Pokud jste se v rámci svých pracovních úkolů někdy podíleli na řešení otázek zabezpečení organizace, jistě budete souhlasit s tvrzením, že vybudování a udržení potřebné úrovně informační bezpečnosti je nelehký úkol, který vyžaduje spoustu času a úsilí. Při tomto snažení je nutné se věnovat všem oblastem bezpečnosti, protože zanedbání nějakého detailu v jedné oblasti se může ve výsledku projevit degradací celého systému.


Sám jsem se s problematikou informační bezpečnosti začal seznamovat asi před osmi lety. Moje začátky byly spojené především s technickými aspekty zabezpečení počítačů, jako jsou antiviry, šifrování, firewally apod. Teprve postupem času jsem se začal zabývat „počítačovou“ bezpečností z pozice konzultanta takříkajíc v celé šíři. Jedno z poznání, ke kterému jsem za tu dobu dospěl, je, že řešení z pohledu technického zabezpečení je většinou relativně jednoduchou záležitostí – jde jen o to, najít vhodný produkt a ten vhodně implementovat (samozřejmě je zde i finanční stránka věci a řada dalších). Daleko větší problémy nastávají, když do řešení bezpečnosti musíme chtě nechtě zapojit samotné uživatele. Zatímco například u firewallu si můžete být jisti, že bude blokovat komunikaci na portech, které jste nastavili, u uživatelů si můžete být jisti, že se najde minimálně jeden, který bude bezpečnostní pravidla a opatření, která jste předepsali v bezpečnostní politice, ignorovat a pravidelně porušovat.
Ať se nám to tedy líbí nebo ne, uživatelé představují jeden z největších zdrojů bezpečnostních rizik informačního systému. Jsou pomyslným nejslabším článkem řetězu, který determinuje celkovou úroveň informační bezpečnosti celé organizace. Pokud to tedy myslíme s bezpečností vážně, musíme si odpovědět na několik zásadních otázek: Jací jsou čeští (a moravští) uživatelé? Ve kterých oblastech představují největší problém? Jaká bezpečnostní opatření a jakým způsobem implementovat směrem k uživatelům, aby byla účinná? Jaké „zbraně“ na uživatele nasadit?

Základní profily českých uživatelů

Bezpečnostní profesionálové se při své práci poměrně často potkávají s tzv. běžnými uživateli, ať už v rámci školení, při kontrolách, řešení incidentů i běžném provozu. Pokusme se zjednodušeně definovat, s jakými typy uživatelů mají co do činění:

Analfabet

Uživatel, který počítač používá pouze jako psací stroj. Většinou se jedná o starší uživatele, kteří byli zvyklí svoji práci vykonávat bez výpočetní techniky a teprve posléze byli přinuceni ji používat. Velmi často pak využívají pouze otrocky nacvičené postupy. Každá nestandardní situace je překvapí a vyvede z míry. Rizika spojena s tímto typem uživatelů pramení z jejich neznalostí, chyb a omylů, kterých se dopouští.

Brouk Pytlík

Uživatel, který má určité znalosti a předpoklady pro úspěšné využívání počítače a informačního systému (nebo si to o sobě alespoň sám myslí). Současně je to ale šťoural, který je schopen provádět různé nežádoucí činnosti, jako jsou například zásahy do svěřeného hardwaru, instalace neschváleného softwaru, stahování závadných dat v zaměstnání apod.
Rizika spojená s tímto typem uživatelů pramení z jejich „přehnaného sebevědomí“ a víry ve vlastní schopnosti a znalosti. Takový uživatel může poměrně jednoduše zavléct do sítě organizace škodlivý kód, způsobit porušení autorských a licenčních práv atd.

Rebel

Uživatel, který ze zásady nerespektuje nastavená bezpečnostní opatření a pravidla v rámci organizace. Tento typ uživatelů si dokáže vždy najít nějaký argument, proč nemusí nebo nemůže dané bezpečnostní opatření dodržovat. V praxi se obvykle potkáváme s argumenty, že „to takhle nejde, protože to brání v práci“ nebo „tohle po mě nemůžete chtít, protože je to v rozporu s předpisy, zákonem, ústavou, lidskou důstojností…“ atp.
Rizika spojena s tímto typem uživatelů jsou převážně spojena s nerespektováním pravidel, která se většinou přímo netýkají používání počítače, ale spíše nakládání s informacemi v elektronické i fyzické (tištěné) podobě. Takový uživatel je snadnou příčinou úniku informací už jen tím, že nedodržuje zásady klasifikace dokumentů, nic mu neříká ochrana osobních údajů atd.

