12/29/07
O bezpieczeństwie napisano już wszystko, a będzie napisane jeszcze kilka razy więcej. Samo bezpieczeństwo też nie jest prostym i jednoznacznym terminem, tak jak już nie jest nim „informatyka”. Wyróżnijmy sobie rodzaje tego „bezpieczeństwa”. Pierwszym niech będzie bezpieczeństwo dla takiego zwykłego użytkownika komputera – wiecie: antywirus, włączony firewall, niezostawianie haseł na żółtych karteczkach i siec bezprzewodowa zabezpieczona przez WPA1 – taki użytkownik to zbawienie dla branży. Mamy też bezpieczeństwo na poziomie instytucji z .gov w nazwie oraz innych korporacji – nazwijmy je uzasadnienie bardzo silnym. Na tym pokrótce wykreślonym schemacie, mamy szeroką, bliżej niezbadaną strefe bezpieczeństwa dla takich np MSP. Spokojnie można ją nazwać szarą strefą.
Absolutnie niezbadana, niedefiniowalna i całkowicie rozłożona na łopatki. Każdy średnio ogarnięty administrator znajdzie w necie wskazówki jak zabezpieczać sieci, ustawiać polisy, szkolić użytkowników, stawiać firewalle – jest tego masa. Nawet jak sobie podrażamy takiego ITIL’a albo zwyczajne procedury z centrali – wszystko napisane. Pojawia sie tylko jedno, wielkie ALE.
ALE po co.
W większości przypadków będzie to albo wylewanie dziecka z kąpielą, gdzie twardy dział informatyki tak ustali procedury, że ludzie pozabijają sie, nim dostaną do danych. To jednak nie najgorsza sytuacja, bo w sumie ludzie się kształcą, a i dane bezpieczne – i tak po zmianie administratora, albo kierownika IT, drugi to uprości, bo nie ma po co – zabezpieczymy sie tylko przed jakimś dzieckiem skryptu, albo przypadkowym atakiem. Jak będę kradł dane, to najpierw ukradnę laptopa prezentacyjnego, albo torebkę kierowniczki z pendrivem – jak juz musiałbym te dane kraść. Ta sytuacja za silnych polityk bezpieczeństwa i tak nie jest najgorsza, najgorsza jest taka, gdy dział IT, chce cos zrobić, ale nikt inny nie chce. Po co wypasiony firewall, gdy każdy ma nagrywarkę, a pracowników zwalnia się w trybie „nieprzyjaznym”, każdy zdąży sobie nagrać co mu tam potrzebne Gdy ciało kierownicze nie ma pojęcia o informatyce i chce tylko aby to wszystko „jakoś działało”, to możemy dojść do śmiesznych paradoksów, wiecie: alufelgi do malucha. Samemu udało mi się znaleźć właśnie w takiej sytuacji, gdy jeden z elementów infrastruktury IT, delikatnie mówiąc, okazał się trochę na wyrost.
Przeprowadziłem ostatnio eksperyment myślowy z jednym z administratorów.
Pytam: Panie kolego, proszę mi wytłumaczyć dlaczego mamy wypasione firewalle, produkty jednej z topowych firm od spraw bezpieczeństwa, które wymagają oddzielnego serwera, licencji za kilkadziesiąt tysięcy, szkoleń po 4600 pln netto (3 dni) i 800 euro obsługi miesięcznie w centrali w jakimś pogańskim kraju? Bo widzi pa, ja tu mam takie urządzenie co sie wkręca w szafę, 1U zajmuje, jest jakaś nazwa firmy, ale to i tak pewnie jakiś Linux przykrojony przez magika, grunt, że jest support. Ono, to urządzenie, tez jest takim firewallem, dodatkowo ma opcje równoważenia obciążenia przez dwa łącza, statystki, qos, blokowanie p2p – czyli funkcje których nasze rozwiązanie nie posiada (bo nie wywaliliśmy kilkudziesięciu tysięcy na licencje i wdrożenie), dodatkowo, ono, to urządzenie będzie potrafił obsłużyć każdy student, którego przyjmę na praktyki (bez szkolenia, za przypomnę, 4600 pln netto trzy dni) i ono, to urządzenia kosztuje 3000 pln netto i przywiozą je jutro.
Administrator: Ale nasz firewall ma statefull packet inspection – Bóg wie, co tam jeszcze robi, logów, co nie miara, ledwo to ogarniam po szkoleniu…
Ja: To dobrze, niech pan broń boże do tych logów nie siada, pentagonu tu nie mamy, a robota stygnie, niech się pan czym pożytecznym zajmie..
No i co nam to daje, tak biznesowo, poza tym, że jesteśmy „dobrze zabezpieczeni” (czytaj: mamy drogiego firewalla). No co daje? Nic nie daje. To ja wole ten szmelc za 3000 zł, a za zaoszczędzoną kasę, kupie ludziom laptopy i większe łącze, a działowi informatyki nowy serwer.
Jak myślicie – co w realnym (i idealnym życiu, gdzie zarząd wie do jest czego informatyka) wybierze ciało kierownicze?
O to chodzi, ze połowa rozwiązań od bezpieczeństwa, jest o kant stołu potłuc, bo nie przekładają się w ŻADEN sposób na prawidłowe funkcjonowanie firmy, kosztują pieniądze, masę pieniędzy, nie są w pełni wykorzystywane i w efekcie utrudniają życie ludziom. Taniej i lepiej jest inwestować w pracowników i procedury bezpieczeństwa – efekt może nie natychmiastowy, ale długofalowy i pozostanie w firmie, a administrator (przypominam: 4600 – 3 dni) zawsze może odejść.
Uwaga dla komentujących – nie chodzi mi o bagatelizowania bezpieczeństwa w firmach i stawiania firewalli na ipchansach, chodzi o inwestycje z głową, oraz, co nie mniej ważne – kompleksowe podchodzenie do spraw bezpieczeństwa IT, tzn. przy współpracy i zrozumieniu zarządu…, a że często jest to niemożliwe? Cóż, ktoś musi zacząć to robić.
I takiej informatyki życzę Wam i sobie w nowym roku.