Z PAMIĘTNIKA BEZPIECZNIKA, CZYLI SCENKI RODZAJOWE PALCEM BEZPIECZEŃSTWA DOTKNIĘTE.

Autor: Jan Kapusta

Scena 6, czyli o mistrza z adeptem rozmowach z DBT w tle

 

Od pewnego czasu team Janka dysponował wsparciem w postaci stażysty. Stażysta,  jako taki, to całkiem dobry wynalazek, który – o ile mądrze zagospodarowany – może nieść korzyści dla obu stron. Sam stażysta podnosi swoje kwalifikacje i zdobywa doświadczenie, a w sprzyjających okolicznościach może uzyskać stałe miejsce pracy, a team, do którego dołączył, może zostać w pewnym stopniu odciążony w realizacji swoich zadań. Tak było właśnie w tym przypadku. Stażysta okazał się inteligentnym, chłonnym wiedzy i pracowitym młodym człowiekiem, który dobrze rokował. Być może z tego właśnie powodu cały zespół traktował go poważnie i nie szczędził wysiłków, by pomóc adeptowi sztuki zarządzania bezpieczeństwem w zgłębianiu profesjonalnej wiedzy „tajemnej”. To, co wyróżniało młodego bezpiecznika, to fakt, że sam szukał wiedzy i względnie często przychodził z pytaniami, to do Janka, to do innych pracowników. Czasem były to dyskusje o sensowności określonych rozwiązań, a czasami prośba o wyjaśnienie jakiegoś terminu czy aspektu bezpieczeństwa.

W owym okresie dość popularnym stały się dyskusje o infrastrukturze krytycznej. Marek, bo tak miał na imię stażysta, bez większego problemu dotarł do odpowiednich regulacji prawnych. Pilnie przestudiował ustawę o zarządzaniu kryzysowym oraz materiały dostępne na stronach Rządowego Centrum Bezpieczeństwa (RCB). Równie szybko zorientował się, że firma, w której odbywa staż, nie ma zbyt wiele wspólnego z tego rodzaju infrastrukturą. Zwrócił jednak uwagę na jeden ze skrótów, który pojawiał się zarówno w materiałach udostępnionych przez RCB, jak i w jednej z polityk firmy.

– Panie Janku...? – zaczął zadawać pytanie Marek, lecz nie skończył, bo bezpiecznik mu przerwał.

– Mówiłem ci, że nie „panie Janku”, tylko „Janek”. Co jest?

– Może mi pan wyjaśnić... to znaczy możesz mi wyjaśnić, co to jest i w ogóle o co chodzi z tym DBT?

Janek uśmiechnął się. Był to szczery uśmiech i oznaka zadowolenia. Być może tym właśnie pytaniem Marek „kupił” sobie sympatię bezpiecznika. Tego rodzaju pytania były dla Janka jak woda na młyn. Mógł rozmawiać o tym godzinami, jednak świadom swojego braku kontroli nad krasomówstwem, wyraźnie zakomunikował, że gdyby się rozgadał za bardzo, to Marek ma mu przerwać. Było to raczej naiwne oczekiwanie, bo stażysta nie śmiałby tego zrobić, ale Janek poczuł się lepiej, dając swoje przyzwolenie na przerywanie wypowiedzi.

– Daruję ci aspekty historyczne i genezę tego terminu, ale chciałbym zacząć od rozwinięcia samego skrótu. DBT pochodzi od angielskiego sformułowania Design Basis Threat, które osobiście przetłumaczyłbym jako „projektowanie/projekt w oparciu o zagrożenia”. Oczywiście można to też przełożyć w inny sposób, ale ja jakoś przywiązałem się do swojej wersji. Tym bardziej że właściwie nie spotkałem się z tłumaczeniem tego na język polski. Raczej wszyscy posługują się tym terminem w jego oryginalnym brzmieniu lub wręcz samym skrótem. Możesz zatem spytać, po co ja to tłumaczę. Ano dlatego, że nazwy zazwyczaj sporo mówią o tym, co się za nimi kryje… Przecież lepiej się myśli w języku ojczystym – dodał z uśmiechem Janek.