Ignorant

Nadmíru pasivní uživatel, který i v jiných ohledech v organizaci spíše přežívá. Nejedná se o „rebela“, který by proti bezpečnostním opatřením bojoval. Jednoduše je příliš líný na to, aby dělal cokoliv, co nepatří přímo k výkonu jeho práce nebo nepřináší (z jeho pohledu) žádný výsledek.
Rizika spojená s tímto typem uživatele spočívá v jeho pasivitě. Nelze například očekávat, že někdy sám od sebe nahlásí bezpečnostní incident nebo udělá cokoliv dalšího, aniž by nad ním nevisela hrozba nějakého postihu, pokud to neudělá.

Rozumný uživatel

Z pohledu bezpečnostního správce se jedná o ideálního uživatele. Je to uživatel vybavený potřebnými dovednostmi pro práci s výpočetní technikou, znalý bezpečnostních pravidel, která bezvýhradně respektuje a je schopen je aktivně naplňovat. Bohužel, někdy se nám může zdát, že takový uživatel ve skutečnosti snad ani neexistuje. Nelze však křivdit uživatelům, kteří se v praxi tomuto ideálu velmi přibližují.
Většina uživatelů, se kterými se potkáváme v praxi, ve svém profilu kombinuje chování všech výše uvedených typů. Všeobecně je možné nabýt dojmu, že čeští uživatelé mají v porovnání například s uživateli z anglosaských zemí daleko menší respekt před autoritami a ve větší míře také ignorují stanovená bezpečnostní pravidla.

Negativní jevy typické pro české firmy

Do chování uživatelů se kromě výše uvedeného promítá také řada dalších aspektů, jako je například firemní kultura, přístup managementu, vztahy mezi uživateli a IT personálem, vztahy mezi uživateli navzájem atp. Pro české firmy a organizace jsou typické určité negativní jevy, které mají neblahý vliv na celkovou úroveň jejich zabezpečení.

Neformální vazby

V řadě českých firem a organizací se poměrně často setkáváme se situacemi, kdy neformální vazby významně ovlivňují celkovou úroveň zabezpečení. Vazby typu uživatel–management například často ovlivňují už samotnou definici bezpečnostních opatření. Příkladem může být situace, kdy bezpečnostní správce a IT oddělení prosazují zavedení standardních bezpečnostních pravidel pro uživatele, nicméně s tím neustále naráží u vedení organizace, které je pod tlakem „známých a oblíbených“ zaměstnanců.
Vazby typu uživatel – IT personál zase často ovlivňují řešení bezpečnostních incidentů. Příkladem může být situace, kdy administrátor zamete pod koberec bezpečnostní přečin svého známého (nebo známého svého známého) a ten pak není řádně vyšetřen a napraven.

Nekompetentnost managementu v otázkách informační bezpečnosti

To, že podpora vedení je v otázkách řízení informační bezpečnosti jedním z klíčových faktorů úspěchu, je známou skutečností. O tom, jak chování neznalého managementu negativně ovlivňuje bezpečnost v každodenním provozu, se už tak často nemluví. Je sice pravdou, že manažer nemusí být odborník ve všech oborech, které spadají do jeho působnosti. Na druhou stranu by ale měl mít o všem alespoň základní povědomí. V praxi se tak často setkáváme s organizacemi, jejichž management (zvláště pokud se jedná o lidi dříve narozené) nemá ani dostatečné znalosti práce s počítačem, natož aby se orientoval v základech informační bezpečnosti. Pokud se k tomu ještě navíc přidá špetka přehnaného sebevědomí, arogance vůči podřízeným a pocit vlastní neomylnosti, jedná se o kombinaci pro bezpečnost vskutku „smrtící“. Takové vedení není schopno bezpečnostní opatření navrhovaná bezpečnostním správcem pochopit, a už vůbec ne prosazovat. Příkladem může být nespočet situací, kdy jsou požadavky a návrhy bezpečnostního správce a IT oddělení vytrvale shazovány ze stolu jen kvůli tomu, že vedení není schopno správně pochopit jejich důležitost a prioritu v kontextu fungování celé organizace.

Nedostatečné pravomoci bezpečnostního managementu a/nebo IT

S výše uvedeným úzce souvisí i problémy spojené s nedostatečnými pravomocemi bezpečnostního správce či manažera organizace, případně i samotných administrátorů. V některých organizacích jsou tito pracovníci stále v nezáviděníhodné pozici podřadných „servisáků“, což ani v nejmenším nebere v potaz skutečnost, že průměrná organizace není schopna bez informačního systému normálně fungovat. Pokud uživatelé dobře vědí, že IT nemá dostatečnou oporu ve vedení organizace, nečiní jim problém ignorovat bezpečnostní pravidla se všemi dalšími důsledky. Z druhé strany ani IT personálu se příliš nezvedne sebevědomí, když nad nimi jako Damoklův meč visí vědomí, že pokud problém eskalují směrem k nadřízeným, tak nejspíš „dostanou přes prsty“.

