Rutyna zabija
Dodano:
Rozmowa z Robertem Koślą, zastępcą dyrektora Departamentu Bezpieczeństwa Teleinformatycznego (DBTI) w Agencji Bezpieczeństwa Wewnętrznego
Co powinien sprawdzić i czym się kierować pracodawca, chcąc zatrudnić pracownika na stanowisko związane z bezpieczeństwem firmy?
Przede wszystkim należy poznać wykształcenie i przebieg dotychczasowego zatrudnienia oraz ustalić predyspozycje zawodowe. Przepisy uprawniają też pracodawcę, ze względu na specyfikę stanowiska, do pozyskiwania innych danych, np. zaświadczenia o niekaralności. Może on też pozyskiwać inne informacje, o ile zostaną przekazane przez osobę ubiegającą się o zatrudnienie. Nie wolno mu wywierać na kandydata żadnej presji, ale może korzystać z powszechnie dostępnych źródeł. Dużo większe są oczywiście możliwości sprawdzenia kandydata do pracy na stanowisku związanym z dostępem do informacji niejawnych.
Jakimi uprawnieniami i doświadczeniem powinna się wykazać osoba ubiegająca się o stanowisko związane z bezpieczeństwem teleinformatycznym?
Przede wszystkim należy od niej wymagać znajomości odpowiednich przepisów, podstaw administrowania systemem operacyjnym oraz udziału w specjalistycznym przeszkoleniu prowadzonym przez Departament Bezpie-czeństwa Teleinformatycznego ABW. Jej pracę mają wspierać wyznaczeni pracownicy pionu ochrony, pełniący funkcję inspektora bezpieczeństwa teleinformatycznego.
Jak Pan ocenia sposób rekrutacji osób na stanowiska związane z bezpieczeństwem?
Najczęstszą praktyką jest zatrudnianie w pionie ochrony byłych funkcjonariuszy lub żołnierzy zawodowych i powierzanie im funkcji inspektorów bezpieczeństwa teleinformatycznego. Osoby te zazwyczaj dysponują dużym doświadczeniem w zakresie obiegu informacji niejawnych i zasad ich ochrony. Sprawa komplikuje się w przypadku administratorów systemów - tutaj najczęściej zatrudnia się informatyków z dłuższym lub krótszym stażem, a co za tym idzie - z mniejszymi lub większymi doświadczeniem i wiedzą.
Do końca 2004 r. DBTI przeszkolił ponad 200 administratorów systemów i inspektorów bezpieczeństwa teleinformatycznego. Z osobami tymi spotykamy się później, pomagając im rozwiązywać problemy dotyczące ochrony informacji (np. na konsultacjach dotyczących wyboru urządzeń kryptograficznych lub zabezpieczeń elektromagnetycznych), a także podczas prowadzonych przez nas kontroli.
Jakie błędy popełniają najczęściej pracodawcy przy rekrutacji takich pracowników?
Główny grzech to zbytnia wiara w informacje przedstawione przez kandydatów w życiorysie lub liście motywacyjnym. Należy zwracać uwagę na rzetelność przedstawianych referencji, weryfikować je i praktycznie sprawdzać deklarowane umiejętności.
W przypadku osób odpowiedzialnych za bezpieczeństwo systemów i sieci teleinformatycznych duże znaczenie ma stałe podnoszenie kwalifikacji - tu nie ma miejsca na rutynę i niedostrzeganie nowych zagrożeń.
Czy często spotyka się Pan z przykładami pokazującymi, że lekceważenie spraw bezpieczeństwa przyniosło poważne negatywne skutki dla firm czy instytucji?
Przypadki lekceważenia zasad zarządzania bezpieczeństwem systemów i sieci najczęściej wychodzą na jaw podczas kontroli bezpieczeństwa teleinformatycznego. Istotne jest, aby wyciągać z nich wnioski. Popularnym tematem ubiegłego roku było postępowanie z nośnikami komputerowymi, zasady ich powtórnego wykorzystania, dzięki czemu wzrosło zainteresowanie administratorów systemów narzędziami do usuwania danych z nośników i ich fizycznego niszczenia. Inny błąd to złe decyzje co do wyboru środków ochrony kryptograficznej lub elektromagnetycznej do ochrony informacji niejawnych.
