Če bi se varnosti lotevali sistematično, bi bili varni sistemi realnost. Namesto tega pa kupujemo magične varnostne izdelke, ki nam obljubljajo zmanjšanje tveganj brez našega dela. Zakaj je tako, je v intervjuju za revijo Monitor pojasnil Jan Bervar, arhitekt za področje IT-varnosti v družbi NIL.
Kaj je danes narobe s področjem informacijske varnosti?
Jan Bervar: Veliko stvari. Predvsem to, da na področje informacijske varnosti gledamo mistično in ne inženirsko. Odločevalci in javnost vidijo hekerje s črnimi klobuki, ki so vsemogočni in lahko vdrejo v vsak sistem. Laiki, ki pogosto odločajo o investicijah v digitalno obrambo, torej gledajo skozi prizmo hollywoodskih filmov. Gre za problem percepcije, potrebujemo pa trezno gledanje in inženirski pristop, potem bomo imeli bistveno varnejše sisteme in višji nivo varnosti.
Kakšne napake pa delajo?
Jan Bervar: Predvsem ne prisluhnejo varnostnim strokovnjakom, temveč prodajalcem varnostnih rešitev. Stvar je na trenutke ne smešna temveč šokantna. Obnašajo se kot v filmu. Vsi bi želeli piti in kaditi, obenem pa imeti tabletko, ki bi jim ohranjala zdravje. In to tabletko jim nato, kot neko magično rešitev, ponudijo proizvajalci in prodajalci varnostnih rešitev. A če nisi zdravnik, ne veš, ali tabletka res deluje. Seveda so se do sedaj še vsi opekli na račun magičnih tabletk, magične rešitve pač ni.
Torej je težava (tudi) v samih proizvajalcih varnostnih rešitev?
Jan Bervar: Vsekakor. Proizvajalci varnostnih rešitev vas hočejo vsak dan prepričati, da se napadi vseskozi spreminjajo in so vedno bolj nevarni, zato je treba biti nenehno na preži in kupovati nove magične varnostne izdelke. Večina proizvajalcev/prodajalcev varnostnih rešitev ne gleda na varnost sistematično, ampak vam zagotavlja, da bo prav njihova rešitev na njihovem področju (omrežje, aplikacije …) rešila vse vaše probleme. Vsak, ki ponuja posamezne varnostne izdelke, je slep za ostala področja – mrežni specialist rešuje vse z mrežno opremo, drugi s programsko … Podjetja pa potrebujejo večnivojski sistem obrambe.
Toda ali mar ne potrebujemo vedno novih varnostnih rešitev, saj kibernetski napadalci pripravljajo vedno nove grožnje?
Jan Bervar: V resnici so grožnje praktično enake že več desetletij, le napadalci so drugi in posledično iščejo nove poslovne modele – v našo škodo, ki pa seveda s časom potencialno raste. Načini napadov se ne razvijajo, cilji napadov so tisti, ki se spreminjajo. Včasih sem s kladivom udaril po šipi, danes pridem z digitalnim kladivom in »razbijem« računalnik. Ta kladiva se s časom praktično ne spreminjajo, morebiti samo njihova barva. Počasi pa se spreminja poslovni model napadalcev – smo nekje na sredini razvoja njihovih ciljev. Včasih si imel vandalizem, danes imaš izsiljevalske viruse. Podjetij to ne gane, če imajo ustrezne varnostne kopije podatkov. Bolelo jih bo tisto, kar še(le) prihaja – izsiljevanje z objavo (ukradenih) podatkov ali neavtorizirano spremembo kritičnih podatkov.
Poglejmo primer Morrisovega črva – prvi računalniški črv, ki se je širil preko interneta, se je pojavil novembra 1988. Njegov način napada je identičen napadu virusa Wanna-Cry, ki pred tedni dvignil ogromno prahu v medijih. Prav medijska pozornost pa je tisto, kar proizvajalcem pomaga prodati »nove« varnostne rešitve – čeprav je večina »novih« izdelkov pod pokrovom praktično ista kot pred desetimi leti.
Lahko to pojasnite? Ali varnostne rešitve ne zastarijo?
