trendi in smernice razvoja na področju informacijske varnosti
DESCRIPTION
Varnostni strokovnjaki vedno znova ponavljajo, da so najšibkejši člen varnostne verige prav uporabniki. Poplava novih tehnologij in naprav, predvsem takih s pridevnikom mobilni, ljudem, ki skrbijo za informacijsko varnost v podjetjih, prav nič ne olajšuje dela. Zato je treba k informacijski varnosti pristopiti sistematsko in celovito. Nevarnosti namreč na podatke in poslovne informacije prežijo na vsakem koraku.TRANSCRIPT
I N F O R M A C I J S K A V A R N O S T
A N D R E J S K A M E N , V A R N O S T N I S T R O K O V N J A K S
P O D R O Č J A O M R E Ž I J I N I N F O R M A C I J S K E V A R N O S T I ,
S & T S L O V E N I J A
Varnost ne sme biti vezana na
naprave, temveč na uporabnike
Trendi in smernice razvoja na področju informacijske varnosti
Varnostni strokovnjaki vedno znova ponavljajo, da so najšibkejši člen varnostne verige
prav uporabniki. Poplava novih tehnologij in naprav, predvsem takih s pridevnikom mobilni,
ljudem, ki skrbijo za informacijsko varnost v podjetjih, prav nič ne olajšuje dela. Zato je
treba k informacijski varnosti pristopiti sistematsko in celovito. Nevarnosti namreč na
podatke in poslovne informacije prežijo na vsakem koraku.
Poslovna okolja se danes srečujejo s trendoma povečane mobilnosti uporabnikov ter
konzumerizacije IT-rešitev. Oboje prinaša nove izzive na področje varnosti, saj si uporabniki
želijo elektronske naprave, ki jih uporabljajo doma, uporabljati tudi v poslovne namene.
Trenutno na tem »spisku želja« prednjačijo predvsem različni pametni mobilni telefoni ter
tablični računalniki. Tehnologije tako postajajo poslovna orodja, poslovanje se odvija na
napravah, kot sta iPad ali celo iPod. Varnostni strokovnjaki v podjetjih zato oblikujejo in
preoblikujejo varnostna pravila za dostop do informacij, ki bi skušala le-te skriti pred očmi in
prsti nepridipravov.
Nova pravila varovanja ohranjajo svoje jedro. Tako še vedno varujemo poslovno
informacijo in zagotavljamo njeno integriteto ter zaupnost. Spremembe so predvsem na
področju definicije pravil zaščite uporabnikov. Varnost ni več vezana na posamezno
napravo, ampak na uporabnika; ta namreč menja naprave, pravila igre oziroma varovanja
pa morajo ostati ista.
Težava povečane mobilnosti poslovanja je v tem, da širi meje zaupanja, saj podjetja
zaposlenim omogočajo dostop do virov vse bolj navzven. Pri tem se srečajo z izzivom
varovanja in upravljanja s podatki ter informacijami, saj so ti na medijih in napravah, ki so
precej bolj izpostavljene zunanjim grožnjam kot v varnem okolju podjetja.
Največja grožnja sodobnih podjetij je odtekanje informacij. Komunikacijske možnosti
uporabnikov, predvsem mobilnost, so naredile odtekanje precej lažje. Hkrati tudi napadalci
pospešeno razvijajo tehnike odtujevanja informacij, zato jih je zelo težko odkriti, še posebej,
ker uporabljajo napredne tehnologije, kot je kriptiranje (šifriranje) podatkov in komunikacij.
Varnost aplikacij postaja vse večji izziv
Gledano s tehničnega stališča, se varovanje vse bolj seli na aplikacijski nivo. Sodoben
način poslovanja prisega na pregledne in enostavne vmesnike, ki pa lahko uporabniku po
potrebi postrežejo tudi s kompleksnejšimi prikazi podatkov in informacij. Med poslovnimi
aplikacijami tako že začenjajo prevladovati različni spletni vmesniki, saj jih je moč lažje
prilagoditi za najrazličnejše mobilne naprave. Aplikacijski vmesniki se torej zožujejo in
standardizirajo, temu pa se morajo prilagoditi tudi tehnike zaščite. Novi modeli varnosti
morajo segati od fizičnega do aplikacijskega nivoja. Na nivoju podatkov danes prevladuje
striktno aplikativna zaščita. Vse več aktivnosti mora biti namenjenih tehnikam in zaščitam
na nivoju aplikacij, podatkovnih baz, skladišč ter strežnikov, kar pa za marsikatero podjetje
predstavlja velik izziv, saj so na področju IT kadrovsko podhranjena. Strokovnjaki opažajo
tudi fenomen selitve varnostnih prijemov iz strani strežnika k odjemalcu, kar še dodatno
zahteva razumevanje aplikacijskega nivoja s strani različnih arhitektov, programerjev in
razvijalcev.
