Důvěryhodný nepřítel

„Vnitřní nepřítel“ je noční můrou všech administrátorů, správců sítí či bezpečnostních ředitelů. Obvykle je označován ne příliš libozvučně znějícím, leč čím dále více rozšířeným výrazem „insider“. Definice praví, že je to současný či bývalý zaměstnanec nebo kontraktor, který měl platný přístup do informačního systému organizace.
Právě takovíto lidé představují největší nebezpečí, protože kromě přístupu (byť třeba bývalého) znají systém jako nikdo jiný. Systém často navrhovali, nasazovali, či s ním alespoň pracovali. Ví, jak jsou v něm ošetřené jednotlivé aspekty včetně bezpečnostních. Ví, kde má slabé stránky. A především: mají příležitost jej napadnout – a to takovou, jaká se externímu útočníkovi nikdy nenaskytne.
Jsou nebezpeční, protože jsou důvěryhodní. Jenomže bez důvěryhodných lidí nelze vybudovat žádný systém. Vždyť i pokladní v maloobchodě kasírují zákazníky, listonoš doručuje zásilky, bachaři střeží věznice, personál na letišti kontroluje pasažéry i zavazadla... Bezpečnost a spolehlivost každého tohoto systému je přitom založena na spolehlivosti jednotlivců a na tom, že jim provozovatel systému důvěřuje.
Bohužel, kromě výše zmíněné příležitosti mají insideři často také ještě jednu – mnohem nebezpečnější – věc. Motivaci.

Nepřítel za branami

Zvláštní přitom je, že navzdory prokazatelné nebezpečnosti a růstovému trendu mnoho organizací problematiku „vnitřního nepřítele“ ignoruje. Z mnoha důvodů je totiž pro ně jednodušší hledat problém „tam venku“ nebo se tvářit, že se vlastně nic nestalo, neděje a nemůže stát.
Na naši až trestuhodnou nečinnost poukazují hned dvě nedávno publikované studie. Společnost Forrester Research zveřejnila zprávu Data Security Challenges and Technology Adoption in 2008. Tato studie se týká podniků všech velikostí, přičemž konstatuje, že plných 88 procent z nich považuje data a jejich ochranu za velkou výzvu. Jenomže čtyřicet procent nemá odpovídající znalosti nebo nástroje, které by je ochránily před úniky informací.
Naproti tomu studie organizace Redshift Research se zaměřuje pouze na menší firmy. Plná polovina malých a středních firem „se neobává“ možnosti úniku dat skrze zaměstnance. A pouhých 22 procent věří, že vnitřní hrozby jsou větší externích.
Jen 45 procent organizací ze segmentu SMB má aplikace, které automaticky kontrolují pokusy o připojení externích disků (a kopírování dat). To však není jediný možný vektor úniku: jen 35 procent kontroluje PDA a podobný hardware. Což ale znamená nejen riziko úniku dat, ale i ohrožení bezpečnosti.
Také další zjištěná čísla jsou zarážející: šedesát procent malých organizací nemá politiku pro regulaci přístupu externích zařízení k síti. Dvacet procent nemá schopnost zjistit, kde jsou právě teď uložena kritická data. Třetina organizací nedokáže zjistit, jaká přenosná zařízení byla připojena k síti. A čtyřicet procent není schopno zjistit, zdali na ně byla přenesena nějaká data.
Důvody tohoto neutěšeného stavu? Krom jiného fakt, že historicky byl kladený příliš velký důraz na antivirové a antispamové aplikace – tedy na externí hrozby. A pohodlný názor, že vnitřní síť je bezpečná, mnohde přetrvává dodnes. Největší zájem o technologie bránící úniku dat a monitorující aktivity na síti přitom mají dle studie společnosti Forrester subjekty působící na regulovaném trhu (tedy finanční, pojišťovací, energetické či telekomunikační). Naopak: téměř jej ignoruje maloobchod, obchod a výroba.

Co oči nevidí...