Rezistence uživatelů

Musím přiznat, že odpor některých uživatelů vůči opatřením, která my z bezpečnostní branže považujeme za naprosto běžná a základní, mne vždy dokáže vyvést dokonale z míry. A ještě daleko více mne překvapují argumenty, kterými svůj odpor vysvětlují. Na odpověď typu „tak to prostě nejde!“ se reaguje opravdu velice těžko. Ale i to je jedna ze stránek práce bezpečnostního správce.

Vnímání běžných opatření běžnými uživateli

V praxi běžně navrhujeme a aplikujeme bezpečnostní opatření navržená na základě normy ISO/IEC 27002 (resp. ISO/IEC 17799). Tento přístup je prověřen dlouhodobou praxí a z pohledu bezpečnostního managementu většinou vede alespoň k částečnému úspěchu. Položili jste si ale někdy otázku, která opatření či oblasti opatření se bezprostředně dotýkají uživatelů a jak je uživatelé vnímají? Podívejme se na několik základních.

Zákaz používání soukromých prostředků

Uživatelé vesměs chápou a respektují to, že nemohou zasahovat do svého PC, demontovat jej, vylepšovat vlastními komponentami apod. Co už chápou méně, je například připojování vlastních mobilních telefonů, PDA apod. k PC, či ještě hůře jejich používání k připojení služebního PC k internetu. Zdaleka nejrozšířenějším nešvarem je připojovaní vlastních USB flash disků a externích HDD, na kterých nezřídka najdeme přímo pracovní data.

Povinnost mlčenlivosti

I když povinnost mlčenlivosti je většinou správně upravena již v rámci pracovní smlouvy, její vnímání ze strany uživatelů bývá značně individuální. Lidé si většinou dobře uvědomují, že nemohou beztrestně vynášet informace související bezprostředně s vykonávanou prací, ale další informace vypovídající například o zabezpečení a provozu organizace již do této kategorie podvědomě nezařazují.

Odpovědnost vlastníků aktiv

Otázka stanovení vlastníků aktiv je v našich končinách všeobecným problémem. Ve většině organizací je problematická už jen samotná katalogizace aktiv. Dosáhnout jednoznačného přidělení informačních aktiv či agend konkrétním (většinou vedoucím) pracovníkům je pak problémem ještě větším. Někteří jednoduše nechápou, proč by měli zodpovídat za něco, co je z jejich pohledu v informačním systému („za ten přece odpovídá IT…“). Jiní se jednoduše bojí přidělené odpovědnosti, protože mají pocit, že nemají na svěřené aktivum a jeho zabezpečení žádný faktický vliv, a proto se zdráhají odpovědnost přijmout.

Pravidla pro označování a nakládání s informacemi

I v organizacích, kde mají formálně zavedenu klasifikaci informací včetně pravidel pro jejich označování a nakládání, se setkáváme s tím, že uživatelé tato pravidla ignorují. Klíčovou příčinou tohoto stavu je většinou skutečnost, že nefunguje instituce vlastníka aktiva (informace/dokumentu), který by měl stanovit klasifikaci, trvat na jejím vyznačení a odpovídajícím nakládání s ním.

Periodické bezpečnostní školení uživatelů

Pokud pomineme běžné problémy školitele, jako jsou třeba usínající posluchači, je asi největším úskalím v této oblasti bagatelizace vykládaných témat uživateli. Toto se může stupňovat v případech, kdy nesprávně zvolíme úroveň výkladu vůči úrovni uživatelů a ti se pak cítí podceňováni. Důsledkem je, že takové školení má většinou jen velmi nízký efekt.

Fyzický bezpečnostní perimetr – související pravidla

I když tato oblast bezpečnostních pravidel není definována přímo v rámci bezpečnosti IT/IS, přímo s ní souvisí. Pokud nejsou tato pravidla striktně vyžadována, pak je samotní uživatelé aplikují spíše intuitivně a neberou je tak úplně vážně. Projevuje se to pak dílčími porušeními, jako je například ponechání cizích osob v chráněných perimetrech bez dozoru (zajděte si tam, východ už najdete apod.).