Bezpiecznik poprosił Marka, by ten spróbował zinterpretować sformułowanie „projektowanie/projekt w oparciu o zagrożenia”; jak to rozumieć i czy czegoś tu nie brakuje. Młody człowiek trafnie zauważył, że znając zagrożenia, powinniśmy być w stanie zaprojektować system, który będzie odpowiedzią na te właśnie zagrożenia. Janek pokiwał twierdząco głową. Na pytanie, czym dla stażysty jest system, chłopak zaczął wymieniać znane mu elektroniczne systemy zabezpieczeń. Bezpiecznik wyjaśnił, że w tym przypadku jako system rozumiemy wszystkie techniczne i nietechniczne, wzajemnie się uzupełniające i współdziałające ze sobą, środki mitygacji ryzyka. Innymi słowy, system sygnalizacji włamania i napadu, grupa interwencyjna, tablica z informacją „obiekt monitorowany”, ogrodzenie terenu i wiele innych elementów składają się na „system bezpieczeństwa”. Oczywiście każdy element może, i zazwyczaj odgrywa, inną rolę, ale cel jest wspólny.

– Jak sam widzisz – kontynuował Janek – narzędzi mamy sporo, by zabezpieczyć to, co mamy do zabezpieczenia. Pytanie tylko, co mamy chronić i przed czym. Tutaj z grubsza możemy powiedzieć, i to na początek naszych rozważań wystarczy, że chronimy firmę przed tak zwanym przeciwnikiem. Masz jakiś pomysł dotyczący tego, co konkretnie w firmie i przed kim?

– Wiem, że nie odpowiada się pytaniem na pytanie, ale czemu powiedziałeś: „przeciwnik”, a nie „przestępca” czy „napastnik”?

– Jak zaczniemy o tym rozmawiać, to nie dokończymy nigdy o DBT, ale na tę chwilę przyjmijmy, że nie bronimy się tylko przed przestępcami i nie każde zagrożenie może być nazwane przestępstwem. To jak? Powiesz mi, co i przed czym chronimy?

Marek zaczął wymieniać różnego rodzaju wartości, a następnie dodał, że wszystko to chronimy przed przestępcami… to znaczy przeciwnikami. Bezpiecznik potwierdził, lecz jednocześnie dodał, że owszem, wszystko, co wymienił stażysta, jest chronione, ale nie wyczerpuje to zakresu, o który pytał. Janek kontynuował, tłumacząc, iż wszystko, co chronimy, przedstawia jakąś wartość dla firmy i – jak nietrudno się domyślić – niekoniecznie chodzi tu wyłącznie o wartość księgową przedmiotu i niekoniecznie też o sam przedmiot, bo część chronionych dóbr nie ma fizycznej natury. Przykładami mogą być proces, informacja czy reputacja, ale jest tego znacznie więcej. Oczywiście zajmujemy się bezpieczeństwem fizycznym, co w głównej mierze sprowadza się do działań mających na celu uniemożliwienie przeciwnikowi fizycznego dostępu do naszych wartości chronionych, ale to tylko część tego, co nazywamy bezpieczeństwem.

