Hlavní navigace

IT bezpečnost je předražená

 Autor: 29
Vojtěch Bednář 3. 10. 2008

Firemní zákazníci platí – podle názoru agentury Gartner – nadměrné peníze za bezpečnostní systémy, které v průběhu životního cyklu ztrácejí efektivitu. Hrůza? Nebo jen pravda, kterou nikdo nechce slyšet?

Prostředí veřejného Internetu, vnitřní firemní sítě (o něco méně) i solitérního počítače je vždy vystaveno nesčetnému množství bezpečnostních rizik. Viry, červi, všudypřítomní hackeři, malware, spyware, bezpečnostní chyby a tisíce dalších rizik jsou každodenním (ba každou sekundu přítomným) faktem. Tento fakt je daní za možnosti moderního IT a je naprosto nezbytné s ním nepřetržitě bojovat. Zhruba toto je fundamentální konstatování (ne)bezpečného stavu informatiky, které najdeme v každé učebnici pro začínající uživatele PC. Jeho vyznění je následně přenášeno na správce systémů všech kategorií, na manažery informatiky, na vedoucí informačních oddělení firem. Nechci s ním zde polemizovat nebo jej relativizovat, ale využít ho k poukázání na onu na konci uvedenou nutnost boje s bezpečnostními riziky.

Agentura Gartner, která platí za jednu z největších autorit pokud jde o výzkum a analýzu trhů v oblasti IT, ústy svého viceprezidenta pro výzkum přišla nedávno s velmi zajímavou myšlenkou. Touto myšlenkou je, že zejména velké podniky platí za používání bezpečnostních produktů podstatně více, než by měly, a že je tyto produkty často chrání méně, než se domnívají. Terčem jeho kritiky se stali zejména dodavatelé firewallů a antivirového softwaru, kteří prý (Gartner má na to data a celé prohlášení bylo výstupem poměrně dlouhého výzkumu) zachovávají zastaralé obchodní modely s vysokým ziskem při nízkém, či dokonce klesajícím benefitu pro zákazníka. Jinými slovy, Gartner se domnívá, že zákazníci (mají tím na mysli větší firmy, ale není problém převést tento stav i na menší) jsou svými bezpečnostními dodavateli vydíráni – a měli by s tím něco dělat.

Prohlášení je zatím ještě příliš čerstvé na to, aby se potrefené husy (není těžké si představit, kým zhruba agentura zločinné dodavatele myslela) stačily ozvat. Jeho provokativnost a explicitnost je ovšem jasná a do nebe bijící. Skutečně přeplácí velcí zákazníci svou bezpečnost? A skutečně tato bezpečnost reálně klesá?

Neproniknutelné

Jedním z argumentů, které viceprezident Neil McDonald přednesl, je, že mnoho bezpečnostních produktů je ve skutečnosti zaměřených vůči jedinému konkrétnímu typu hrozby. Počet a variabilita hrozeb stoupá, čímž uživatelé potřebují velké množství produktů, které se s nimi vyrovnají. Výsledkem je složitá a neproniknutelná struktura zabezpečení, která z firmy úspěšně vysává peníze a přitom si zakládá na jejím strachu z nejnovějších hrozeb. Tento argument velmi plasticky ilustruje, jak lze ke komerčním účelům využívat záměrně nesystematický přístup k problému. To, že bezpečnostní produkty spolu nespolupracují (Gartner se domnívá, že by se měly chovat více jako lidský imunitní systém) vede v důsledku k tomu, že reálná úroveň bezpečnosti jejich uživatele klesá – nehledě na skutečnost, že žádná kombinace bezpečnostních řešení technicky není schopna vzdorovat všem myslitelným rizikům.

Většina odborných správců, implementátorů a analytiků informačních systémů si předchozí tezi, zde ovšem zcela explicitně argumentovanou, uvědomuje, či ji má přinejmenším v povědomí. Informační systémy v síťovém prostředí nejsou absolutně bezpečné, k tomuto stavu se lze současnými technickými možnostmi pouze přiblížit, a obchodní, technické ani licenční strategie dodavatelů jednotlivých komponent tomu příliš nenapomáhají.

