie powinno być standardem. Jeżeli przynajmniej w sposób podstawowy dbamy o bezpieczeństwo naszych zasobów, to nie jest rzeczą wstydliwą przyznanie się, że ktoś zaatakował nasze systemy. Co więcej, takie działanie pozwala na poprawę sytuacji - nie tylko zresztą naszej, ponieważ o zagrożeniu, które nas dotknęło, mogą zostać poinformowani inni.
Brak skłonności do współpracy z podmiotami zewnętrznymi widać też w odpowiedzi na pytanie o metody kontroli zabezpieczeń. Najczęstszą metodą takiej oceny jest audyt własny i własne testy penetracyjne. Obie techniki są jak najbardziej godne zastosowania, niemniej jednak kontrola samego siebie nie zawsze jest najskuteczniejszą metodą.
Zauważyć niewidzialne
Skąd bierze się tak niska skłonność do współpracy z innymi? Z pewnością ważną rolę odgrywa obawa o wizerunek, lęk przed negatywną oceną ze strony innych. Być może jednak rzeczywiście nie ma tego podstawowego poziomu bezpieczeństwa i przyznanie się do tego staje się kłopotliwe. Czy wskazują na to inne wyniki ankiety?
Mimo że najprawdopodobniej na ankietę w większości odpowiedzieli ci, którzy chcieli się pochwalić, że u nich nie jest tak źle, to niektóre wyniki są niepokojące. Z dużym prawdopodobieństwem można powiedzieć, że odpowiedzialni za sieć administratorzy zauważają tylko to, co jest łatwe do zauważenia. Jeśli przyznają się do błędów, które u nich wystąpiły, to tylko do tych, których konsekwencje widać niemalże od razu (lub nie są one kłopotliwe w ujawnieniu). Odnotowują wirusy (68%) i błędy ludzkie (42%), ale kategorie takie jak "nieuprawniony dostęp do informacji wrażliwych", "wyniesienie danych" czy "dostęp do sieci bezprzewodowych" pojawiają się w odpowiedziach niezwykle rzadko. Zauważyć je jest z pewnością trudniej. Być może jednak warto sięgnąć głębiej do swojej sieci i prowadzić bardziej szczegółową kontrolę - w szczególności, czy ktoś z wewnątrz instytucji nie korzysta z niej w sposób nieuprawniony. 65% ankietowanych, którzy posiadają sieć bezprzewodową odpowiedziało, że ta sieć w ich instytucjach jest "raczej bezpieczna". Niestety, nasuwa się podejrzenie, że to "raczej" jest wynikiem niewiedzy, jak ją chronić i czy rzeczywiście nikt z niej nielegalnie nie korzysta. To jest właśnie fragment tego niewidzialnego zagrożenia.
Skutek tego, że jesteśmy świadomi tylko tego, co dobrze widzimy, jest widoczny w odpowiedziach na temat używanych technik bezpieczeństwa. Zdecydowanie najbardziej popularne rozwiązania to systemy antywirusowe i tzw. firewalle (w obydwu przypadkach zdecydowanie ponad 90%). Natomiast stosowanie technik szyfrowania, zarówno komunikacji, jak i zasobów, jest niezwykle rzadkie. Przejęcia niezaszyfrowanej poczty elektronicznej zazwyczaj nie widać.
Zresztą, sama technika to nie wszystko. Systemy antywirusowe posiadają niemalże wszystkie ankietowane instytucje, a to przecież właśnie "atak złośliwego oprogramowania (wirusów)" był wskazywany jako najczęściej występujący problem. Dlatego tym bardziej niepokoi fakt, że w niewielu instytucjach przeprowadzono szkolenia dla personelu. A przecież świadomość tego, jakich socjotechnik używają przestępcy do nakłonienia użytkownika, aby otworzył załącznik e-maila (czytaj: zainstalował konia trojańskiego na atakowanym komputerze), z pewnością zdecydowanie poprawiłaby tę sytuację.
Przede wszystkim organizacja
Na szczęście nie ze wszystkim jest źle. Jest dobrze, jeśli chodzi o wspomniane już, niektóre techniki ochrony (system antywirusowy, firewall). Bardzo dobrze jest z archiwizacją danych - istnieje ona w 90% przebadanych instytucji. Badanie pokazało jednak, że to aspekt organizacyjny jest kluczowy dla poprawienia bezpieczeństwa sieci. W wynikach widać wyraźną, pozytywną przewagę w zakresie stanu bezpieczeństwa w instytucjach, które wydzieliły specjalne komórki zajmujące się bezpieczeństwem. Tam jest wyższy poziom wiedzy na temat bezpieczeństwa IT, powszechniejsze stosowanie odpowiednich procedur i technik, są lepiej przeszkoleni użytkownicy, częściej i skuteczniej reaguje się na naruszenie bezpieczeństwa. W takich instytucjach zazwyczaj jest też wydzielony budżet na bezpieczeństwo IT, co często w ogóle pozwala przełamać niemoc w tej dziedzinie. Niestety, z badań wynika, że tylko 15% instytucji ma tego typu komórki.
Jakie są więc kluczowe wnioski z badania? Powołujmy struktury organizacyjne odpowiedzialne za bezpieczeństwo i nie obawiajmy się współpracować z innymi w poprawieniu i utrzymaniu bezpieczeństwa swoich sieci. Większość problemów związanych z technikami i organizacją bezpieczeństwa można dość łatwo rozwiązać. Warto pamiętać, że współpraca z innymi, na przykład zgłaszanie incydentów do zespołów typu CERT, może być pomocna nie tylko bezpośrednio dla nas, ale też przyczyniać się do ogólnej poprawy bezpieczeństwa sieci, co przecież jest zjawiskiem jak najbardziej korzystnym dla wszystkich.
Mirosław Maj pracuje w Naukowej i Akademickiej Sieci Komputerowej; jest kierownikiem zespołu CERT Polska.
wydrukuj
Komentarze
Ten artykuł nie ma jeszcze żadnych komentarzy. Twój może być pierwszy...
04-204 Warszawa ul. Jordanowska 12
tel.: (+48 22) 321 78 00 fax: (+48 22) 321 78 88
© copyright 2012 IDG Poland SA
tel.: (+48 22) 321 78 00 fax: (+48 22) 321 78 88
© copyright 2012 IDG Poland SA