ГлавнаяБлогиАзербайджанские БлогиФилософствуем на тему ИТ безопасности

Философствуем на тему ИТ безопасности

111

Безопасность есть безопасность. Классическая или физическая, она же в некоторых случаях human safety и информационная (как частный случай информационной безопасности – ИТ безопасность. Ниже именно об ИТ). Во всех случаях есть какие то уровни, стандарты, требования и нормы. Касательно физической безопасности, время взяло свое, и вроде сложилось какое то понимание того, что есть приемлемый уровень и где начинается паранойя. Все дело в том, что физическая безопасность это практически та же безопасность, что была пятьдесят лет назад. За пятьдесят лет не изменились угрозы естественные (наводнения, землетрясения)  или техногенные (пожары, взрывы, яды) и даже не очень изменились угрозы от людей (оружие все так же стреляет, ножи режут, бомбы взрываются).

Рассуждая о физической безопасности, руководители организации й владельцы бизнеса хорошо понимают о чем идет речь. У них есть конкретные объекты охраны, есть потенциальные цели для злоумышленника и есть стоимость каждого объекта (физического). Предположим, что имеется здание, в нем 20  сотрудников и касса с деньгами. Что нужно обезопасить? – Кассу. Кассу придут грабить вооруженные люди, а значит нам нужен вооруженный охранник, чтобы дать ответ грабителю.  Где поставим охранника – естественно перед входом в кассу или перед входом в здание. Если входов несколько? Ставим несколько охранников либо блокируем дополнительные входы. Что еще? Охранник может не справиться? Давайте поставим бронированную дверь. Вскрыть бронированную дверь вопрос времени? Ну, давайте еще кнопку вызова специальной группы реагирования. И для полноты картины установим камеру перед кассой, чтобы второй охранник мог видеть, что происходит перед кассой и с первым охранником. Охранник может уснуть? Добавим сигнализацию с датчиком движения. Давайте обезопасим еще и людей от грабителей и некоторых угроз. Не будем пускать в здание посторонних. У нас всего 20 человек – охранник может знать их в лицо. Все очень просто. Еще установим огнетушители и обозначим запасные выходы на случай необходимости покинуть здание. Остался маленький штрих  – установим пожарные датчики и систему тушения пожара, чтобы деньги не уничтожили.  Вроде все.

Мы очень быстро определились с угрозами и методами защиты. Почему? Потому что все наглядно. Главная цель – деньги. Доступ к ним через входы. Сотрудники тоже могут стать целью т.к. без них не будет работать касса, поэтому примем меры по охране людей тоже.

Увеличим организацию до размеров тысяча человек. Добавим ценные документы и необходимость перевозить деньги между нашей и какой то другой организацией. Больше людей, больше здание, больше входов.  Что меняется? Фактически только количество, если не считать новую функцию – передвигающиеся деньги.

Увеличим количество охранников, камер, датчиков. Ну еще поставим систему считывания пропусков, т.к. теперь охранник в лицо уже людей не узнает. Да, еще будем следить, чтобы не выносили документы ,  например проверять наугад сумки и портфели, плюс вести учет документов в неком архиве. Как возить и охранять деньги – все также как и с кассой. Бронируем машину и высылаем с ней вооруженного охранника.

И опять все довольно таки просто и доступно. Почему? Потому что нет ничего нового и все всем понятно. Все наглядно. Деньги, входы, выходы, оружие, броня.

Почему же с ИТ все не так?

Попробуем задать такой же сценарий, но из 21 века. Организация. Сотрудники. Деньги. Здание. Начнем сразу со второй организации с 1000 сотрудниками.

Итак, цель – деньги. А где они? На каких то серверах, причем виртуальных…на нескольких. И они как бы не очень деньги, а скорее какая то информация. Ладно, с деньгами не понятно. Давайте защищать входы. У нас есть здание, в нем люди, но многие люди работают не в здании, а со своих телефонов и компьютеров, через интернет, почту и т.д. Так, с входами тоже не понятно. Сотрудники, они ведь тоже могут стать угрозой. Например, случайно повредить информацию, передать ее не туда, уничтожить. А разве тоже самое нельзя было сделать в организации из прошлого века? Можно. Можно разлить чай на документы, случайно выбросить документ или порвать или выслать не туда или оставить бумаги так, что кто то успел их скопировать.

20-й век. Сотрудник разлил чай на документы и испортил или уничтожил их. Оправданий ему нет – «Разлить чай – так глупо, это же руки должны быть кривые, чтобы такое сделать».

21-й век. Сотрудник  нажал на непонятную ссылку в интернет, которая загрузила вирус. Уничтожены все документы и возможно не только, находящиеся у одного сотрудника.  Оправдания – «ну откуда он знал – там ведь все так сложно».

20-й век. Сотрудник выслал документ не туда. Оправданий нет –  «Ну ты ведь сам писал адрес! Как ты мог! Ну ладно беги на почту, может еще не отправили».

