IT bezpečnost je předražená

Prostředí veřejného Internetu, vnitřní firemní sítě (o něco méně) i solitérního počítače je vždy vystaveno nesčetnému množství bezpečnostních rizik. Viry, červi, všudypřítomní hackeři, malware, spyware, bezpečnostní chyby a tisíce dalších rizik jsou každodenním (ba každou sekundu přítomným) faktem. Tento fakt je daní za možnosti moderního IT a je naprosto nezbytné s ním nepřetržitě bojovat. Zhruba toto je fundamentální konstatování (ne)bezpečného stavu informatiky, které najdeme v každé učebnici pro začínající uživatele PC. Jeho vyznění je následně přenášeno na správce systémů všech kategorií, na manažery informatiky, na vedoucí informačních oddělení firem. Nechci s ním zde polemizovat nebo jej relativizovat, ale využít ho k poukázání na onu na konci uvedenou nutnost boje s bezpečnostními riziky.

Agentura Gartner, která platí za jednu z největších autorit pokud jde o výzkum a analýzu trhů v oblasti IT, ústy svého viceprezidenta pro výzkum přišla nedávno s velmi zajímavou myšlenkou. Touto myšlenkou je, že zejména velké podniky platí za používání bezpečnostních produktů podstatně více, než by měly, a že je tyto produkty často chrání méně, než se domnívají. Terčem jeho kritiky se stali zejména dodavatelé firewallů a antivirového softwaru, kteří prý (Gartner má na to data a celé prohlášení bylo výstupem poměrně dlouhého výzkumu) zachovávají zastaralé obchodní modely s vysokým ziskem při nízkém, či dokonce klesajícím benefitu pro zákazníka. Jinými slovy, Gartner se domnívá, že zákazníci (mají tím na mysli větší firmy, ale není problém převést tento stav i na menší) jsou svými bezpečnostními dodavateli vydíráni – a měli by s tím něco dělat.

Prohlášení je zatím ještě příliš čerstvé na to, aby se potrefené husy (není těžké si představit, kým zhruba agentura zločinné dodavatele myslela) stačily ozvat. Jeho provokativnost a explicitnost je ovšem jasná a do nebe bijící. Skutečně přeplácí velcí zákazníci svou bezpečnost? A skutečně tato bezpečnost reálně klesá?

Neproniknutelné

Jedním z argumentů, které viceprezident Neil McDonald přednesl, je, že mnoho bezpečnostních produktů je ve skutečnosti zaměřených vůči jedinému konkrétnímu typu hrozby. Počet a variabilita hrozeb stoupá, čímž uživatelé potřebují velké množství produktů, které se s nimi vyrovnají. Výsledkem je složitá a neproniknutelná struktura zabezpečení, která z firmy úspěšně vysává peníze a přitom si zakládá na jejím strachu z nejnovějších hrozeb. Tento argument velmi plasticky ilustruje, jak lze ke komerčním účelům využívat záměrně nesystematický přístup k problému. To, že bezpečnostní produkty spolu nespolupracují (Gartner se domnívá, že by se měly chovat více jako lidský imunitní systém) vede v důsledku k tomu, že reálná úroveň bezpečnosti jejich uživatele klesá – nehledě na skutečnost, že žádná kombinace bezpečnostních řešení technicky není schopna vzdorovat všem myslitelným rizikům.

Většina odborných správců, implementátorů a analytiků informačních systémů si předchozí tezi, zde ovšem zcela explicitně argumentovanou, uvědomuje, či ji má přinejmenším v povědomí. Informační systémy v síťovém prostředí nejsou absolutně bezpečné, k tomuto stavu se lze současnými technickými možnostmi pouze přiblížit, a obchodní, technické ani licenční strategie dodavatelů jednotlivých komponent tomu příliš nenapomáhají.

       

Na druhé straně netechničtí manažeři, fakticky vzato často právě ti, kteří rozhodují o alokaci peněz, mohou, mimo jiné pod vlivem reklamních kampaní na stále nové bezpečnostní produkty, nabýt dojmu, že velké množství různých systémů řešících konkrétní aspekty zabezpečení je to, co v konečném důsledku přinese kýženou bezpečnost. Tlak propagace bezpečnostních firem na ně v kombinaci s v úvodu představenou tezí o všudypřítomnosti hrozeb znamená, že rádi (a více) uvolní prostředky nutné pro nákup nejaktuálnějších systémů proti nejnovějším hrozbám. Někdy se tak stává proti vůli technicky způsobilých pracovníků, někdy s jejich podporou, neb stejně nemají jinou možnost, než do svého velmi komplexního systému zabezpečení implementovat další a další prvky. Systém se tak stává nejen neprůhledným, ale i komplikovaně upravovatelným. Otázka, zda je současně neproniknutelný, je pak důvodem existence dalších, tentokrát auditovacích, produktů.

Zastavíme šílenství?

Gartner svým prohlášením podle mého soudu kopl do ohryzku jeden velmi významný segment IT. Firmy z oblasti zabezpečení budou nyní patrně nahlas prohlašovat, že ony již dávno vytvářejí onen proponovaný systém vzájemně spolupracujících, a učících se bezpečnostních prvků. Že struktura jejich produktů je snadná, přehledná, jejich licenční model moderní, metody pokrokové. Domnívám se, že to jsou jen účelové propagace a že McDonald má pravdu. Bezpečnost je obor významný tím, že jej skutečně nelze podcenit nebo ignorovat. Ovšem to, že na něm jeho vlastní dodavatelé hřeší, je otřesné zjištění. Je to šílené zjištění a je otázkou, zda se toto šílenství podaří nějak zastavit.