Pri razvoju aplikacij ima veliko vlogo, žal pogosto negativno, tudi časovna komponenta.
Podjetja si želijo svoje rešitve tržišču in uporabnikom ponuditi čim hitreje, najraje že včeraj.
Posledično to pomeni, da posamezna aplikacija sicer deluje, morebiti pa ni varna. Prav
varnostni vidik se pogosto zanemari, oziroma se nanj v fazi razvoja kar pozabi.
Kako do ustreznega varovanja informacij?
Na strežnikih, komunikacijskih in drugih tehničnih napravah še vedno prevladujejo
klasične metode varovanja, torej različne aplikativne varnostne komponente, kot sta
požarna pregrada in sistem za preprečevanje vdorov.
Na samih odjemalcih je pristopov za zagotavljanje informacijske varnosti več. Klasičen
oziroma t. i. osnovni nivo, ki obsega protivirusno in protismetno zaščito, danes preprosto ne
zadošča, saj so klasični elementi detekcije škodljivih kod preveč okorni in jih napredni
napadalci relativno preprosto zaobidejo. Razvoj varnostnih rešitev gre zato v smer
verifikacije aplikacij in procesov. Na strani odjemalca se gradijo varni elementi aplikacij, ki
tako zahtevajo natančnejše preverjanje uporabnika, tako z avtentikacijo kot avtorizacijo. Že
sam dizajn sodobne aplikacije bi moral skrbeti, da se uporabnik posamezne seje večkrat
preveri. Pri kritičnih operacijah (finančne, poslovne skrivnosti) pa bi morali biti v aplikacije
vgrajeni dodatni elementi varnosti. Podobno kot v primeru elektronskih bank, ki za dostop
potrebujejo večkanalno avtorizacijo – poleg certifikata ter uporabniškega imena in gesla še
različno potrditev prek SMS, generatorja kod ipd. Tehnike kodiranja in t. i. out-of-band
avtentikacija sodita med arhitekturne izzive, saj imajo programerji zapovedano, da mora biti
aplikacija do uporabnika prijazna in enostavna za uporabo, različni varnostni mehanizmi pa
uporabnikovo izkušnjo (svobodo) kratijo.
Vse, kar potrebuje aplikacija, je t. i. varno območje, kjer deluje. Vse drugo pa bi se
moralo dodatno preverjati. Spremembe originalne izvorne kode naj bodo dodatno
analizirane pred izvajanjem, če je le mogoče, naj se zagotovi lokalno izvajanje kode in omeji
procese, ki do nje lahko dostopajo.
Ene izmed bolj učinkovitih rešitev uporabljajo tehnologijo peskovnika (t. i. sandboxing),
kjer se na lokalni postaji vzpostavi varno okolje, ki zagotavlja varno izvedbo aplikacij. K
oblikovanju vse bolj naprednih varnostnih lupin je veliko pripomogla predvsem virtualizacija
okolij, ki že danes močno pripomore, da uporabniki delajo v varnejšem okolju. A le, če je
področje varnosti ustrezno urejeno. Tudi virtualna okolja inherentno omogočajo metode, ki
lahko zaobidejo varnostne mehanizme, prav zato je varnostni vidik sodobnega poslovanja
tako izpostavljen. Za varnost podatkov in informacij si mora prizadevati celotna
organizacija, poleg implementacije varnostnih rešitev je treba močno delati tudi na
izobraževanju uporabnikov.
Varnost v oblakih
Računalništvo se seli v t. i. računalniške oblake. So lahko ti učinkovit odgovor, ko
vprašanje nanese na varovanje informacij? Napadi na podjetja in njihove podatke se vse
bolj selijo na aplikacijski in komunikacijski nivo. Napadalci kradejo seje in avtentikacijske
elemente, s katerimi lahko pridobijo dostop do podatkov. Napadi man-in-the-middle
postajajo vse bolj napadi tipa man-in-the-browser, torej se odvijejo še pred samim
podatkovnim centrom, ki gosti poslovne informacije.