21-й век. В почтовой программе включено автозаполнение адреса. После нажатия «отправить» уже письмо не вернуть. Невнимательный сотрудник, но все же виноват компьютер. А что есть троян высылает информацию злоумышленнику? Ну тут то сотрудник не виноват – он ведь не знал.

20-й век. Кто то успел скопировать документ. Сотрудник неряшливый – разбрасывает бумаги как попало и не увидел, что кто то их успел забрать скопировать и положить на место. Плохой сотрудник.

21-й век – «файл всегда был вот здесь на рабочем столе. Я не в курсе». Опять эти сложные компьютеры с вирусами. Ну откуда мог сотрудник знать.

Кажется мы отошли от сути. На самом деле нет. Мы поняли, что подходы к физической и ИТ безопасности не могут быть одинаковыми. На самом деле нет. Они могут и должны быть одинаковыми, как минимум похожими.

Зададим вопросы еще раз, но не будем усложнять. Почему в первом случае мы защищали деньги? Потому что за последние тысячи лет человечество определило, что деньги (ну или золото, металлы и т.д.) есть нечто ценное и это нужно охранять. И это правда для любого человека, организации, страны.  Что мы сделали далее? Собрали все ценное в одну кассу, чтобы знать где они находятся. Далее решили от чего и как их защищать.

Попробуем тоже самое с информацией. Также как с ценными предметами типа денег и золота выберем среди «предметов» под названием единицы информации те, что предоставляют ценность. Скажем, в случае здравоохранения это наверное истории болезни, а в банковской сфере наверное список операций клиента – т.е. история движения денег.

Собираем всю информацию в одном месте – база данных. Остальную, менее ценную информацию, кладем в другие базы. Теперь у нас есть «касса».

Следующий вопрос – от чего защищаем? Нужно защитить от уничтожения, от несанкционированного изменения, от копирования и от чтения. Защита от уничтожения – резервная копия где то в другом месте (это даже лучше чем с деньгами! К сожалению деньги копировать нельзя). Защита от изменения – доступ по паролям (также как с пропуском в архив с правом добавлять новые папки). Защита от копирования – на выходах необходимо поставить «охранников» (некие программные агенты, которые следят за выносом информации). Защита от чтения – доступ по паролям (так же как с пропусками в здание). Входы и выходы-  опять таки проводя аналогии с безопасностью здания нужно посчитать все входы и закрыть все не нужные. На всех нужных входах и выходах поставить контроль.

Что происходит сегодня в большинстве организаций.

  1. Не определена ценная информация. Она разбросана по всюду. Если бы деньги были также разбросаны, то их было бы так же сложно сторожить как и информацию.
  2. В отличии от денег, информацию можно копировать. Даже сложив все самое ценное в «кассу» мы забываем, что копии остаются также разбросаны повсюду.
  3. Входы и выходы. Разбросав информацию по всем углам к ней дают доступы людям и различным приложениям. В результате количество возможных входов в «кассы» сложно сосчитать. Остаются неизвестные никому «двери» на которых нет «охраны».
  4. Люди. Самый интересный и сложный случай. Выше не зря было сравнение разлитого чая и нажатой ссылки. Мы можем назвать человека неуклюжим или даже «криворуким» если он не учел, что чашка слишком горячая и уронил ее. Но мы не можем сказать тоже самое если он нажал на вирусную ссылку.  Дальше о людях.

Почему же все так неопределенно, дорого и сложно с ИТ безопасностью? Вроде и стандарты придумали, и технологии есть, и обучение, и вроде ИТ безопасность без пяти минут наука. Но все равно, какая то путаница и нет ни единого подхода, ни какого то понимания как все по правильному должно быть.

Виноваты люди.

  1. Владелец бизнеса и руководитель организации виноват в первую очередь. Когда речь идет о замке, двери или пуленепробиваемом стекле, он скорее всего захочет, чтобы ему продемонстрировали  на сколько они прочные. И возможно даже пнет дверь ногой, чтобы лично убедиться как все надежно. Он будет внимательно слушать о том, что дверь может выдержать взрыв силой N грамм тротила или удар в 20 тонн или выстрелы из АК47 и эти названия, термины и цифры не будут для него незнакомыми. Потому что это вокруг нас – в школе, в кино и на улице. Тот же руководитель начнет морщиться, когда ему начнут рассказывать о неком устройстве, которое анализирует HTTP запросы на основе сигнатур и вылавливает CSRF атаки. Почему? Потому что руководитель считает, что это слишком сложно и ему не нужно этого знать. Но в то же время он очень хорошо разбирается в продукции компании, в правилах налогообложения, знает о том, что такое тратил и чем стреляет АК47.
  2. Виноват АйТишник-технарь. Тот, который рассказывает большому боссу о технологиях на языке, который понятен только АйТишнику. Тем самым он доводит до того, что большой бос не хочет слушать и понимать, а значит и решение принимать не будет. АйТишник виноват еще и в том, что он считает, что не должен разбираться в продукции компании, а должен заниматься компьютером.
  3. Есть еще бумажные ИТ. Это те которые пишут. Они виноваты в том, что просто пишут. Берут книжку и начинают списывать из нее правила. Бумажные ИТ часто игнорируют специфику бизнеса и возможности АйТишников.  А это приводит к тому, что вся писанина остается всего лишь писаниной. Бумажные ИТ виноваты в том, что вместо оптимизации занимаются выбиванием средств на новые технические игрушки для АйТишников, которыми они пользоваться не умеют.
  4. Каждый отдельный сотрудник виноват в том, что не считает нужным понимать, что такое безопасность в ИТ. Он знает о том, для чего нужен ремень безопасности в автомобиле, почему нужно быть осторожным с горючими веществами с оружием и т.д. Но о том для чего нужен сложный пароль, задумываться не хочет – «я же не айтишник». Но ты и не пожарник в конце концов, но знаешь ведь, что если поджечь канистру с бензинов то будет плохо и даже знаешь как бензин пахнет, хотя с ним сталкиваешь реже чем с паролями.

