IT varnost: Ne kradi 1984-2021

L. 2021: v boju zoper digitalni kriminal v IT industriji prevladuje percepcija kibernetske zaščite z množico ljudi v varnostno informacijskih centrih (Security Operations Center – SOC). Tehnološko bleščeče sobane, opremljene z ekrani, vzbujajo neprijetne asociacije z velikim bratom.
Janez Gruden
Janez Gruden

Tehnični oddelek / infrastrukturne rešitve
CISCO CCIE

L. 1949: tega leta mož pod psevdonimom Orwell v distopični noveli 1984 razkrije prihodnost sveta brez zasebnosti. Sprva navdih tajnim službam in šovbiznisu, sčasoma postane skrb sodobnega digitalnega slehernika.

L. 2021: v boju zoper digitalni kriminal v IT industriji prevladuje percepcija kibernetske zaščite z množico ljudi v varnostno informacijskih centrih (Security Operations Center – SOC). Tehnološko bleščeče sobane, opremljene z ekrani, vzbujajo neprijetne asociacije z velikim bratom.


Ljudje kradejo kot srake – ma ne mi, oni drugi. Zlasti če se ponudi prilika ob odsotnosti družbenih sankcij. Tako skozi zgodovino prehajamo od kraj zemlje, dobrin in deklet, do kraj podatkov, identitet digitalnega jaza ter s tehnološkim zaostankom sami sebi postavljamo oblastne omejitve. Kaj pomaga, ko legalni in ilegalni svetovni splet (internet, darknet) z razvejanimi kapilarami omogoča, da si nagajamo kadarkoli od vsepovsod. Kakopak si oprostimo kakšen nedolžen »copy-paste« – običajne besedne zveze niso avtorsko zaščitene, ker bi to pomenilo konec pisanega jezika, opisi rešitev prav tako niso plod znanja posameznika, temveč temeljijo na izdelkih proizvajalcev oz. dognanj industrije, ki tovrstno delitev sposojenih informacij skozi prodajne kanale neposredno spodbujajo. Kakršnakoli ideja se komu utrne, nekaj podobnega splet že pozna. Tesla zasije vsakih sto let, vsakdanji inženirski posel pa temelji na nadgradnji akumuliranega znanja preteklih generacij. Ta zapis ni nikakršna izjema, glede originalnosti pogrnem že v naslovu. Ker ni honoriran, kaj šele akademska naloga, dvomim, da bo vreden poglobljene podatkovne analize. Izvor misli izhaja iz splošno sprejetih pristopov in poimenovanj informacijske industrije.

Nazaj k izhodišču. Pri krajah ni izvzetih dejavnosti. Ukrademo ključe elektronskih Covid potrdil, razsujemo podatkovne zapise pacientov, kljub temu v stiski brez slabe vesti vekamo: »Potrebujemo zdravnika!«. Vse skupaj lahko začinimo še z interesno sponzoriranim nagajanjem. V stilu otroških vicev o Rusih in Amerikancih je protislovno, zakaj bi mafijci z vzhoda s krajami izsiljevali več kot tisti preko luže. Niso slednji tehnološko naprednejši, zakonodaja pa nobenim ni visoko na prioritetni lestvici?

Aplikativna IT industrija predstavlja gojišče egov, številnih bliskovitih prebojev in pozab, neprimerljivih z eksaktnimi vedami. Vse je biznis. Določen odstotek najde tržno nišo v kriminalnem trgovanju s podatki, kjer je začetno simpatijo do obešenjaških zanesenjakov nadomestil nelagoden občutek strahu. In ker ne gre drugače, tisti na pravični strani postavljamo nekakšne digitalne policijske centre, z namenom konsolidacije obrambnih mehanizmov zoper kibernetske grožnje. Tako gredo standardni pristopi centrov informacijske varnosti (SOC) v smer postavljanja izurjenih entitet za naslavljanje groženj s pomočjo upravljanih platform varovanja. Organizacije oz. uporabniki, tako trdimo, dobijo storitev združene obdelave informacij z več sistemov, vidljivosti s poenotenim vpogledom v dogajanje ter obljube o algoritemski pomoči pri obravnavi incidentov. Vse našteto skladno z zahtevami regulatorjev in sprejeto varnostno politiko. Podmena je zagotavljanje kibernetske zaščite z namero poenostavitve upravljanja (pogosto kot storitev v oblaku, kajti z IT višine se nikomur ne zvrti).

