IT Security
Informační bezpečnost v praxi
Petr Nádeníček
Témata týkající se zajištění dostatečné úrovně informační bezpečnosti organizace patří mezi často diskutovaná. Bohužel se tak děje spíše na „teoretické“ úrovni. Prosazení konkrétních bezpečnostních opatření a procesů do praxe pak ve valné většině případů selhává. Většinou se řeší pouze zabezpečení samotných informačních technologií, ale neméně důležitá opatření v oblasti organizační bezpečnosti se ztrácí ve zmatcích hierarchie organizace.
Jak začít? Pokud přihlédneme k aktuálnímu prostředí, které je silně ovlivněno trvající ekonomickou krizí, nemůžeme přehlédnout její vliv na zajištění informační bezpečnosti. I když ještě na začátku tohoto roku renomované expertní autority předpokládaly, že změněná ekonomická situace nebude mít na seg-
ment ICT bezpečnosti žádný negativní vliv a predikovaly jeho pokračující růst, dnes již většina expertů jasně vidí, že se znatelné škrty v rozpočtech organizací nevyhnuly ani jemu. Nic na tomto faktu nezměnily ani logické argumentace bezpečnostních odborníků postavené na oprávněně předpokládaných
nárůstech specifických hrozeb, jako jsou například nespokojení nebo propuštění zaměstnanci, a z nich vyplývajících rizik. Překlad těchto argumentů do jazyka finančních částek, kterým mluví většina členů vrcholných manažerů organizací, asi není tak jednoduchá… Z pohledu bezpečnostního konzultanta, který v tuzemských firmách a organizacích pomáhá identifikovat stávající stav zabezpečení, navrhovat vhodná protiopatření směrovaná proti nejvýznamnějším hrozbám, implementovat je a ověřovat jejich účinnost, je vliv ekonomické krize patrný mimo jiné i v nastavení priorit samotných bezpečnostních projektů. Jednoduše řečeno, pokud vůbec organizace bezpečnost nějak aktivně řeší, vede ji úbytek prostředků k realizaci spíše jen nezbytných bezpečnostních opatření, případně těch, které nevyžadují velké investice nebo přinášejí „okamžitý viditelný efekt“. V tomto a následujících dvou článcích se zamyslíme nad tím, jak v současné situaci při řešení informační bezpečnosti postupovat, kterým úskalím věnovat pozornost a jak se s nimi vypořádat. Řekneme si, jak identifikovat aktuální stav bezpečnosti, jak definovat vhodná opatření, jak je uvést do života a jak ověřit jejich fungování. Pokusíme se při tom udržet kontext s prostředím „běžné české firmy“ střední velikosti a upozornit www.SystemOnLine.cz
2
IT Systems
Security IT na kritická místa podmiňující úspěšnost našeho snažení.
S čím začít Dejme tomu, že jsme ve firmě, jejíž osvícené vedení došlo k závěru, že je třeba systematicky řešit problematiku informační bezpečnosti, a to nejlépe v duchu implementace ISMS (information security management system – systém řízení informační bezpečnosti). Zde musíme bohužel podotknout, že výše uvedený předpoklad je v praxi spíše výjimkou než pravidlem. V praxi tato iniciativa daleko častěji vychází z nižších úrovní managementu, případně přímo z řad pracovníků IT oddělení, a u členů vedení je pak s obtížemi prosazována. Smutnou realitou většiny organizací je, že informační bezpečnost se začíná řešit až v okamžiku, kdy došlo k nějakému „průšvihu“, který se v horším případě citelně projevil na jejím mediálním obrazu (viz nedávný incident s únikem osobních údajů klientů z nedostatečně zabezpečené webové aplikace jedné nejmenované pojišťovny). Účinná (ne jen formální) podpora vedení aktivitám informační bezpečnosti je přitom klíčovou, ne-li nezbytnou podmínkou úspěšného zavedení bezpečnosti do prostředí organizace. Nedůslednost v oblasti bezpečnosti může vést až k porušování platné legislativy, která v řadě případů zabezpečení určitých informací přímo nebo nepřímo vyžaduje (např. zákon č. 101/2000 Sb., o ochraně osobních údajů), obchodních smluv (ochrana obchodního tajemství) apod. Pokud je vůle pro řešení bezpečnosti, což zahrnuje i uvolnění nezbytných interních kapacit a samozřejmě také určitého objemu finančních prostředků, první činnosti by měly směřovat k identifikaci aktuálního stavu informační bezpečnosti organizace. Tato identifikace bývá zpravidla provedena formou bezpečnostní analýzy s různou hloubkou záběru, která může být dále doplněna o dílčí specifické prověrky technického, procesního nebo jiného rázu. Běžně prováděné bezpečnostní analýzy vycházejí nejčastěji ze standardů, jako ISO/IEC TR 13335, ISO/IEC 27002, ISO/IEC 27001, ISO/IEC 15408 (Common Criteria) apod. V individuálních případech mohou být použity také jiné standardy, jako je například americký SOX, případně zohledněna i jiná hlediska, jako jsou například IT procesy podle ITIL, COBIT apod. Většinou neuděláme chybu, pokud se alespoň rámcově držíme základních oblastí bezpečnosti tak, jak je definuje norma ISO/IEC 27002: ● bezpečnostní politika,