Co jest najbardziej niebezpieczne dla firmowych systemów teleinformatycznych?
Ataki na nie powodują dwa rodzaje szkód. Pierwszy to bezpośrednie straty materialne, związane z uszkodzeniem zasobów teleinformatycznych danej instytucji, koniecznością ich odtworzenia i co się z tym wiąże - niemożliwością świadczenia usług drogą elektroniczną. Drugi rodzaj to straty pośrednie, np. negatywny wpływ na wizerunek i wiarygodność danej firmy, choćby w wyniku ataku polegającego na zamianie treści witryny internetowej. Poszkodowani często jednak nie chcą upubliczniać informacji na ten temat w obawie o utratę klientów, choć wykrycie ataku dowodzi, że prowadzą działania związane z ochroną swoich zasobów teleinformatycznych.
Jakie ataki są najgroźniejsze dla firm?
W przypadku firmy świadczącej usługi drogą elektroniczną najgroźniejsze jest zablokowanie możliwości dokonywania transakcji, najczęściej przez atak typu: odmowa usługi (Denial of Service). Stuprocentowa ochrona przed nim jest obecnie niemal niemożliwa. Można jedynie ograniczać ich skutki i skracać czas niezbędny do wznowienia usług.
Inne zagrożenie to nieuprawnione ujawnienie wrażliwych informacji przetwarzanych w sieci wewnętrznej. Mimo stosowania wielu rozwiązań separujących sieci wewnętrzne od publicznych (np. zapory sieciowe) nie można całkowicie wyeliminować ryzyka włamania do nich lub nieuprawnionego przekazania informacji poza sieć wewnętrzną. Najskuteczniejsza ochrona to ich przetwarzanie na wydzielonych stanowiskach.
Skąd pochodzi większe zagrożenie dla systemu teleinformatycznego firmy - ze strony pracowników czy włamywaczy?
Najczęściej zgłaszane są przypadki ataków sieciowych z sieci zewnętrznych. Ale najgroźniejsze są te przeprowadzane z wewnątrz sieci, dla których zakłada się wyższy poziom zaufania. Wprowadzenie zbyt rygorystycznej polityki bezpieczeństwa sieci wewnętrznej wpływa jednak negatywnie na jej funkcjonalność i dostępność. Należy więc znaleźć złoty środek; stosować segmentację sieci wewnętrznej, silne uwierzytelnienie użytkowników, rozliczanie ich działań, częste audyty oraz rozdział uprawnień administracyjnych.
Czy w Polsce można już mówić o tworzeniu się środowiska tzw. underground economy, czyli hakerów, którzy za pieniądze oferują swoje usługi firmom czy osobom chcącym się włamywać do systemów teleinformatycznych firm?
Informacja jest towarem, który ma swoją cenę. Również u nas hakerzy dokonują przestępstw komputerowych na zlecenie, głównie polegających na łamaniu zabezpieczeń stosowanych w oprogramowaniu. To już nie są pojedyncze incydenty, ale miniprzemysł powiązany z nielegalną dystrybucją oprogramowania. Jeśli zaś chodzi o włamania w celu uzyskania informacji (m.in. szpiegostwo przemysłowe), to w Polsce wciąż taniej jest podkupić pracownika (np. administratora), aniżeli zatrudniać grupę hakerów, nie mając pewności, czy interesujące informacje znajdują się w sieci wewnętrznej mającej styk z internetem.
Na jaką pomoc może liczyć firma gnębiona przez hakerów czy spamerów?
Wraz z działającym w strukturze NASK zespołem reagowania CERT Polska rozpoczęliśmy prace nad Krajowym Systemem Ochrony Krytycznej Infrastruktury TeleInformatycznej. Ma on m.in. reagować na zgłoszenia przypadków naruszenia bezpieczeństwa teleinformatycznego. Analiza informacji o zagrożeniach, podatnościach i incydentach ma być jednym z głównych zadań Krajowego Systemu Ochrony Krytycznej Infrastruktury Teleinformatycznej (KSOKITI), nad którym NASK i DBTI podjęły prace studialne.
