Pracując wiele lat w obszarze bezpieczeństwa i kontroli systemów informatycznych, zawsze szukałem analogii pomiędzy naszymi codziennymi nawykami i mechanizmami, które implementujemy w cybernetycznym świecie. Każdy z nas na co dzień przestrzega reguł, które gwarantują nam i naszym bliskim spokojny sen. Drzwi naszych domów zabezpieczają zamki dokładnie na takiej samej zasadzie, jak firewalle chronią systemy przed niepożądanym ruchem sieciowym. Dzieci nie rozmawiają z nieznajomymi, co w świecie IT porównamy do ochrony przed phishingiem. Odpowiedzialny gospodarz dba, aby dom nie miał usterek, a dach nie przeciekał – dokładnie tak samo, jak administrator aplikacji dba o naprawę błędów i podatności poprzez cykliczne aktualizacje. Analizując obraz naszego środowiska IT bardzo dobrze jest szukać tych analogii, które jako społeczeństwo wypracowywaliśmy przez tysiące lat. Coś jednak poszło źle, skoro w tak ważnym obszarze, jakim jest bezpieczeństwo naszych informacji, wielu twórców systemów ochrony zdaje się całkowicie zapominać o genezie obrony i istocie konfliktów między ludźmi.

Pracując podczas wdrożeń technologii SIEM zauważyłem, że mamy trudność z jasnym określeniem, przed kim chcemy się bronić. W nomenklaturze wprowadzone zostały pojęcia „The Enemy”, „The Bad Guys” lub najogólniej „They”, i oczywiście „The Hackers”. A przecież za atakami stoją konkretne osoby i kraje. Zatem kto przed kim się broni? Skoro atakami sterują ludzie, to czy dla Polski, Brazylii czy Indonezji „The Enemy” będzie ta sama grupa osób? Ogromnym zaskoczeniem było dla mnie, że wdrażając Energy Logserver w Kazachstanie system zapalił wszystkie możliwe alerty. Publiczna adresacja tego klienta w europejskich bazach była oznaczona jako niezaufana. No tak, niezaufana… dla krajów z innego obszaru geograficznego. Nasi inżynierowie SIEM realizujący ten projekt musieli wdrożyć lokalne polityki bezpieczeństwa, aby klient otrzymał ochronę odpowiednią dla swojego terytorium. Zapomnieliśmy, że konflikty i wojny wywołują ludzie. Wojsko broni swoich obywateli przed ludźmi o złych zamiarach. Często bronimy się przed swoimi sąsiadami. Nie inaczej musi być w IT.

Czy istnieje zatem globalny system bezpieczeństwa, dobry dla każdego? Nie ma to żadnego sensu! Ogólnoziemski system bezpieczeństwa obroni nas co najwyżej przed Marsjanami! To tak jakby namawiać Rosjan do montażu amerykańskich radarów przeciwrakietowych pod Moskwą.

Sprawa się jeszcze bardziej komplikuje, gdy bezpieczeństwo IT umieszczamy w chmurze. Dostawcy rozwiązań ochrony przed cyberatakami już dawno przekonują klientów do globalnego Cloud Security. I tu już ciężko znaleźć analogię z życia codziennego. No bo jak? Dwa kraje mają używać tego samego uzbrojenia, kupując je w tym samym sklepie? Przecież każdy z nich będzie wiedział o swoim przeciwniku dokładnie wszystko. Dodatkowo zapominamy, że za pięknym słowem „cloud” stoją „blaszane” zasoby. Czyli mój przeciwnik posiada system SIEM na tych samych zasobach co ja? A co, jeżeli je wysyci? To dla mnie ich nie starczy? Wygląda to, jakby wojną i konfliktem sterowała wypożyczalnia samolotów bojowych, gotowych do startu w momencie konfliktu. Nawet dziecko by wówczas wiedziało, że najlepszą strategią ataku byłoby wypożyczenie dzień wcześniej wszystkich samolotów – tak, aby nasz przeciwnik został odesłany z kwitkiem! A co, jeżeli zamkną wypożyczalnie? Nie inaczej będzie z „SIEM in the cloud”. W momencie prawdziwego wyścigu zbrojeń cloud zamieni się w burzową chmurę i jedyne co dostaniemy, to uderzenie piorunem.

Artur Bicki Artur Bicki  

Autor pełni funkcję CEO w Energy Logserver. Kontakt: artur.bicki@energylogserver.com

 

  

Zachłysnęliśmy się szybką transmisją danych do naszych telefonów, lubimy podróżować bez granic i paszportów. Uśpiliśmy swoją czujność. A chciwość i zła natura człowieka nie zniknęła. Security in the Cloud to niedopuszczalny kierunek. Systemy SIEM muszą być nieprzerwanie gotowe do działania, niezależnie od układu chmur. Każdy kraj musi wdrożyć własne standardy bezpieczeństwa, bo obrona zawsze posiada barwy narodowe. Dlatego bardzo cieszymy się, że jako producent Energy Logserver zostaliśmy włączeni na listę przedsiębiorców polskiego sektora obronnego. To dokładnie miejsce, które dla siebie widzimy. Dla zagranicznych klientów opracowaliśmy szkolenia, które pozwalają dostosować SIEM do lokalnych zagrożeń, a wdrożenia przeprowadzimy lokalnie. Pamiętajmy, że atakami sterują ludzie i brak internetowych granic usypia naszą czujność.