organizace bezpečnosti, klasifikace a řízení aktiv, ● personální bezpečnost, ● fyzická bezpečnost a bezpečnost prostředí, ● řízení komunikací a provozu, ● řízení přístupu, ● nákup, vývoj a údržba informačního systému, ● zvládání bezpečnostních incidentů, ● řízení kontinuity činností organizace, ● soulad s požadavky. ● ●
Rozčlenění na výše uvedené oblasti nám při provádění analýzy pomáhá udržet přehled a nezapomenout na nic podstatného. Co se týče jejich konkrétního obsahu, inspirujeme se zpravidla normou ISO/IEC 27002, která tvoří de facto katalog použitelných bezpečnostních opatření v daných oblastech. V praxi můžeme v závislosti na potřebné hloubce záběru aplikovat tři základní typy bezpečnostní analýzy: Bezpečnostní screening organizace Jedná se o přehledový typ analýzy, která směřuje k poměrně rychlé identifikaci aktuálního stavu a definici hlavních bezpečnostních problémů, na které je třeba se v organizaci zaměřit. Její použití je vhodné zejména v menších firmách a v organizacích, kde dosud s bezpečností nemají žádné zkušenosti. Je založena na ucelené sadě dílčích auditů, kontrol a testů, které sice nejdou příliš do hloubky, ale jsou cíleny na nejčastěji se vyskytující typické problémy, což se logicky promítá i do menší časové, případně finanční náročnosti analýzy. Vhodnými pomůckami při realizaci jsou mimo jiné předem zpracované dotazníky, checklisty, automatizované testy technického zabezpečení informačního systému apod. Úspěšné provedení analýzy je také do značné míry závislé na míře podpory a aktivní spolupráce ze strany zodpovědných pracovníků organizace. Analýza současného stavu informační bezpečnosti organizace Tento typ analýzy přináší organizaci o něco detailnější pohled na slabá místa v jejím zabezpečení. Výstupem ale bývá kromě přehledu identifikovaných nedostatků i návrh doporučení na jejich odstranění, který je využitelný při plánování dalších kroků budování bezpečnosti. Přístup k provádění analýzy je podobný jako u formální analýzy rizik s tím rozdílem, že je vynechána, nebo
velmi zjednodušena fáze identifikace aktiv organizace a formulace rizik. Směřuje se přímo k nalezení a popisu bezpečnostních nedostatků v rámci jednotlivých oblastí bezpečnosti. V rámci analýzy jsou využity jak vhodné technické testy cílené na identifikaci stavu technického zabezpečení informačního systému, tak interview s odpovědnými zaměstnanci, studium interní dokumentace a další aktivity směřující k identifikaci stavu organizační bezpečnosti a bezpečnosti v rámci jednotlivých obchodních a podpůrných procesů organizace. V porovnání s bezpečnostním screeningem je analýza současného stavu daleko více komplexní, ale logicky také časově a finančně náročnější. U malých a středních organizací může být použita jako víceméně plnohodnotná náhrada formální analýzy rizik. Analýza rizik organizace Analýza rizik představuje klasický formální přístup k posouzení aktuálního stavu bezpečnosti informačního systému organizace. Cílem je pomocí různých nástrojů a metod identifikovat jednotlivá aktiva informačního systému organizace a nalézt slabá místa informačního systému, tyto poznatky pak shrnout do definice konkrétních rizik a navrhnout managementu, či jiným odpovědným složkám, vhodná protiopatření. Ta mohou být zpracována přímo ve formě implementačního plánu a tvořit podklad pro další budování bezpečnosti v organizaci. Analýza by měla zahrnovat různé pohledy na organizační, administrativní, fyzickou, počítačovou a personální oblast bezpečnosti, které mohou být dány také vnitřními požadavky organizace, legislativou apod. V rámci analýzy mohou být využívány různé metody sběru informací, jako jsou interview a workshopy s odpovědnými zaměstnanci organizace, technické prověrky sítí, audity dílčích systémů apod. Řada lidí má v souvislosti s „analýzou rizik“ zafixovaný pojem CRAMM (CCTA Risk Analysis and Management Method), který představuje mimo jiné metodiku a nástroj pro provádění analýzy rizik. Není však určitě pravda, že by analýza rizik musela být prováděna pomocí CRAMMu, a to ani ve většině velkých organizací. Použití CRAMMu je značně finančně náročné (zakoupení licence, proškolení metodiků atd.). Pokud vezmeme v úvahu, že už samotná vstupní data zadávaná do CRAMMu mohou být často zatížena značnou odchylkou od skutečnosti, což se v důsledku musí projevit na výsledcích analýzy, postrádá ve většině