Następnie bezpiecznik posłużył się przykładem hipotetycznego serwera, zainstalowanego w budynku. Tłumaczył, że choć w oczach przeciętnej osoby urządzenie nie jest tanie, to zakup nowego nie przedstawiałby dla firmy większego wyzwania. To, co w przypadku potencjalnej kradzieży lub nawet nieumyślnego zniszczenia byłoby bolesne, to fakt, że przez pewien czas organizacja nie byłaby w stanie funkcjonować. Mogłyby również zostać ujawnione pewne informacje, co sprawiłoby pewnie, że ucierpi wiarygodność i reputacja firmy. Jeżeli dodać do tego wszystkiego potencjalne kary i odszkodowania, może okazać się, że w chwili kradzieży tego serwera firma może właściwie „zwijać się” z rynku. Janek podkreślił więc, że ich zadaniem jest tak wszystko zorganizować, by do takiej sytuacji nie doszło. By skraść serwer czy go uszkodzić, ktoś musi mieć z nim fizyczny kontakt, ale przed tym pokonać wszystkie stosowane przez nich zabezpieczenia w czasie krótszym niż ten, który  upłynie od momentu wykrycia ataku do chwili skutecznej odpowiedzi na ten atak. Przeciwnik ma swój cel, a oni muszą zorganizować obronę, tak by była ona efektywna i racjonalna, zarówno finansowo, jak i technologicznie.

– Na tym etapie – kontynuował Janek – w pewnym sensie zrobiliśmy trzy ważne kroki. Określiliśmy wartości chronione – serwer oraz powiązane z nim informacje/ dane, reputacja, zgodność z prawem i umowami etc. Określiliśmy częściowo zagrożenia – kradzież serwera lub jego zniszczenie. Wreszcie określiliśmy konsekwencje dla firmy wynikające ze straty serwera – koniec firmy. Oczywiście to jest tylko przykład. Znacznie przerysowany z jednej strony, a z drugiej uproszczony, ale chcę, by pewne zależności były dobrze widoczne.

– Ale czemu powiedziałeś, że częściowo określiliśmy zagrożenia?

– Świetne pytanie. Częściowo, bo je tylko nazwaliśmy, ale dla DBT istotna jest nie tylko nazwa zagrożenia, ale również określenie i scharakteryzowanie przeciwnika. Oczywistym wydaje się, że powstrzymanie dobrze zorganizowanej i finansowanej grupy przestępczej będzie wymagało innego podejścia niż zatrzymanie drobnego złodziejaszka, który nagle postanowił poszerzyć swoje portfolio.

Marek skinął głową i jednocześnie zapytał o to, skąd mamy wiedzieć, kto nas zaatakuje. Przecież gdybyśmy wiedzieli, kto chce nam zaszkodzić, wiedzielibyśmy, jak się przygotować, a może nawet kiedy to nastąpi. Bezpiecznik wyjaśnił, że to wiąże się bezpośrednio z dwoma bardzo istotnymi zagadnieniami. Po pierwsze, wracamy do tego, co chronimy. Wiedząc, co chronimy, możemy przewidywać, kto może być tym zainteresowany. Po drugie, konieczne jest znalezienie zaufanych źródeł informacji o zagrożeniach. Tutaj współpraca z organami ścigania czy wyspecjalizowanymi rządowymi komórkami może być bezcenna, choć niekoniecznie osiągalna dla przeciętnej firmy komercyjnej, której pozostaje współpraca branżowa z innymi bezpiecznikami, organizacjami branżowymi czy dostępne źródła internetowe dotyczące obecnych zagrożeń i trendów. Janek poprosił, by jeszcze na chwilę wrócili do wartości chronionych, i wyjaśnił, że ludzie zajmujący się bezpieczeństwem sami z siebie nie posiadają pełnej wiedzy o tym, co należy chronić i z tego powodu jednym z największych wyzwań jest zaangażowanie różnych funkcji z organizacji, by taką wiedzę osiągnąć. Bez takiej wiedzy nie ma możliwości dokonania oceny potencjalnych konsekwencji dla organizacji. To właśnie konsekwencje, a właściwie ich poziom, czyli to, czy jesteśmy je w stanie zaakceptować, czy nie, determinują to, czy należy się nimi zająć w sposób racjonalny.

