Onet opublikował na swoim blogu bardzo ciekawe studium przypadku. Tegoroczna powódź bardzo zagroziła ich głównej serwerowni - by zapewnić ciągłość działania onet.pl trzeba było uruchomić plany kryzysowe. Polecam zarówno lekturę całej historii, jak i przejrzenie galerii zdjęć - szczególnie tych ostatnich.

Marcin Kluczewski - Kierownik Zespołu Administratorów Drugiej Linii Wsparcia w onet.pl zwrócił też uwagę na jedną prawidłowość o której często się zapomina (moje pogrubienie):
"Następnym krokiem, jaki został podjęty w związku z zagrożeniem było przepięcie wszystkich usług i systemów działających produkcyjnie na infrastrukturę zapasową w innych centrach danych. Decyzja była trudna, ponieważ architektura części z przepinanych systemów powodowała, że przepięcie możliwe było „w jedną stronę” a w każdym razie powrót z danym systemem z powrotem do lokalizacji początkowej wiązałby się z dużym nakładem pracy."
No i oczywiście koniecznie trzeba podkreślić tę myśl:
"I na koniec jeszcze jedna ważna uwaga: choćbyśmy mieli najlepsze i najbardziej szczegółowe plany są one niewiele warte, jeżeli nie są przetestowane. Tylko regularne testy zapewnią nas, że plan jest realny i wykonalny, oraz że żadne zmiany, które wykonaliśmy w infrastrukturze nie spowodowały, że stał się on nieaktualny."
W publikacji "CYBERTERRORYZM - nowe wyzwania XXI wieku" powstałej po ubiegłorocznej konferencji pod tym samym tytułem przedstawiłem referat "Sektor bankowy jako potencjalny cel ataku cyberterrorystycznego".

Wymieniłem w nim między innymi kilka potencjalnych zagrożeń dla całego sektora bankowego, na których nadejście należy być przygotowanym. Cyberterrorystyczne ataki skierowane na sektor bankowy mogą między innymi skutkować:
- Zakłóceniem swobodnego przepływu środków pieniężnych;
- Zafałszowaniem danych dotyczących bieżącej sytuacji gospodarczej i finansowej;
- Manipulowaniem notowaniami kursowymi bądź giełdowymi;
- Odebraniem firmom i osobom prywatnym bieżącego dostępu do zgromadzonych środków;
- Zafałszowaniem informacji dotyczących poziomu zadłużenia;
- Kradzieżą i legalizacją znacznych sum.

Źródło: Syta J., Sektor bankowy jako potencjalny cel ataku cyberterrorystycznego. Cyberterroryzm - nowe wyzwania XXI wieku. Praca zbiorowa Jemioła T., Kisielnicki J. i Rajchel K. [red.], Wydział Wydawnictw i Poligrafii Wyższej Szkoły Policji w Szczytnie, Warszawa 2009, str. 696-703

Najlepszą metodą zabezpieczenia się przed tego typu atakami jest przeciwdziałanie - wykrycie ataku zanim nastąpi i skuteczne przeciwdziałanie. Co jednak jeśli nie uda się go wykryć wcześniej? Czy banki są przygotowane na reakcję post factum?
Trafiłem ostatnio na kolejne ze świetnych (moim zdaniem) wystąpień na TED. Simon Sinek wyjaśnia w bardzo prosty sposób jak zdobywać innych, jak przekonywać ich do kupna produktów, zachęcać do swoich idei. Nie chodzi tu o komunikowanie "co" i "jak" należy robić ale o docieranie do wnętrza człowieka, do tłumaczenia "dlaczego".


To co mnie cieszy to fakt, że w swoich prezentacjach i artykułach dotyczących roli komunikacji w zarządzaniu bezpieczeństwem również zwracam uwagę na ten aspekt, jako kluczowy dla właściwego zabezpieczania informacji.
Gazeta.pl podała, że Google właśnie zakupiło kolejną firmę: Metaweb, która opracowała technologię symantycznego wyszukiwania.

