Press
18. 4. 2023

Michal Srnec v NEXTECH: Technické vynútenie dodržiavania bezpečnostných politík

Nie je žiadna novinka, že pri životnom cykle bezpečnostných politík musíme brať do úvahy všetky aspekty a prostriedky, ktoré budú s touto politikou späté – technické prostriedky, procesy a ľudí.

Všetky tieto aspekty a prostriedky musíme zohľadňovať už pri návrhu bezpečnostnej politiky. Navyše to, čo veľkou mierou determinuje ako sa bude bezpečnostná politika dodržiavať, je jej správna definícia s ohľadom na legislatívne a bezpečnostné praktiky a hlavne jej správna definícia vzhľadom na ciele organizácie. Aj tá najlepšia bezpečnostná politika sa bude obchádzať, resp. jej dodržiavanie bude technicky veľmi náročné, ak nebude v súlade s cieľmi organizácie. V ideálnom prípade by mala bezpečnostná politika tieto ciele podporovať.

Technické opatrenia hrajú prím

Nielen ľudská hlúposť a vesmír, ako by povedal slávny fyzik 20. storočia Albert Einstein, ale aj ľudská vynaliezavosť je nekonečná. Na tento fakt by sme mali myslieť zakaždým, keď zvažujeme, aké technické, procesné či ľudské aspekty bude treba použiť pri vynucovaní bezpečnostnej politiky. Keby navyše bezpečnostná politika nepodporovala incentívy jej používateľov či nesledovala ciele spoločnosti, dostali by sme takmer „dokonalú“ kombináciu, v ktorej bude extrémne náročné zabezpečiť vynucovanie akejkoľvek bezpečnostnej politiky.

Technologické opatrenia hrajú prím. Na dosiahnutie optimálnych výsledkov pri vynucovaní bezpečnostných politík je dôležité primárne sa sústrediť na technické opatrenia. V ideálnom prípade by nastavenie technológií malo reflektovať nastavenie bezpečnostnej politiky a minimalizovať tak priestor na svojvoľné správanie používateľov. Hoci môže takéto tvrdenie znieť príliš represívne, musíme si uvedomiť, že ak nastavenie technológie nasleduje ciele spoločnosti a motivačné faktory používateľov, potom dostávame ideálny model, kde sú používatelia motivovaní dodržiavať bezpečnostné pravidlá, no zároveň vychádzame z najlepších bezpečnostných odporúčaní, kde je presne definované, čo a ako používatelia môžu vykonávať, pričom všetko ostatné je zakázané. Samozrejmou výhodou pri používaní technických prostriedkov je, že ich môžeme považovať za deterministické (ak odhliadneme od náhodných a softvérových problémov) v porovnaní s ľudským správaním, ich správanie sa nemení a nie je náchylné na náhodné chyby. Použitie technologických prostriedkov vieme veľkou mierou automatizovať a takisto modulárnosť takéhoto prístupu je oveľa väčšia.

Moderné bezpečnostné nástroje využívajúce metódy behaviorálnej analýzy či umelej inteligencie nám zároveň pomáhajú tieto politiky, resp. technické prostriedky nastaviť oveľa dynamickejšie. Bezpečnostné politiky môžu byť oveľa granulárnejšie, môžeme v nich zohľadniť kontext používateľa, ako aj jeho správanie a podľa toho prideliť represívnejšiu či voľnejšiu politiku. Myšlienku môžeme ilustrovať na politike hesiel, ako verím, každému čitateľovi veľmi dobre známej. O dôležitosti dobre zvolených a komplexných hesiel nemusíme polemizovať, poďme sa však pozrieť na dva spôsoby, ako vynútiť takúto politiku bezpečného hesla.

Klasický spôsob: Technickými prostriedkami nastavíme vynucovane veľmi silného hesla. Hoci je toto nastavenie technicky v poriadku, pri veľmi komplexnom hesle skončíme ľahko v stave, keď nemalá časť používateľov začne túto politiku obchádzať – heslá na papierikoch pod klávesnicou či na monitore by neboli prekvapujúce. V takomto prípade technicky správne nastavená politika priniesla ku koncu dňa zníženie informačnej bezpečnosti.

Vyvážený spôsob: Technickými prostriedkami nastavíme vynucovanie menej komplexného hesla. Toto heslo bude použité pri prihlasovaní v rámci lokálnej LAN, keď sa vykonalo overenie PC alebo sa realizovala behaviorálna analýza používateľa a jeho kontextu (ako a kedy sa prihlásil, ako rýchlo sa prihlásil, pohyby myšou…). Pri pripojení z VPN, prípadne ak kontext nebude potvrdený, budeme vyžadovať potvrdenie cez druhý faktor, napr. potvrdením push notifikácie na mobile či iného HW prvku.
Samozrejme, použitie vyváženého spôsobu prináša použitie pokročilých technologických opatrení, no zároveň veľmi efektívne vynucuje bezpečnostnú politiku prihlásenia, pričom používatelia nie sú motivovaní na jej obchádzanie. Takýmto nastavením by sme docielili zvýšenie úrovne informačnej bezpečnosti s ohľadom na motiváciu používateľov – jednoduché prihlásenie do informačných systémov.

Záver

Hoci technologické prostriedky hrajú pri uvažovaní o ideálnom nastavení bezpečnostnej politiky prím, bolo by naivné si myslieť, že samotné nastavenie týchto technologických prostriedkov je dostačujúce. Domnievam sa, že aj v tomto prípade by sme vedeli vhodne aplikovať Paretov princíp, keď väčšinu ťarchy presunieme na bedrá technológie, no zďaleka nehovoríme o celej ťarche. Správna definícia interných procesov či pravidelné vzdelávanie a zvyšovanie povedomia v oblasti informačnej bezpečnosti ostáva naďalej veľmi dôležitou súčasťou všetkých bezpečnostných politík. Aj v ideálnom prípade musíme nad technológiou udržiavať procesy, ako sú pravidelné aktualizácie či skúmanie logovacích záznamov na overenie funkčnosti a auditných záznamov.

V každej organizácii nastanú situácie, keď napriek tomu, že vhodná technológia existuje, z objektívnych dôvod nemôže byť použitá. V takomto prípade musíme využiť dostupnú technológiu a dodržiavanie bezpečnostných pravidiel ošetriť napr. dodatočnými kontrolnými procesmi či zvýšenou aktivitou v oblasti vzdelávania používateľov.

Vynucovanie bezpečnostných politík predstavuje neustále balansovanie medzi tým, aké technické opatrenia, aké procesy či vzdelávacie aktivity použiť. Navyše tento balans musí zohľadňovať aj faktory, ako sú súlad s legislatívou a v neposlednom rade súlad so smerovaním organizácie.

Autor: MICHAL SRNEC, CISO ALITER TECHNOLOGIES
Zdroj: NEXTECH

Nextech
príloha: Kybernetická bezpečnosť pre firmy 2023