www.SystemOnLine.cz Special 2010
3
IT Security případů jeho nasazení smysl. Kvalitní analýza rizik může být provedena i bez CRAMMu, například pomocí metodiky postavené na základech normy ISO/IEC TR 13335 a normách ISO/IEC 2700x. Daleko více záleží na zkušenostech konzultantů a jejich schopnosti identifikovat nedostatky a formulovat samotná rizika. Všechny výše uvedené typy analýz mohou být provedeny jak vlastními zaměstnanci dané organizace, tak externími konzultanty. Snaha „ušetřit“ finanční prostředky tím, že si analýzu provedeme sami, však může mít určité negativní aspekty, je to například: ● provozní slepota interních zaměstnanců, ● snaha o záměrné účelové přehlížení určitých nedostatků interními zaměstnanci, ● nesnadné vyčíslení interních nákladů, které mohou být v důsledku větší než přímá finanční investice do externích konzultantů, ● určitý nadhled, nezaujatost a širší zkušenosti externích konzultantů. Na druhé straně je třeba podotknout, že v případě, kdy máme k dispozici vlastní kvalitní konzultanty, kteří jsou schopni se vystříhat výše uvedených, případně dalších úskalí, může být jejich nasazení výhodnější v hlubší znalosti místních poměrů, které externí konzultanti pravděpodobně nebudou schopni v takové míře dosáhnout. Také je třeba říci, že pokud svěřujeme analýzu do rukou externího dodavatele, měli bychom mít určitou důvěru v něj i ve schopnosti
jeho konzultantů. Pokud dodavatele již neznáme z předchozích projektů, je vhodné mít k dispozici důvěryhodné reference, případně si například nechat předložit ukázky výstupů analýzy apod. Většinou je také výhodné, pokud má dodavatel předchozí zkušenosti z obdobné organizace nebo odvětví. Jednou z mnoha otázek, které často řešíme při plánování analýzy, je hloubka zkoumání technického zabezpečení informačního systému organizace. Pokud organizace provozuje pouze „běžný“ informační systém, tj. klasická firemní síť s uživatelskými stanicemi, servery a dalšími zařízeními, se standardními aplikacemi apod., postačí zběžné technické testy zmiňované v rámci výše uváděných typů analýz (raději si ale vždy ověřte, že jsou v nabídce konkrétního dodavatele obsaženy). Pokud organizace provozuje aplikace, které jsou pro její fungování životně důležité nebo jinak kritické (např. obsahují vysoce citlivé informace), případně pokud má o technickém zabezpečení svého informačního systému odůvodněné pochybnosti (např. při plném outsourcingu provozu IT) apod., je opodstatněné provést před vlastní analýzou komplexní penetrační testy, případně další technické audity. Zjištěné nedostatky pak mohou být zahrnuty do následné analýzy.
řešení informační bezpečnosti v organizaci nestačí. Pokud nejsou výsledky komunikovány v rámci celého vedení, případně v dalších relevantních strukturách organizace, může být v nejhorším případě jediným výsledkem analýzy „zpráva v šuplíku“. Vhodným způsobem, jak tomuto předejít, je v prvé řadě zapojení daných lidí přímo v rámci analýzy (úvodní vysvětlení proč se analýza provádí, dožádání potřebných informací v jejich působnosti, spolupráce při stanovení úrovní hrozeb apod. v průběhu). Dále je vhodné uspořádat závěrečnou prezentaci výsledků analýzy a navrhovaných opatření formou workshopu, kde jsou všechny opatření důkladně vysvětlena a zdůvodněna v kontextu celé organizace. V praxi se bohužel často stává, že organizace úspěšně implementuje navržená opatření spadající do oblasti technické bezpečnosti (toho se většinou úspěšně chopí samotné IT oddělení), ale není už schopna správně uchopit opatření v oblasti organizační bezpečnosti (vytvoření rolí, zavedení vlastnictví aktiv, přidělení zodpovědností, definice a údržba formální bezpečnostní politiky apod.). Omezovat se pouze na technickou bezpečnost je však jen částečným řešením. Hlavně je třeba nastartovat bezpečnostní procesy, které by měly zajistit udržování a kontinuální zlepšování úrovně ■ informační bezpečnosti organizace.
