Zawsze myślałem, że bezpieczeństwo IT nigdy nie będzie tematem, który rzeczywiście interesowałby kierownictwo najwyższego szczebla. Myliłem się.
Coś, o czym mówiłem przez lata, teraz okazuje się nieprawdą. Bezpieczeństwem IT interesują się nie tylko dyrektorzy zarządzający, CEO i szefowie korporacji, ale nawet przywódcy krajów, tacy jak Angela Merkel i Barack Obama. Luki w zabezpieczeniach sprawiają, że infrastruktura jest dziurawa i podatna na atak. Bez względu na to, czy zostały już wyciągnięte wnioski, czy też nie, sektor bezpieczeństwa IT jest obecnie w centrum uwagi. Starsza kadra kierownicza chce rozmawiać – właśnie na to zawsze liczyliśmy. Z tym, że teraz musimy jakoś z tym żyć.
A to wcale niełatwe, ponieważ krajobraz zagrożeń zupełnie się zmienił, w rzeczywistości zmienia się z godziny na godzinę, a my – jako specjaliści od bezpieczeństwa IT – nie mamy już pełnej kontroli nad naszymi przestarzałymi metodami.
Oto cztery główne problemy, z którymi musimy dziś się zmierzyć:
- Infrastruktura IT zarządzana przez działy biznesowe, a nie przez dział IT
- Użytkownicy, którzy zachowują się jak administratorzy systemu i nie polegają już na administratorach
- Dane i aplikacje, które obecnie działają i są przechowywane w chmurze, a nie w izolowanych sieciach
- Przedmioty podłączone do Internetu, które szerzą się jak pożoga i są zarządzane z zewnątrz. To już nie jest kwestia jednego czy dwóch urządzeń na każdego użytkownika, nad którymi firma nie ma pełnej kontroli
„Infrastruktura odzwierciedlająca potrzeby biznesu” – pierwsze z czterech wyzwań – odwraca byłe zasady projektowania infrastruktury do góry nogami. Infrastruktura niegdyś była fundamentem, na którym spoczywały dane i aplikacje, których z kolei używały działy biznesowe w celu osiągnięcia zysków. Jednak dziś to biznes wyznacza kierunki. Działy biznesowe uruchamiają własne usługi mobilne, usługi chmurowe, sieci społecznościowe i projekty Big Data, bez zważania na aplikacje i dane, nie mówiąc już o infrastrukturze IT. I bez konsultowania się z personelem IT. „Jedyne”, co pozostało w gestii działu IT, to zadbać o to, żeby ta infrastruktura działała bezpiecznie, niezawodnie i efektywnie.
Użytkownicy, którzy uważają, że mogą robić, co im się spodoba
Drugie wyzwane to użytkownicy, którzy rozumieją swoją rolę zupełnie inaczej, niż jeszcze kilka lat temu. W latach 2000-2010 zazwyczaj nie znali się na IT, ale przynajmniej byli tego świadomi. Teraz, po 2010 roku, nadal nie mają o niczym pojęcia, ale sądzą, że są specjalistami IT i w związku z tym mogą robić, co im się spodoba.
Dane i aplikacje – trzecie wyzwanie – do niedawna miały pod górkę. Jeszcze dziesięć lat temu firmy centralizowały tyle procesów i działań, ile tylko zdołały. W miarę, jak zbliżał się rok 2010, w modzie było wirtualizować wszystko, co się da. Teraz próbuje się przenosić wszystko do chmury w celu ograniczenia nakładów inwestycyjnych i kosztów pracy personelu IT. Jednak projekty te nigdy nie zostały wdrożone do końca. Zostaliśmy z menażerią rozproszonych danych i aplikacji, które działają w systemach fizycznych i wirtualnych, są przechowywane w firmie i u różnych dostawców usług chmurowych. Ktoś jednak musi zadbać o tę menażerię i upewnić się, że jest bezpieczna. To ważne i skomplikowane zadanie – w sam raz dla specjalistów od bezpieczeństwa.
Dostawcy urządzeń IoT wykorzystują nasze sieci
Internet Rzeczy (Internet of Things, IoT) to czwarte wyzwanie. Niemal każde urządzenie elektroniczne, od żarówki do lodówki, jest teraz dostępne w wersji podłączonej do Internetu. Wiele z nich ma wbudowane czujniki oraz moduły służące do wysyłania i odbierania danych przez sieć. W erze Przemysłu 4.0 niemal każde nowe urządzenie może działać w sieci. Rozwiązaniami IoT nie zarządzają jednak użytkownicy, ale firmy, które je sprzedają. Oznacza to, że w naszych sieciach domowych i firmowych aktywnych jest wiele graczy, których nie znamy, nie możemy kontrolować i prawdopodobnie nigdy nie będziemy mogli pociągnąć do odpowiedzialności.