– Widzisz, Marek. Jeżeli ktoś z twojej kieszeni ukradnie portfel, w którym jest sto złotych, nie będziesz pewnie szczęśliwy, ale najprawdopodobniej nie wydasz pięciuset złotych na jego zabezpieczenie. Zaczniesz się temu przyglądać i odpowiesz sobie sam na pytanie, czy akceptujesz tego typu stratę w przyszłości, czy uważasz, że trzeba się tym zająć. Rozważysz, czy takie coś często się dzieje, czy może tendencja przestępstw „kieszonkowych” jest duża, rośnie etc. i co możesz zrobić, by tego uniknąć, jednocześnie inwestując tyle nakładu pracy i pieniędzy, ile uznasz za sensowne czy – jak wolisz – racjonalne. Innymi słowy, odpowiesz sobie na pytania: Co chronisz? Tutaj portfel z zawartością. Co ci grozi? Tutaj kradzież. Z czyjej strony? Tutaj kieszonkowca. Oczywiście dalej pytaniem otwartym jest kwestia konsekwencji tej straty i jeżeli okaże się, że razem ze stoma złotymi tracisz sam portfel, wart kolejne sto złotych, oraz – co gorsza – dokumenty, to popatrzysz na temat inaczej. Do konsekwencji będziesz musiał dodać czas i pieniądze potrzebne na wyrobienie nowych dokumentów, czas na powiadomienie różnych urzędów, w tym banku, o ich stracie, a następnie zastanawiać się, czy ktoś już nie zdążył użyć twoich danych w niecnym celu. Biorąc pod uwagę konsekwencje, może okazać się, że wspomniane pięćset złotych na zabezpieczenie wyda się względnie błahe. W praktyce co do zasady patrzymy na wszystkie zidentyfikowane zagrożenia względem poziomu konsekwencji.

Bezpiecznik tłumaczył dalej, że oceniamy zagrożenie, przykładając wagę do konsekwencji i do tego, czy sposób, w jaki coś chronimy, powoduje, że potencjalna strata będzie na poziomie akceptowalnym przy racjonalnym wykorzystaniu zasobów organizacji. Następnie Janek powrócił do źródeł wiedzy o potencjalnych zdarzeniach niepożądanych. Doprecyzował, że nie chodzi tu o zabezpieczanie się tylko przed tym, o czym zostaliśmy poinformowani, ale też, a może przede wszystkim, przed zagrożeniami zewnętrznymi i wewnętrznymi na nieco wyższym poziomie ogólności. Wyjaśnił, że możemy na przykład otrzymać informację, że konkretna zorganizowana grupa przestępcza planuje atak i będzie trzeba się tym zająć, ale sama wartość, którą chronimy, może wskazywać na fakt bycia atrakcyjną dla ogółu grup przestępczych i z tego powodu należy się tym zająć. Innymi słowy, nie chodzi o to, by zabezpieczyć się przed konkretnym znanym z imienia i nazwiska złodziejem, ale stwierdzenie, że chronimy coś przed kradzieżą, to też za mało. Musimy stworzyć swego rodzaju model przeciwnika, w którym uwzględniamy m.in. jego motywację, determinację, wiedzę, zasoby oraz to, czy jego działanie jest celowe, czy przypadkowe.

– Jak się temu przyjrzeć bliżej, Marek, to zauważysz, że możesz pewne cechy wspólne tego podejścia znaleźć w naszych branżowych normach, które może nie aż tak dokładnie, ale jednak wskazują na przeciwnika i jego zasoby przy określaniu poziomu ryzyka – dodał Janek. – I tu mam zadanie na potem dla ciebie. Sprawdź, jakie mamy stopnie ryzyka według PN-EN 50131-1. A wracając do meritum… Wiemy już, co chronimy, znamy konsekwencje i wiemy, z czyjej strony płynie zagrożenie. W wielkim skrócie chodzi o to, by dokładnie zrozumieć zagrożenie i jego naturę, a wszystko to musi mieć sformalizowaną i udokumentowaną formę. Jeżeli popatrzysz na nasze podejście, to znajdziesz nie tylko politykę, która wskazuje na to, jak proces ma wyglądać od strony formalnej, z uwzględnieniem częstotliwości dokonywania oceny zagrożeń, funkcji zaangażowanych oraz podziałem odpowiedzialności, ale mamy też gotowe narzędzia używane w tym procesie.