Jen analyzovat nestačí… Závěrem je třeba zdůraznit, že samotné provedení analýzy k úspěšnému nastartování
Bezpečnostní opatření Pokročíme dále a nastíníme si, jak postupovat při následné definici bezpečnostních opatření, kterými kroky začít a s jakými úskalími se při jejich implementaci nejčastěji potkáváme. Řízení rizik Dejme tomu, že jsme v organizaci, kde se nám povedlo prosadit a provést analýzu informační bezpečnosti. Ta ukázala řadu bezpečnostních nedostatků a zranitelností. Tyto představují vstupní brány pro řadu hrozeb, které aktuálně působí na organizaci z vnějšího prostředí i zevnitř a generují tak určitá bezpečnostní rizika. Na tato rizika by
měla organizace adekvátně reagovat tak, aby je snížila na akceptovatelnou úroveň. Akceptovatelná úroveň je zjednodušeně řečeno taková, která v prvé řadě neohrozí podstatu fungování (tzv. core business) organizace. Míra akceptovatelnosti rizika se může v praxi lišit podle segmentu, ve kterém se organizace pohybuje, a v závislosti na dalších specifických podmínkách. Všechna rizika, která působí na informační technologie a samotné informace organizace, by ale rozhodně měla být identifikována a řízena. Mimo jiné to znamená i to, že bychom měli rizika periodicky přezkoumávat, což předpokládá i jejich dokumentaci. Problematika řízení rizik informační bezpečnosti představuje poměrně rozsáhlou oblast, která v některých větších organizacích
(např. v bankách) může zaměstnávat celá specializovaná oddělení. V případě, kdy jsme například v pozici bezpečnostního manažera menší nebo střední organizace, bychom měli dbát na to, abychom rizika řídili alespoň do té míry, že je dokážeme v rámci organizace identifikovat, dokumentovat a máme o nich přiměřeně aktuální povědomí. S existencí konkrétního rizika se můžeme vypořádat různým způsobem. Tím nejběžnějším je návrh vhodného bezpečnostního opatření, jehož implementace nám pomůže riziko snížit na akceptovatelnou úroveň. V případech, kdy by takové opatření bylo příliš náročné na realizaci (ať již finančně, organizačně nebo jinak), můžeme se pokusit o tzv. přenesení rizika. Pod tím www.SystemOnLine.cz
4
IT Systems
Security IT se může skrývat například využití outsourcingu pro provoz určitého „problematického“ systému, pojištění případných škod apod. V extrémním případě může být riziko tak vysoké a efektivita možných opatření tak nízká, že organizace může dospět i k rozhodnutí, že například přestane v určité oblasti podnikat.
Návrh bezpečnostních opatření Při návrhu vhodných bezpečnostních opatření se můžeme inspirovat v normě ISO/IEC 27002, která se za tímto účelem v praxi všeobecně využívá a kterou jsme představili v minulém díle. Cílem by měl být vyvážený komplex bezpečnostních opatření, který pokrývá všechny relevantní oblasti informační bezpečnosti.
Častou chybou bývá výhradní soustředění na prostředky technického zabezpečení, tzn. výběr firewallů, antivirových programů, šifrovacího softwaru, čipových karet apod. Tento ne zcela ideální stav v řadě organizací pramení z toho, že jediný, kdo se informační bezpečností aktivně zabývá, bývá často jen IT oddělení. Výsledkem pak je spíše než reálné zvýšení úrovně zabezpečení „jen“ zvýšení nákladů a nedostatečná efektivita. Zjednodušeně řečeno, pokud nemají uživatelé informačního systému organizace dostatečné bezpečnostní povědomí a jsou schopni komukoliv na potkání prozradit svůj login a heslo do sítě, těžko to ošetříme nějakým bezpečnostním nástrojem. A když, tak
většinou za cenu neadekvátních nákladů, které nejsou v relaci s faktickou hodnotou chráněných informací, případně dalších aktiv. Správnější cestou, která navíc koresponduje s neustále omílaným tématem ekonomické krize a všudypřítomným snižováním nákladů, je v rozumné míře preferovat ta opatření, která můžeme realizovat vlastními silami nebo s nízkými náklady, a teprve pak investovat prostředky do nákupu například drahých zařízení. Mezi typické oblasti informační bezpečnosti, které mohou být ošetřeny s minimální potřebou finančních investic, patří organizace bezpečnosti (stanovení bezpečnostních rolí, jmenování vlastníků aktiv, nastavení základních procesů – například hlášení incidentů apod.), personální bezpečnost (výběr zaměstnanců,
