Že firmy své zabezpečení neřeší? S Davidem (pracuje jako IT specialista a projektový manažer v pražské společnosti AIRA Group) jsme „kolo“ znovu objevovat nechtěli. A kolem a kolem, nakonec bychom dopadli jak dva postarší čeští občané cynicky lamentující na VŠE současné. Místo toho jsme si zvolili zajímavější téma pro interview - jak to v praxi vypadá, když firmy naopak svou datovou bezpečnost berou sakra vážně. 

Davide, co soudíš o nadcházejícím „datovém strašidlu“ GDPR? Bude to pro firmy v ČR velký šok, co se týče zásahu do současného chodu jejich zabezpečení v rámci IT?

Předpokládám, že GDPR bude mít podobný dopad jako například “populární” EET. Navíc firmy, které systematicky zpracovávají osobní údaje (cestovní kanceláře, investiční společnosti, poskytovatelé připojení, obecně všechny firmy, které mají jako svůj hlavní business zpracovávání klientů) budou muset mít povinně tzv. inspektora na ochranu dat neboli DPO – Data Protection Officer. Tento člověk bude mít ve firmě na starost bezpečnost informací. Očekávám, že vzhledem k tomu kolik firem bude inspektora potřebovat, bude DPO velmi nedostatkové “zboží“ na trhu a také častým předmětem outsourcingu.

A jak firmám může pomoci pro GDPR vypracovaný bezpečnostní audit?

Pokud dojde k firemnímu úniku dat v druhé polovině roku 2018, kdy už bude zákon GDPR v platnosti, může bezpečnostní audit pomoci významně snížit nebo zcela eliminovat astronomickou půl miliardovou pokutu. U soudu bude totiž firma muset prokazovat funkční technická a procesní opatření, která přijala, aby minimalizovala riziko úniku dat a bezpečnostní audit takovým opatřením bezesporu je.

Co vlastně vše může firma od bezpečnostního auditu očekávat a proč by ho měla dělat?

Na úvod bych rád řekl, že žádný bezpečnostní audit na světě firmě nezaručí, že je někdo “nehackne”. Audit slouží k zjištění úrovně bezpečnosti k aktuálnímu datu provedení. Na základě nalezených zranitelností se dají zazáplatovat všechny bezpečnostní díry a celkově tak výrazně zvýšit celkové zabezpečení firmy. Jenže každý týden vycházejí nové záplaty na zcela nové zranitelnosti, a proto je třeba udělat z bezpečnosti IT záležitost pravidelnou a ne jednorázovou „hurá akci“ (usmívá se).

Je to podobné jako když jste dostali ve škole přepadový test a na vaši námitku, že jste o tom nevěděli a nestihli se naučit, vám profesor řekne, že se přeci máte učit průběžně. V IT to funguje stejně. Existují agenti, které máte nainstalované na serverech a hned jak je nějaká nová zranitelnost oznámená, informují IT administrátora a žádají o záplatování. Díky tomu máte IT systém zranitelný po dobu maximálně několika dnů a ne týdnů až let jako v případě, kdy děláte audit jednorázově.

Dobře, a co bys radil firmě, která má strach o svoje data a dosud bezpečnost neřešila?

Tak v první řadě provést prvotní celkový bezpečnostní audit. Auditem testujeme nejen zranitelnosti IT systémů, ale také lidský faktor. Tím myslím tedy samotné zaměstnance, nastavení a dodržování vnitřních politik pro zacházení s citlivými informacemi, správně nastavené zálohování a spoustu dalších věcí. Následně je potřeba odstranit zranitelnosti, které jsou nalezené a provést tzv. retest, který nám ověří, že jsme zranitelnosti skutečně odstranili. Volitelně je možné nechat nainstalované agenty pro sledování nových zranitelností a jejich okamžité odstranění.

Audit bych doporučoval vždy jednou ročně vypracovat, protože agenti sice testují zranitelnosti na serverech v reálném čase, nicméně to je pouze jedna dílčí část auditu a ostatní části zůstávají netknuté.

Jak dlouho trvá retest na ověření jestli se zranitelnost skutečně podařilo odstranit?

Zhruba polovinu času prvotního skenování, protože skenování je už nainstalované a nakonfigurované a tím se šetří dost času. 

A když se teď vrátíme zpět k samotnému auditu. Jak dlouho trvá na vypracování a z čeho všeho se skládá?