– No dobrze, ale jak ma się do tego zarządzanie ciągłością działania czy zarządzanie ryzykiem?

– Dobre pytanie, na które trudno jest krótko odpowiedzieć. Po mojemu, najprościej powiedzieć, że ciągłość działania skupia się na procesach krytycznych dla organizacji. Obejmuje cały proces, a my jesteśmy jednym z elementów tej układanki. Jednocześnie dzięki temu my też wiemy, co dla firmy jest krytyczne i automatycznie najważniejsze. Jeżeli chodzi o zarządzanie ryzykiem, to w pewnym sensie my też zarządzamy ryzykiem, ale w określonym obszarze. Innymi słowy, ryzyka dla organizacji to pojęcie znacznie szersze niż tylko to związane z bezpieczeństwem fizycznym. Na przykład to, że firma nie dostarczy do organów kontrolnych wymaganych prawnie danych, bo ktoś zapomniał kliknąć przycisk „wyślij”, nie ma nic wspólnego z bezpieczeństwem fizycznym, a generuje określone konsekwencje, czyli automatycznie jest jakieś ryzyko, którym trzeba zarządzać. Ale to już raczej na inną pogadankę, jeżeli mamy skończyć rozmawiać o DBT.

Janek wrócił do wyjaśniania firmowego podejścia do DBT i pokazał Markowi dokumentację związaną z implementacją DBT w ich organizacji. Następnie wyjaśnił, że dzięki znajomości natury zagrożenia i charakterystyce potencjalnych przeciwników są w stanie opracować różne scenariusze ataków i oceniać skuteczność rozwiązań, jednocześnie wskazując miejsca, które należy uszczelnić. Opowiadał o tym z wielką przyjemnością, ponieważ był dumny z podejścia, które wypracowali, a szczególnie z modelowania scenariusza ataku. Dzięki temu podejściu mogli w rzeczowy sposób pokazać, na co i z jakiego powodu należy wydać pieniądze i co można poprawić, tak w systemach zabezpieczeń, jak i procedurach czy nawet oznakowaniu. Jasno określone kryteria skuteczności powiązane z oceną podatności pozwalały wierzyć, że dobrze zarządzają bezpieczeństwem.

– Czyli z grubsza wiesz, jak my do tego podchodzimy, ale by mieć pełniejszy obraz, sugeruję, byś wpisał sobie w wyszukiwarkę coś w stylu „Design Basis Threat” i dodał takie słowa, jak: „guide”, „template” czy „example”. Można tak znaleźć ciekawe i wartościowe opracowania, choć musisz przygotować się na to, że będą one dostępne raczej w języku angielskim i z tego powodu podaję ci frazy w tym języku właśnie. Porównasz to sobie z tym, co jest u nas, a może nawet zaproponujesz jakieś zmiany. Zawsze dobrze, jak ktoś popatrzy świeżym okiem. – Janek uśmiechnął się i zostawił Marka sam na sam z odrobiną wiedzy.

A jak to wygląda w twojej organizacji, Droga Czytelniczko, Drogi Czytelniku…?

Źródło: SEC&AS, wydanie 5/2018, s. 92

Powiązane

Część kamer dla policji ma być wyposażona w system GPS

17.11.2017

DZIAŁA? NIE DZIAŁA! Czyli dramat uruchomieniowo-instalacyjny, być może w jednym akcie, oby ze szczęśliwym zakończeniem.

04.07.2019

Popularne

Zrób to sam. Kamera termowizyjna Część II
26.02.2018
Kamera termowizyjna. Część I
15.01.2018
Cz. 1. Jednostki miar wielkości fizycznych – układ jednostek SI i nie tylko.
13.09.2018

Sec&As

COPYRIGHT © 2017 RIPOSTA. WSZELKIE PRAWA ZASTRZEŻONE. PROJEKT I REALIZACJA: RIPOSTA