Jak często zdarzają się takie ataki?
Ze statystyk CERT Polska wynika, że w 2003 roku zgłoszono ich około 1200. Ich liczba rośnie z roku na rok. Najnowsze zestawienie za rok 2004 zostanie przygotowane do końca stycznia.
Jaki wpływ na poziom bezpieczeństwa w firmie mają regulacje prawne?
Zasadniczy. Najważniejszymi czynnikami dla ochrony informacji przetwarzanych w systemach i sieciach teleinformatycznych są:
- prawidłowy dobór personelu - kryterium fachowości;
- specjalizacja - ochrona fizyczna, kryptograficzna, obieg wrażliwych informacji;
- właściwe miejsce w strukturze organizacyjnej - bezpośrednia podległość kierownictwu;
- stałe wsparcie ze strony kierownictwa dla działań pionu bezpieczeństwa (co najmniej zrozumienie jego roli);
- stałe podnoszenie i doskonalenie umiejętności;
- motywacja finansowa - albo nas stać na określony poziom bezpieczeństwa, albo wkalkulowujemy ryzyko związane ze stosowaniem jego "protezy".
Trzeba przy tym pamiętać, że nie da się zapewnić systemom 100-procentowego bezpieczeństwa.
Jakie zaniedbania występują najczęściej w polskich firmach przy budowie systemów informatycznych?
Brak precyzyjnych założeń projektowych w zakresie bezpieczeństwa. Dostawca systemu IT bywa często jedynym konsultantem zamawiającego.
Co znamy, z czego korzystamy
W jaki sposób można zabezpieczyć komputer przed zagrożeniem? (dane w proc.)
programy antywirusowe - 64
firewall - 9
nieotwieranie wiadomości od nieznanych nadawców - 4
nieotwieranie załączników w poczcie od nieznanych nadawców - 2
nieściąganie żadnych plików ze stron WWW - 2
nie wiem, trudno powiedzieć - 25
Stosowane zabezpieczenia
programy antywirusowe - 55
firewall - 7
nieotwieranie wiadomości od nieznanych nadawców - 4
nieotwieranie załączników w poczcie od nieznanych nadawców - 2
nieściąganie żadnych plików ze stron WWW - 1
żadne - 24
Źródło: Centrum Bezpieczeństwa Microsoft
Badanie przeprowadzone na ogólnopolskiej, losowej próbie 800 osób korzystających z komputerów w wieku 15-59 lat
Czy outsourcing zasobów informatycznych jest bezpieczny?
Wiele firm ma obawy, czy powierzanie swych systemów informatycznych i zgromadzonych tam danych firmom outsourcingowym jest bezpieczne. Często pada pytanie, do którego momentu odpowiedzialność za sprawność systemu ponosi firma zewnętrzna, a kiedy spoczywa ona na użytkownikach, którzy często bywają sprawcami dużej części problemów nękających firmowe systemy IT.
Klient ma prawo wymagać od zleceniobiorcy zapewnienia bezpieczeństwa technicznego, psychologicznego i prawnego.
Bezpieczeństwo techniczne gwarantują centra przetwarzania danych (data center) - profesjonalne serwerownie odpowiednio zabezpieczone przed utratą z powodu kradzieży lub zdarzeń losowych.
- Na straży danych naszych klientów stoją procedury obejmujące podział na strefy i monitorowanie obiektu, alarmy antywłamaniowe i pożarowe oraz elektroniczną kontrolę dostępu - mówi Arnold Nowak, członek zarządu firmy Itelligence, która oferuje takie usługi.
Bezpieczeństwo psychologiczne; klienci często niepokoją się o dostęp do danych osób niepowołanych, zapominając o tym, że pracownicy firmy outsourcingowej
nie potrafią zwykle wskazać strategicznych informacji. Poza tym własny pracownik niewiele ryzykuje, sprzedając informacje, a dla firmy outsourcingowej dobra opinia klientów to podstawa istnienia.
W kwestiach bezpieczeństwa prawnego szczególnie ważne jest ustalenie wzajemnej odpowiedzialności i sposobu komunikacji oraz raportowania podczas okresu obowiązywania umowy. W wypadku nieprzewidzianych zdarzeń klient powinien otrzymać gwarancję odtworzenia systemu w przewidzianym umową terminie, może też dochodzić odszkodowania za poniesione straty.