Správa vyměnitelných médií a jejich likvidace

Zde si musíme přiznat, že běžná aplikace těchto pravidel v duchu normy ISO/IEC 27002 může být v současnosti již poněkud překonaná. Zatímco dříve jsme řešili pouze diskety a podobná média, dnes se musíme vypořádat s celou škálou USB a dalších externích paměťových úložišť. Nezřídka se tak dostáváme do situace, že uživatelé požadavky na označování a likvidaci médií považují za přehnané a logicky je nerespektují.

Pravidla pro používání hesel

Uživatelé většinou nechápou základní skutečnost, že heslo je de facto vyjádřením jejich identity v rámci informačního systému. Je to pro ně jen „něco, čím se přihlásí do počítače…“. Je tedy zapotřebí jim pomocí elementárních informací celou situaci vysvětlit tak, aby ji na své úrovni pochopili.

Pravidla pro opuštění pracoviště, zásada prázdného stolu a monitoru

Dodržení těchto pravidel dělá mnohdy problémy i některým bezpečnostním profesionálům, natož pak běžným uživatelům. Pokud nejsou tato pravidla zakotvena již v samotné firemní kultuře, je jejich vnímání jednotlivými uživateli značně rozdílné. Uživatelé bez nějaké negativní zkušenosti jsou v této oblasti zpravidla méně obezřetní.

Zabezpečení mobilní výpočetní techniky

Co se týká fyzického zabezpečení například notebooků, jsou uživatelé většinou obezřetní (ponechání v autě apod. – i když i zde se najdou výjimky). Horší je to technického zabezpečení. Pokud si to takříkajíc IT nepohlídá, jsou uživatelé schopni notebook připojovat do jakýchkoliv cizích sítí, půjčovat ho na hraní dětem atd. bez toho, aby byl správně zabezpečen (antivir, personální firewall, web filtr). Přitom jsou si málokdy vědomi hrozeb, kterým se vystavují (např. zavlečení infekce do sítě organizace).

Hlášení a řešení bezpečnostních incidentů

Přinutit českého uživatele automaticky nahlásit všechny bezpečnostní incidenty, ke kterým se namane, je nadlidský úkol. Snad je to kvůli tomu, že se lidé v těchto situacích cítí jako práskači. Velmi často zde hrají roli i osobní vazby mezi uživateli a celkově i firemní kultura. Pravidla pro zapisování hlášení do různých registrů většinou končí nezdarem. Pravděpodobně zde hraje roli i určitá pohodlnost uživatelů…
Dosud jsme uvedli poměrně dlouhý výčet problémů, které souvisí s uživateli informačního systému organizace. Jaká opatření ale učinit, abychom se jich pokud možno vystříhali, nebo alespoň omezili na minimum?

Jaké zbraně vůči uživatelům použít?

Připusťme si, že osobnostní charakteristiky jednotlivých uživatelů z pozice bezpečnostního správce nebo administrátora s největší pravděpodobností nezměníme. Pokud tedy chceme uživatele pozitivně ovlivňovat s cílem minimalizovat jejich negativní vliv na celkovou úroveň zabezpečení organizace, musíme začít s tím, nad čím máme kontrolu my sami.

„Smysluplnost“ bezpečnostních opatření vzhledem k fungování organizace

Snažme se konstruovat jednotlivá bezpečnostní opatření tak, aby co nejvíce vyhovovala procesům organizace. Pokud nebudou opatření omezovat běžné činnosti uživatelů, nebudou je vnímat tak negativně… Samozřejmě, že někdy je plné přizpůsobení opatření vzhledem k procesům nemožné – pak je třeba najít vhodný kompromis a ten dostatečně komunikovat s dotčenými uživateli.
Příklad z praxe: pokud předepíšeme provádět při každé skartaci média protokolární záznam, budou to uživatelé vnímat jako nesmyslnou buzeraci. Je daleko lepší toto pravidlo diferencovaně přizpůsobit běžné praxi a protokolární skartaci vyžadovat pouze u „důležitých“ médií, jako jsou třeba zálohovací pásky, CDR s důvěrnými daty apod.

Poznání samotných uživatelů

Pokud chce bezpečnostní správce působit na uživatele efektivně, musí takříkajíc vědět, s kým má tu čest. Vždy se daleko lépe působí na uživatele, o kterém máme alespoň základní informace. Dvakrát to platí u těch problémových. I ve velkých organizacích by se měl bezpečnostní správce snažit blíže seznámit alespoň s těmi uživateli, kteří způsobují nejvíce virových incidentů, chodí na „závadné“ webové stránky, instalují si nelegální software apod. Spoustu potřebných informací může bezpečnostní správce vyšťourat při prověrkách různých logů i samotných uživatelů přímo na pracovišti.