V praksi stvari ne tečejo povsem gladko. Predpogoj je vedenje o tem, kakšen problem rešujemo, ali moderno, dodano vrednost, ki jo prinašamo. Rešitve izhajajo iz dejavnosti (finančne in državne institucije, storitvena podjetja, industrija, zdravstvo, energetika, transport …). Zasnova generično temelji na integraciji podatkov za izboljšanje vpogleda v dogajanje, podprto z avtomatizacijo odzivov, s ciljem dvigniti raven ščitenja omrežij, končnih točk, podatkovnih centrov, aplikacij. Naslednji korak vsebuje oblikovanje storitev, ki se morajo razlikovati od klasične ponudbe vzdrževalnih operativnih centov (Network Operations Center – NOC). Nova storitev, kakopak nov račun. Sledi opis delovanja distribuiranega zbiranja informacij na podlagi arhitekture za zbiranje, hrambo, normalizacijo dogodkov ter centralnega sistema dogodkovne analitike (SIEM). Vključimo še pogodbene obveze zagotavljanja storitve (Service Level Agreement – SLA) za celotno paleto aktivnosti: spremljanje z zaznavo incidentov – prepoznavanje groženj, lovljenje vzorcev – odzivanje na napade – izdajanje priporočil, usklajevanje znotraj varnostnih politik – nameščanje popravkov itd. In ker naša domovina ni velika, jo kriminalci radi spregledajo, posledično moramo nujno dodati še uvoz tujih groženj. Čez mejo je vse boljše, nekoč kava in kavbojke, danes …

Vseh orodij proizvajalcev nima smisla popisovati. Kakopak potrebujemo moštvo, dežurne, ki bodo, izjemoma 24/7, ker ponoči nimajo na uporabniški strani koga gnjaviti, večinoma pa v poljubni različici 5/8, 6/12, spremljali dogajanje ter s pomočjo algoritmov lovili nepridiprave, črve, izsiljevalske podtaknjence oz. sorodno IT nesnago. Zaveze razrešiti grožnjo znotraj predlaganega časa, podobno kot razvijalci programske opreme, ne podpišemo. Kdo ve, kaj bo šlo lahko narobe.

Seveda sledijo analize ranljivosti, vrednotenja upravljanje informacijske varnosti, etično »hekanje«, pregledi izvorne kode in aplikacij. Bodemo se s skladnostmi politik, varovanjem podatkov skladno z zakonodajo, socialnim inženiringom oz. iskanjem izdajalca med nami, obravnavo poslovnih tveganj, sodelovanjem z institucijami, odgovornimi za snovanje uredb. In vendar se sestavljenka SOC komponent kar ne konča. Potrebujemo podporo strokovnjakov z znanji poslovno-procesnega dela z goro certifikatov, s katerimi dokazujejo verodostojnost pri pogovoru z regulatorji. Ne zaupamo nikomur. Sledimo procesom s ciljem zagotavljanja na papirju varnega neprekinjenega poslovanja in kreiramo nove procese. Razumljivo in učinkovito, kajneda?

Moderni časi, moderno poimenovanje služb. Če se urejene medijske gospe leta kitijo z nazivom strokovnjakinj za stike z javnostmi (PR), ko jo odgovorni direktor raje popiha, IT strokovnjaki ob kompromitiranih podatkih zardevajo pod titulami varnostnih analitikov. Tako imamo preiskovalce, ki ne raziskujejo zločinov, temveč grožnje; reševalci ne rešujejo življenj, samo IT incidente; znanstveniki so s področja podatkovnega miljeja; obveščevalni analitiki introvertirani forenzični specialisti, na žalost lepšega spola, niti blizu frajerskim Bondom. Poimenovanja delodajalcev starih vrst vohljačev tipa UDBA, CIA, KGB, MI5, trčijo ob novorek industrijskih certifikacij CISSP, CISA, SANS GIAC, CompTIA, standardov, zakonov, uredb ISO, ZVOP, GDPR. Gotovo sem kaj izpustil. Seštevek znese ducat ali dva strokovnjakov ob podobnem številu IT orodij in procesov. Tu nastane težava, ako se bralec ni utopil v gostobesednosti. Organizacije povprečno zaposlujejo nekaj izvedbenih inženirjev, projektnega vodjo, varnostnega inženirja, vodjo. Ker zadevi niso kos, se obračajo na sistemske integratorje, kar bi morala biti odlična poslovna priložnost. Je res tako?

Ali ni bil namen ob razpršenosti zaščitnih sistemov na tržišču s pomočjo programske obdelave dogodkov poenostavitev delovanja? Ni kompleksnost tisto, kar vsakdanjemu delu povzroča marsikatero procesno, operativno in kadrovsko zagato?

Nedvomno obstaja konsenz nuje kibernetske varnosti. Ali vendarle obstaja alternativa orwellovski različici tehnološko načičkanih soban z inženirji in nadrejenimi skrbniki? Zagotovo na ekranih pozorneje spremljajo IT dogajanje pri naročniku kot Netflix serijo, težko pa sledijo vsem zapovedanim procesom.