Jan Bervar: Kdor se bolj intimno spozna na tehnologijo, vidi, da proizvajalci varnostnih rešitev kolobarijo, vsakih 10 let pridejo z isto tehnologijo, a novimi marketinškimi oznakami, kot so globoko učenje, masovni podatki, oblak v službi varnosti in podobnimi. Tipičen varnostni izdelek se danes prodaja samo še na račun krilatic, zanj pogosto ni na voljo niti dokumentacije – potencialna stranka je ne more videti niti, če to zahteva. Prodajalci nas želijo prepričati, da nekaj deluje, brez da bi nam pokazali, kako in zakaj. Prodajajo obliže, skoraj vsi obliži zadnjih 20 let pa žal delajo na tehnologiji varnostnih podpisov, s katerimi se trudijo prepoznati znane grožnje in anomalije v vašem okolju.
Sistemi, ki bi resnično zagotavljali varnost, so proaktivni. A zanje morajo glave združiti res dobri inženirji. Podjetja takih strokovnjakov nimajo. Tista, ki vseeno zahtevajo res varne sisteme, poiščejo zunanje strokovnjake, take, ki jim ne bodo takoj potisnili v roke magičnih izdelkov, ampak pregledali stanje in načrtovali varnosti sistem po meri. Varnostni strokovnjak oziroma evangelist mora tudi laiku, predvsem vodstvu organizacije, znati razložiti varnost tako, da bo razumel, zakaj in kako se bomo nečesa lotili. Če tega ni, je to znak, da je nekaj narobe. Žal pri nas večina samooklicanih varnostnih strokovnjakov prodaja le prospekte ameriških partnerjev.
Glede zastarevanja je pa tako: dobra tehnologija zaščite obstaja že več 10 let, težava je v tem, da učinkovite tehnologije zahtevajo precej izvedbenega ter operativnega dela in podporo vodstva za spremembe. Zdravo zasnovani sistemi kljub za IT spoštljivi starosti svojim skrbnikom še danes zagotavljajo miren spanec, bistveno mirnejši od tistega, ki ga imajo podjetja, katerih varnost temelji na podpisnih rešitvah.
Velika težava IT-okolij je tudi njihov stopničast razvoj. Sistemi in rešitve so zelo prepleteni, veliko je star(ejš)ih rešitev … Kako to urediti?
Jan Bervar: Marsikatera težava izvira iz grehov preteklosti. Sistemi, programska in strojna oprema so se v preteklosti najprej razvili in šele nato zavarovali. To je, kot če bi izdelali avto poln ostrih robov in se spraševali, kam namestiti varnostne blazine, da se potniki ne bodo poškodovali. Proizvajalci programske opreme se vendarle začenjajo zavedati, kako pomembna za varnost je sama arhitektura, zato je varnostni inženir vse pogosteje že del razvojne ekipe od samega začetka.
Vedno imajo zelo veliko prednost tisti, ki gradijo nove sisteme (npr. v zasebnem ali javnem oblaku). To je res izjemna priložnost, da se zadeve uredijo. Ko podjetje prenavlja IT-okolje in razmišlja, da bi stare sisteme zamenjalo z novejšimi, bi morali varnostni inženirji vriskati od veselja – to je namreč priložnost, da stvari naredijo prav. A tudi oblak ima svoje varnostne »muhe«.
Muhe?
Jan Bervar: Da. Napadi se seveda dogajajo tudi v oblaku, saj nas njegova uporaba izpostavi novim, specifičnim tveganjem. Eden črnih scenarijev je denimo ta, da podjetje gostuje v oblaku ponudnika v večnajemniškem modelu. Če se pri »sosedu« (sonajemniku) zgodi incident, smo lahko kolateralna škoda. Pač, analogija s stanjem, ko v sosednjem stanovanju živi terorist in Američani bombardirajo celo zgradbo …
Kako pa naj podjetja poskrbijo za varna informacijska okolja?
Jan Bervar: Varnostnega inženiringa bi se morali lotevati sistematično, arhitekturno, ne pa z ad-hoc nakupi tehnologije na podlagi marketinških obljub. Na sto informatikov najdete pol informatika, ki ima res poglobljeno in praktično znanje o informacijski varnosti, ostali so, sploh če o čem odločajo, na tem področju nestrokovnjaki. Podjetja rabijo t. i. zdrave paranoike. Takšne, ki bodo motivirani najti pozitivne rešitve, ter bodo vložili konkretno razmišljanje in delo v to, da bodo preobrazili obstoječe sisteme. Treba se je ustaviti in razmisliti – na področju informacijske varnosti naj bo 90 odstotkov dela namenjenega razmišljanju, le desetina pa implementaciji.