Komunikace směrem k uživatelům

Uživatelům je třeba neustále vysvětlovat význam a důvody všech bezpečnostních opatření, která se jich nějakým způsobem dotýkají. Tato komunikace musí být prováděna nejen v rámci periodických školení uživatelů, ale i v každodenním provozu. Bezpečnostní správce se tedy nesmí uživatelů stranit a hrát si takříkajíc na svém vlastním písečku, ale musí s nimi být v každodenním kontaktu. Přitom ale musí být schopen rozeznat hranice zdravého kontaktu s uživateli a chovat se s potřebnou profesionalitou…

Praktické zkušenosti uživatelů

Můžete si být naprosto jisti, že stokrát sdělená informace se uživatelům nezapíše do paměti tak hluboko jako jednou prožitá situace. Proto je vhodné do každodenní bezpečnostní praxe zahrnout neustálé „zkoušení bdělosti“ uživatelů. Vhodným nástrojem je testování uživatelů metodami sociálního inženýrství (telefonicky, e-mailem, pohozenými médii). Pokud tento prvek zařadíte například před periodickým školením, na kterém následně uživatele navíc seznámíte s výsledky (samozřejmě že bez uvádění konkrétních jmen podlehnuvších lidí), zesílíte zpravidla efekt školení. Svůj význam mají i operativní kontroly na pracovištích, kdy se správce může případně i chovat jako potenciální narušitel. Tyto metody je ale třeba používat citlivě a v souladu s firemní kulturou (například vám asi těžko projde „hacknutí“ počítače vašeho šéfa, byť jen symbolické).

Omezení uživatelů technickými prostředky

Pokud máte v rámci stávajícího informačního systému k dispozici technické prostředky umožňující prosadit příslušná bezpečnostní opatření do praxe (například pro řízení přístupu v rámci informačního systému), je vhodné je využít přednostně (než spoléhat na to, že uživatelé dodrží daná pravidla sami od sebe). Kromě základního nastavení síťových prvků (jako je například LDAP) je možné v současnosti využít širokou škálu nástrojů od webových proxy umožňujících selektovat přístup uživatelů k internetu až po například DLP (data loss prevention) systémy, které dokážou omezit negativní vliv uživatelů až na úrovni práce s dokumenty. Všechno ale není „jen“ otázka dostupných prostředků, ale také toho, kam až je možné v rámci dané organizace zajít. Někde totiž nemusí být z různých důvodů přílišné „utažení“ bezpečnosti v rámci informačního systému žádoucí.

A když už není zbytí – perzekuce

Jak praví staré známé lidové přísloví: na hrubý pytel hrubá záplata. I když ze svých dosavadních zkušeností soudím, že v typických českých firmách a organizacích není příliš zvykem uživatele za chyby přísně trestat, jsou situace, kdy již není vyhnutí a musíme uživatele za jeho přestupky „klepnout přes prsty“. Takové exemplární potrestání může mít velký preventivní účinek na všechny uživatele. Současně je ale třeba k těmto věcem přistupovat velice citlivě tak, aby se trestaný zaměstnanec necítil poníženě a neutrpěla jeho důstojnost.
Příklad z praxe: jediná firma, kde jsme dosud neuspěli při telefonických testech metodami sociálního inženýrství, byla ta, kde nedávno předtím propustili dva zaměstnance mimo jiné za sdílení přístupových hesel.

Závěrem

Cílem příspěvku nebylo jen zamyšlení nad negativním vlivem uživatelů, ale také, a to především, poskytnout bezpečnostním správcům, manažerům a všemu IT personálu impulz k zamyšlení se nad tím, jak k uživatelům přistupovat tak, aby znamenali co nejmenší riziko. Přitom však nelze hledat chyby jen u samotných uživatelů, ale je třeba začít u sebe samého. U toho, jak s uživateli komunikujeme, jak navrhujeme bezpečnostní opatření, jak řešíme incidenty atd.
Uvědomme si, že i když jsme „jenom ajťáci“, pracujeme také s lidmi, kteří tvoří významnou součást informačního systému, jejž udržujeme při životě. A není jednoduché uživatele správně „nastavit“ tak, aby byla jeho chybovost co nejmenší. Musíme přitom využívat nástroje, jako je psychologie, diplomatický přístup, pochopení, empatie, vnímavost, ale třeba i důraz a lehká manipulace… A to není jednoduché.

Autor působí jako IT security consultant ve společnosti AEC.