Zacznijmy chronić brzeg organizacji, a nie „końcówki”

Trend BYOD spowodował, że mamy dziś do czynienia z sytuacją, w której ogromną wagę przykłada się do zabezpieczania urządzenia użytkownika końcowego, poświęcając tym samym niewiele wysiłku na zabezpieczenie organizacji.

Pamiętam moment, kiedy pierwszy raz usłyszałem o nowej filozofii wykorzystania własnych narzędzi w pracy, czyli BYOD (Bring Your Own Device). Pomyślałem wtedy, że w końcu będziemy mogli korzystać tylko z własnych urządzeń, zamiast dzielić życie na zawodowe i prywatne, nosząc ze sobą dwa telefony, dwa laptopy i uprawiając dwie filozofie korzystania i ochrony tych urządzeń oraz  znajdujących się na nich informacji. Pomyślałem również, że taka zmiana wniesie ogromne zamieszanie w sferze bezpieczeństwa informacji i koncepcji ochrony zasobów. Po kilku latach funkcjonowania BYOD na świecie nie mam wątpliwości, że zamieszanie rzeczywiście jest ogromne, temat budzi emocje, a producenci rozwiązań zacierają ręce. Problem w tym, że – moim zdaniem – cała historia przybrała kompletnie niewłaściwy kierunek. Spójrzmy najpierw na fakty.

Strategie BYOD a efekty biznesowe

Termin BYOD pojawił się w 2009 roku, kiedy Intel – w odpowiedzi na narastającą falę pracowników przynoszących swoje urządzenia mobilne do pracy – wprowadził politykę regulującą to zagadnienie. W ciągu zaledwie kilku lat podobna praktyka upowszechniła się na całym świecie. Obecne badania wskazują, że ponad 50% firm na świecie już wdrożyło politykę BYOD, a w najbliższych latach liczba ta wzrośnie do 70%. Nie powinno to nikogo dziwić, zważywszy na szeroki wachlarz zalet i korzyści, z którymi wiąże się wdrożenie takiej polityki w firmie. Wśród nich wystarczy wspomnieć wzrost dostępności, produktywności i satysfakcji pracowników, który – zgodnie z różnymi badaniami – przynosi firmom od 300 USD do 1500 USD dodatkowej wartości.

Można dyskutować na temat statystyk i sposobu wyliczenia poszczególnych wartości, ale jedno jest pewne – koncepcja BYOD stała się faktem i nie ma od niej odwrotu. Nieliczni, którzy uważają inaczej, powinni uświadomić sobie, że bez względu na politykę organizacji dotyczącą urządzeń prywatnych, ponad 60% pracowników i tak z nich korzysta w miejscu pracy. Właściwie dlaczego mieliby nie korzystać? Przecież posiadanie wielu urządzeń realizujących te same funkcje nie ma sensu i stanowi ogromną marnotrawność zasobów, energii i mocy obliczeniowych. Na takim modelu korzystają chyba tylko producenci urządzeń i firmy utylizujące elektrośmieci. Innymi słowy, jeśli chodzi o BYOD, to się stało i się nie odstanie.

Na taki pomysł szefowie bezpieczeństwa firm na całym świecie podnieśli alarm, że zapewnienie wymaganego poziomu bezpieczeństwa w takim modelu jest bardzo trudne i kosztowne, bo wymaga rozszerzenia bezpiecznych granic organizacji i objęcia każdego urządzenia prywatnego ochroną adekwatną do standardów firmy. I tak też się stało. Przewidywany wzrost rynku rozwiązań z zakresu BYOD wynosi 300% do 2017 roku! Firmy wydają fortunę na zabezpieczanie prywatnych laptopów, tabletów, telefonów, wdrażają rozwiązania do zdalnego monitorowania i zarządzania, instalują nam systemy antywirusowe i osobiste zapory sieciowe, starają się utrzymać założony poziom bezpieczeństwa za wszelką cenę. Taka sytuacja bardzo odpowiada producentom, którzy właśnie zyskują nowy rynek, stworzony przez firmy, które same dokonały konwersji użytkownika prywatnego w użytkownika biznesowego. A ten z natury rzeczy jest bardziej wymagający, bo na więcej go stać.

BYOD a niezmienione podejście do bezpieczeństwa informacji

Sytuacja idealna dla wszystkich, tylko nie dla dbających o bezpieczeństwo informacji. Wszystkie te zabezpieczenia mają bardzo umiarkowaną skuteczność wobec zagrożenia, którym jest użytkownik. Niestety, wśród firm, które wdrożyły politykę BYOD, jedynie 20% przeprowadziło program podnoszenia świadomości wśród pracowników, a przy tym tylko 10% firm wie, jakie urządzenia są podłączane do sieci firmowej.

