Neprebojna varnostna rešitev v IT ne obstaja

Varnostna industrija se je v zadnjih letih ponovno izumila. Ta del panoge IT je deležen velikih naložb, priča smo kakovostnim inovacijam. Na trgu je več kot 500 ponudnikov varnostnih rešitev, a zdi se, da so podjetja zdaj ranljivejša kot kadarkoli prej. Ljupcho Joshevski, »prekaljeni varnostni inženir« v podjetju Cisco, je prepričan, da je s premišljenim pristopom mogoče poskrbeti za precej mirnejši spanec informatikov in lastnikov podjetij.

Varnost je eden največjih izzivov podjetij, ko se ta spopadajo z digitalnim poslovanjem. Na kaj naj bodo še posebno pozorni?

Digitalna doba in digitalizacija prinašata velike spremembe, tudi na področju varnosti. Podjetjem vedno svetujemo, naj na varnost gledajo celovito. Treba je izbrati pravi pristop, rešitev ni zgolj nakup več naprav. Varnost poslovanja zahteva ustrezno arhitekturo, in sicer takšno, ki bo uspešno zaznavala različne grožnje ter se lažje branila pred novo vrsto napadov. Bolje kot podjetja poznajo nevarnosti, ki prežijo nanje, lažje se ubranijo. Večina varnostnih groženj v podjetja pride prek omrežja, zato bi bilo treba implementirati rešitve, ki odkrivajo, kaj se v resnici dogaja v omrežju podjetja. A kljub temu morajo poskrbeti za zaščito vsakega dela poslovanja.

Kako je zdaj videti varnostna raven povprečnega evropskega podjetja? Katere so njegove najočitnejše pomanjkljivosti?

Tako kot iz IT je tudi z varnostnega vidika okolje povprečnega podjetja precej heterogeno. Podjetja so skozi leta različno vlagala v varnost poslovanja, navadno so pač kupila izdelke, ki so v posameznem trenutku veljali za dobre ali najboljše po priporočilih strokovnjakov. Napadi in druge varnostne grožnje so se z leti hitro razvijali, prav tako zaščita proti njim. Rezultat je osupljiv.

Danes boste v povprečnem podjetju našli okoli 20 različnih varnostnih izdelkov. Informatiki vam lahko potrdijo, da je njihovo upravljanje nočna mora, posledično pa kompleksnost varnostne infrastrukture tudi zmanjšuje njeno učinkovitost. Velik izziv je tudi staranje varnostne infrastrukture – stare rešitve preprosto niso več učinkovite in jih je treba nadgraditi.

Pogosto slišimo, da smo ljudje najšibkejši člen varnostne verige. Se strinjate?

Ljudje bodo vedno šibek člen, a ne nujno tudi najšibkejši. Ignoranca je huda stvar. Grožnje so zelo napredne, podjetja vseh zaposlenih ne morejo pripraviti nanje, celo če jih redno izobražujejo. Danes se vendarle lahko okužimo že z nekaj kliki na povezave v e-poštnih sporočilih.

Še več, nekateri sodobni napadi in napadalci niti ne potrebujejo interakcije – so tako rekoč nevidni za končne uporabnike, obidejo varnostne zaščite, se skrijejo pred njimi itd. Kljub temu ne smemo obupati. Treba je premisliti, kako zaščititi uporabnike, omrežje in podatke. Ne smemo se osredotočati le na naprave, temveč je treba gledati širše. Preprosto potrebujemo več ozaveščanja in izobraževanja zaposlenih.

Varnost je pogosto kompromis. Kako lahko podjetja kar najbolj zmanjšajo varnostna tveganja na področju IT?

Za podjetja je varnost velik strošek. Včasih celo spominja na črno luknjo. V zadnjih letih opažam, da vse več podjetij le brani svoj vrtiček – kupujejo najboljše požarne pregrade v upanju, da jih nič ne prebije. A to ni prava rešitev, grožnje so povsod okoli nas. Primerov zlorab je zelo veliko. Vaši podatki niso nujno varnejši v podjetju, nasprotno, verjetno so celo varnejši v oblaku, kjer zanje skrbijo vrhunski strokovnjaki. Podjetja zato potrebujejo inteligenten sistem, ki zna varno in učinkovito upravljati podatke.

Proračuni podjetij so vedno omejeni. Kakšna so vaša priporočila glede izboljšanja varnosti ob nujnem varčevanju?

Za začetek potrebujemo dober in predvsem dolgoročen načrt zaščite. Vedeti moramo, katere podatke in druge vire moramo nujno zaščititi ter na tej podlagi postaviti novo varnostno arhitekturo. Potem je vse lažje. Ko vemo, kaj ščitimo, lahko izračunamo, koliko bo stalo. Začnemo sicer lahko kjerkoli, a ponavadi tam, kjer so stvari najbolj kritične. Vsaka dodana varnostna rešitev mora upravičiti svoj obstoj. Zelo pomemben je tudi vidik integracije. Prepričati se moramo, da bodo izbrane rešitve ustrezno (so)delovale (skupaj).