Za načrtovanje varnih sistemov potrebuješ možgane. Za postavitev rešitev, ki bodo znale spremljati delovanje sistemov in prepoznati incidente, pa potrebuješ 5-krat več možganov, analitikov, strokovnjakov. Svet žal nima dovolj dobrih strokovnjakov, ki bi postavljali ustrezno obrambo, kaj šele, da bi izvajali napredno forenziko. Zato mislim, da bodo tudi na tem področju, torej področju same zaznave vdorov, organizacije iskale zunanjo pomoč.
Bodo torej napadalci na koncu zmagali, premagali vse?
Jan Bervar: Stvari so na strani napadalcev precej enostavne. Za to, da vzameš kladivo in razbiješ okno, ne potrebuješ vrhunskega znanja. Bistveno težje je narediti okno, skozi katerega bodo še vedno vsi videli, a ga bo težko razbiti. Mislim, da bodo stvari postale slabše, preden se bodo izboljšale, najbolje pa bodo odnesli tisti, ki na varnost ne gledajo mačehovsko, ampak trezno.
Kako pa je v vaših očeh videti najboljša varnostna rešitev?
Jan Bervar: Najboljša varnost je tista, ki je zelo prilagojena ciljnemu okolju, takšna, ki preprečuje predvsem tiste grožnje, katerim je posamezna organizacija izpostavljena. Moder pristop k urejanju področja varnosti se začne z analizo tveganj in varnostnih scenarijev. Žal se pogosto konča z najslabšo možno rešitvijo: odločevalec se odloči, da bo kupil tisto, kar po zagotovilih prodajalca »reši vse«. V praksi je ravno obratno – težave niso odpravljene. V primeru, ko je varnost prilagojena posamezni organizaciji, ta hitro ugotovi, da ji je večina ustreznih varnostnih tehnologij na voljo že celo večnost. Prav zato podjetjem svetujem, da najprej najamejo varnostne arhitekte in ne varnostnih prodajalcev.
Kako spremeniti ta začaran krog, kje začeti?
Jan Bervar: Najprej potrebujemo dialog znotraj organizacij, ki bo odločevalcem jasno razložil tveganja: da smo danes vsi tarče napadov, ter da odprava posledic incidentov ponavadi stane stotisoče ali milijone evrov na incident. Odločevalci niso neumni, razumejo številke, razumejo tveganja. Rabijo pa ljudi, ki jim bodo varnostno problematiko ustrezno predstavili – teh pa ni na spregled. Vzpostaviti moramo dialog med vodstvom in varnostnimi strokovnjaki, ter poskrbeti za pametne vzvode, da ti sloji ne delujejo le za svoje sebične interese.
Torej moramo na varnost začeti gledati drugače?
Jan Bervar: Da. Sedanje stanje je namreč ustvarilo kulturo varnostnega maratona – nenehno tečemo pred napadalci, da nas le-ti ne bi ujeli. Čas bi bil, da se ustavimo in ustrezno varnostno opremimo, saj bomo tako lahko raje tekli na področju posla in inovacij. Dober varnostni arhitekt ni človek, ki slabo spi, ker se sprašuje, zaradi katere nove grožnje bo gasil požar jutri, temveč razmišlja o tem, kako bo zaščitil nove storitve podjetja.
>>> Prenesite si intervju v PDF obliki <<<
O opisanih izzivih smo govorili tudi na poslovnem zajtrku “Kaj je varen IT-sistem in kako ga vzpostaviti?”
Celovito obvladovanje IT-varnostnih tveganj je ob pomanjkanju kadra, virov in znanja zelo zahtevno, zato čudežnih rešitev ni. Na poslovnem zajtrku je Jan Bervar zato v predavanju “Kako učinkoviteje varovati IT-okolja s premalo kadra?” pojasnil pristope k oblikovanju imunskega sistema IT, s katerimi lahko bistveno omejite poslovno škodo varnostnih incidentov, ter predstavil različne možnosti sodelovanja vaše varnostni ekipe z zunanjim znanjem. Oglejte si posnetek!