Ni dilema le vprašanje, kakšno raven varnosti lahko organizacije zagotovijo same oz. z zunanjimi izvajalci, temveč tudi koliko jo lahko pametno uporabijo brez obremenjujočega vpliva na potek dela. Nimamo ničkolikokrat težave prav z življenjskimi temami?

Ravno zato, ali pač ker ne znamo drugače, se nekateri sistemski integratorji zatekamo h kompromisu. Saj ne, da si ne bi mogli privoščiti razkošnih prostorov s četo inženirjev pod budnim očesom s pravilniki mahajočih certificiranih uradnikov. V zameno prisegamo na hibriden način razpršenega ščitenja. Prevladujoče dojemanje modela s fizično lokacijo centralizirane dejavnosti je v post covid-19 času obogateno z vsaj eno pozitivno izkušnjo, učinkovitostjo kombiniranega dela od doma. Centralizirano spremljanje informacij ostaja stična točka.

Moderna ideja zagovarja tezo, da lahko varnostne operacije izvajajmo od vsepovsod, tudi v drugih oddelkih, vključno z NOC-i. Le upoštevati moramo pričakovano toleranco tveganja, strokovno znanje, zrelost organizacijskih postopkov, predpisanih s strani regulatorjev, ob hkratni investiciji v veliko trojko: ljudje, tehnologija, procesi – z nujnim pripisom umestitve dejavnosti v organizacijsko strukturo ter metriko, tj. spremljanje in poročanje o stanju. Kdo dejansko odpravlja vzroke incidentov, postaja nebistveno. Bodisi ima izvajalec distribuiran dostop do okolja ali glede na informacije naročnika po analitičnem delu poda ugotovitve s predlogi.

Organiziraj, investiraj, spremljaj. Raziskave kažejo, kako prenagljena izbira neustreznega modela varnostnega centra ob procesni preambicioznosti vodi v povečano tveganje. Podobno so okoliščine v organizacijah praviloma podcenjene, kadar beseda nanese na investicije v ljudi, tehnologijo, poslovne procese. Porajajo se novi koncepti spreminjajočega (ne vnaprej arbitrarnega) pristopa k izgradnji kibernetskega ščita, ki naj se ujema z zmožnostmi. Lahko modrujem o neizogibnosti izbrane aktivnosti do poljubnega leta, a tega zapisa takrat nihče več ne bo bral. Če zastanemo, le še narašča tehnološki zaostanek.

Winston? Avtor junaka z novele, kot ob prvem branju 1984 leta 1984, tudi ob letošnjem, z izjemo nekaj ukradenih grešnih popoldnevov, ne izpusti iz krempljev grozeče učinkovitega sistema. Vsakokrat enako. A poanta zapisa ni srednješolska obnova, ampak prispodoba o možnih stranpoteh zbirokratiziranega digitalnega življenja. K sreči vsaka akcija rodi protiakcijo. Uvajanja varnostnih centrov se velja lotiti postopoma, po sklopih, ne nujno skozi velika vrata. Z namero, kako še ohraniti (digitalno) svobodo in razumen procesni delovni tok. Blogi (spletni e-grafiti) le bežni kronisti refleksije na velike mislece.

Preberi tudi

SRC Secure varnostna storitev v oblaku

Varnosti ni mogoče zagotavljati zgolj z varovanjem posameznih gradnikov informacijskega sistema. Varnostne grožnje so razpršene, zato mora biti podobno razpršeno tudi varovanje sistema. S SRC SECURE, v sklopu storitev blagovne SRC SMART™, pristopamo k varovanju tehnoloških sklopov omrežij, končnih točk, aplikacij, storitev iz oblaka, podprto s storitvami varnostnega centra (SOC).

Prijavi se na SRC novičke

Novice v svetu IT tehnologije

Novice

Koliko kadrovikov potrebuješ za zamenjavo žarnice

Sodobne rešitve za digitalizacijo kadrovskih procesov so orodje, ki je namenjeno večji konkurenčnosti podjetja. Žarnice na nitko so pač stvar preteklosti. Če direktorja katerega koli

SRC sistemske integracije d.o.o.

Tržaška cesta 116
1001 Ljubljana, Slovenija

T: +386 1 600 7000
F: +386 1 423 4173
E: info@src.si

Vaše mnenje nam je izredno pomembno!

Ste bili s storitvami naših sodelavcev zelo zadovoljni? Mislite, da je še prostor za izboljšave?

small_c_popup.png

Vaše mnenje

Ste bili s storitvami naših sodelavcev zelo zadovoljni?
Mislite, da je še prostor za izboljšave?

Spletno mesto uporablja piškotke zaradi boljše uporabniške izkušnje. Z uporabo naše spletne strani potrjujete, da se z njihovo uporabo strinjate.