Wygląda na to, że będzie to kolejna rewolucyjna składowa systemu. Cała idea opiera się na trosce by tym samym :obiektom" w sieci nadawać to samo znaczenie, niezależnie od formy w której jest to przedstawiane. Brzmi skomplikowanie? polecam obejrzenie krótkiej reklamówki firmy metaweb.


Uruchomienie polskiego portalu zajmującego się antyterroryzmem zbiegło się w czasie z debatą o skali amerykańskiego programu walki z terroryzmem. Gazeta.pl opisała wyniki analiz zrobionych przez Washington Post z których wynikają między innymi następujące fakty:
- walką z terroryzmem zajmuje się 45 organizacji (nie licząc prywatnych firm)
- 854 tys. osób ma dostęp do tajnych informacji
- nikt nie potrafi zapanować nad tymi działaniami

Potężne wrażenie zrobił na mnie następujący wykres zbierający zakres zainteresowań poszczególnych 45 agencji:


Wniosek jest jeden i stale ten sam. Na bezpieczeństwo tak jak na technologie można wydać każde pieniądze, wykorzystać praktycznie nieograniczone zasoby. Jednak nie sztuka wydawać bez opamiętania - zarządzać bezpieczeństwem trzeba z głową, metodycznie, zgodnie z najlepszymi praktykami. Inaczej efekty będą zgoła przeciwne do zamierzonych - nie tylko agencje udławią się ilością przetwarzanych informacji i prowadzonych śledztw, ale równocześnie znacznie zwiększy się ryzyko infiltracji agentów przez nieprzyjaciół.
Wolność panująca obecnie w internecie mnie przeraża. Nie, ze względu za zapędy rodem z Wielkiego Brata mające na celu kontrolowanie wszystkich aspektów życie czy brak poszanowania dla prywatności. Ze względu na panującą niekiedy w sieci pełną anarchię.
Można w sieci anonimowo pluć na przeciwników, korzystać łatwo z technik ukrycia swojej tożsamości podczas dokonywania przestępstw internetowych, umieszczać fałszywe informacje.

W dyskusjach często zwracałem uwagę na prawdopodobieństwo wytworzenia pewnych mechanizmów zaufanego uwierzytelniania się w sieci. Stworzenia jakiegoś rodzaju elektronicznych dowodów tożsamości, które zapanują nad istniejącą anarchią. No i okazało się, że rozwiązanie jest bliżej niż się spodziewałem. Howard Schmidt już zaproponował założenia dla takiego systemu.

Jestem zwolennikiem wolności, ale widzę równocześnie znaczną różnicę między wolnością a anarchią. Różnica polega na poszanowaniu wspólnych zasad etycznych. Gdy są ustalone i przestrzegane możemy mówić o wolności. Gdy mamy do czynienia z samowolką w stylu "hulaj dusza, piekła nie ma" mamy do czynienia z destrukcyjną anarchią. Mam wątpliwości czy "cyfrowe dowody osobiste" są najlepszym możliwych rozwiązaniem, niemniej w tym momencie nie znam alternatyw. Poszanowania dla innego człowieka i zasad etycznych nie można wymusić.
Zarządzanie ryzykiem IT wciąż jest często traktowane jako coś innego, dziwnego, niezwykłego i często zbyt skomplikowanego lub zbyt odległego od profilu działalności organizacji. Wciąż znaczna część organizacji nie zarządza tymi ryzykami w sposób właściwy.

ISACA od jakiegoś czasu stara się zmienić ten stan, pokazuje, że de facto ryzyka IT mają wpływ na działalność każdego z przedsiębiorstw, że są nie tylko integralną częścią ryzyka operacyjnego, którym coraz częściej organizacje zaczynają zarządzać, a jest częścią wszystkich składowych systemu zarządzania ryzykiem w przedsiębiorstwach (Enterprise Risk Management). Wydała w tym celu zbiór dokumentów wchodzących w skład Risk IT Framework. Bardzo zachęcam do zapoznania się z tymi dokumentami, w szczególności z dokumentami:
- The Risk IT Framework
- The Risk IT Practitioner Guide

