Martin Bosák: Security – největší nepřítel inovací

Setkávám se s tím v našem data odvětví už delší dobu. Mnoho snah o inovace a zavedení moderních technologií končí na hradbách security ve firmách. Týká se to především těch větších, které se security snaží nějak “řešit”. A nevím jestli se situace v dohledné době zlepší, spíše to vypadá, že nikoliv.

Věřím tomu, že zabezpečení cloudu je mnohem lepší než u vlastních serverů. Jako největší security problém stále vidím sociální inženýrství, ne to, že data budou uložena někde v cloud farmě, kde k nim budou moci zaměstnanci toho daného cloud poskytovatele.
Tyto cloud centra navíc většinou mají mnohem, mnohem lepší fyzické zabezpečení, než cokoliv o čem se může většině security pracovníků zdát.

Dnes a denně se potkávám s tím, že security komplikuje život a hlavně práci.
Když už něco povolí, (a nedejbože vám i dají přístup), tak se k dané službě nebo programu musíte prokousat skrz celou řadu překážek.
Takové typické zabezpečení virtuální serveru v korporaci často vypadá takto:
Krok první: musíte se někam připojit pomocí remote desktopu (RDP), případně pomocí VPN
Krok druhý: zkusíte citrix někam dál – vyplnit heslo + password .. ok
Krok třetí: čekáte na mail s ověřením přihlášení
Krok čtvrtý: stále čekáte na mail … zkusíte to vyplnit znovu
Krok pátý: ha přišel mail!! – mám do políčka password vyplnit moje heslo, nebo nějaký PIN co mi přišel na mail? S mezerou nebo bez? (ok, tohle se časem naučíte)
Krok šestý: PIN už neplatí – protože jste si o něj stihli zažádat znovu druhým vyplněním
Krok sedmý: čekáte na druhý mail s PINem
Krok osmý: přichází mail a vy se konečně přihlašujete na kýžený server.
Krok devátý: zjištění že ten server běží v miniaturní obrazovce (a protože jste přihlášení skrz milion dalších věcí tak to nezvětšíte…
Krok deset… chvili jste měli remote desktop shozená na liště a timeout vás vyhodil… můžete začít znovu.

Určitý level zabezpečení má určitě vždy smysl, ale někdy jsou další kroky spíše kontraproduktivní. Například v tomto případě spálíte půl hodiny jen tím, že se snažíte připojit a to jste ani nezačali pracovat. Stejně tak u hesel… čím více máte pravidel pro heslo, tím větší je pravděpodobnost, že si ho uživatelé přilepí na monitor, nebo uloží v notepadu na plochu. Mnohem důležitější je mít zodpovědné zaměstnance.
Nejčastější, nejnebezpečnější a nejjednodušší způsob jak se dostat skrze security zapezpečení je pomocí někoho. Prosím, věřte svým kolegům! A jestli jim nevěříte, tak jste je neměli vůbec nabírat. (tohle je z nějaké knihy, ale už nevím jaké)

Ale zpět k tématu, o kterém jsem chtěl psát na začátku. Dnešní nové technologie hodně pokročili, a to i v oblasti security. A přijde mi velmi úsměvné, když security trvá často na starých. A nejlépe je to asi vidět u cloudu. Aneb “data chceme mít u nás na serveru” – opravdu si každá takováto firma dokáže profesionálně zabezpečit své servery? Třeba co se týká fyzické bezpečnosti, tak nevěřím, že jakákoliv firma u nás má takové zabezpečení jako největší cloud provideři.
Co se týká šifrování, tak téměř vše tam máte automaticky šifrované, včetně úložišť.
Co se týká nějaké architektury – tak dnes si tam můžete vymyslete takřka cokoliv. Virtuální svět je hodně ohebný.
A co se týká právního ohraničení – tak nejčastější je právě nutnost splnění EU Data Protection Directive – a to také splňují.

Myslím, že by mohlo být docela zajímavé vyčíslit náklady – především ve formě hodin – strávených tím, že čekáte na přístupy, složitě se někam připojujete a podobně. Myslím že by to byli velmi zajímavá čísla.

Comments

comments

Leave a Reply