Zaledwie kilka lat temu często mówiło się o „ujednoliconym zarządzaniu zagrożeniami” (unified threat management, UTM), które miało rozwiązać wszystkie problemy z ochroną zasobów IT. Rozumiano przez to pojedyncze urządzenie zapewniające kompleksową ochronę – „magiczną skrzynkę”, która miała ratować naszą skórę. Coś stojącego między nami a złem, bez względu na oblicze tego zła. Dziś to nie wystarczy. To „zło” jest wokół nas, wszędzie, a nawet „w nas” – użytkownikach końcowych. Nie możemy ufać nawet samym sobie. Jeśli firma chce dziś otworzyć kilka nowych biur, to nie używa już scentralizowanej sieci rozległej (WAN), lecz korzysta z pakietu Office 365, udostępniania plików, usług chmurowych i inteligentnych urządzeń mobilnych. W związku z tym klasyczna koncepcja UTM niebawem stanie się mocno przestarzała. Potencjalne zło nie musi już nawet wślizgiwać się przez ściśle strzeżone frontowe drzwi.
Koncepcje klienta zamiast koncepcji producenta
Jak więc możemy się dziś zabezpieczyć? Co powinniśmy zrobić? Każda firma ma własne, indywidualne instalacje i wymagania w zakresie bezpieczeństwa. Z każdym mijającym dniem świat IT staje się coraz bardziej zagmatwany i zróżnicowany. Jak zatem chronić tak zindywidualizowaną, dynamiczną i szeroko rozgałęzioną infrastrukturę? Z punktu widzenia producenta pytanie brzmi: który menedżer ds. produktów wpadnie na jakiś dobry pomysł?
Niestety, odpowiedź brzmi: żaden. Kompletna ochrona przed zagrożeniami (Total Threat Protection, TTP) oraz kompletne bezpieczeństwo danych (Data Protection Plus, DPP) dziś muszą być koncepcjami klienta, a nie producenta. Chodzi o zablokowanie każdego wektora ataku, tworzenie kopii zapasowych i ochronę danych bez względu na to, gdzie są przechowywane, oraz archiwizowanie całej komunikacji niezależnie od tego, gdzie się odbywa.
Kompletna ochrona przed zagrożeniami: połączone zarządzanie wszystkimi mechanizmami zabezpieczającymi
Dziś kluczowym czynnikiem sukcesu – o czym powinni pamiętać wszyscy producenci – jest to, że firmy centralnie zarządzają licznymi elementami, które wymagają ochrony, wliczając w to ciągłe zmiany. Nie mówimy już o wspólnym mechanizmie zabezpieczającym, takim jak UTM, ale o połączonym zarządzaniu bardzo różnymi mechanizmami, wśród których klasyczne UTM jest tylko jednym elementem. Producenci, którzy potrafią zapewnić klientom przegląd całego krajobrazu bezpieczeństwa oraz ochronę przed wszystkimi typowymi zagrożeniami, trzymają w ręku najmocniejsze karty.
Zwykło się mawiać: „Nigdy nie zmieniaj działającego systemu”. To też nieprawda. Teraz powinniśmy mówić: „Zawsze używaj zmieniającego się systemu”. Musimy zrozumieć, że sposób, w jaki działy biznesowe i użytkownicy końcowi korzystają z technologii informatycznych, szybko się zmienia – szybciej, niż my, specjaliści od bezpieczeństwa, byliśmy sobie w stanie kiedykolwiek wyobrazić. Obowiązujące tu i ówdzie zasady konfigurowania, aprobowania i dostrajania reguł zapory sieciowej są dziś zbyt wolne i przestarzałe. Niektóre firmy uruchomiły 25 nowych zapór w czasie, który zajęło wdrożenie nowej regulacji w pewnych centrach komputerowych. Branża bezpieczeństwa IT musi dostosować się do nowych okoliczności. Kompletna ochrona przed zagrożeniami wymaga stałych aktualizacji.
Ochroniarz, który zamyka VIP-a w piwnicy
Największym wyzwaniem dla specjalistów od bezpieczeństwa IT nie jest już to, jak zachowuje się napastnik. Dziś musimy zrozumieć, jak zachowuje się cel ataku: aplikacja chmurowa, urządzenie IoT, a przede wszystkim użytkownik. Jako znawcy zagadnień bezpieczeństwa, uważamy się za ochroniarzy użytkowników. Ale jeśli ochroniarz zamyka VIPa w piwnicy, żeby go ochronić, to coś jest nie tak. Powinniśmy pomagać mu dotrzeć tam, gdzie chce być.
Czasy kiedy działy IT i my – branża bezpieczeństwa IT – mieliśmy kontrolę nad infrastrukturą, systemami, aplikacjami, danymi, a wreszcie nad użytkownikiem minęły. Teraz musimy orientować się również w procesach biznesowych. Powinniśmy współpracować z tymi, którzy rzeczywiście odpowiadają za rozwój i rentowność firmy. Jak już wspomniałem, zawsze mieliśmy nadzieję, że zaczną z nami rozmawiać. Ten czas właśnie nadszedł.
Wieland Alge, wiceprezes i dyrektor generalny Barracuda Networks EMEA