Hlavní navigace

IT bezpečnost je předražená

 Autor: 29
Vojtěch Bednář 3. 10. 2008

Firemní zákazníci platí – podle názoru agentury Gartner – nadměrné peníze za bezpečnostní systémy, které v průběhu životního cyklu ztrácejí efektivitu. Hrůza? Nebo jen pravda, kterou nikdo nechce slyšet?

Prostředí veřejného Internetu, vnitřní firemní sítě (o něco méně) i solitérního počítače je vždy vystaveno nesčetnému množství bezpečnostních rizik. Viry, červi, všudypřítomní hackeři, malware, spyware, bezpečnostní chyby a tisíce dalších rizik jsou každodenním (ba každou sekundu přítomným) faktem. Tento fakt je daní za možnosti moderního IT a je naprosto nezbytné s ním nepřetržitě bojovat. Zhruba toto je fundamentální konstatování (ne)bezpečného stavu informatiky, které najdeme v každé učebnici pro začínající uživatele PC. Jeho vyznění je následně přenášeno na správce systémů všech kategorií, na manažery informatiky, na vedoucí informačních oddělení firem. Nechci s ním zde polemizovat nebo jej relativizovat, ale využít ho k poukázání na onu na konci uvedenou nutnost boje s bezpečnostními riziky.

Agentura Gartner, která platí za jednu z největších autorit pokud jde o výzkum a analýzu trhů v oblasti IT, ústy svého viceprezidenta pro výzkum přišla nedávno s velmi zajímavou myšlenkou. Touto myšlenkou je, že zejména velké podniky platí za používání bezpečnostních produktů podstatně více, než by měly, a že je tyto produkty často chrání méně, než se domnívají. Terčem jeho kritiky se stali zejména dodavatelé firewallů a antivirového softwaru, kteří prý (Gartner má na to data a celé prohlášení bylo výstupem poměrně dlouhého výzkumu) zachovávají zastaralé obchodní modely s vysokým ziskem při nízkém, či dokonce klesajícím benefitu pro zákazníka. Jinými slovy, Gartner se domnívá, že zákazníci (mají tím na mysli větší firmy, ale není problém převést tento stav i na menší) jsou svými bezpečnostními dodavateli vydíráni – a měli by s tím něco dělat.

Prohlášení je zatím ještě příliš čerstvé na to, aby se potrefené husy (není těžké si představit, kým zhruba agentura zločinné dodavatele myslela) stačily ozvat. Jeho provokativnost a explicitnost je ovšem jasná a do nebe bijící. Skutečně přeplácí velcí zákazníci svou bezpečnost? A skutečně tato bezpečnost reálně klesá?

Neproniknutelné

Jedním z argumentů, které viceprezident Neil McDonald přednesl, je, že mnoho bezpečnostních produktů je ve skutečnosti zaměřených vůči jedinému konkrétnímu typu hrozby. Počet a variabilita hrozeb stoupá, čímž uživatelé potřebují velké množství produktů, které se s nimi vyrovnají. Výsledkem je složitá a neproniknutelná struktura zabezpečení, která z firmy úspěšně vysává peníze a přitom si zakládá na jejím strachu z nejnovějších hrozeb. Tento argument velmi plasticky ilustruje, jak lze ke komerčním účelům využívat záměrně nesystematický přístup k problému. To, že bezpečnostní produkty spolu nespolupracují (Gartner se domnívá, že by se měly chovat více jako lidský imunitní systém) vede v důsledku k tomu, že reálná úroveň bezpečnosti jejich uživatele klesá – nehledě na skutečnost, že žádná kombinace bezpečnostních řešení technicky není schopna vzdorovat všem myslitelným rizikům.

Většina odborných správců, implementátorů a analytiků informačních systémů si předchozí tezi, zde ovšem zcela explicitně argumentovanou, uvědomuje, či ji má přinejmenším v povědomí. Informační systémy v síťovém prostředí nejsou absolutně bezpečné, k tomuto stavu se lze současnými technickými možnostmi pouze přiblížit, a obchodní, technické ani licenční strategie dodavatelů jednotlivých komponent tomu příliš nenapomáhají.