Je pa oblak z vidika varnosti precej varno okolje. To so ugotovili tudi ponudniki
varnostnih rešitev, ki le-te v obliki upravljanih varnostnih storitev vse bolj selijo v oblak. Za
podjetja, tudi slovenska, so v primeru storitev iz oblaka pomembni predvsem parametri
delovanja (zagotovila o nivoju kakovosti storitev) ter sama lokacija shranjevanja podatkov,
saj slednjo omejuje tudi zakonodaja. Slovensko poslovno okolje je glede uporabe
računalniških oblakov vsaj za zdaj še precej zadržano, kljub temu pa je bolj naklonjeno
kontroliranim okoljem zasebnih oblakov kot javni ponudbi.
Vsekakor je ponudba storitev iz oblaka povečala razpoložljivost varnosti, saj imajo
podjetja na voljo več sistemov, tako virtualnih kot oblačnih. Sami poslovni modeli
računalništva v oblaku gradijo na sistemih za povečanje razpoložljivosti in neprekinjenosti
poslovanja, ki že vsebujejo visoko stopnjo varnosti. Podjetjem in uporabnikom se zato ni
treba preveč ukvarjati z arhitekturo rešitve, temveč le poskrbijo za aktiviranje oziroma
implementacijo teh komponent v svojem poslovnem okolju.
Celovito poznavanje problematike varnosti
Varnostni strokovnjaki ugotavljajo, da se vse manj podjetij zaveda dejstva, da se varnost
začne že na organizacijskem nivoju. Varnost seveda ni sama sebi namen, temveč ima
pomembno vlogo v poslovnem procesu in je vsekakor ne gre zanemarjati, saj varnostni
incidenti vse prevečkrat izstavijo strašljive račune.
Absolutna zaščita ne obstaja, oziroma, povedano drugače, ni finančno vzdržna. A bolj kot
obseg varnostnih tveganj, lahko podjetja skrbi nesorazmerna implementacija varnostnih
rešitev, ki ob ustvarjanju neprebojnega zidu na eni strani, puščajo odprta vrata na drugi. K
problematiki varnosti poslovnih informacij se pristopa sistemsko in celovito. Faz, kot so
analiza stanja, ocena informacijskih tveganj, kategorizacija informacij, določitev pravil
dostopa do informacij, modeliranje varnostne rešitve in implementacija preprosto ni
mogoče izpustiti. Vključevanje vseh varnostnih elementov zahteva »pravila igre«, ta pa
morajo biti seveda natančno določena. Podjetja varnost pogosto jemljejo kot abstraktno,
saj jo je, podobno kot zavarovanje, težko spraviti v poslovni model. Različne optimizacije
poslovanja, ki so jih podjetja v zadnjih letih usmerila predvsem v nižanje stroškov, so
marsikje naredila grobe reze prav na področju varnosti. Takšno varčevanje seveda vodi v
večjo ranljivost poslovanja in se lahko podjetje vrne kot bumerang.
Informacijska varnost kot storitev
Specializirani ponudniki zunanjega izvajanja so v svoj nabor storitev seveda vključili tudi
področje informacijske varnosti. V S&T Slovenija ugotavljajo, da je trenutno največ
povpraševanja po storitvah upravljanja z informacijsko varnostjo, torej primerih, ko ima
stranka svojo opremo, zunanji izvajalec pa skrbi za upravljanje, vzdrževanje ter optimizacijo.
V prihodnosti strokovnjaki napovedujejo še večjo uporabo zunanjega izvajanja, saj naj bi
podjetja posamezne segmente poslovanja (selitev poslovnih procesov) ter IT selila k
zunanjim ponudnikom, ti pa bodo med drugim morali zagotoviti tudi ustrezen nivo
varnosti. Velika rast se zunanjim ponudnikom obeta tudi na področju upravljanih varnostnih
storitev, saj bodo tako mala kot velika podjetja v upravljanje vse pogosteje predajala
celotno infrastrukturo. Ponudnik bom med svoje naloge tako vpisal tudi različne analize,
svetovanja ter reševanje morebitnih varnostnih incidentov. Predaja informacijske varnosti v
zunanje izvajanje navadno močno izboljša le-to. Že temeljita analiza poslovanja,
informacijskih sredstev in potencialnih varnostnih groženj pogosto odkrije različne luknje in
ozka grla. Ponudnik tudi ves čas spremlja, kaj se dogaja v svetu informacijske varnosti in ob
širitvi potencialnih groženj po internetu že predhodno obvesti stranko ter ji priporoči
ustrezne aktivnosti. Visoki standardi, kot je denimo ISO27001, obsegajo tudi periodično
preverjanje nivoja varnosti pri stranki, kar pomeni, da podjetje na varnostnem področju ne
more 'zaspati'.