Víme, co a jak chránit?
Motto: „Chceme-li s ochranou začít, musíme nejprve vědět, co vlastně chceme chránit.“ Antonín Kusbach: Ekosystémové mapování lesů v Britské Kolumbii, Vesmír 84, 395, 2005/7
Víme, co a jak chránit?
V 19. století byly klíčem k moci peníze. V průběhu 20. století se jím staly technologie. Firmy i organizace to už vědí a většina z nich je ochotna do ochrany investovat. Nezřídka bez reálné představy jak moc nebo málo je přijatá opatření chrání, co vlastně chrání a co nikoliv. Dnes jsou klíčem k moci informace. Mnozí a někdy i vysoko postavení si to ale ne vždy plně uvědomují. A někteří, stačí se občas v televizi podívat na některé z politiků, se tomu dokonce opovržlivě vysmívají.
Znát svou cenu
Ačkoli si to to mnozí z nás neuvědomují, propast mezi obránci a útočníky se pomalu rozšiřuje a prohlubuje. Příčin je několik. Organizace bojují s rozpočty, byrokracií, nedostatkem odborníků a často i s lhostejností, přehlížením a bagatelizováním očividných skutečností. Oproti tomu útočníci nevedou politické rozpravy, nepořádají mezinárodní fóra a summity, ale zato stále agilněji vyvíjejí nové metody a techniky, které umožní často nepozorovaně s informacemi manipulovat. A tak bez ohledu na skutečnost, že se již léta ví, že kybernetická bezpečnost není jen otázkou technologií, se dnes prakticky výhradně k ochraně využívají více či méně pasívní systémy, jejichž úlohou je především zabránit průniku zvenčí. Obvykle se nasadí některé z vyzkoušených bezpečnostních řešení, které systém podle zadaných pravidel izoluje od okolí, naprosto však neřeší jeho vlastní zranitelnosti. Je přinejmenším obtížné specifikovat, nakolik je takové řešení spolehlivé, není-li zbytečně robustní a nákladné, případně jak dobře a rychle se dokáže přizpůsobit změnám bezpečnostní situace. Informační systémy podniků a organizací totiž většinou tvoří několik vzájemně propojených funkčních celků, které komunikují a spolupracují jak mezi sebou, tak i s jinými, potenciálně nebezpečnými systémy a aplikacemi. Čím je systém složitější, tím více může obsahovat zranitelností a tím složitější je i jeho zabezpečení. Náklady na kybernetickou a IT bezpečnost rostou, vrcholoví manažeři se diví a kybernetičtí gauneři vydělávají. Přitom z prosté logiky věci vyplývá, že do obrany není třeba investovat víc, než činí ztráta, kterou může oběť úspěšného útoku utrpět. Svoje aktiva, která mohou být cílem útoku a svoji „kybernetickou cenu“, kterou je celková finanční ztráta, kterou utrpí v případě, že útok na určité aktivum bude úspěšný, však zná a má vyčíslenu nebo alespoň tuší jen málo subjektů.
Aktiva aneb vědět, co je třeba chránit
Každé aktivum má svoji cenu a kybernetičtí útočníci si samozřejmě takové vybírají cíle, které mají ekonomický smysl, přinášejí přímý či nepřímý zisk nebo vedou k dosažení konkrétního záměru. I záměry se v konečném důsledku obvykle dají převést na peníze. Celková ztráta pro oběť a zisk pro útočníka se při tom mohou diametrálně lišit. Aktiva, která je třeba chránit před nežádoucím přístupem, zneužitím, zveřejněním, změnou nebo zcizením, mohou zahrnovat hardware, software a aplikace, dnes ale jde především o nejrůznější informace. Svá klíčová aktiva je třeba skutečně znát a vědět, jaká je jejich reálná hodnota, jak ji měřit a jak je doopravdy chránit. Znalost aktiv totiž umožní vyhodnotit ceny ztrát, soustředit obranu tam, kde je to nezbytné, a naopak zbytečně neplýtvat prostředky tam, kde to potřeba není, přesněji rozvrhnout investice a náklady na návrh, implementaci a provoz bezpečnostních řešení.