školení uživatelů informačního systému atd.) nebo soulad s požadavky (definice legislativních požadavků s vlivem na požadavky na zabezpečení apod.). Pokud by ale někdo nabyl dojmu, že nejlevnější pro organizaci bude, když všechno týkající se informační bezpečnosti realizuje vlastními silami, nemusí to být zdaleka pravda. I když se to tak na první pohled nezdá, řada služeb specializovaných externích dodavatelů je v praxi výrazně levnější než kompletní souhrn všech vnitřních nákladů, který zahrnuje nejen mzdové náklady, ale například i náklady ušlých příležitostí. Vzhledem k tomu, že řada těchto nákladů je většinou poměrně těžko identifikovatelná
a vyčíslitelná, bývá pro zodpovědné pracovníky složité argumentovat a prosadit nákup externí služby. Stejně tak je třeba najít vhodný poměr mezi nasazením technických prostředků a organizačními opatřeními. Typickému uživateli jednoduše nemůžeme nikdy zcela důvěřovat v tom, že bude dodržovat všechna definovaná bezpečnostní pravidla…
Na co se zaměřit Pokud organizace s budováním informační bezpečnosti začíná, měla by se kromě implementace nezbytného technického zabezpečení věnovat také alespoň následujícím aktivitám: Zpracování plánu bezpečnosti Rozpracování jednotlivých opatření vycházejících z předcházející analýzy do formy plánu se stanovenými prioritami, odpovědnostmi a termíny. Plán je zpravidla výsledkem kompromisu mezi požadavky na dosažení „ideální úrovně bezpečnosti“ a individuálními podmínkami organizace. Je závislý mimo jiné na finančních a personálních zdrojích, kapacitách a také stanovených prioritách organizace. Měl by vycházet ze stanovené strategie organizace v oblasti rozvoje ICT a měl by specifikovat reálně dosažitelné cíle v této oblasti navazující na další plány rozvoje organizace. Je tedy třeba velmi dobře naplánovat jednotlivé kroky implementace doporučovaných opatření, přidělit jim priority, respektive stanovit pořadí, v jakém budou do prostředí organizace zaváděny. Definice bezpečnostní politiky organizace Dokumentace stanovených pravidel a bezpečnostních opatření. Bezpečnostní politika definuje základní bezpečnostní požadavky a nařízení, které mají za cíl zajistit ochranu a bezpečnost informací v organizaci. Určuje rámec informační bezpečnosti organizace a po schválení vedením je závazná pro všechny zaměstnance a je směrodatná i pro všechny externí subjekty, které přicházejí do kontaktu s ICT organizace. Bezpečnostní politika musí být v souladu s „prostředím“ organizace, definuje základní strategii, cíle, postoje, role, zodpovědnosti a zásady týkající se činností spojených s informační bezpečností. Reflektuje závěry získané z úvodní analýzy a definuje mechanismy zajišťující efektivní řízení informační bezpečnosti. Je podkladem pro budování nižších a specifických stupňů bezpečnostní dokumentace.
www.SystemOnLine.cz Special 2010
5
IT Security Vytvoření základních bezpečnostních rolí Jmenování bezpečnostního manažera, vlastníků aktiv apod. Souběžně s definicí bezpečnostní politiky by měly být v organizaci vytvořeny základní bezpečnostní role, v jejichž kompetenci jsou následně různé činnosti důležité pro udržování a další rozvoj informační bezpečnosti organizace. Tyto role včetně jejich pravomocí a odpo-
může být školení sestavené na základě konkrétních podmínek organizace a cílené pro uživatele určité specifické úrovně. V rámci školení si uživatelé informačního systému osvojí základní zásady informační bezpečnosti, které jsou potřebné při každodenní práci s počítačem připojeným do sítě a k internetu, čímž se mimo jiné zvýší i jejich odolnost vůči určitým specifickým hrozbám, jako je například sociální inženýrství. V praxi nebývá na škodu, pokud je školení zakončeno testem, který ověří míru pochopení odpřednášené problematiky. Kromě prezenční formy školení se zde může s úspěchem uplatnit i e-learning, který může být uživateli používán kontinuálně například v rámci intranetu organizace. Kromě výše uvedených mohou být pro organizaci hned v počátcích přínosná i další opatření, jako například zavedení provozní dokumentace nebo ošetření kontinuity provozu. Jak jsem naznačil již výše, ne všechna opatření musí být implementována a realizována vlastními silami organizace. Proces implementace může být účinně podpořen například formou externích konzultací.
