15/12/2014

Błędy w postrzeganiu bezpieczeństwa IT: Skupienie na przyszłości

Porady Zagrożenia

Ten artykuł jest pierwszym z serii postów, w których wymienię pewne błędne założenia związane z bezpieczeństwem IT. Uwierzcie mi, jest ich wiele. Mimo że nie da się wymienić wszystkich, spróbuję opisać tyle, na ile starczy mi czasu i siły.

False-Perception-of-IT-security-Predicting-the-Future

Urodziłem się na początku lat 80. i dorastałem na filmach takich jak Terminator, Robocop, Gry wojenne, Hakerzy, Raport mniejszości, Łowca androidów czy Matrix. Łączyła je idea: jakby to było, gdyby ewolucja technologii przebiegała poza kontrolą człowieka. Oczywiście wiemy, że to tylko fikcja, a nie rzeczywistość, a jednak gdy mówimy o bezpieczeństwie w kontekście informatyki, wciąż wierzymy, że musimy chronić się przed zagrożeniami z przyszłości.

Taką tendencję łatwo zauważyć także podczas różnych konferencji poświęconych bezpieczeństwu oraz w artykułach i blogach – wiele osób skoncentruje się na odkryciu lub ochronieniu nas przed nieznanym. Prawie każda firma zajmująca się bezpieczeństwem oraz wielu badaczy mówią o atakach APT (Advanced Persistent Threats) i tych ukierunkowanych. Nie zrozumcie mnie źle, to niezmiernie ważne, aby rozumieć te zagrożenia. Jednak jeśli przez chwilę przyjrzycie się włamaniom i lukom, które przydarzają się co jakiś czas wielu firmom, zobaczycie to w innym świetle.

Uważam, że to raczej problem niż zwykły fakt, że wciąż jesteśmy bardzo podatni na stare, znane kwestie bezpieczeństwa. Gdy rozmawiam z badaczami, mam wrażenie, że wiele z bardzo istotnych tematów odkładają na półkę, ponieważ nie zawierają one nic nowego, medialnie atrakcyjnego (nawet na konferencjach bezpieczeństwa).

Skutkiem takiej sytuacji jest brak współpracy badaczy bezpieczeństwa z ekspertami zajmującymi się technologią, jeśli chodzi o interesujące narzędzia, pomysły, porady czy doświadczenia.

Jako badacze bezpieczeństwa, musimy zacząć mówić bardziej odpowiedzialnie na ten temat. To, co piszemy na naszych blogach i co mówimy ludziom, jest naprawdę ważne. A przy tym wciąż musimy wyszukiwać nowe zagrożenia.

Jednak jeśli mówimy publicznie o najnowszej kampanii szkodliwego oprogramowania lub luce, ludzie zaczynają koncentrować się tylko na ochronie przed najnowszymi zagrożeniami, zaniedbując inne znane od dawna problemy: dziurawe systemy, słabe hasła, mizerne zarządzane łatami, brak segmentacji sieci, brak szyfrowania danych i ustawienia domyślne.

Chciałbym także podkreślić, że kiedy mówię „my” jako branża, nie mówię tylko o badaczach bezpieczeństwa, ale mam tu także na myśli administratorów, dostawców, konsultantów i wszystkich tych, którzy maj coś wspólnego ze światem IT. Dostawcy muszą wykazać większą odpowiedzialność i z większą uwagą traktować swoją pracę – kodowanie, administratorzy systemu i osoby odpowiedzialne za integrację muszą mieć pewność, że całkowicie rozumieją daną aplikację i system operacyjny, zanim klikną przycisk odpowiedzialny za instalację.

A jeśli jesteś konsumentem, uwierz, że jesteś współodpowiedzialny za swoje bezpieczeństwo IT i nie możesz obwiniać innych, gdy coś pójdzie nie tak. Twoje bezpieczeństwo może zależeć nawet od tak prozaicznego elementu jak siła hasła.

Nie możemy walczyć z zagrożeniami z przyszłości, jeśli nie zrozumiemy przeszłości. Możliwe, że właśnie teraz żyjemy w erze, w której technologia rozwija się szybciej niż możemy ją kontrolować, ale zamiast próbować wyszukiwać i przewidywać jeszcze dalszą przyszłość, musimy zrobić jeden krok w tył i zastanowić się, co właściwie już wiemy i co możemy z tym zrobić.