Przede wszystkim należy poznać wykształcenie i przebieg dotychczasowego zatrudnienia oraz ustalić predyspozycje zawodowe. Przepisy uprawniają też pracodawcę, ze względu na specyfikę stanowiska, do pozyskiwania innych danych, np. zaświadczenia o niekaralności. Może on też pozyskiwać inne informacje, o ile zostaną przekazane przez osobę ubiegającą się o zatrudnienie. Nie wolno mu wywierać na kandydata żadnej presji, ale może korzystać z powszechnie dostępnych źródeł. Dużo większe są oczywiście możliwości sprawdzenia kandydata do pracy na stanowisku związanym z dostępem do informacji niejawnych.
Jakimi uprawnieniami i doświadczeniem powinna się wykazać osoba ubiegająca się o stanowisko związane z bezpieczeństwem teleinformatycznym?
Przede wszystkim należy od niej wymagać znajomości odpowiednich przepisów, podstaw administrowania systemem operacyjnym oraz udziału w specjalistycznym przeszkoleniu prowadzonym przez Departament Bezpie-czeństwa Teleinformatycznego ABW. Jej pracę mają wspierać wyznaczeni pracownicy pionu ochrony, pełniący funkcję inspektora bezpieczeństwa teleinformatycznego.
Jak Pan ocenia sposób rekrutacji osób na stanowiska związane z bezpieczeństwem?
Najczęstszą praktyką jest zatrudnianie w pionie ochrony byłych funkcjonariuszy lub żołnierzy zawodowych i powierzanie im funkcji inspektorów bezpieczeństwa teleinformatycznego. Osoby te zazwyczaj dysponują dużym doświadczeniem w zakresie obiegu informacji niejawnych i zasad ich ochrony. Sprawa komplikuje się w przypadku administratorów systemów - tutaj najczęściej zatrudnia się informatyków z dłuższym lub krótszym stażem, a co za tym idzie - z mniejszymi lub większymi doświadczeniem i wiedzą.
Do końca 2004 r. DBTI przeszkolił ponad 200 administratorów systemów i inspektorów bezpieczeństwa teleinformatycznego. Z osobami tymi spotykamy się później, pomagając im rozwiązywać problemy dotyczące ochrony informacji (np. na konsultacjach dotyczących wyboru urządzeń kryptograficznych lub zabezpieczeń elektromagnetycznych), a także podczas prowadzonych przez nas kontroli.
Jakie błędy popełniają najczęściej pracodawcy przy rekrutacji takich pracowników?
Główny grzech to zbytnia wiara w informacje przedstawione przez kandydatów w życiorysie lub liście motywacyjnym. Należy zwracać uwagę na rzetelność przedstawianych referencji, weryfikować je i praktycznie sprawdzać deklarowane umiejętności.
W przypadku osób odpowiedzialnych za bezpieczeństwo systemów i sieci teleinformatycznych duże znaczenie ma stałe podnoszenie kwalifikacji - tu nie ma miejsca na rutynę i niedostrzeganie nowych zagrożeń.
Czy często spotyka się Pan z przykładami pokazującymi, że lekceważenie spraw bezpieczeństwa przyniosło poważne negatywne skutki dla firm czy instytucji?
Przypadki lekceważenia zasad zarządzania bezpieczeństwem systemów i sieci najczęściej wychodzą na jaw podczas kontroli bezpieczeństwa teleinformatycznego. Istotne jest, aby wyciągać z nich wnioski. Popularnym tematem ubiegłego roku było postępowanie z nośnikami komputerowymi, zasady ich powtórnego wykorzystania, dzięki czemu wzrosło zainteresowanie administratorów systemów narzędziami do usuwania danych z nośników i ich fizycznego niszczenia. Inny błąd to złe decyzje co do wyboru środków ochrony kryptograficznej lub elektromagnetycznej do ochrony informacji niejawnych.
Co jest najbardziej niebezpieczne dla firmowych systemów teleinformatycznych?