27002) a nedokáže udržet tzv. rozumnou míru opatření. Typickým důsledkem je pak nepřiměřeně velká administrativa vyžadovaná i v případech, kdy k tomu není žádný důvod, příliš mnoho formálních postupů spojených s neustálým schvalováním, povolováním odpovědnými osobami apod. Tento stav ve většině organizací vyústí v to, že zaměstnanci vnímají řízení informační bezpečnosti jako čistě formální záležitost (pokud organizace směřuje k certifikaci, tak je to pro ně jen „další ISO“). Abychom při zavádění bezpečnosti do prostředí organizace dosáhli alespoň nějakého úspěchu, musíme se snažit o určitý soulad s aktuální firemní kulturou. Správný bezpečnostní manažer by se měl snažit o takové počáteční nastavení úrovně informační bezpečnosti, která bude pro organizaci a její zaměstnance snesitelná. Teprve následně by se měl snažit vytvářet přiměřený tlak, kterým bude firemní kulturu „přizpůsobovat“ potřebám bezpečnosti. Typickým způsobem je postupné zpřísňování bezpečnostních opatření. I když každý bezpečnostní profesionál zná například standardní požadavky na kvalitu a používání hesel,
vědností by měly být dostatečně popsány v dokumentu bezpečnostní politiky. Jednotlivé osoby by pak měly být do svých rolí formálně jmenovány nejvyšším vedením organizace, s čímž by měla být následně spojena i potřebná míra podpory. Zpracování bezpečnostní příručky pro uživatele Vhodná pro větší organizace, kde je dokument bezpečnostní politiky spíše formální a je určen pro odborné pracovníky. Bezpečnostní příručka shrnuje povinnosti a odpovědnosti uživatelů z pohledu informační bezpečnosti při používání ICT prostředků organizace. Je důležité, aby byla napsána jazykem srozumitelným pro cílovou skupinu běžných uživatelů. Definuje jednotlivé postupy, povinnosti a práva při práci s prostředky ICT, potažmo s informačním systémem, případně konkrétní pokyny a návody pro používání elektronické pošty, práci s hesly, šifrování a práci s klíči/certifikáty, práci s notebooky, ukládání a zálohování dat, používání internetu apod. Zvyšování bezpečnostního povědomí Základní bezpečnostní školení uživatelů. Uživatelé představují nejslabší článek informační bezpečnosti organizace. S tímto faktem bohužel nic neuděláme. Řešením
I když je způsob řešení informační bezpečnosti v každé organizaci do určité míry originální, existuje řada běžně se vyskytujících úskalí, jejichž vliv dokáže zkušený externí konzultant svými vhodnými návrhy omezit.
Na co si dát pozor Při řešení informační bezpečnosti se potkáváme s řadu různých problémů, které nezřídka mohou vést k neúspěchu celého projektu. Pokusme se pojmenovat alespoň některé z nich. Velmi důležité je při definici bezpečnostních opatření nesklouznout k jejich přílišné formálnosti. Toto se většinou stává v případě, pokud se ten, kdo opatření navrhuje, až příliš drží normy (myšlena norma ISO/IEC
pokud víme, že uživatelé nebudou schopni je plnit, je pro organizaci daleko menším zlem tato pravidla na přechodnou dobu mírně uvolnit (například vyžadovat méně často změnu hesla). Protože pokud bychom v tomto případě striktně trvali na svém, můžeme se také dočkat toho, že hesla budou napsána na každé druhé klávesnici a stejně ničeho nedosáhneme. Tím však rozhodně netvrdím, že bychom měli před uživateli kapitulovat a nesnažit se je k dodržování potřebných pravidel přinutit. Jen je třeba, aby byl tlak plynulý a pro ■ uživatele snesitelný.
www.SystemOnLine.cz
6
IT Systems
Security IT
Implementace bezpečnostních opatření a jejich kontrola Nyní se podíváme na některé možnosti, jak ověřit správnost fungování bezpečnostních opatření, podporu kontinuálního fungování a zlepšování bezpečnostního systému organizace.
technické prověrky a bezpečnostní audity klíčových zařízení, serverů apod., ● analýzy logů důležitých zařízení a aplikací (např. logy událostí z firewallu, centrální správy AV ochrany, webové proxy apod., dále přístupové logy centrálních datových úložišť, významných aplikací, databází atd.), ● prověrky konkrétních stanic, notebooků apod. ●
Proč kontrolovat a jak? Již staré známé lidové pořekadlo říká: důvěřuj, ale prověřuj. A co se informační bezpečnosti týká, není tomu jinak, spíše naopak. Pokud to bezpečnostní správce/manažer organizace myslí s výkonem své role vážně, bez účinných kontrol se rozhodně neobejde. Neustálá kontrola je důležitá hned ze dvou základních důvodů. Za prvé potřebujeme vědět, jak se nám podařilo implementovat navržená bezpečnostní opatření, to znamená, zda fungují, zda je zaměstnanci respektují a řídí se jimi, zda jsou celkově účinná atd. A za druhé potřebujeme také
Kontrola organizačního, procesního a personálního zabezpečení I když kontroly technického zabezpečení organizace jsou bezesporu velmi významné, nesmíme zapomínat ani na ostatní oblasti informační bezpečnosti, jejichž stav také do značné míry determinuje celkovou úroveň bezpečnosti organizace. Jedná se například o kontroly zaměřené na ověřování úrovně bezpečnostního povědomí uživatelů, funkčnosti stěžejních bezpečnostních procesů (jako je například incident management,
průběžně zjišťovat stav bezpečnosti organizace a ověřovat úroveň jejího zabezpečení. Výsledky kontrol jsou neopomenutelným podkladem pro operativní i systémové změny v oblasti bezpečnosti, tzn. pro korekci stávajících bezpečnostních opatření, návrh nových apod. Kontrolu bychom měli směřovat do dvou základních oblastí:
kontinuita provozu informačního systému apod.), případně o kontroly přímo na úrovni jednotlivých uživatelů a jejich počítačů (jak průběžné, tak například i v rámci vyšetřování incidentů). Pro tyto kontroly můžeme v praxi využít následující metody: ● simulace útoků metodami sociálního inženýrství, ● simulace vybraných situací vzhledem k ověření funkčnosti souvisejících procesů (např. v oblasti havarijního plánování), ● prověrka znalostí konkrétních uživatelů (formou dotazování – co byste dělal/a kdyby…), ● prověrka dodržování stanovených pravidel uživateli (např. i včetně kontroly počítače uživatele – data, instalovaný software, historie internetového prohlížeče atd.).
