Bezpečnost Internetového připojení (Internet-connection Security - dále jen "IcS") se stává stále důležitější při zajištění bezpečnosti informací a informačních systémů. Možná ještě máte v paměti období od 7. do 9. února 2000, které bylo "černým" obdobím pro takové giganty Internetu, jakými jsou Yahoo, eBay, CNN, Amazon, ZDNet a další, kteří byli na několik hodin cílenými útoky hackerů vyřazeni z provozu. Určitě si také vzpomenete na nedávné útoky na renomované servery v ČR. Bylo zajímavé sledovat následné reakce odpovědných osob a výsledky svolaných porad a komisí, které měly tuto nepříjemnou situaci řešit. Bezpochyby následovala (ne levná) práce řady expertů a specialistů, kteří se snažili zjistit a odstranit bezpečnostní "díry" v daných systémech. Problém, který dnes mnoho organizací řeší, zní: Jak efektivně zajistit a řídit IcS?

Problém: reakce ex-post
Bezpečnost IT obecně je jako zbrojení - na každou novou zbraň se v krátké době najde účinná obrana, na každou obranu se dříve či později najde ještě silnější zbraň. Bezpečnost informací je proto nikdy nekončící "závod ve zbrojení".

Je zřejmé, že i špičková bezpečnostní technologie časem zastará. Změny technologií či konfigurace sítě, použitý software a "aktivity hackerů" způsobují, že i dobře nastavený firewall bez neustálé a systematické kontroly může otevřít "dveře" pro nová bezpečnostní rizika. Vždy ale platilo, že je mnohem efektivnější starat se o to, aby byly odstraněny všechny nežádoucí "průchody" do systému, než "hasit požáry", které díky nezabezpečeným komunikačním kanálům v systému mohou vzniknout.

Proto je nejvýhodnější systematicky řízená proaktivní politika vyhledávání slabin, jejich diagnostika a odstraňování.

Jednou z nejefektivnějších cest, jak zajistit odpovídající úroveň IcS, je její monitorování "zvenčí" tak, jak síť organizace vidí potenciální hacker. Takto získané informace o nejnovějších "dírách" umožňují organizaci včas a hlavně aktivně reagovat a eliminovat zjištěná rizika ještě dříve, než je využije někdo jiný.

"České firmy otázky bezpečnosti většinou podceňují, jak naznačil výzkum informační bezpečnosti provedený PricewaterhouseCoopers v roce 1999 (letošní výsledky stejného průzkumu zatím zveřejněny nebyly). Vzhledem k tomu, že oblast e-procurementu se týká ve velké míře průmyslových společností, kde bezpečnost tradičně nepatřila k prioritám, budou si tyto podniky muset dodatečně vytvořit kompetence i v této oblasti. Zároveň je třeba si uvědomit, že bezpečnost není pouze o kvalitě použité bezpečnostní technologie, ale především o jejím řízení." - Jiří Moser, senior manažer oddělení Řízení podnikatelských rizik společnosti PricewaterhouseCoopers v České republice.

Jak znázorňuje obrázek, cílem proaktivního zajištění IcS je minimalizovat čas od objevení zranitelnosti po její identifikaci v Internetovém rozhraní organizace (t), aby bylo možné co nejdříve reagovat a minimalizovat možné dopady. Rozdíl v míře rizika při tomto aktivním přístupu je zřejmý.

Lze postavit několik požadavků, které by měly prostředky pro aktivní sledování IcS splňovat, aby jejich použití bylo efektivní a výsledky dobře sloužily pro účely aktivního řízení:

. Neustále, nejlépe v reálném čase mít vždy aktuální databáze všech známých "děr", chyb, nedostatků a zranitelností všech použitých systémů a technologií.

. Mít k dispozici vždy, nejlépe on-line ověřená doporučení a návody na eliminaci existujících známých slabin. Způsoby odstranění "děr" musí být ověřeny a vyzkoušeny vysoce kvalifikovanými experty, aby byla určitá záruka toho, že provedené zásahy do systému budou provedeny kvalifikovaně a nezpůsobí další mnohem závažnější bezpečnostní slabiny.

. Možnost kdykoliv získat přehlednou detailní mapu všech síťových prostředků, které jsou zvenčí viditelné včetně všech důležitých informací, které lze o těchto prostředcích zjistit. Brány, směrovače, servery a jejich operační systémy, jména stanic, použité protokoly a služby apod.

. Možnost provádění testů a kontrol pravidelně, v předem naplánovaných intervalech pro zajištění kontinuální informovanosti o stavu IcS.

. Možnost provádět kontrolní testy kdykoliv dle potřeby, například pro ověření účinnosti nově přijatých opatření, implementovaných jako reakce na zjištěné slabiny.

. Přehledné a efektivní automatizované výstupy, aby pro hodnocení stavu bezpečnosti nebylo nutné složitě analyzovat rozsáhlé soubory dat. Tímto lze snížit vysoké požadavky na spotřebu práce expertů.

. Výhodou jsou i "manažerské" výstupy, neboť řešení IcS může znamenat nemalé investice, rozhodování, o kterých přísluší vyššímu nebo i vrcholovému managementu.

. Mít prostředek, který bude vysoce škálovatelný bez zvýšených nároků na instalaci technických a programových prostředků. Snahou je oprostit uživatele od nutnosti složitě rekonfigurovat monitorovací prostředky v závislosti na vývoji sítě. Služba monitoringu by měla sama rozpoznávat změněnou strukturu sítě a automaticky se těmto podmínkám přizpůsobovat. Tím se snižují nároky na již tak přetížený personál IT a eliminují lidské chyby, které se na kvalitě IcS podílejí významnou měrou.

. Mít k dispozici kvalitní, přehledné reporty a zprávy o stavu IcS, aby byl maximálně zjednodušen rozhodovací proces.

Řešení lze nalézt
Všechna kritéria kladená na prostředky IcS směřují k tomu, aby se problém řízení a kontroly IcS posunul od specializovaných činností ke standardně řízenému a kontrolovatelnému podnikovému procesu, aby se organizace mohla věnovat jejímu "core-business" a nevynakládala neadekvátní prostředky na podpůrné činnosti.

Internet je světový fenomén a výše jmenovaná kritéria na efektivní zajištění bezpečnosti internetového připojení organizace prakticky nelze realizovat amatérsky, nebo individuálně, vlastními silami. Současné technologie však umožňují efektivní spojení vědomostí předních světových odborníků a soustředění odpovídajících znalostních bází do uceleného a vyspělého řešení, které umožňuje poskytování skutečně kvalifikovaných služeb tohoto charakteru dodavatelsky.

Na tomto místě předem reaguji na argumenty skalních zastánců "tvrdé" bezpečnosti, kteří budou tvrdit, že si přece nenechají monitorovat síť třetí stranou, aby někdo třetí zjistil, kde mají slabé místo. Moje reakce je jednoduchá, každý má na vybranou:

. může si nechat odborně zajistit bezpečnost internetového připojení využitím služeb renomované společnosti, která je schopna zajistit vysoké parametry služeb

. může nechat své internetové rozhraní testovat hackery

Je až zarážející, jak často a se samozřejmostí jsou svěřovány pod ochranu třetích stran (bezpečnostní agentury) naše fyzická aktiva, a s jakou nedůvěrou se chováme k třetím stranám při stejném problému, který se však týká nehmotných aktiv - informací. Myslím, že to stojí za zamyšlení.

Pozn.: Autor článku pracuje jako vedoucí konzultant společnosti Risk Analysis Consultants.