To ale není všechno. Máme tu ještě jeden průzkum, který hovoří o tom, že útoky pocházející zevnitř systému jsou často nereportované. Tak trochu dle přísloví „co se doma uvaří, to se doma sní“.
Dle Ponemon Institute LLC v Elks Rapid (stát Michigan) jsou většinou vnitřní úniky dat nereportované, a to proto, že společnosti nemají zdroje nebo chuť, aby je monitorovaly. Plných 79 procent účastníků průzkumu připustilo, že během posledního roku ví nejméně o jednom interním incidentu, který nebyl nijak řešený.
Podle 93 procent účastníků průzkumu je přitom největším problémem absence odpovídajících zdrojů – finančních i technických. Nicméně k tomu podle osmdesáti procent chybí vůle ze strany vedení. Výsledkem je, že ve 31 procentech firem a organizací chybí osoba zodpovědná za řízení interních incidentů. Dále 61 procent uvedlo, že s náhodnými úniky dat se setkávají často nebo velmi často. A 48 procent také připustilo, že se často nebo velmi často setkávají s „počítačovou sabotáží“ (záměrným mazáním dat nebo fyzickou destrukcí hardwaru).
Deset procent správců IT si přitom v rámci průzkumu postěžovalo, že více než polovinu svého času tráví řešením právě vnitřních incidentů. A přes 55 procent dotázaných jim věnuje více než třetinu svého času.

Jak na insidery

Dost ale strašení – jakse máme na vlky v rouše beránčím připravit a jak se co nejlépe chránit? V prvé řadě je zapotřebí omezit množství osob majících „doložku nejvyšších výhod“ – tedy těch, které se těší neomezené důvěře. Méně zasvěcených uživatelů znamená lepší možnost kontroly a menší možnost průšvihu. Ostatně, systém, kde každý může dělat cokoliv, si o problém jen říká.
Dále: zajistěte, že těm, kterým důvěřujete, důvěřujete právem. Jaké jsou s nimi historické zkušenosti? Jak vypadá jejich trestní rejstřík či pracovní kázeň? Tato část bezpečnosti začíná už výběrem vhodných adeptů: jejich morální bezúhonností či schopností dostát některým požadavkům (mlčenlivost apod.). Nezapomeňte, že do ochranných opatření patří pravidelná školení a testy, které zajišťují, že uživatelé budou mít vždy odpovídající znalostní bázi a že jsou dokonale obeznámeni se svými právy a povinnostmi stejně jako s chodem celého informačního systému.
Jedna věc je ale teorie, a druhá praxe. Mnoho firem je dnes rádo, že je schopno některé pozice obsadit a případná selekce kandidátů na základě personální bezpečnosti by pro ně znamenala velmi nepříjemnou práci navíc. Proto bohužel podstupují riziko, které se jim ovšem nemusí vyplatit.
Dalším krokem ochrany před insidery je omezení množství důvěry, která každá osoba má. Ten, kdo do svých rukou koncentruje velké (rozumějte větší než potřebné) množství moci, představuje nebezpečí. Třeba univerzální hesla představují stejné nebezpečí jako univerzální klíče.
Zaveďte překrývající se pole důvěry. Z reálného světa jsou to dva klíče potřebné k otevření trezoru nebo dva podpisy na bankovním příkazu. Ostatně, i v kině zpravidla jedna osoba prodává vstupenky a jen o pár kroků dále je jiná trhá. V bankovním sektoru zase některé instituce vyžadují po svých zaměstnancích čerpání dovolené v délce nejméně dvou týdnů – to proto, aby se zvýšila šance odhalení případných machinací. Vychází se z logiky, že dobře fungující pracovník je plně zastupitelný (i když to on sám asi nerad slyší), neboť nic nekryje. Tato překrývající se pole důvěry nastavují několikastupňovou bezpečnost: když selže jeden systém, zastoupí ho druhý.
Bezpečnost pomáhá zvýšit také auditní systém (nezapomeňte jej mít oddělený od provozu, protože jinak jde o systém, který kontroluje sám sebe – tedy je zbytečný). Mějte stanovené jasné postupy a jasné akce. Tragédií třeba je, že zhruba dvě třetiny propuštěných (!) zaměstnanců mají přístup do systémů i po ukončení pracovního poměru. Přitom by měli být bez pardonu odstřiženi v minutu rozvázání pracovního poměru (i když i to už často bývá pozdě) – a až dle potřeby by následně měla být povolována uzda.
Insideři jsou čím dál větší hrozba – a to hlavně teď, v době recese. K obvyklému motivu jménem pomsta se totiž přidává ještě jeden: snaha přivlastněním si informací zvýšit svoji cenu na trhu práce.