Stan zagrożenia

Internet ma ponad 40 lat, pierwsze poważne zagrożenia komputerowe pojawiły się dwadzieścia pięć lat temu. Przez te dwadzieścia pięć lat powstał wielki przemysł bezpieczeństwa komputerowego, jednak nie ma dnia, bez wiadomości o jakimś poważnym zagrożeniu, bądź incydencie. Dlaczego?

Sieć jest głupia

Pierwszą przyczyną jest sama sieć. Fachowcy nazywają Internet głupią siecią (dumb network). Głupia sieć realizuje jedno zadanie - przekazywać dane między swoimi uczestnikami (węzłami) i nie zajmuje się niczym innym , nie ma też żadnych mechanizmów zabezpieczających. Brak kontroli i łatwość podłączenia dały Internetowi przewagę, dzięki której pokonał komercyjne sieci zaprojektowane przez firmy telekomunikacyjne; zaprojektowane jako płatne usługi z wbudowanymi mechanizmami kontroli i rozliczania.

Dzięki temu Internet rozwija się bardzo szybko i innowacyjnie - nową usługę czy serwis wystarczy zaprogramować i udostępnić, nie trzeba żadnych pozwoleń, czy rejestracji , ale nie ma żadnego mechanizmu blokującego możliwe niebezpieczeństwa. Nie jest z resztą łatwo je rozpoznać, włamywacz zazwyczaj łączy się z atakowaną usługą tak samo jak praworządny użytkownik Istnieją wyjątki od tej reguły, działania prowadzone podczas rozpoznania potencjalnego celu dają się łatwo wykrywać, ale na taki wykrywacz jest kontr-metoda, na którą jest kont-kontrmetoda i tak dalej. Ale realny problem leży gdzie indziej - takich informacji jest za dużo. Duża, wystawiona na atak instytucja może być obiektem rozpoznania tysiące razy dziennie , gdyby o każdym z takich zdarzeń informować operatorów systemu, ogłuchliby od dzwonka alarmowego.

Rachunek zysków i strat

Rozliczane z cięcia kosztów zarządy bardzo niechętnie decydują się na ponoszenie bieżących kosztów utrzymywania odpowiedniego poziomu bezpieczeństwa.

Aby obronić się przed taką liczbą ataków potrzebne są skomplikowane, kosztowne systemy bezpieczeństwa - zapory, systemy wykrywania i odpierania zagrożeń, czy systemy kontroli dostępu. Kosztują szkolenia pracowników i sprawdzanie, czy stosują się oni do reguł bezpieczeństwa.

Bezpieczeństwo pasywne generuje dalsze koszty - trzeba zapłacić za kontrakty serwisowe i subskrypcje aktualizacji oprogramowania które załatają odkrywane na bieżąco luki, kosztuje też czas pracy administratorów i przestoje systemów. A biznes nie lubi kosztów. To druga przyczyna. Ale jest jeszcze biznesowa polityka.

Każda firma internetowa ma dwa podstawowe piony: biznes i technologię. Według obiegowych opinii biznes chciałby wszystko robić zawsze jak najszybciej, najprościej i oczywiście najtaniej, a ludzie z technologii tylko rzucają kłody pod nogi i generują koszty. Rozliczane z cięcia kosztów zarządy bardzo niechętnie decydują się na ponoszenie bieżących kosztów utrzymywania odpowiedniego poziomu bezpieczeństwa.

Na kogo wypadnie, na tego bęc

Finansowe i organizacyjne koszty zabezpieczeń są na tyle wysokie, że część zarządów firm, mniej czy bardziej świadomie decyduje się na ryzykowanie danymi swoich klientów - przeprowadzanie kampanii podtrzymania nadszarpniętego włamaniem wizerunku marki może być tańsze, niż ciągłe wydawanie pieniędzy na zabezpieczenia. Bezpieczeństwo jest ciągłym obciążeniem finansowym,. a włamania zdarzają się rzadko i w dużej firmie manager może liczyć, że w okresie jego odpowiedzialności nic się nie wydarzy, a jeśli się wydarzy, można to przekuć w sukces. Tak stało się w wypadku głośnego włamania do PlayStation Network - jak podaje Wiktor Cegła z Gram.pl, po ponownym uruchomieniu usługi, ilość pobieranych ze sklepu aplikacji wzrosła w stosunku do ostatniego miesiąca przed włamaniem, a cytuję: "zaufanie do Sony nie ucierpiało". Z punktu widzenia biznesu jest to więc sensowna strategia.

Finansowe i organizacyjne koszty zabezpieczeń są na tyle wysokie, że część zarządów firm, mniej czy bardziej świadomie decyduje się na ryzykowanie danymi swoich klientów

Niestety takie podejście prezentuje się dużo mniej sensownie z technicznego punktu widzenia. Po wielkim włamaniu do firmy RSA produkującej tokeny - breloczki pokazujące zmieniające się hasła jednorazowe, oraz oprogramowanie do ich obsługi, firma opublikowała zestaw zaleceń, sprowadzający się do ogólnikowego "myjcie zęby po każdym posiłku" , analitycy i komentatorzy podkreślali, że ważniejsze jest co NIE zostało powiedziane w oświadczeniu firmy i zaleceniach.

Następne wydarzenia - wykorzystujące wykradzione z RSA informacje do włamań do firm pracujących dla wojska, pokazały, że krążące w kuluarach branżowych konferencji pogłoski okazały się słuszne: nie wiadomo wprawdzie czy z RSA wykradziono po prostu spis kluczy bezpieczeństwa tokenów SecurID, czy może metodę obliczania klucza tokena na podstawie jego numeru seryjnego, jednak wiadomo na pewno, że tokeny przestały być wystarczająco bezpieczne. Przyznała to też w końcu sama firma , oferując bezpłatną wymianę skompromitowanych tokenów.

Biznes, nic osobistego

Trzecia i najważniejsza przyczyna zagrożeń w sieci jest bardzo prosta: kradzieże danych, rozsyłanie spamu , czy oszustwa finansowe, to po prostu opłacalny biznes. Pieniądze można zarobić bezpośrednio - opróżniając konta bankowe internautów , ale też pośrednio - tworząc sieci posłusznych komputerów (botnety), rozsyłających później spam, albo atakujących na zamówienie wybrane serwisy, ale też po prostu handlując informacją - za dane karty kredytowej na czarnym runku można dostać kilkadziesiąt dolarów. Można też nie brudzić rąk, i tylko pisać złodziejskie oprogramowanie wykorzystywane później przez innych przestępców.

A co na to przemysł bezpieczeństwa i organizacje powołane do ochrony prawa i  porządku w cyberprzestrzeni? O tym za tydzień, w następnym "Bezpieczniku".

Janusz Urbanowicz jest członkiem zespołu Technologii, oraz niezależnym konsultantem w dziedzinie technologii internetowych i bezpieczeństwa. Prowadzi bloga pod tytułem Fnord.pl .

Finansowe i organizacyjne koszty zabezpieczeń są na tyle wysokie, że część zarządów firm, mniej czy bardziej świadomie decyduje się na ryzykowanie danymi swoich klientów

Więcej o: