25.9.10

Operacionalizacija informacijske sigurnosti

Odmah na početku ispričavam se za dulji izostanak novih tekstova (kolege me na to redovito upozoravaju - pozdrav Zlatku!). Zapravo, već dulje vrijeme planiram objaviti moj pogled na stanje operativnog aspekta informacijske sigurnosti u našoj okolini, s obzirom da je to tematika s kojom se već godinama susrećem.

Prošlo je nešto preko dva mjeseca od objave otkrivanja trojanca Stuxnet. Brojni napisi objavljeni u ovom razdoblju potvrdili su izuzetnu malicioznost ovog programa, Microsoft je uz dosta petljanja objavio (neke) popravke, a pojavili su se i teorije (koje sam i ja implicitno naznačio u mom napisu) o državnom sponzorstvu ovog trojanca.

Cijela situacija oko trojanca Stuxnet nameće jedno pitanje: koliko su hrvatske državne institucije, javni sektor i privatne tvrtke otporne na ovako profilirane prijetnje (ili Advanced Persistent Threat, kako ih se u zadnje vrijeme naziva)? Bojim se da je odgovor jako tanak.

Kao što sam već više puta primjetio ovdje ali i u drugim prilikama, svijest o informacijskoj sigurnosti je unatrag desetak godina izuzetno evoluirala, što se naravno odrazilo i na stvarno stanje i procese u našim tvrtkama. Dokaz ovome je opće prihvaćnje normi iz obitelji ISO 2700x, jačanje regulatornih zahtjeva naročito onih iza kojih stoji HNB, te praktično uvođenje osnovnih sigurnosnih procesa. Ipak, rekao bih da se stalo na pola puta. Izuzetno smo jaki na razini definicije i propisivanja sigurnosnih zahtjeva, dok operativna provedba procesa još zaostaje. Zapravo, primjena sigurnosnih principa je zadovoljavajuća kada je upitanju očuvanje dostupnosti i kontinuiteta poslovanja, no čini mi se da su druge prijetnje (naročito namjerno djelovanje ljudskog faktora, koji predstavlja suštinu APT prijetnji) još uvijek podcjenjene.

Ova se situacija može jednostavno protumačiti: prekidi dostupnosti uslijed prirodnih ili tehničkih nepogoda mogu se lako objasniti, iskustva o njima su veoma bolna, lako su razumljivi i provedivi unutar postojećeg opsega kompetencija informatičkih službi, a često su vezani i sa jakim interesom dobavljača s obzirom da svaki takav projekt generira dodatnu prodaju hardverskih komponenti.

Djelovanje ljudskog faktora (naročito motiviranog) druga je priča. Obrana se u ovom slučaju temelji isto tako na djelovanju ljudskog faktora. Alati i sigurnosni sustavi nisu na odmet, no sami po sebi neće dati rezultate, pa su nažalost česti primjeri nesmotrenih investicija u opremu bez zadovoljavajućih rezultata.

Obrana od motiviranog ljudskog djelovanja temelji se na dva aspekta obrane. Prvi je usmjeren na procese koji djeluju na računalne (ali i ljudske) ranjivosti i nedostatke, a drugi je usmjeren na praćenje i otkrivanje neposrednog djelovanja i manifestacija prijetnji. Prvi je preventivan, dok drugi mora detektirati i ograničiti djelovanje. Prvi je proaktivan, drugi je korektivan.

Ovi procesi u mnogim organizacijama nisu provedeni na cjelovit način niti možemo govoriti o upravljivosti ovim procesima. Bojim se da bi djelovanje dobro motiviranog i tehnički utemeljenog ljudskog faktora moglo imati pogubne posljedice.

U ovakvoj situaciji, mnoge organizacije zapravo neće nikad ni saznati da su bile žrtve takvih napada.

No postoji i drugi odgovor.

Možda malo tko ima potrebe pokrenuti sofisticirane tehnološke napade protiv državnih institucija (ako zanimljive informacije može dobiti na drugi način) ili možda naše tvrtke zapravo ne posjeduju atraktivan intelektualni kapital ili druge jedinstvene informacije koji bi motivirale konkurenciju (kao u prošlogodišnjem slučaju napada na Google). Pored toga, nepotrebno je napominjati, trećem ključnom elementu, našim osobnim podacima, sami neprekidno i dobrovoljno smanjujemo vrijednost tako da njihova kompromitacija, valjda neće više nikoga ni uzbuđivati.