Как сказал мне один уважаемый человек «Ты рассказываешь мне об опасности, а где безопасность?» А безопасность она очень близко. Вот какие выводы можно сделать.

Боссам нужно привыкнуть к тому, что они вынуждены разбираться в ИТ также как и в финансах. АйТишникам нужно выйти из под купола технологий и чуть внимательнее приглядеться где и для какой цели работают эти технологии. Сотрудники компаний должны понимать,  что ИТ безопасность это почти так же важно как безопасность на автодороге (ключи, ремни, подушки, ABS, ESP, пароли, антивирусы, файрволы, IPS, IDS).

Касательно бумажных ИТ и в частности бумажных ИТБ (Безопасность). Пора признаться, что пытаясь защитить информационные ресурсы с помощью крутых технологических игрушек мы создаем еще больше угроз. Настраивая эти «игрушки» мы создаем дополнительные входы и риски, при этом создавая иллюзию безопасности. Сейчас все об этом говорят – оценка рисков. Все верно. Нужно оценивать риски. И это не должно быть сложно если этим будет заниматься не ИТ а бизнес. Проводя аналогии с физической безопасностью, мы ведь не пытались поставить на входе в кассу такую дверь, которая выдержала бы выстрел из танка. А в случае с ИТБ мы часто пытаемся защититься от «танка», забывая о том, что наша прочная дверь держится на непрочных петлях. И что еще хуже, дверь всегда открыта, а  ключи от этой двери у человека, который вообще не понимает, что это за дверь, что за ней и что делать если вдруг начнут стрелять.

Более конкретно. Наверное, нужно немного отойти от траты ресурсов на покупку всяких новых систем защиты и заняться следующим:

  1. Не завязывайся на стандартах и шаблонах. У каждого своя безопасность. Соответствовать всем стандартам не получится. Другое дело если сфера деятельности требует сертификации по тому или иному стандарту. Во всех остальных случаях, стандарты знать надо, но еще, обязательно, нужно глубоко понимать причины каждого отдельного пункта в стандарте и придерживаться тех, что приемлемы в отдельно взятой организации.
  2. Ближе к бизнесу. ИТ, ИТБ и основное производство (бизнес) организации должны стать ближе чем сейчас. Бизнес должен участвовать во всех процессах и не должен допускать самостоятельной работы ИТ и ИТБ
  3. «Воспитание» – просвещение «пользователя» практически бесплатное мероприятие, но дает реальные результаты. Зачастую сотрудники просто не знают о том, что разлитый на документы чай может их испортить.
  4. Классификация данных. Найти среди всех предметов самые ценные. Отыскать те самые «деньги», которые нужно защищать.
  5. Документация. Если не знать о том где входы и выходы и где какие ключи, то никакой охранник с автоматом не спасет от ограбления. Все ИТ системы должны быть подробно документированы, чтобы было понятно где вход, где выход и где деньги.
  6. Процедуры. Любые действия должны подчиняться какой либо процедуре. Это единственный способ контроля. Когда каждый сотрудник самостоятельно решает как действовать результат всегда непредсказуем.

Это совсем не значит, что нужно от технологий (систем мониторинга, сканирования, фильтров и т.д.) уйти в «бумажную» деятельность. Нам нужны технологии. Но техника защиты всегда должна сопровождаться тестами. Не протестированная система защиты – бесполезная вещь. Ну а с технологиями нужно быть осторожнее.  Нужно признать, что приемы маркетинга стали распространены в сфере ИТБ и теперь уже нужно отличать то, что действительно полезно от того, что модно. И пора бы уже перестать гнаться за технологиями – реальность показывает, что нам ее не догнать.

Меликов / Defcon.az

Компания NVIDIA представила свою новую флагманскую видеокарту на базе Pascal — Titan X
99 вопросов UX-анализа
Оформление подписки
Оформить подписку на журнал InfoCity вы можете заполнив приведенную
ниже форму. Стоимость одного выпуска — 1 манат.
Ваше имя
Адрес доставки журнала и номер телефона для контактов
Число месяцев подписки
Благодарим вас за подписку!