Kontrola technického zabezpečení Zde se jedná v největší míře o kontrolu technických bezpečnostních opatření a dále o kontrolu technických parametrů, které se zabezpečením souvisejí. Tyto kontroly mohou mít například následující formu: ● penetrační testy informačního systému organizace a/nebo klíčových aplikací,
Tolik základní přehled, podívejme se na některé zmíněné kontroly podrobněji.
Penetrační testy a bezpečnostní audity Pojem „penetrační testy“ zná asi každý, kdo se v IT pohybuje. Obecně se však pod toto označení zahrnuje kde co. Pravý význam penetračních testů spočívá v simulaci činnosti potenciálního útočníka, který se snaží prolomit zabezpečení informačního systému organizace nebo jeho specifické části (např. konkrétní aplikace). Pokud využíváme nástroje penetračního testování ke kontrolám bezpečnosti, můžeme tak činit na různých úrovních: Základní bezpečnostní skeny Může je zpravidla průběžně dělat sám bezpečnostní správce nebo administrátoři organizace. Vhodným nástrojem může být například skener zranitelností Nessus, administrátorský nástroj Hyena či třeba Microsoft Baseline Security Analyzer. Typický základní sken nám dokáže odpovědět na otázku, zda se v našich systémech nevyskytují kritické zranitelnosti způsobené například chybějícími významnými bezpečnostními záplatami, nevhodným nastavením apod. Provedení základní sady skenů sítě a zhodnocení jejich výstupů by v praxi nemělo být příliš složité a měl by ho zvládnout každý se základními znalostmi daných technologií. Obvykle tedy není tedy třeba za podobnou službu platit. Poznámka: V praxi můžete narazit na služby, kterým jejich dodavatel sice říká „penetrační test“, ale ve skutečnosti jde jen o základní sken zranitelností (vulnerability scanning). Někdy se taková služba schovává pod honosný termín „automatizované penetrační testy“. Zpravidla to probíhá tak, že zákazník sdělí svoje IP adresy a dodavatel je prověří pomocí jednoho nebo více automatizovaných nástrojů, které jsou speciálně vytvořeny pro testování známých zranitelností daných systémů a bývají dostupné zdarma. Jako výstup zákazník dostává zprávu obsahující jen souhrn nalezených zranitelností, který je většinou generován přímo v daném skeneru. Tyto služby jsou nabízeny za daleko nižší ceny než plnohodnotné penetrační testy, jejichž kvality ale ani zdaleka nedosahují. Bohužel, právě otázka ceny je dnes pro mnohé rozhodující.
www.SystemOnLine.cz Special 2010
7
IT Security Kdo podlehne a koupí si tuto službu, je pak ale často zklamán tím, co za svoje peníze dostane. Plnohodnotné penetrační testy Plnohodnotné testy jsou standardní činností, která by měla být periodicky prováděna v každé organizaci, kde aktivně využívají ICT. Jejich provedení je vhodné zadat specializované firmě, která disponuje specialisty s odpovídajícími zkušenostmi. Cílem penetračních testů je zjistit, do jaké míry je konkrétní informační systém odolný vůči potenciálním útokům, kde jsou jeho slabá místa a jak je efektivně odstranit. Při kontrole jednotlivých systémů se využívá znalostí a zkušeností bezpečnostních a systémových specialistů. Testeři pak v rámci testů využívají renomované komerční toolkity a frameworky, volně dostupné nástroje a často také jednoúčelové nástroje z vlastní dílny, které vznikají podle aktuálních potřeb testů. Výstupem pak bývá relativně podrobná zpráva, která popisuje nalezené zranitelnosti a jejich rizika s odhadem míry dopadu. Ke každému identifikovanému riziku by mělo být podáno alespoň základní vysvětlení a rámcové doporučení k jeho odstranění, případně snížení dopadu na únosnou úroveň. Dílčí prověrky a audity Je vhodné je využít u specifických systémů, serverů nebo aplikací, u kterých například potřebujeme mít větší míru jistoty jejich zabezpečení, než nám dokážou dát plošné penetrační testy informačního systému. I zde je vhodné zadat jejich provedení specializované firmě. Zatímco při penetračních testech se testeři staví do role potenciálního útočníka, při bezpečnostních prověrkách a auditech přistupují ke zkoumanému prvku spíše v roli systémového administrátora a implementátora. Při kontrole nastavení jednotlivých systémů se využívá znalostí a zkušeností bezpečnostních a systémových specialistů, doporučení výrobců pro hardening apod. Výstupem bývá zpráva z auditu, která popisuje jednotlivé nalezené zranitelnosti, jejich rizika a uvádí základní možnosti odstranění.