Podjetja bodo morala, pa če to želijo ali ne, veliko več vlagati v varnost poslovanja, posebno zdaj ko je že vse digitalno. Staranje IT-infrastrukture za podjetja pomeni veliko težavo, ne le da stare rešitve niso več tako visoko učinkovite, nekatere med njimi so zaradi ranljivosti za poslovanje lahko celo nevarne. Za nekatere dele infrastrukture torej pride v poštev zgolj zamenjava ali konkretna nadgradnja. Pri varnosti si lahko nekoliko pragmatičen in varčen, a zanesljive in učinkovite varnostne rešitve imajo svojo ceno.

Katere grožnje bodo na podjetja prežale jutri in kako naj se jih ubranijo?

Če bi poznal odgovor na to vprašanje, bi bilo precej lažje. Trenutno veliko skrbi in stroškov podjetjem povzročajo izsiljevalski virusi, predvsem taki, ki se izogibajo varnostnim mehanizmom. Ogromen porast beležijo tudi bančne prevare. Dejstvo je, da industrija potrebuje čim bolj prilagodljive varnostne rešitve, če se želi braniti pred neznanimi grožnjami. V Ciscu varnostno arhitekturo gradimo odprtokodno.

Zavedamo se, da se morajo stvari povezovati. Aktivnih imamo veliko različnih projektov z drugimi ponudniki varnostnih rešitev. Preprosto moramo sodelovati, če želimo biti celoviti. Kot rečeno, podjetja morajo danes postaviti popolnoma drugačno varnostno arhitekturo kot pred desetletjem.

Ali na trgu obstaja neprebojna rešitev pred digitalnimi grožnjami?

Želel bi si, da bi obstajala, a je ni. Če vam kdo to prodaja, naj vas skrbi. Glede na to, kako različne so si škodljive kode in napadi, preprosto ni naprave ali aplikacije, ki bi znala vse to zaustaviti in vas zaščititi. Ciscovi varnostni strokovnjaki so zato osredotočeni na tridimenzijsko spremljanje napadov – vsakega temeljito analizirajo, tudi kaj se je dogajalo pred, med in po napadu, saj hočejo prepoznati vzorce obnašanja napadalcev, ter analizirati vzroke, kateri varnostni mehanizem je odpovedal, kako in zakaj. Le tako se bomo prihodnjič lahko ubranili …

Če imate vztrajnega napadalca, bo zelo verjetno prebil zaščito, zato ga je treba pravočasno zaznati. Varnostne tehnologije niso stoodstotno učinkovite, je pa zato toliko pomembneje čim bolj skrajšati čas odkritja napadov, saj tako minimiramo oziroma omejimo povzročeno škodo.

Digitalne preobrazbe ne doživljajo le podjetja, ampak tudi hekerji. Kako bi vi omejili njihovo aktivnost, ki se zdi neustavljiva?

Zavedati se moramo, da digitalne grožnje, prevare, zlorabe in napadi danes napadalcem in hekerjem prinašajo zelo veliko denarja. Varnostni strokovnjaki ocenjujejo, da gre za industrijo, ki je na letni ravni vredna od 500 do tisoč milijard ameriških dolarjev. Napadalci so zelo dobro plačani ljudje, svojih aktivnosti se lotijo projektno, škodljive kode temeljito načrtujejo in testirajo. Gre za profesionalce, zato se je toliko težje ubraniti.

V fazi obrambe imamo na voljo nekaj vzvodov, s katerimi njihovo aktivnost omejimo. Nenehno ponavljamo, da je treba izobraževati zaposlene in uporabljati sodobne varnostne rešitve. To je podlaga. Varnostna podjetja pa morajo še podrobneje spremljati aktivnosti napadalcev in škodljivih kod, jim ugašati strežnike in jih omejevati.

Pa se vam zdi, da industrija informacijske varnosti res počne vse, kar je v njeni moči? Mar se ne bi morala tudi varnostna podjetja ponovno izumiti?

Varnostna industrija se je v zadnjih letih že ponovno izumila, veliko je inovacij in naložb. Na največjih varnostnih konferencah lahko preštejete več kot 500 ponudnikov varnostnih rešitev – to je dobro, saj potrebujemo inovacije. Je pa hkrati res, da potrebujemo tudi več koordinacije in skupnega nastopa proti napadalcem. Morali bi se več pogovarjati in sodelovati. Napadalna omrežja so po vsem svetu, tudi varnostna podjetja morajo zato delovati globalno. Del varnostne enačbe pa morajo biti še ponudniki dostopa do spleta ter (globalni in lokalni) organi pregona, če hočemo napadalce zaustaviti.

Se bo stanje na področju varnosti v digitalni dobi izboljšalo?

Menim, da moramo vsekakor ostati optimistični – tako industrija varnostnih rešitev kot podjetja, sicer bodo napadalci dobili krila. Treba jih je spremljati in omejevati, jim ugašati strežnike. Čas odkritja groženj je izjemno pomembna, prej kot jih odkrijemo in se nanje odzovemo, manj škode lahko povzročijo.