Ponieważ technologie IT dotykają wszystkich obszarów działalności organizacji nie można ich zastawiać samym sobie. Przedsiębiorstwa zarządzają ryzykiem kredytowym czy finansowym, z punktu widzenia operacji troszczą się o zapewnienie ciągłości, o bezpieczeństwa pracy, przeciwpożarowe... A bardzo często zupełnie pomijają to, co spina wszystkie obszary w jedną całość - technologie IT. Oraz wszystkie związane z tym podatności, które co rusz przypominają o swoim istnieniu, oczywiście w najmniej spodziewanych momentach.
Computerworld opublikował bardzo interesujący sondaż Cyber-Ark Software dotyczący tego czym w wolnych chwilach zajmują się administratorzy. Wynika z niego, że:
- 67% pracowników IT przyznaje, że zdarzyło im się przeglądać dane współpracowników, które nie były w żaden sposób związane z ich pracą
- 41% specjalistów IT przynajmniej raz wykorzystało uprawnienia administratora w firmowych komputerach do uzyskania lub przeglądania poufnych informacji innych osób

Niestety, jeśli ktoś może wszystko to naprawdę trudnym może okazać się powstrzymanie się od tego by co nieco sobie poprzeglądać. Przecież i tak nikt się o tym nie dowie. JEŚLI logi dokumentujące czynności administratorów są w ogóle gromadzone, to w większości przypadków oni i tak mają do nich DOSTĘP więc mogą usunąć niewygodne wpisy. Kto przecież korzysta z narzędzi (jak Tripwire lub Open Source Tripwire) do zapewniania integralności danych?

Rozwiązanie problemu nie jest wcale trywialne - wymaga kompleksowego podejścia:
- odejścia od korzystania z kont generycznych (admin, root itp) na rzecz kont imiennych
- kontroli uprawnień na zasadach ról (trochę więcej o tym pisałem wczoraj)
- bezzwłoczne usuwanie niepotrzebnych kont (np. zwolnionych pracowników), regularne przeglądy uprawnień
- właściwe zdefiniowanie informacji objętych ochroną
- kontroli wykorzystania uprzywilejowanych kont (np. ochrona haseł w sejfach elektronicznych, jak ten produkowany właśnie przez Cyber-Ark)
- monitorowania użycia kont uprzywilejowanych (przynajmniej logów, choć jeszcze ciekawsze jest nagrywanie sesji np. przy pomocy Cyber-Ark, pod warunkiem, że jest gdzie to przechowywać i ma to kto na bieżąco analizować)
- zabezpieczania logów (zabranie uprawnień administratorów do serwerów z logami lub zapewnianie integralności programami typu Tripwire
- odchodzenie od umieszczanych w kodzie haseł, lub przynajmniej przechowywanie ich w zaszyfrowanej wersji
- przeprowadzenia niezależnej kontroli funkcjonowania całego rozwiązania
Jednym z najczęściej spotykanych zwyczajów we wszystkich chyba rodzajach organizacji jest tworzenie profili nowych użytkowników (lub dodawanie uprawnień) "tak samo" jak np u Kowalskiego. Jest to wygodne, gdyż zamiast mozolnie dodawać uprawnienia do poszczególnych katalogów czy systemów można skopiować profil i po paru sekundach praca jest zrobiona.

Kontrola jakości w takich sytuacjach wygląda zwykle następująco:
1. jak użytkownik ma za mało uprawnień (o czymś zapomniano) to zaraz zrobi raban więc dostanie to co potrzebuje
2. jak użytkownik na za dużo to...hmm to trudno. Będzie kiedyś weryfikacja praw to mu się zabierze (jeśli uda się to wypatrzyć).

W tę pułapkę wpadają firmy na całym świecie. Setki tysięcy pracowników na wszystkich kontynentach mają za duże uprawnienia, czyli mogą za dużo przeczytać, pozmieniać lub pokasować ze względu na lenistwo osób odpowiedzialnych za nadawanie uprawnień (tu uwaga, niekoniecznie chodzi o administratorów aplikacji - często to działy biznesowe są zbyt leniwe (czytaj zapracowane) by troszczyć się o drobiazgi typu uprawnienia. Jak to się może skończyć popamięta przez lata na pewno bank Societe Generale zatrudniający kiedyś bystrego maklera Jerome Kerviela.