Kontroly uživatelů I když na to v každodenní praxi často zapomínáme, uživatelé tvoří podstatnou část informačního systému každé organizace. I proto musíme věnovat patřičnou pozornost jejich „zabezpečení“. Pouze uživatele,
který dodržuje stanovená bezpečnostní pravidla organizace a disponuje potřebným bezpečnostním povědomím, tzn. zná možné hrozby a ví, jak se proti nim bránit, můžeme považovat za „zabezpečeného“. To však ani zdaleka neznamená, že pro nás neznamená žádné riziko. Některé metody pro kontrolu dodržování bezpečnostních pravidel uživateli jsou výborné nejen jako ověření stávajícího stavu, ale také jako prostředek pro jejich výraznější osvětu (takové věci se lidem jednoduše vryjí do paměti a stávají se i tématem hovorů na pracovišti). Platí to například u testování uživatelů metodami sociálního inženýrství. Provádění kontrol zaměřených na sociální inženýrství je vhodné jak v rámci komplexních penetračních testů organizace, tak i samostatně jako ověření správných návyků uživatelů, například po bezpečnostním školení. V praxi můžeme použít různé scénáře, jako například podstrčení souboru (např. trojského koně) pod různými záminkami e-mailem nebo prostřednictvím webového odkazu, nucení uživatele k prozrazení přístupových informací (login a heslo) přes telefon (například s použitím falešné identity), podstrčení škodlivého obsahu na médiích v prostorách organizace apod. V rámci těchto a dalších scénářů vytvořených dle konkrétního prostředí organizace se využívají různé stresové situace a záminky (např. „…máte zavirovaný počítač!“).
za dané období, počtu útoků detekovaných IPS/IDS zařízením, počtu uživatelů, kteří se nechali nachytat na sociální inženýrství, výsledky písemného testu uživatelů po bezpečnostním školení apod. Bohužel úroveň bezpečnosti těžko změříme tak přesně, jako například elektrické napětí v síti. Neznamená to ale, že bychom se neměli snažit identifikovat, v jakém stavu se naše zabezpečení zrovna nachází.
Zvládneme to sami? V zásadě se dá říci, že mnoho z výše uvedených kontrol je alespoň na určité základní úrovni schopen provádět bezpečnostní správce sám nebo ve spolupráci s administrátory IT. U některých rozsáhlejších kontrol, jako jsou například penetrační testy, je určitě vhodné, aby byly provedeny externím dodavatelem, který je v dané oblasti činností specializován a není zatížen provozní slepotou. Problém může nastat v organizacích, kde je zaměstnanec v roli bezpečnostního správce již zcela vytížen jinými činnostmi, nebo v organizacích, kde bezpečnostního správce vůbec nemají. Zde se nabízí možnost využít služeb různých odborných firem, které nabízejí outsourcing bezpečnosti, či přímo outsourcing role bezpečnostního správce. Tyto služby, které jsou zpravidla „šité“ na míru, mohou pokrýt kromě kontrolních činností i další klíčové potřeby organizace v oblasti bezpečnosti, jako je například údržba dokumentace, školení uživatelů atd.
Závěrem
Sledování stavu a zlepšování bezpečnosti Abychom zajistili fungování PDCA cyklu a neustálé zlepšování bezpečnosti, měli bychom si stanovit pro jednotlivé prováděné kontroly vhodné metriky, které umožní hodnotit a sledovat vývoj úrovně bezpečnosti organizace. I když stanovení metrik bezpečnosti může na první pohled vypadat složitě, není třeba se toho bát. Průměrné organizaci s průměrnými potřebami postačí stanovit a sledovat pouze základní metriky, které spočívají třeba v počtu virových incidentů
V našem krátkém miniseriálu jsme se dotkli několika mála témat z oblasti informační bezpečnosti. Nebylo naším cílem a ani v našich silách pokrýt celou tuto nesmírně rozsáhlou oblast. Informační bezpečnost se totiž opravdu dotýká mnoha oblastí v rámci i mimo ICT. Snažili jsme se tedy hlavně nastínit hlavní témata informační bezpečnosti a dám vám základní návod, jak se s bezpečností ve vaší organizaci vypořádat. Podotýkám ale, že řešení bezpečnosti je v každé organizaci velmi individuální a neobejde se bez notné dávky improvizace. V budování informační bezpečnosti i jinde vám přejeme hodně zdaru a úspěchů… ■
Autor působí jako IT security consultant společnosti AEC, člena skupiny Cleverlance. www.SystemOnLine.cz
8
IT Systems