Typický audit začíná tzv. Information Gatheringem, což je hledání informací o firmě, které můžou vést k následnému nalezení zranitelností, mapování firemního IT.

Dále následuje několikahodinový workshop s klíčovými zaměstnanci firmy a odpovídání na rozsáhlý dotazník. Ten má za úkol zjistit aktuální stav bezpečnosti z pohledu firemních procesů (nastavení práv a přístupů, document management atd.), nastavení IT praktik (způsob zálohování, nastavení VPN atd.), fyzické zabezpečení firmy a mnoha dalších pohledů na bezpečnost firmy.

Po workshopu následuje skenování sítové infrastruktury a jejich prvků, a to jak zevnitř, tak z venku. Výsledkem je nalezení potenciálních zranitelností, které může útočník objevit.

Většina firem také vyžaduje vulnerability scan webových stránek a aplikací a tzv. sociální inženýrství, neboli test lidského faktoru pomocí např. podvržených emailů apod.

Podle velikosti firmy a komplexnosti objednaného řešení pak může takový audit trvat zhruba od 4 do 14 dnů.

Někde jsem zaslechl, že nejtěžší je najít odpověď na otázku: “Kdo naposledy měnil konfiguraci na tomto serveru?“ Je tomu skutečně tak?

Tohle pořekadlo jsem tedy nikdy neslyšel, ale myslím, že když je zapnuté logování, tak to tak složité není (směje se).

Jaká část z auditu tě nejvíce baví a proč?

Určitě sezení s firemními zaměstnanci při dotazování na různé aspekty jejich bezpečnosti. Většinou si přitom klienti uvědomí, že nějakou část bezpečnosti opomíjejí a jsou rádi, že jste jim pomohli odhalit něco nového. Můžu u toho vidět na vlastní oči, že klientovi přinášíme užitnou hodnotu a pomáháme mu, a to je dobrý pocit.

Hodně mě baví také testování fyzické bezpečnosti a zaměstnanců, kdy se třeba pod různými záminkami a někdy až Sherlockovskými převleky snažím dostat do kanceláře a následně tam provést simulaci nějakého útoku. Ač se to možná nezdá, je to dost adrenalin. Občas přitom taky zafunguje ostraha objektu, a to se pak člověk i hezky proběhne (směje se).

Jakým stylem probíhá simulace útoků zvenčí? Můžeš to podrobněji popsat?

Nejdřív se snažíme získat co nejvíce informací o firmě, co má za domény, kdo v ní pracuje, sbíráme a prověřujeme e-mailové adresy, testujeme weby a podobně. Je to takové sbírání drobečků, na základě kterého se snažíme udělat si co nejlepší obrázek o struktuře firmy a jejich IT. Následuje skenování otevřených portů a služeb na zjištěných IP adresách a skenování zranitelností. Pokud si to firma přeje, tak se snažíme i zranitelnosti zjištěné v předchozím kroku využít.

A jak dlouho trvá analýza infrastruktury sítě?

Tam je velký rozdíl jestli testujeme zevnitř sítě nebo zvenku. Zjistit, jak síť vypadá zevnitř, je otázka na několik minut, zvenku se nám kompletní mapa sítě nemusí podařit zjistit vůbec. Následné testování zranitelností na nalezených serverech a stanicích v síti pak trvá zhruba 1-3 dny podle množství serverů a PC.

Teď mě tak napadá – dnes je velkým trendem mít data v cloudu. V čem vidíš výhody a zároveň nevýhody mít data a aplikace v cloudu z hlediska IT procesů?

Hlavní nevýhodou je samozřejmě absolutní závislost na připojení k internetu. Musíte mít velmi rychlé a hlavně kvalitní připojení bez výpadků, jinak prostě nefungujete. Když je server v kanceláři, tak aplikace odpovídají rychleji a spolehlivěji. Pokud navíc firma pracuje s větším objemem dat, tak to opět hodně vytěžuje připojení k internetu.

Pro srovnání: průměrné firemní připojení do internetu může mít 30Mb/s pro přijímání dat a 10 Mb/s pro odesílání dat. Kdežto vnitřní síť jede většinou na gigabitu, tzn. 1000 Mb/s pro příjem i odesílání. To je potřeba si uvědomit, když zvažujete, jestli zvolit cloud nebo mít server u sebe. Z pohledu bezpečnosti je lepší mít server na vnitřní síti, protože data mezi stanicemi a serverem nejdou přes internet, kde je může potenciálně někdo zkoušet odchytit, rozšifrovat a přečíst. Na druhou stranu jsou hostingy typicky velmi dobře zabezpečené a pravidelně testované. Takže ideální kombinace je mít servery u sebe v kanceláři a pravidelně testovat svojí bezpečnost právě pomocí auditů.

