Moderní je nevěřit
Představme si samořiditelné auto, kde má jeho umělá inteligence (AI) k dispozici obrovské množství dat, na jejichž základě se rozhoduje a které jsme vlastně svěřili nejen své životy. Pro své rozhodování potřebuje AI robustní model posuzující kvalitní data. Nepřesnosti, ať již úmyslně či neúmyslně vložené do modelu či dat, mohou způsobit celou škálu situací končících i tragicky.
My, jako řidiči, známe značku výrobce auta. Kdo se však se na jeho výrobě podílí, kdo má na starosti senzory starající se o bezpečnost, čí jednotka zajišťuje vyhodnocování všech informací, po tom obvykle nepátráme. A přitom nejde o nic méně důležitého než životy nás a našich blízkých. Spoléháme se ale na to, že všechna zařízení budou fungovat, jak mají, a vrátíme se bezpečně domů. Stejně tak je to i v jiných lidských činnostech, IT a telekomunikace nevyjímaje. Důvěra uživatelů, že jsou jejich data v bezpečí, je klíčová. Aby tomu tak zůstalo i nadále, stačí používat koncept Zero Trust.
Důvěřuj, ale prověřuj
Ať už se jedná o velkého nadnárodního poskytovatele ICT řešení, nebo malého místního ISP providera, své dodavatele znají. Pravděpodobně dlouhodobě a často i osobně. Jenže i takový dlouholetý a spolehlivý partner, respektive jeho zařízení či software mohou být vystaveni útoku, nebo stačí jen interně udělat chybu. Co s tím?
Je nezbytné důsledně prověřovat každé řešení, každé zařízení, které nám dodavatel nabízí či už jej používáme. Hledejte zranitelnosti, dostupné informace… I ICT sektor je obchod jako každý jiný, nespoléhejte jen na tvrzení dodavatele, ale snažte se získat ověřené objektivní informace. Používat jako zdroj jen dodavatele, není právě nerozumnější přístup. Přistupujte ke každému hardwaru či softwaru, byť od prověřeného dodavatele, jako k produktům od firmy, kterou vůbec neznáte. O to budete obezřetnější.
Jak ale zajistit důkladnou kontrolu? Ne vždy je možné prověření jednotlivých komponent interně, ať už z důvodu lidských kapacit či kvůli potřebným zdrojům nebo nedostatku času. Ideální variantou je ověření prostřednictvím třetí strany. Prostřednictvím firmy, která není napojena ani na dodavatele, ani na zákazníka a má skutečnou odbornost pro provedení technických a bezpečnostních analýz a dostatečný kredit v oboru. Objevují se i nápady, že by se o to mohl postarat i stát, což je podle zástupců ICT sektoru hodně „odvážná“ myšlenka.
Ověřením před nasazením ale celý proces rozhodně nekončí, je to jen první krok. Když zavedete produkt do systému, nastavte takové mechanismy, aby bylo možné jej vždy nezpochybnitelně autentizovat. Je správné prověřit si, o co se má nová součást systémového řešení postarat. Ale stejně tak je důležité vědět, že skutečně nedělá v běžném provozu, co by neměla.
Assume nothing: Nepředpokládejte, že máte pod kontrolou vlastní systémy.
Believe nobody: Nikomu nevěřte, mějte nastavené autentizační mechanismy, přidělujte jen minimální potřebná práva, nechejte otevřené jen nutné komunikační kanály a jen po opravdu nutnou dobu.
Check everything: Vše si neustále ověřujte, monitorujte, vyhodnocujte a na zjištěné reagujte. Pod vše zahrňte nejen technologie, ale i lidi, kteří k nim mají přístup.
Defeat threats/risks: Nově zjištěné hrozby dle prioritizace řešete, rizika minimalizujte.
Expect and prepare for the worst: Očekávejte to nejhorší a připravte se na to. Mějte otestované plány kontinuity činností, DRP, zálohování, dobře nastavené plány pro krizové situace.
Méně je více
V tuto chvíli nejde o ověřovací a kontrolní mechanismy, ale většinou o koncového uživatele. Říká se, že největší bezpečnostní riziko se nachází mezi židlí a klávesnicí. To je obvykle vstupní brána pro útočníky na systémy, data, informace… I proto je vhodné dát uživatelům jen ta základní práva, která potřebují k výkonu své práce. Minimalizujete tím riziko. A stejnou logiku pak můžete použít i pro další části systému, přestože jste je již ověřili.
Monitorujme vše
Management bezpečnostních informací a událostí – SIEM – už je součástí snad všech významných systémů, jejichž majitelům na nich záleží. Ne vždy je ale monitorováno opravdu vše – z kapacitních důvodů technologií, nedostatku odborníků, nechuti investovat do celkového rozvoje. To musí skončit a monitoring bezpečnostních událostí, jejich vyhodnocování a následné zpracování bezpečnostních incidentů je dalším nezbytným krokem k zajištění bezpečnosti celého systému.
Předpokládejme nejhorší
I při nastavení všech možných bezpečnostních opatření může dojít k bezpečnostnímu incidentu. Pro takové situace mějte nastaveny procesy správy bezpečnostních incidentů. Samozřejmostí je implementace systému kontinuity činností a krizového řízení.
„Nevěřte nikomu, komu je přes třicet,“ prohlásil Jack Weinberg skoro před šedesáti lety. Dnes by měli být podnikatelé v ICT sektoru i jejich zákazníci mnohem striktnější: „Nevěřte nikomu!“
Závěr
Podobně jako když nasedneme do auta osvědčené značky s automatickým přesvědčením, že nás bezpečně doveze z bodu A do bodu B, využíváme i dalších služeb a produktů, u kterých neochvějně předpokládáme tu nejvyšší úroveň zabezpečení. Nikdo z nás patrně nebude chtít jezdit značkou vozu, která je soustavně spojována s problémy, ale ani nakupovat v nezabezpečeném e-shopu nebo využívat služeb operátora, jenž má nedostatky v IT bezpečnosti a nedokáže uchránit nejen svou infrastrukturu, ale i data svých zákazníků.
Reputace je křehká záležitost a i sebemenší bezpečnostní incident ji může poškodit na dlouhá léta dopředu. Čím dříve si osvojíme principy Zero Trust a zvykneme si na to, že v tak komplexním světě není v současné době lepší řešení, tím dříve bude náš digitální ekosystém bezpečnější a bude vzbuzovat větší důvěru nejen u specialistů, kteří vidí pod jeho kapotu, ale i u běžných uživatelů, kteří využíváním nabízených služeb umožní jejich další rozvoj.