Rozwiązaniem na takie sytuacje jest przejrzenie organizacji pod kątem ról wykonywanych przez pracowników i przypisywanie pracowników do odpowiednich z nich w zależności od potrzeb. Służą do tego dedykowane systemy, można to również zrobić taniej - "ręcznie" przy większej ilości włożonej pracy, ale o tym napisze innym razem.
W trakcie ubiegłorocznej konferencji "Activity 2009" w Kazimierzu nad Wisłą organizowanej przez prof. Elżbietę Skrzypek z UMCS przedstawiałem referat dotyczący wielowarstwowej ochrony informacji.

Teorie wojskowości od dawien dawna wykorzystują koncepcję wielowarstwowej obrony (ang. defence in depth). Jest ona wykorzystywana do określenia strategii obrony, która tworzy elastyczny i powiązany system mający na celu znaczne opóźnienie ataku i zadanie atakującemu jak największych strat.

Teorie wzięte wprost ze strategii dowodzenia można również stosować podczas budowania systemów zarządzania bezpieczeństwem informacji. W Takich sytuacjach zaproponowałem utworzenie 4 warstw obrony. Pierwsza warstwa ochrony powinna zajmować się kontrolą dostępu do informacji wyłącznie dla upoważnionych pracowników. Administratorzy wykonywaliby takie czynności jak przyznawanie praw dostępu, monitorowanie dostępu do informacji oraz wdrażanie i aktualizowanie technicznych zabezpieczeń. Ich praca byłaby nadzorowana przez drugą linię zabezpieczeń, czyli właścicieli biznesowych kontrolujących poprawność przyznanych praw dostępu oraz specjalistów bezpieczeństwa przeprowadzających bieżącą weryfikację bezpieczeństwa, dokonujących analiz mających na celu zapewnienie, że informacje są chronione w sposób właściwy. Najwyższą linię obrony stanowiłby audyt potwierdzający skuteczność niższych warstw ochrony informacji.
Cały referat został wydany przez UMCS: Syta J., Tkaczyk S., Zastosowanie podejścia wielowarstwowej ochrony podczas zarządzania bezpieczeństwem informacji. Praca zbiorowa Skrzypek E. [red.], Zakład Ekonomiki Jakości i Zarządzania Wiedzą, Wydział Ekonomiczny, Uniwersytet Marii Skłodowskiej-Curie, Lublin 2009, str 453-461
Dziś mija 5 rocznica ataku bombowego w Londynie. Przy tej okazji postanowiłem napisać o najbardziej popularnym zabezpieczaniu na wyspach

W Wielkiej Brytanii - kraju posiadającym rekordowe ilości kamer CCTV od dawien dawna trwa debata na temat ich rzeczywistej przydatności. Porównania do G.Orwella są jak najbardziej słuszne. Od jakiegoś czasu działa organizacja Big Brother Watch zajmująca się ochroną prywatności zabieranej w sposób znany z Wielkiego Brata.

Ostatnio debata znów się nasila, gdyż stróże prawa przyznają, że ich skuteczność w rzeczywistej walce z przestępcami jest coraz mniejsza.
Nagrania z kamer przestają być dobrą bronią z kilku powodów:
1. ktoś to musi oglądać i reagować na przestępstwa, a jak to robić mając setki tysięcy kamer do ogarnięcia?
2. kamery mogą działać odstraszająco wyłącznie na osoby chcące popełniać przestępstwa cyklicznie. W przypadku jednorazowych aktów terroru jak samobójcze zamachy kamery tylko odpowiedzą na pytanie kto, w żaden sposób nie zapobiegną tragedii.
3. kamery muszą zapisywać obraz w sensownej rozdzielczości a nagrania muszą być przechowywane przez rozsądny okres czasu.

Wielka Brytania potrzebuje więcej policjantów, nie kamer. Osiągnęła już masę krytyczną, po której ich skuteczność gwałtownie zaczęła spadać.
W trakcie prezentacji na dzisiejszej konferencji zajmowałem się miękkimi czynnikami a konkretnie rolą komunikacji w procesie zarządzania ryzykiem. Przypomniałem między innymi sylwetkę prof. Jamesa Reasona z Uniwersytetu w Manchesterze, który przez lata badał incydenty lotnicze i analizował możliwości ich redukcji.