MIF16

Na druhé straně netechničtí manažeři, fakticky vzato často právě ti, kteří rozhodují o alokaci peněz, mohou, mimo jiné pod vlivem reklamních kampaní na stále nové bezpečnostní produkty, nabýt dojmu, že velké množství různých systémů řešících konkrétní aspekty zabezpečení je to, co v konečném důsledku přinese kýženou bezpečnost. Tlak propagace bezpečnostních firem na ně v kombinaci s v úvodu představenou tezí o všudypřítomnosti hrozeb znamená, že rádi (a více) uvolní prostředky nutné pro nákup nejaktuálnějších systémů proti nejnovějším hrozbám. Někdy se tak stává proti vůli technicky způsobilých pracovníků, někdy s jejich podporou, neb stejně nemají jinou možnost, než do svého velmi komplexního systému zabezpečení implementovat další a další prvky. Systém se tak stává nejen neprůhledným, ale i komplikovaně upravovatelným. Otázka, zda je současně neproniknutelný, je pak důvodem existence dalších, tentokrát auditovacích, produktů.

Zastavíme šílenství?

Gartner svým prohlášením podle mého soudu kopl do ohryzku jeden velmi významný segment IT. Firmy z oblasti zabezpečení budou nyní patrně nahlas prohlašovat, že ony již dávno vytvářejí onen proponovaný systém vzájemně spolupracujících, a učících se bezpečnostních prvků. Že struktura jejich produktů je snadná, přehledná, jejich licenční model moderní, metody pokrokové. Domnívám se, že to jsou jen účelové propagace a že McDonald má pravdu. Bezpečnost je obor významný tím, že jej skutečně nelze podcenit nebo ignorovat. Ovšem to, že na něm jeho vlastní dodavatelé hřeší, je otřesné zjištění. Je to šílené zjištění a je otázkou, zda se toto šílenství podaří nějak zastavit.

Anketa

Jak podle vás firmy vydávají peníze na zabezpečení svého IT?

Našli jste v článku chybu?
DigiZone.cz: Nova opět stahuje „milionáře“

Nova opět stahuje „milionáře“

Lupa.cz: Další Češi si nechali vložit do těla čip

Další Češi si nechali vložit do těla čip

Vitalia.cz: Vím, co se učíš, ale netuším, co piješ

Vím, co se učíš, ale netuším, co piješ

120na80.cz: Galerie: Čínští policisté testují českou minerálku

Galerie: Čínští policisté testují českou minerálku

Vitalia.cz: Tohle jsou nejlepší česká piva podle odborníků

Tohle jsou nejlepší česká piva podle odborníků

Podnikatel.cz: 5 věcí, které o EET ještě nevíte

5 věcí, které o EET ještě nevíte

Podnikatel.cz: Takhle se prodávají mražené potraviny

Takhle se prodávají mražené potraviny

Podnikatel.cz: Nemá dluhy? Zjistíte to na poště

Nemá dluhy? Zjistíte to na poště

DigiZone.cz: Samsung EVO-S: novinka pro Skylink

Samsung EVO-S: novinka pro Skylink

Podnikatel.cz: Byla finanční manažerka, teď cvičí jógu

Byla finanční manažerka, teď cvičí jógu

DigiZone.cz: Parlamentní listy: kde končí PR...

Parlamentní listy: kde končí PR...

Podnikatel.cz: Vytvořte si web sami. Redakční systém Tumblr

Vytvořte si web sami. Redakční systém Tumblr

Vitalia.cz: Antibakteriální mýdla nepomáhají, spíš škodí

Antibakteriální mýdla nepomáhají, spíš škodí

DigiZone.cz: Test: brýle pro virtuální realitu Exos Urban

Test: brýle pro virtuální realitu Exos Urban

Lupa.cz: Bude Google platit médiím za použití článků?

Bude Google platit médiím za použití článků?

Vitalia.cz: 5 chyb, které děláme při skladování potravin

5 chyb, které děláme při skladování potravin

Podnikatel.cz: ČSSZ posílá přehled o důchodovém kontě

ČSSZ posílá přehled o důchodovém kontě

120na80.cz: Co je padesátkrát sladší než cukr?

Co je padesátkrát sladší než cukr?

Podnikatel.cz: „Lex Babiš“ Babišovi paradoxně pomůže

„Lex Babiš“ Babišovi paradoxně pomůže

Podnikatel.cz: Udělali jsme velkou chybu, napsal Čupr

Udělali jsme velkou chybu, napsal Čupr