Ataki na nie powodują dwa rodzaje szkód. Pierwszy to bezpośrednie straty materialne, związane z uszkodzeniem zasobów teleinformatycznych danej instytucji, koniecznością ich odtworzenia i co się z tym wiąże - niemożliwością świadczenia usług drogą elektroniczną. Drugi rodzaj to straty pośrednie, np. negatywny wpływ na wizerunek i wiarygodność danej firmy, choćby w wyniku ataku polegającego na zamianie treści witryny internetowej. Poszkodowani często jednak nie chcą upubliczniać informacji na ten temat w obawie o utratę klientów, choć wykrycie ataku dowodzi, że prowadzą działania związane z ochroną swoich zasobów teleinformatycznych.
Jakie ataki są najgroźniejsze dla firm?
W przypadku firmy świadczącej usługi drogą elektroniczną najgroźniejsze jest zablokowanie możliwości dokonywania transakcji, najczęściej przez atak typu: odmowa usługi (Denial of Service). Stuprocentowa ochrona przed nim jest obecnie niemal niemożliwa. Można jedynie ograniczać ich skutki i skracać czas niezbędny do wznowienia usług.
Inne zagrożenie to nieuprawnione ujawnienie wrażliwych informacji przetwarzanych w sieci wewnętrznej. Mimo stosowania wielu rozwiązań separujących sieci wewnętrzne od publicznych (np. zapory sieciowe) nie można całkowicie wyeliminować ryzyka włamania do nich lub nieuprawnionego przekazania informacji poza sieć wewnętrzną. Najskuteczniejsza ochrona to ich przetwarzanie na wydzielonych stanowiskach.
Skąd pochodzi większe zagrożenie dla systemu teleinformatycznego firmy - ze strony pracowników czy włamywaczy?
Najczęściej zgłaszane są przypadki ataków sieciowych z sieci zewnętrznych. Ale najgroźniejsze są te przeprowadzane z wewnątrz sieci, dla których zakłada się wyższy poziom zaufania. Wprowadzenie zbyt rygorystycznej polityki bezpieczeństwa sieci wewnętrznej wpływa jednak negatywnie na jej funkcjonalność i dostępność. Należy więc znaleźć złoty środek; stosować segmentację sieci wewnętrznej, silne uwierzytelnienie użytkowników, rozliczanie ich działań, częste audyty oraz rozdział uprawnień administracyjnych.
Czy w Polsce można już mówić o tworzeniu się środowiska tzw. underground economy, czyli hakerów, którzy za pieniądze oferują swoje usługi firmom czy osobom chcącym się włamywać do systemów teleinformatycznych firm?
Informacja jest towarem, który ma swoją cenę. Również u nas hakerzy dokonują przestępstw komputerowych na zlecenie, głównie polegających na łamaniu zabezpieczeń stosowanych w oprogramowaniu. To już nie są pojedyncze incydenty, ale miniprzemysł powiązany z nielegalną dystrybucją oprogramowania. Jeśli zaś chodzi o włamania w celu uzyskania informacji (m.in. szpiegostwo przemysłowe), to w Polsce wciąż taniej jest podkupić pracownika (np. administratora), aniżeli zatrudniać grupę hakerów, nie mając pewności, czy interesujące informacje znajdują się w sieci wewnętrznej mającej styk z internetem.
Na jaką pomoc może liczyć firma gnębiona przez hakerów czy spamerów?
Wraz z działającym w strukturze NASK zespołem reagowania CERT Polska rozpoczęliśmy prace nad Krajowym Systemem Ochrony Krytycznej Infrastruktury TeleInformatycznej. Ma on m.in. reagować na zgłoszenia przypadków naruszenia bezpieczeństwa teleinformatycznego. Analiza informacji o zagrożeniach, podatnościach i incydentach ma być jednym z głównych zadań Krajowego Systemu Ochrony Krytycznej Infrastruktury Teleinformatycznej (KSOKITI), nad którym NASK i DBTI podjęły prace studialne.
Jak często zdarzają się takie ataki?
Ze statystyk CERT Polska wynika, że w 2003 roku zgłoszono ich około 1200. Ich liczba rośnie z roku na rok. Najnowsze zestawienie za rok 2004 zostanie przygotowane do końca stycznia.
