INCIDENTELE DE SECURITATE – CUM ABORDĂM ACEASTĂ PROBLEMĂ?


Pascaru Ion

Departamentul Audit Intern

Banca Naţională a Moldovei



Abstract: Keeping organizational information assets secure in today's interconnected computing environment is a true challenge that becomes more difficult with each new "e" product and each new intruder tool. Most organizations realize that there is no one solution or panacea for securing systems and data; instead a multi-layered security strategy is required. One of the layers that many organizations are including in their strategy today is being proactive about security by being prepared about detecting and responding to incidents when they arise. This article explores the range of options that exist in organizations today for detecting and responding to security incidents.

Cuvinte cheie: sistem informaţional, securitate informaţională, incident de securitate.


REZUMAT:


Securitatea sistemelor informatice şi a reţelelor de comunicaţii este un subiect care intervine din ce în ce mai des în problemele cu care se confruntă organizaţiile. Infracţiunile semnalate atât din cadrul instituţiilor statului, cât şi din domeniul privat, sunt în continuă creştere:


De aceea, astăzi mediile de afaceri dependente de tehnologia informaţiei cer ca angajaţii să cunoască importanţa protejării resurselor companiei. Şi totuşi, când vorbim despre securitatea TI, în multe organizaţii există un decalaj între conştientizarea nevoilor de securitate şi respectarea masurilor de securitate. Acest fapt se explica prin însuşi concepţiile greşite asupra procesului de asigurare a securităţii informaţionale, care pot rezulta în implementarea unor soluţii ineficiente. Cele mai răspândite „mituri” legate de securitatea informaţionala sunt:

In realitate, statisticile demonstrează ca in 75% din cazuri, incidentele sunt produse din interiorul organizaţiilor.

In realitate, criptarea este doar o tehnică în protejarea datelor. Securitatea informaţionala presupune un şir de mijloace complexe combinate: mijloace organizatorice combinate cu cele tehnice.„Mit: Firewall-ul este un mijloc sigur in protecţia datelor si infrastructurii informaţionale ale organizaţiei.”

In realitate, 40% din atacurile efectuate din reţeaua Internet, au fost efectuate chiar si in pofida faptului ca firewall-ul era prezent. Pentru a implementa o soluţie efectiva care sa protejeze datele cu adevărat, va fi necesara întâi de toate sa fie efectuata o procedura efectiva de management al riscurilor.


De cele mai multe ori însă organizaţiile neglijează necesitatea de a determina nivelul riscurilor, de a crea proceduri formale pentru prevenirea, detectarea şi înlăturarea incidentelor de securitate. În plus, persoanele cu putere de decizie interpretează adesea absenţa unei breşe mari in sistemul de asigurare a securităţii ca o confirmare a faptului ca securitatea TI este adecvată – aceasta este însă o ipoteza periculoasă. Din aceste considerente, acest articol îşi propune să analizeze cele mai frecvente abordări asupra soluţionării incidentelor de securitate.



ABORDAREA NR.1: Eram aproape siguri că sistemul nostru se poate auto-proteja


Experienţa a demonstrat că majoritatea organizaţiilor nu ştiu cum să răspundă unui incident legat de securitatea informaţională până când nu au fost afectate semnificativ de un asemenea incident. Multe dintre ele nu au evaluat aprioric riscul de afaceri asociat lipsei unui sistem bine reglat de detecţie şi de răspuns la incidentele de securitate. De cele mai multe ori, organizaţiile primesc rapoarte prin care sunt informate de implicarea acestora în incidente de securitate care au originea de obicei din altă parte, fără a fi implicate în identificarea în sine a incidentului. Această abordare poate fi denumită la fel de bine şi abordarea prin „încercarea fatală”.


Problema îşi are originea în lipsa recunoaşterii de către multe organizaţii a unei nevoi stringente pentru o infrastructură cuprinzătoare a sistemului de securitate. De obicei impactul şi riscul de afaceri a lipsei unui asemenea sistem este constatat doar după un incident grav. Managementul poate avea deseori opinia precum reţeaua şi securitatea sistemului informaţional este o preocupare a administratorilor de reţea şi sistem ca parte integrantă a activităţii lor zilnice. Deasemenea, ei pot gândi că securitatea este asigurată de firewall-ul organizaţiei.


De obicei însă, această percepţie este de multe ori incorectă din toate privinţele. Priorităţile administratorilor sistemului informaţional sunt în mare parte concentrate asupra menţinerii şi administrării echipamentului de calcul existent. Firewall-urile pot preveni unele atacuri, dar cu siguranţă nu toate tipurile de atac; şi dacă nu sunt configurate şi monitorizate corect atunci ele pot lăsa organizaţia vulnerabilă la un şir de multe alte atacuri. Această abordare poate rezulta în probleme serioase precum:


ABORDAREA NR.2: „Voluntarii” ne vor salva


Unele organizaţii au administratori de sisteme şi reţea care sunt interesaţi sau bine instruiţi în domeniul securităţii informaţionale. Asemenea persoane sunt pregătite mai bine pentru a face faţă unor probleme de securitate în cadrul domeniului lor de răspundere, precum echipamentele din cadrul unui departament sau unitate de operare, ori echipamentul pe un segment dat de reţea.


În cadrul unor organizaţii, diferite persoane pot conlucra împreună pentru a rezolva într-un mod neformal problemele legate de securitate. Această abordare îşi are originea de la existenţa unui grup de persoane în organizaţie care recunosc necesitatea de a aborda problema securităţii chiar dacă ea este nerecunoscută de către managementul superior.