Na druhé straně netechničtí manažeři, fakticky vzato často právě ti, kteří rozhodují o alokaci peněz, mohou, mimo jiné pod vlivem reklamních kampaní na stále nové bezpečnostní produkty, nabýt dojmu, že velké množství různých systémů řešících konkrétní aspekty zabezpečení je to, co v konečném důsledku přinese kýženou bezpečnost. Tlak propagace bezpečnostních firem na ně v kombinaci s v úvodu představenou tezí o všudypřítomnosti hrozeb znamená, že rádi (a více) uvolní prostředky nutné pro nákup nejaktuálnějších systémů proti nejnovějším hrozbám. Někdy se tak stává proti vůli technicky způsobilých pracovníků, někdy s jejich podporou, neb stejně nemají jinou možnost, než do svého velmi komplexního systému zabezpečení implementovat další a další prvky. Systém se tak stává nejen neprůhledným, ale i komplikovaně upravovatelným. Otázka, zda je současně neproniknutelný, je pak důvodem existence dalších, tentokrát auditovacích, produktů.

Zastavíme šílenství?

Gartner svým prohlášením podle mého soudu kopl do ohryzku jeden velmi významný segment IT. Firmy z oblasti zabezpečení budou nyní patrně nahlas prohlašovat, že ony již dávno vytvářejí onen proponovaný systém vzájemně spolupracujících, a učících se bezpečnostních prvků. Že struktura jejich produktů je snadná, přehledná, jejich licenční model moderní, metody pokrokové. Domnívám se, že to jsou jen účelové propagace a že McDonald má pravdu. Bezpečnost je obor významný tím, že jej skutečně nelze podcenit nebo ignorovat. Ovšem to, že na něm jeho vlastní dodavatelé hřeší, je otřesné zjištění. Je to šílené zjištění a je otázkou, zda se toto šílenství podaří nějak zastavit.

Anketa

Jak podle vás firmy vydávají peníze na zabezpečení svého IT?

Našli jste v článku chybu?

3. 10. 2008 10:28

uživatel si přál zůstat v anonymitě
Dobrý den,

chtěl bych reagovat na váš poslední odstavec. Rozhodně si nemyslím, že all-in-one řešení je k ničemu.
Vyjmenujme si nejprve bezpečnostní komponenty které by současné firemní bezpečnostní řešení rozhodně mělo zahrnovat:

- firewall (na paketové úrovni, ochrana proti DOS útokům, řízení šířky pásma pro kritické firemní aplikace)
- VPN gateway (IP Sec protokol pro site-to-site a SSL VPN pro uživatele)
- IPS (blokování útoků na aplikační vrstvě, blokování zranitelností aplikací a protoko…






8. 10. 2008 22:23

m (neregistrovaný)
btw. pracuji jako "it magor" v jedné firmě, svojí 3, 8 let... současný rozpočet je včetně "provozu" cca 1 mega měsíčně (počítam i energie, konektivity po republice, platy podřízených....)
Lupa.cz: Propustili je z Avastu, už po nich sahá ESET

Propustili je z Avastu, už po nich sahá ESET

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Podnikatel.cz: Babiše přesvědčila 89letá podnikatelka?!

Babiše přesvědčila 89letá podnikatelka?!

Podnikatel.cz: Dárky v podnikání. Jak je uplatnit v daních?

Dárky v podnikání. Jak je uplatnit v daních?

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla

Vitalia.cz: Dáte si jahody s plísní?

Dáte si jahody s plísní?

DigiZone.cz: HD programy ČT i v UPC Horizon

HD programy ČT i v UPC Horizon

Root.cz: Vypadl Google a rozbilo se toho hodně

Vypadl Google a rozbilo se toho hodně

Měšec.cz: Vklad na cizí účet je draze zpoplatněn (přehled)

Vklad na cizí účet je draze zpoplatněn (přehled)

DigiZone.cz: Flix TV má set-top box s HEVC

Flix TV má set-top box s HEVC

Měšec.cz: Přejete si číslo účtu na přání?

Přejete si číslo účtu na přání?

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

DigiZone.cz: ČT má dalšího zástupce v EBU

ČT má dalšího zástupce v EBU

Podnikatel.cz: Udávání kvůli EET začalo

Udávání kvůli EET začalo

DigiZone.cz: Digi CZ výrazně zlevnila balíček HBO

Digi CZ výrazně zlevnila balíček HBO

120na80.cz: Rovnátka, která nejsou vidět

Rovnátka, která nejsou vidět

120na80.cz: Rakovina oka. Jak ji poznáte?

Rakovina oka. Jak ji poznáte?