Jaki wpływ na poziom bezpieczeństwa w firmie mają regulacje prawne?
Zasadniczy. Najważniejszymi czynnikami dla ochrony informacji przetwarzanych w systemach i sieciach teleinformatycznych są:
- prawidłowy dobór personelu - kryterium fachowości;
- specjalizacja - ochrona fizyczna, kryptograficzna, obieg wrażliwych informacji;
- właściwe miejsce w strukturze organizacyjnej - bezpośrednia podległość kierownictwu;
- stałe wsparcie ze strony kierownictwa dla działań pionu bezpieczeństwa (co najmniej zrozumienie jego roli);
- stałe podnoszenie i doskonalenie umiejętności;
- motywacja finansowa - albo nas stać na określony poziom bezpieczeństwa, albo wkalkulowujemy ryzyko związane ze stosowaniem jego "protezy".
Trzeba przy tym pamiętać, że nie da się zapewnić systemom 100-procentowego bezpieczeństwa.
Jakie zaniedbania występują najczęściej w polskich firmach przy budowie systemów informatycznych?
Brak precyzyjnych założeń projektowych w zakresie bezpieczeństwa. Dostawca systemu IT bywa często jedynym konsultantem zamawiającego.
Co znamy, z czego korzystamy
W jaki sposób można zabezpieczyć komputer przed zagrożeniem? (dane w proc.)
programy antywirusowe - 64
firewall - 9
nieotwieranie wiadomości od nieznanych nadawców - 4
nieotwieranie załączników w poczcie od nieznanych nadawców - 2
nieściąganie żadnych plików ze stron WWW - 2
nie wiem, trudno powiedzieć - 25
Stosowane zabezpieczenia
programy antywirusowe - 55
firewall - 7
nieotwieranie wiadomości od nieznanych nadawców - 4
nieotwieranie załączników w poczcie od nieznanych nadawców - 2
nieściąganie żadnych plików ze stron WWW - 1
żadne - 24
Źródło: Centrum Bezpieczeństwa Microsoft
Badanie przeprowadzone na ogólnopolskiej, losowej próbie 800 osób korzystających z komputerów w wieku 15-59 lat
Czy outsourcing zasobów informatycznych jest bezpieczny?
Wiele firm ma obawy, czy powierzanie swych systemów informatycznych i zgromadzonych tam danych firmom outsourcingowym jest bezpieczne. Często pada pytanie, do którego momentu odpowiedzialność za sprawność systemu ponosi firma zewnętrzna, a kiedy spoczywa ona na użytkownikach, którzy często bywają sprawcami dużej części problemów nękających firmowe systemy IT.
Klient ma prawo wymagać od zleceniobiorcy zapewnienia bezpieczeństwa technicznego, psychologicznego i prawnego.
Bezpieczeństwo techniczne gwarantują centra przetwarzania danych (data center) - profesjonalne serwerownie odpowiednio zabezpieczone przed utratą z powodu kradzieży lub zdarzeń losowych.
- Na straży danych naszych klientów stoją procedury obejmujące podział na strefy i monitorowanie obiektu, alarmy antywłamaniowe i pożarowe oraz elektroniczną kontrolę dostępu - mówi Arnold Nowak, członek zarządu firmy Itelligence, która oferuje takie usługi.
Bezpieczeństwo psychologiczne; klienci często niepokoją się o dostęp do danych osób niepowołanych, zapominając o tym, że pracownicy firmy outsourcingowej
nie potrafią zwykle wskazać strategicznych informacji. Poza tym własny pracownik niewiele ryzykuje, sprzedając informacje, a dla firmy outsourcingowej dobra opinia klientów to podstawa istnienia.
W kwestiach bezpieczeństwa prawnego szczególnie ważne jest ustalenie wzajemnej odpowiedzialności i sposobu komunikacji oraz raportowania podczas okresu obowiązywania umowy. W wypadku nieprzewidzianych zdarzeń klient powinien otrzymać gwarancję odtworzenia systemu w przewidzianym umową terminie, może też dochodzić odszkodowania za poniesione straty.