Oricum chiar dacă organizaţia are la dispoziţie persoane capabile pentru asigurarea securităţii informaţionale, acest lucru nu înseamnă că ea este gata şi să poarte răspunderea. În dependenţă de mărimea efortului voluntar depus, este foarte probabil că chiar cu un software de detecţie bine pus la punct, unele incidente serioase legate de securitate pot trece nedetectate. Cu toate că această abordare este vizibil mai bună decât metoda erorii fatale, unele probleme mai persistă, precum:


ABORDAREA NR. 3: Rezultate eficiente prin susţinerea Companiei


Necătând la bunele intenţii a experţilor tehnici sau ale altor membri ai organizaţiilor, unica abordare eficientă pentru detectarea incidentelor şi un răspuns prompt în soluţionarea lor este de a implică conducerea şi managementul superior al organizaţiei în crearea şi implementarea unor proceduri de gestionare a riscurilor, în crearea unui grup responsabil de identificarea şi soluţionarea incidentelor de securitate, toate acestea bazate pe un management de cel mai înalt nivel. Modul de realizare, fie printr-o echipă distribuită geografic sau una centralizată a angajaţilor săi, sau recurgând la servicii specializate, nu este atât de important cât efortul în sine. Pe lângă suportul acordat de management, grupul împuternicit cu asemenea sarcini trebuie să fie recunoscut pe plan intern şi extern, să-şi dovedească eficacitatea şi credibilitatea.

Autoritatea şi recunoaşterea managementului sunt baza succesului. Dar un serviciu eficient de detecţie şi răspuns va avea nevoie de încrederea şi credibilitatea managementului precum şi altor părţi cu care va interacţiona.

Echipele create pentru detecţia şi răspunsul la incidentele de securitate în cadrul unei organizaţii sunt cunoscute ca Echipele de Răspuns al Incidentelor legate de Securitatea Calculatoarelor(CSIRT). Crearea, operarea şi găsirea persoanelor potrivite pentru aceste echipe nu este un lucru uşor. Oricum, dacă o asemenea echipă este construită şi împuternicită corespunzător într-o organizaţie, ea poate aborda asemenea probleme într-un mod foarte constructiv şi poate câştiga respect şi credibilitate pentru funcţionarea sa normală.

CSIRT-urile variază în ceea ce priveşte structura, personalul implicat şi spectrul de servicii pe care le pot oferi în dependenţă de situaţia sau nevoia pe care vor s-o satisfacă la momentul dat. Astfel, trebuie de luat în consideraţie foarte atent necesităţile pentru o asemenea echipă în cadrul organizaţiei, fie că este pentru întreaga companie sau doar pentru un singur departament.


Efectuarea tranziţiei de la abordarea „încercarea fatală” sau cea „voluntară” la abordarea care presupune susţinerea companiei nu este deloc uşoară. Provocarea cea mai importantă şi cea mai dificilă este convingerea managementului pentru un CSIRT efectiv şi împuternicit ca parte a unei abordări integre ale riscului de gestionare a companiei.

Aşteptând momentul când se va produce un incident serios de securitate în organizaţia dvs. pentru a convinge managementul de necesitatea acestei echipe nu este o abordare eficientă, sau nu neapărat va avea succes. Chiar după ce un asemenea incident va avea loc, compromiţând funcţionarea sistemelor informaţionale, unele organizaţii încă nu recunosc necesitatea pentru o structură de detecţie şi răspuns la incidentele de securitate.

Unul dintre factorii cei mai importanţi de reţinut este riscul de afacere asociat sau pierderea cauzată de orice incident de securitate. Această informaţie trebuie prezentată managementului într-o manieră care va ajuta managementul să înţeleagă că problema este nu una tehnică ci ţine chiar de afacere în sine. Spre exemplu într-una din organizaţii personalul tehnic avea probleme în atragerea atenţiei managementului asupra pătrunderilor neautorizate. Acest lucru a fost dus la capăt doar după prezentarea datelor de pătrundere, prin descrierea scopului fiecărui sistem în discuţie şi nu atât de mult prezentarea informaţiei cu privire la numele serverului şi a sistemului de operare folosit, care a atras atenţia managementului. Voluntarii trebuie să încerce să documenteze şi să prezinte managementului impactul pătrunderilor atestate şi pierderile înregistrate.


CE NE ZIC STATISTICILE?


Pentru a confirma cele menţionate mai sus aducem la cunoştinţă câteva date statistice extrase din cadrul unui studiu privind securitatea informaţiei realizat de Earnst & Young care oferă, în urma chestionării unor companii implicate în domeniul TI, informaţii utile privind problemele de securitate în tehnologia informaţiei, după cum urmează:



În acelaşi timp:



CONCLUZII


Pe măsură ce organizaţiile devin din ce în ce mai dependente de buna funcţionare a sistemelor informaţionale, problema securităţii acestor sisteme devine din ce în ce mai importantă. Doar investind în securitate „cap-coadă” vom putea avea sisteme TI mai sigure. De multe ori vom constata că beneficiile vor fi mai mari, iar investiţiile şi eforturile făcute vor fi mai mici dacă vom avea o abordare pe ansamblu, decât dacă am trata problema punctual, sau, mai rău, vom acţiona pentru a înlătura efectele abia după producerea unui incident de securitate.


BIBLIOGRAFIE


  1. http://www.cert.org/nav/index.html

  2. http://www.terena.nl/tech/task-forces/tf-csirt/

  3. http://www.ey.com/global/Content.nsf/Australia/AABS_-_TSRS_-_Global_Information_Security_Survey_2003

  4. http://www.theiia.org/itaudit/?fuseaction=reflibhome