Jaké jsou ty nejrychleji viditelné přínosy pro firmy z vypracování auditu?

Výrazné zvýšení zabezpečení informací firmy ve všech aspektech. Při prezentaci, kterou děláme pro management firmy, se dozví, kolik a jak vážných zranitelností jsme našli a jak postupovat při jejich odstranění. Nápravu zranitelností si pak může firma zajistit úplně sama, ale typicky to firmy dělají ve spolupráci s námi.

Je třeba si říci, že asi žádný IT systém na světě není zcela nenapadnutelný. Je to vždy bilancování nutného množství vynaloženého času a peněz nutných pro úspěšné napadení vs. užitek, který to útočníkovi přinese.

Co je z hlediska zabezpečení tím nejrizikovějším a zároveň tím nejvíce “děravým” faktorem z tvé zkušenosti?

Hodně je to o heslech, které si lidé volí. Nikdy mě nepřestane bavit, jak jednoduchá hesla si lidé volí i pro přístup k některým kritickým datům. Další v pořadí jsou pak neaktuální patche na Windows a dále samotní zaměstnanci, kteří když nejsou školení, zabezpečený systém potopí svou neznalostí. Obecně bych řekl, že chyby jsou tam, kde někdo nepřemýšlí, ať už je to IT administrátor, vývojář aplikace anebo zaměstnanec.

A myslíš si, že jsme se v té politice hesel, alespoň o trochu více posunuli v ČR oproti dřívějším rokům?

Myslím, že uživatelé se budou vždycky snažit udělat si to co možná nejjednodušší, a to se jen tak nezmění. A já je částečně chápu. Rozdíl můžou udělat IT administrátoři a projektový manažeři, kteří budou vyžadovat minimální délku a komplexitu hesel, což se myslím trochu zlepšilo. Podle mého názoru by bylo nejpříjemnější, kdyby se víc používaly biometrické snímače otisků prstů, protože pro uživatele to znamená, že nemají žádné heslo, které by si musel pamatovat ani žádnou čipovou kartu, kterou by mohli ztratit (usmívá se). Bariérou však bude aspoň v blízké budoucnosti cena použití tohoto řešení.

Jak by dle tebe měl vypadat ideální a praktický Disaster Recovery plán?

To je jednoduché, měl by řešit všechny rozumně pravděpodobné případy selhání prvků, které jsou kritické pro business firmy. Ať už je to například záložním routerem nebo zdrojem napájení nebo třeba rozdělením serverů do dvou clusterů, kde v případě, že jeden selže, tak vše běží z druhého. Pro firmy, které potřebují být připojené a fungující 24/7 je klíčovým slovem redundance a to všeho, od připojení k internetu až po servery. Pro firmy, které nějaký chvilkový výpadek přežijí, je důležité mít připravené alespoň záložní řešení. Opět to může být třeba připravený starší záložní switch pro případ, že hlavní switch selže. Typicky pak při těchto řešeních bývá drobné omezení pro uživatele po dobu opravy, ale za cenu nižší ceny oproti výše zmíněnému “bezvýpadkovému“ systému.

A mohl bys nám na závěr prozradit, jak ty sám zálohuješ svá data?

Jasně. Mám doma síťové diskové úložiště (NAS), které zjednodušeně řečeno používá ze 4 disků jen 3 a ten poslední používá jako záložní. Takže když se jeden z disků pokazí, tak nepřijdu o žádná data, akorát ho vyměním. A zálohu těchto dat mám na externím USB disku, kam tak jednou za rok kopíruju obsah NASky. Na to, co mám za data, to myslím stačí, ale do firem po zkušenostech dávám už jedině diskové pole s copy on write funkcí, snapshotovým zálohováním přímo na poli a zálohováním dat do hostingu v jiné lokaci.

A proč sis oblíbil zrovna tento typ zálohovacího řešení?

Protože díky tomuto systému mám redundantní jak disky v NASce, tak mám i 2 zařízení (NAS a externí USB disk). V případě poruchy kteréhokoliv prvku v zálohovacím systému mám pořád ještě druhý, ze kterého data obnovím. Navíc NASka umí i přístup odkudkoliv z internetu, což mi při mém cestování všude po světě přijde velmi vhod.