Štúdie opakovane a stále skúmajú príčiny toho, prečo dochádza k incidentom v kybernetickej bezpečnosti, následne finančným stratám, ohrozeniu činnosti organizácií a únikom dát.
Za rok 2020 reportuje spoločnosť IBM, že ľudská chyba je hlavnou príčinou až 95 percent bezpečnostných incidentov. Inými slovami, ak by došlo k úplnému odstráneniu ľudských chýb, 19 z 20 incidentov by sa nemuselo stať vôbec.
Bolestivé prebudenie
Uplynulá dekáda priniesla fascinujúci rozvoj digitalizácie. Finančný, priemyselný sektor, služby, školstvo, verejná správa, cloudové riešenia a aplikácie sa dostali do hviezdnych čísel. Následok? Digitalizáciou stúpal a s množstvom automatizovaných činností rástol aj počet incidentov. Prvý bolestivý následok pocítili banky. Falošné transakcie, skopírované platobné karty, pokuty, súdne spory, vybielené účty. Stálo to peniaze. Bankové straty zo začiatku minulej dekády v Európe, ktoré spôsobili neoprávnené kartové transakcie, sa odhadujú až na štyri miliardy eur.
Ako spojiť nespojiteľné
Profesionáli vychádzali z premisy „ak znížime počet zraniteľností, predídeme škodám“. Čiže čím menej zraniteľností, tým odolnejší systém. Pochopiteľné. Rovnaké pochopenie si však vyžaduje fakt, že zručnosti a schopnosti používateľov výpočtovej techniky zaostávali za jej rozširovaním. Počínajúc manažérmi, zamestnancami a končiac zákazníkmi a klientmi. Priestor hrozieb sa s digitalizáciou jednoducho zväčšoval a bolo nutné na to reagovať. Chrániť systémy, dáta a tak zákazníkov či klientov. Niekde tu vznikol pojem privacy by design, ktorý vyžadoval špecificky zabudovať ochranu súkromia už do návrhu aplikácie, procesu alebo činnosti systému či obchodného procesu. Údaje tak majú byť chránené štandardne a trvalo udržateľným spôsobom vo všetkých procesoch. Ako to ešte lepšie spojiťPôvodcom iniciatívy privacy by design sa tak stal súkromný sektor, ktorý vytvoril tlak na bezpečnostné štandardy. Základná bezpečnosť postúpila na úroveň regulácie, čo znamená, že bola „vynútená“ zákonom. Požiadavka na prijatie legislatívy bola formulovaná v roku 2014 a štyri roky nato uzákonená ako nezabudnuteľné Nariadenie GDPR.
Trh, ktorý nemôže čakať na zákon, ale musí dbať o svoju dôveryhodnosť a bezpečnosť, však sformuloval vlastnú mantru – mysli na bezpečnosť, už keď niečo navrhuješ. Princíp security by design začali programátori a vývojári používať bez toho, aby ho niekde videli napísaný alebo určený.
A ako uviesť do praxe
Zraniteľnosť systémov vychádza z princípu ľudskej podstaty. Všetky zraniteľnosti vznikajú pri návrhu, všetky incidenty sú výsledkom zraniteľnosti.
Omylní sú inžinieri, programátori aj architekti systému, a keďže sme si toho vedomí, dokážeme sa na to pripraviť a sme povinní urobiť maximum opatrení. Softvér aj hardvér musia byť navrhnuté s cieľom myslieť na bezpečnosť. Prístup security by design nie je všeliek, ale veľmi účinný liek. Týka sa to jednoduchej používateľskej aplikácie aj jadrovej elektrárne. Súčasťou každého procesu je testovanie, tisíce a tisíce testov, až je pravdepodobnosť zraniteľnosti zanedbateľná. A prečo sú bezpečáci takí posadnutí? Vedia totiž, že aj keď sa niečo spustí, aj tak ešte niekde môže byť chyba.
Dekáda potom
„Či je to softvér pre energetické spoločnosti, alebo pre banky a ďalších európskych klientov, už pri dizajne riešení premýšľame nad tým, ako ich vyrobiť efektívne a zároveň čo najbezpečnejšie,“ potvrdzuje Richard Schwartz, obchodný riaditeľ Unicorn Systems SK. V praxi to znamená už pri návrhu zvažovať viacero vrstiev ochrany, ktoré zaisťujú dôvernosť, dostupnosť a integritu aplikácií či informácií v nich. „Keďže to robíme už vo fáze dizajnu riešenia, nevyčísľujeme rozdiel prácnosti pre vývoj a testovanie, snažíme sa skrátka dodať čo najbezpečnejšie riešenie.“ Je totiž oveľa jednoduchšie zabezpečiť splnenie bezpečnostných požiadaviek počas návrhu. Ak sa opomenú, ich realizácia neskôr je výrazne prácnejšia alebo sa bez zásahu do architektúry nedajú realizovať.
Nový vek bezpečnosti
Nástupom cloudových platforiem a internetu vecí nastal zásadný posun vo vnímaní zodpovednosti za nasadzovanie a prevádzku informačných systémov. Najvýraznejšie sa to prejavuje pri systémoch dodávaných formou softvér ako služba. Dodávatelia sa tu stávajú spoluzodpovední až plne zodpovední za bezpečnosť informačných systémov aj za ďalšie požiadavky, akými sú vysoká dostupnosť, výkonnosť a s nimi súvisiaci monitoring. Zároveň sa táto téma stáva už aj súčasťou zmlúv.
„Bezpečnosť je integrálnou súčasťou každej etapy životného cyklu tvorby informačného systému. Security by design chápeme ako prístup k návrhu a tvorbe informačných systémov,“ potvrdzuje Ľuboš Kováčik, solution architekt spoločnosti Softec. Dôsledná aplikácia takého prístupu zahŕňa zníženie rizika samotného útoku, schopnosť jeho detekcie a redukciu prípadných negatívnych následkov.
Keď to zažijete
Ukážkovou oblasťou pre pojem security by design je vývoj nových áut, ktoré sú pripojené do internetu. „Ransomvérový útok v rýchlosti 135 kilometrov za hodinu môže mať negatívny dosah na bezpečnostné systémy vozidla, a teda aj jeho posádku,“ vysvetľuje Martin Fabry, audítor kybernetickej bezpečnosti.
Svet prevádzkových technológií je však konzervatívne impérium – vyžaduje si dostupnosť, spoľahlivosť, stabilitu a teraz musí v krátkom čase akceptovať extrémne dynamické požiadavky kybernetickej bezpečnosti. Pre priemysel je security by design ďalší kvalitatívny parameter, ktorý sa stáva nevyhnutným.
Už nebudete chcieť inak
„Legislatíva a požiadavky zákazníkov vytvárajú tlak na výrobcov riadiacich systémov na integráciu bezpečnostných opatrení do produktu. V prípade predchádzajúcich generácií sa dodatočné opatrenia musia dopracovať,“ vysvetľuje Martin Fabry.
V budúcnosti si všetky produkty budú vyžadovať bezpečnostnú certifikáciu, či už ide o ochranu spotrebiteľov pred zbieraním dát z ich domácich spotrebičov, alebo priemyselnú linku s využitím umelej inteligencie. Nech majú produkty akékoľvek určenie, používatelia novej generácie budú požadovať, aby boli funkčné, pekné a bezpečné v digitálnom svete.
(Natívna informácia)