Obserwując historię koncepcji BYOD – i mając wiedzę w zakresie kierunków rozwoju ryzyka i zabezpieczeń w obszarze technologii popartą wieloletnim doświadczeniem i pasją – odnoszę wrażenie, że o ile koncepcja jest słuszna, o tyle ewolucja myśli w zakresie sposobów ochrony informacji w takiej infrastrukturze zeszła na manowce, albo w ogóle się zatrzymała. Firmy stosują podejście standardowe – by nie powiedzieć tradycyjne – do przypadku, który nie jest ani standardowy, ani tradycyjny.

Zmiana sposobu myślenia o urządzeniach użytkowników

Moim zdaniem, zamiast filozofii ochrony urządzenia użytkownika, która jest dzisiaj powszechną praktyką, powinniśmy stosować filozofię ochrony brzegu organizacji, a tak naprawdę kombinację powyższych z naciskiem na brzeg organizacji. Wymaga to kompletnej zmiany myślenia o urządzeniach należących do użytkowników. Obecnie staramy się zwiększyć poziom bezpieczeństwa urządzeń użytkowników, aby móc im zaufać, że nie zagrażają firmie – podejście z natury reaktywne, bo odpowiadające jedynie na znane zagrożenia, nie zapewniające utrzymania założonego poziomu bezpieczeństwa, gdyż zakłada ingerencję w urządzenie obce, które używane jest zarówno w strefie zaufanej (firma), jak i poza nią. Biorąc pod uwagę dynamikę zagrożeń cyfrowych w ostatnich latach, takie podejście uważam za niewłaściwe.

Zamiast szalonej gonitwy za każdym urządzeniem każdego użytkownika proponuję filozofię ochrony obszaru organizacji i jej brzegu. Takie podejście nie zakłada, że urządzenie użytkownika jest zaufane i nie wymaga inwestowania w podniesienie jego poziomu bezpieczeństwa. Filozofia ta zakłada jednak, że chronić powinniśmy organizację i jej zasoby wewnętrzne – podejście proaktywne, strategiczne, nastawione na jasno zdefiniowany cel i posiadające zaletę w postaci łatwo definiowalnych granic obszarów bezpiecznych i zaufanych oraz obszarów niezaufanych.

Można posłużyć się tutaj analogią bankowości internetowej, w której – mimo udostępniania wrażliwych danych – nikt nie wymaga od klienta posiadania bezpiecznego urządzenia, z którego chce skorzystać z usługi. Co więcej, klient uzyskuje łatwo dostęp do systemu zarówno z komputera domowego, telefonu, jak i komputera w kafejce internetowej. To ostatnie może nie jest najlepszą praktyką, ale nadal jest dobrym przykładem.

Filozofia ochrony brzegu organizacji

Powstaje pytanie: jak wdrożyć filozofię ochrony obszaru i brzegu organizacji? Pierwszym krokiem w tym kierunku będzie zdefiniowanie tego obszaru i brzegu. Zgodnie z tą filozofią, w firmach, które decydują się na wdrożenie koncepcji BYOD, urządzenia użytkowników znajdują się poza obszarem organizacji, po drugiej stronie brzegu, i nie są traktowane jako zaufane. Poza tym sieć firmowa, do której łączą się takie urządzenia, mimo że  znajduje się w obszarze firmy, nie jest traktowana jako zaufana. Potraktujmy ją jak sieć dla gości. Ochrona powinna zaczynać się na brzegu obszaru zaufanego, który w koncepcji BYOD winien ulegać przesunięciu bliżej organizacji, a nie dalej! Właściwe zdefiniowanie tego brzegu – podobnie jak zdefiniowanie obszaru systemu zarządzania bezpieczeństwem informacji, zgodnie z normą ISO/IEC 27001:2013 – jest kluczowe ze względu na możliwość jasnego określenia tego, co chcemy chronić i w jakim stopniu.

Jednym z podstawowych mechanizmów zarządzania bezpieczeństwem jest klasyfikacja zasobów chronionych z uwagi na ich istotność dla organizacji i wrażliwość. Właściwa segregacja zasobów, połączona z nią segmentacja sieci oraz kontrola ruchu sieciowego pomiędzy sieciami jest przykładowym sposobem na ograniczenie ryzyka w warstwie sieci. Niby oczywista rzecz, ale nadal spotykam firmy, w których sieć użytkowników jest jednocześnie siecią serwerów. W takiej sytuacji dużo prościej i taniej jest rozdzielić te sieci, niż inwestować w zabezpieczenia urządzeń użytkowników, żeby były bezpieczne dla serwerów (sic!).