Odstraňování následků
Sama znalost aktiv však k vyhodnocení ztrát z úspěšného útoku nestačí. Kromě, řekněme, morálních aspektů ztráty, jako je například pokles důvěryhodnosti firmy či poškození jejího jména a potenciální odliv klientů nebo zákazníků, jsou důležitou součástí celkových ztrát náklady na odstranění následků útoku, obnovení činnosti nebo provozu a kompenzaci poklesu příjmů v průběhu zotavování se z katastrofy. Ty mohou dosáhnout astronomických hodnot a mohou vést k pádu i velmi prosperující firmy. Každý by proto měl mít připraven postup, obvykle označovaný jako Business Recovery Plan.
Analýzy dnes nejsou v kurzu
Identifikace a hodnocení aktiv jsou při zavádění informační bezpečnosti jednou z nejméně atraktivních činností. Nicméně bez nich rozhodování o způsobech ochrany, vynaložené úsilí a prostředky jsou podloženy nanejvýš odhady nebo dohady, což obvykle vede pouze k bezúčelnému plýtvání penězi. Za mého mlada každý projekt informačního systému zahajovala jeho důkladná informační analýza. Popisovala všechny informace, s nimiž systém pracuje a bude pracovat, jejich zdroje i uživatele. Kvalitativně i kvantitativně charakterizovala množství dat, jejich strukturu, důležitost, toky uvnitř systému či místa jejich vzniku nebo uložení. Hodnotila důsledky ztrát, poškození nebo manipulace s informacemi a dalšími prvky systému na celkové chování organizace i jejich finanční dopady. Brala v potaz budoucí rozšiřování systému i trendy v rozvoji technologií. Občas taková analýza vyjevila i velice zajímavé skutečnosti, například že určité oddělení informace pouze spotřebovává, avšak žádné neprodukuje, a bylo na zvážení vedení podniku, k čemu podobná skupina je vůbec potřeba. Pak teprve se vybíral dodavatel systému nikoli podle ceny, nýbrž podle toho, jak vyhovoval zadání a výsledkům studie. Dnes, zvlášť v menších podnicích a organizacích, se podobné analýzy nenosí. Údajně jsou příliš drahé a nepřínosné. Důvodů je však mnohem víc. Hlavním a prvním z nich je snaha na našem maličkém písečku stůj co stůj prodat. Raději větší a výkonnější systém, který i bez analýzy splní základní požadavky zadavatele, jenž nezřídka neví, co potřebuje, a je na počátku většinou spokojen. Nedostatky se obvykle projeví až později. IT nezřídka prodávají obchodníci, nikoli však odborníci. Presales často funguje bídně nebo vůbec. Bezpečnostní aspekty jsou až na posledních místech projektu s tím, že se pak vyřeší „standardním způsobem“, kterým se rozumí nasazení ověřeného a osvědčeného systému. Nějaký čas všechno většinou funguje. To ale v dnešní době je málo.
Strategie a taktika bezpečnosti
Především je třeba si uvědomit, že zajištění kybernetické bezpečnosti je dlouhodobý nepřetržitý proces, nikoli jednorázová akce. Ochrana se musí rozvíjet spolu s rozvojem útoků. Sebelepší vodní příkop dnes před dobytím hrad neuchrání. Útočníci už nemají jen kopí a koně, mají letadla, drony a chytré bomby. Jako u každého procesu jsou klíčovými faktory strategie a taktika. Nemá-li organizace vypracovánu strategii bezpečnosti a neuplatňuje-li se správná taktika k jejímu dosažení, nedostavují se ani výsledky, rostou náklady a maří se investice. Bezpečnostní opatření se realizují bezkoncepčně, odděleně, chaoticky, ad-hoc, postrádají komplexnost a provázanost, klesá jejich účinnost a vzrůstá pravděpodobnost úspěšného útoku. Nehledě na to, že vedení a management jsou zavalováni operativou, jíž navíc příliš nerozumějí, na úkor činností, které jsou jejich hlavní náplní práce.
Analyzovat svůj informační systém vlastními silami nicméně málokdy vede k úspěšnému cíli. Velmi důležitý je proto pohled z vnějšku. A na českém trhu je dostatek solidních firem, které jsou schopné uskutečnit dostatečně hodnotnou analýzu bezpečnostní situace v podniku nebo organizaci, identifikovat klíčová aktiva a navrhnout strategii, taktiku a případně implementovat či dokonce dlouhodobě podporovat nebo zajišťovat kybernetickou bezpečnost například formou službu. Ale o tom někdy později. V příští části bych se rád podrobněji věnoval fenoménu kybernetického vydírání, ransomwaru.
Dag Jeger.
