CYBERBEZPIECZEŃŚTWO

 

CZY ALFRED HITCHCOCK POLUBIŁBY SEKTOR BEZPIECZEŃSTWA INFORMACJI?

5 BŁĘDÓW

W MYŚLENIU O BEZPIECZEŃSTWIE DANYCH, KTÓRE MOGĄ SPORO KOSZTOWAĆ

 

Pewnego razu, na lotnisku we Francji, podejrzliwy celnik przeglądając paszport Hitchcocka,
zatrzymał wzrok na rubryce „zawód”, w której było wpisane zawód – producent, zapytał zaczepnie:

– A cóż też pan produkuje?

– Strach – odpowiedział reżyser.

Hitchcock był dumny ze swojej umiejętności potęgowania napięcia. W wielu filmach z gatunku grozy reżyserzy atakują widza dramatycznymi zwrotami akcji czy mrożącymi krew w żyłach scenami. Hitchcock budował napięcie wokół wydarzeń prowadzących postaci filmu do odkrycia, co się wydarzyło i dlaczego. Może dlatego, że w gruncie rzeczy bardziej interesowały go dylematy moralne ukryte pod postacią kryminalnych intryg niż sam wątek kryminalny? A drenowanie ludzkich słabości uważał za zajęcie bardziej fascynujące niż budowanie misternych kryminalnych intryg?

Co filmowy świat Hitchcocka ma wspólnego z cyberbezpieczeństwem?

Dość sporo. W pierwszej kolejności dlatego, że w wielu aspektach każdy z nich bazuje albo odwołuje się do ludzkich przekonań, słabości i rozmaitych dylematów. Poza tym w obu przypadkach strach jest głównym narzędziem do budowania napięcia i często głównym doradcą przy podejmowaniu decyzji. I w ten oto, zupełnie nieoczekiwany sposób dwa, wydawałoby się odległe światy zbliżyły się do siebie na odległość dłoni.

Ludzkiej naturze i ludzkim słabościom przyglądał się również Kevin Mitnick amerykański haker, a obecnie rozchwytywany ekspert w dziedzinie bezpieczeństwa. Drenował ludzką naturę do granic możliwości w trakcie stosowania rozmaitych socjotechnik w swojej pracy eksperckiej. Wskazując na nią jako jeden z najistotniejszych czynników w obszarze bezpieczeństwa każdej organizacji.

Myśląc o bezpieczeństwie danych można budować napięcie na różne sposoby. Istotne jest jednak to, aby nie koncentrować się tylko na jednym z jego aspektów. Budowanie i wdrażanie strategii ochrony danych w organizacji wymaga spojrzenia i myślenia kompleksowego, a nie zawsze w praktyce takie jest.

 

5 PRZEKONAŃ O BEZPIECZEŃSTWIE DANYCH,

KTÓRE MOGĄ SPORO KOSZTOWAĆ

 

1. FIRMA TO BUDYNKI I SYSTEM INFORMATYCZNY

 

W każdej organizacji poza budynkiem, pomieszczeniami, infrastrukturą sprzętową i oprogramowaniem są jeszcze LUDZIE.

Czynnik ludzki jest wskazywany jako jedno z najsłabszych ogniw każdego systemu bezpieczeństwa.

Kevin Mitnick uważa że  ludzka naiwność, łatwowierność i ignorancja to najsłabsze ogniwa wiodące do uzyskania poufnych informacji, tajnych kodów i haseł. Jego opowieści o socjotechnikach stosowanych, aby wydobyć informację od ludzi, pobudzają wyobraźnię („Sztuka podstępu. Łamałem ludzi nie hasła” Kevin D.Mitnick & William L.Simon wyd Helion). Autorzy zwracają uwagę na to, że koncentracja inwestycji działów IT w rozwój technologicznej warstwy zabezpieczeń jest poważnym błędem i zaniedbaniem: „Nie myśl, że zabezpieczenie sieci i firewalle ochronią twoje informacje. Szukaj najsłabszego ogniwa. Zwykle okazuje się nim człowiek.2.

2. DANE GROMADZI SIĘ NA SERWERACH I W CHMURZE

Wiele organizacji myśli o bezpieczeństwie danych tylko w jednym (technicznym), w lepszym wariancie w kilku aspektach (technicznym i prawnym), bardzo rzadko kompleksowo (technicznym, prawny, organizacyjnym, społecznym, psychologicznym).

Wiele się mówi o niebezpieczeństwach nadchodzących od strony Internetu, wokół tego budując cały schemat ochrony danych. Pamiętać jednak należy, że każda organizacja działa też w wymiarze analogowym (szafy, szuflady, biurka, archiwa), który czasem znacznie łatwiej przejąć wystarczy przejść po pokojach. Albo w odpowiedni sposób porozmawiać z ludźmi.

Bezpieczeństwo danych obejmuje wiele aspektów i ZAWSZE należy o nim myśleć kompleksowo. W taki sposób należy też myśleć i opracowywać procedury postępowania i przepływu informacji wewnątrz organizacji.

3. TO CO KUPIŁ KOWALSKI BĘDZIE DOBRE TEŻ DLA MNIE

Myślenie abstrakcyjne, w oderwaniu od specyfiki funkcjonowania własnej organizacji jest kolejną bolączką zespołów wdrażających projekty z zakresu bezpieczeństwa danych. Tak jak nie ma jednego uniwersalnego rozmiaru garnituru, tak w obszarze bezpieczeństwa projekt powinien być szyty na miarę. Poprzedzony audytem, zidentyfikowaniem rodzaju danych, które należy zabezpieczać i ryzyk jakie wiążą się z ich utratą oraz ustaleniem zakresu i poziomów potrzebnej ochrony. Zasada risk base approche odnosi się również do bezpieczeństwa danych.

Kolejność podejmowanych działań powinna też być dostosowana do potrzeb konkretnej organizacji, a nie być prostym powieleniem kroków podejmowanych przez inne (bardziej czy mniej podobne) podmioty funkcjonujące na rynku.

Po co mi narzędzia chroniące mnie przed wyciekiem danych, jeśli w mojej organizacji może istotniejszy jest dobry back-up? Bo większym ryzkiem jest przerwa w dostawie usług czy produktów niż to że ktoś zechce przejąć dane moich pracowników czy kontrahentów? Czy ja mam dobry back-up? Czyli taki, że „zadziała” w chwili kryzysu czy „mam back-up”, ale nikt go nigdy nie przetestował? Gdzie przechowuję back-up copy i kto ma do niej dostęp.

4. ZNAM TEN PRODUKT, UŻYWAM STARSZEJ WERSJI, WIDZIAŁEM GO JUŻ WCZEŚNIEJ – TEGO WŁAŚNIE POTRZEBUJĘ

Znowu będzie analogia do filmu. Nie wiem czy pamiętacie kultowy „Rejs”? Jeden z cytatów z tego filmu nasunął mi się od razu:

„Proszę pana ja jestem umysł ścisły. Mnie się podobają melodie, które już raz słyszałem. Po prostu. No… To… Poprzez… No reminiscencję. No jakże może podobać mi się piosenka, którą pierwszy raz słyszę.”

Lubimy, a często wydaje nam się, że potrzebujemy to co już znamy. A przecież potrzeby organizacji mogą być teraz zupełnie inne niż jeszcze rok temu. Warto o tym pamiętać nie tylko zabezpieczając dane.

5. KUPIŁEM ANTYWIRUSA I OPROGRAMOWANIE DO BACK-UP SPRAWA ZAŁATWIONA

Uczestnicząc w konferencjach czy przy projektach związanych z bezpieczeństwem informacji obserwuję, że wiele podmiotów podchodzi do tego jak do jednorazowego zadania. Trzeba opracować procedury, zakupić odpowiednie elementy infrastruktury, przeszkolić ludzi i temat zamknięty, odhaczony.

Tymczasem ochrona danych to NIE JEST PRODUKT to PROCES, który cały czas powinien być w toku. Wprowadzony, badany, testowany, weryfikowany, poprawiany, gdy jest taka potrzeba, uzupełniany (gdy pojawią się nowe elementy w ramach organizacji czy nowe potencjalne ryzyka).

Alfred Hitchcok mawiał, że oczekiwanie na niebezpieczeństwo jest gorsze niż jak ono na nas spada. I wokół tego budował napięcie. W aspekcie bezpieczeństwa danych proponowałabym pójść inną drogą. Myśleć o bezpieczeństwie danych tak jak myśli się o każdym innym aspekcie funkcjonowania organizacji. Bez strachu, na spokojnie, z dystansem, kompleksową oceną ryzyka, dobrze zaadresowaną w procedurach wewnętrznych i umowach z partnerami biznesowymi oraz wdrażanych środkach organizacyjno-technicznych.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

This site uses Akismet to reduce spam. Learn how your comment data is processed.