Podobnie można myśleć o innych zabezpieczeniach. Warstwę aplikacji należy chronić przed nieuprawnionym dostępem zarówno na podstawie kontroli ruchu między sieciami, jak i właściwych mechanizmów uwierzytelnienia, które potwierdzają również tożsamość serwera, a jeśli to uzasadnione – korzystają z dodatkowych czynników uwierzytelniających (certyfikaty klienta, tokeny, biometria głosowa itp.). Dużo większą uwagę należy poświęcić systemom monitorowania, wykrywania i reagowania na incydenty bezpieczeństwa na brzegu organizacji. Z pomocą przychodzą tu znane, kupowane i w praktyce niewykorzystywane systemy IDS/IPS oraz rozwiązania typu SIEM (Security Information and Event Management), które pozwalają na rejestrowanie, korelację i reagowanie na wiele zagrożeń.

Konieczne podnoszenie świadomości użytkowników

To wszystko są jednak rozwiązania techniczne, które tworzą bariery dla użytkowników, którzy z kolei mają nieskończoną wprost wyobraźnię w zakresie radzenia sobie z barierami. Do ponad 80% incydentów bezpieczeństwa doprowadzają pracownicy, a nie anonimowe osoby z internetu. Dlatego jednym z najważniejszych elementów skutecznego systemu zarządzania bezpieczeństwem informacji, w każdej organizacji, a w takiej, która wdraża koncepcję BYOD w szczególności, jest świadomość użytkowników. Szkolenia w zakresie bezpiecznych zachowań prowadzą banki i firmy telekomunikacyjne, bo jest to w ich interesie i wymagają tego przepisy prawa. Podobnej edukacji poza miejscem pracy nie prowadzi się, a jedynym źródłem informacji dla zwykłego użytkownika są doniesienia mediów.

Ostatnim elementem, który stwarza potencjał do właściwego zarządzania bezpieczeństwem, jest znajomość własnej organizacji i jej podatności na różne zagrożenia, które mogą stworzyć ryzyko. Tylko regularna diagnoza w formie samooceny kierownictwa lub niezależnego audytu, wykonana w kontekście zrealizowanych ryzyk i incydentów, pozwala organizacji stworzyć zdolność do ciągłego doskonalenia. Ma to szczególne znaczenie w przypadku firm, które decydują się na korzystanie z nowych i nowoczesnych technologii dla zbudowania przewagi konkurencyjnej, bez ponoszenia nadmiernego ryzyka. Dotyczy to również tych, którzy zmieniają swoje organizacje, wdrażając m.in. takie koncepcje, jak BYOD.

1. 1.     Klasyfikacja zasobów chronionych ze względu na ich istotność dla organizacji i wrażliwość.
2. 2.     Właściwa segregacja zasobów, połączona z nią segmentacja sieci oraz kontrola ruchu sieciowego pomiędzy sieciami jest przykładowym sposobem na ograniczenie ryzyka w warstwie sieci. W takiej sytuacji dużo prościej i taniej jest rozdzielić te sieci, niż inwestować w zabezpieczenia urządzeń użytkowników, żeby były bezpieczne dla serwerów (sic!).
3. 3.     Warstwę aplikacji należy chronić przed nieuprawnionym dostępem zarówno na podstawie kontroli ruchu między sieciami, jak i właściwych mechanizmów uwierzytelnienia, które potwierdzają również tożsamość serwera, a jeśli to uzasadnione – korzystają z dodatkowych czynników uwierzytelniających (certyfikaty klienta, tokeny, biometria głosowa itp.).
4. 4.     Dużo większą uwagę należy poświęcić systemom monitorowania , wykrywania i reagowania na incydenty bezpieczeństwa na brzegu organizacji. Z pomocą przychodzą tu znane, kupowane i w praktyce niewykorzystywane systemy IDS/IPS oraz rozwiązania typu SIEM , które pozwalają na rejestrowanie, korelację i reagowanie na wiele zagrożeń.

Radosław Kaczorek, CISA, CIA, CISSP, CRISC jest prezesem zarządu IMMUSEC. Audytor systemów informatycznych, ekspert w dziedzinie ładu i nadzoru w informatyce, zarządzaniu ryzykiem i bezpieczeństwem informacji. W latach 2005-2009 prezes zarządu ISACA w Polsce. Współtwórca działów audytu systemów informatycznych i bezpieczeństwa w KPMG (1998-2004) oraz Deloitte (2005-2007). Od 2005 roku wykładowca Podyplomowego Studium “Efektywne Zarządzanie IT w Przedsiębiorstwie” w Szkole Głównej Handlowej w Warszawie.