Jednym z wyników prac było zwrócenie uwagi na fakt, że ludzkie błędy są w znacznej mierze konsekwencją a nie przyczyną. Czynniki organizacyjne kształtują zachowania pracowników i często to one są prawdziwą przyczyną incydentów. Dlatego głównym celem analizy incydentów powinno być zrozumienie kompletnego kontekstu błędu, nie tylko skoncentrowanie się na szukaniu winnych. Kultura sprawiedliwości ("just culture") postulowana przez prof. J. Reasona polega na dogłębnej analizie incydentów bez koncentrowania się na konkretnym pracowniku oraz wyciąganiu konsekwencji wyłącznie w stosunku do osób, które celowo zachowały się niewłaściwie oraz tych, których zachowanie cechowało się wyjątkową bezmyślnością.

Zapraszam do zapoznania się z całą prezentacją
6 lipca w Warszawie odbędzie się konferencja "Technologie i rozwiązania do utrzymania i zarządzania bezpieczeństwem w firmie".

Zostałem zaproszony do wygłoszenia tam wykładu. Przedstawię prezentację pod tytułem "Komunikacja kluczem do skutecznego zarządzania ryzykiem".
Jeśli tam będziecie to zapraszam na wspólną kawkę w przerwie.
Dziś wybory! Zakładając, że wszyscy już udali się do urn załączam najdłuższy jak dotąd materiał.

Od paru lat w różnych kontekstach pojawia się zagadnienie głosowania w sposób elektroniczny. Mimo bardzo poważnych obiekcji przedstawianych przez specjalistów zajmujących się bezpieczeństwem stało się to już faktem (choć na szczęście nie w Polsce). 4 lata temu przygotowano materiał na temat bezpieczeństwa procesu głosowania w USA w trakcie wyborów prezydenckich w latach 2000 i 2004.

Autorzy pokazali dowody szeregu błędów w implementacji, które skutkowały (lub przynajmniej mogły skutkować) w zafałszowaniu wyników wyborów. Zakładam, że być może nie wszyscy pamiętają tę historię, a warto mieć to na uwadze. Zachęcam do obejrzenia filmu.

Trailer (2 min):


Cały film (81 minut):


W Polsce jak na razie sytuacja wcale nie kształtuje się lepiej. Zachęcam do lektury wątku Bezpieczeństwo informatyczne niedzielnych wyborów w serwisie vagla.pl

Pozwolę sobie teraz spytać - kto jeszcze chciałby (biorąc pod uwagę to co pokazano na filmie oraz lekturę materiału przygotowanego przez Vaglę) głosować przez internet?
W trakcie konferencji "Doskonalenie Organizacji" zorganizowanej kilka dni temu przez Uniwersytet Ekonomiczny w Krakowie przedstawiłem referat pt. "ROLA ZARZĄDU W ZAPEWNIANIU CIĄGŁOŚCI FUNKCJONOWANIA ORGANIZACJI"

Oprócz dyskutowania roli zarządu zwróciłem uwagę na podstawowe obowiązki działów biznesowych, do których między innymi zaliczyłem:
- określenie krytycznych procesów;
- podanie maksymalnych dopuszczalnych czasów przestoju poszczególnych procesów;
- wskazanie krytycznych zasobów;
- akceptacja alternatywnych możliwości;
- zapewnienie właściwego finansowania projektu;
- zapewnienie właściwego wsparcia organizacyjnego.

Podkreślałem, że to właśnie działy biznesowe powinny być głównymi zainteresowanymi gdyż to one:
- zapłacą za dostarczone rozwiązanie;
- będą korzystać z rozwiązań w sytuacji katastrofy;
- będą docelowo (przez klientów) rozliczane ze skuteczności zastosowanych rozwiązań.

Więcej znajduje się w publikacji pokonferencyjnej, w naszym artykule: Syta J., Tkaczyk S., Rola zarządu w zapewnianiu ciągłości funkcjonowania organizacji. Praca zbiorowa Sikora T. [red.], Uniwersytet Ekonomiczny w Krakowie 2010