Lidská chyba a vnitřní hrozby: Odolnost v IT

Ted G. Lewis, profesor na Naval Postgraduate School, ve své knize Critical Infrastructure Protection in Homeland Security: Defending a Networked Nation uvádí, že „důvěryhodné výpočty závisí na lidských procesech stejně, ne-li více, než na technologii“. Toto je prohlášení, které by mnoho lídrů v oblasti kybernetické bezpečnosti mohlo příjmout.

Je zřejmé, že technologie je bezpečná pouze tak, jak jsou lidé, kteří v ní pracují. Selhání kybernetické bezpečnosti lze v mnoha ohledech přirovnat k selhání kontrarozvědky (CI) v tom, že obě se zabývají citlivým materiálem buď z technické nebo lidské inteligence, ale jsou založeny spíše na lidských selháních než na nezabezpečeném firewallu nebo odemčeném plotu. Technické infrastruktury jsou však nedílnou součástí efektivního a správného fungování národního státu, konkrétně Spojených států. IT prostředky jsou zodpovědné za to, jak národy komunikují; obchodují s akciemi a finančním trhem; a provozují vlády. Vzhledem k důležitosti kyberprostoru ve veřejném i soukromém životě je nezbytné, aby byl chráněn před hrozbami.

V abstraktu napsaném Carlem Colwillem popisuje, jak jsou systémy informačních technologií dobře chráněny před většinou vnějších hacků a tradičními technologickými hrozbami, ale zdůrazňuje, že vnitřní hrozby ze strany zaměstnanců jsou velmi reálnou hrozbou, na kterou není většina společností připravena. Zajímavé je, že toto hodnocení bylo také napsáno v roce 2009, před masovým využíváním sociálních médií jak vládou, tak veřejností. Tento abstrakt, i když je zastaralý, rozpoznává problémy, které představují lidé v oblasti IT.

Nedávno to uznali jiní a popsali, jak je oblast IT problémem lidských procesů. Podle Vircom, kanadské technologické společnosti, „lidská chyba je hlavní příčinou narušení dat a zabezpečení a je zodpovědná za 52% takových incidentů. Byla to osoba, která byla nalákána spear phishingem, který loni otevřel brány útoku Demokratického národního výboru a také velkým hackům proti Snapchatu a zdravotnickému průmyslu – abychom jmenovali několik příkladů tohoto lidského faktoru,“ uvedl technický ředitel Vircom Ředitel podpory komentoval: „Nejslabším řetězcem kybernetické bezpečnosti je lidská bytost. Je to nejníže visící ovoce. Většina útoků, které nyní vidíme v terénu, míří na neinformované lidi.“

Další příklady tohoto lidského faktoru v oblasti IT přicházejí v podobě narušení dat společnosti Equifax, při kterém „neschopnost společnosti provést jednoduchou opravu zranitelnosti“ vedlo k tomu, že 150 milionům lidí byla kompromitována data nebo byla ohrožena v roce 2017. Útoky ransomwaru WannaCry, kdy poté, co byl program ukraden z amerických vládních serverů a společnost Microsoft vydala opravu chránící před malwarem, mnozí jednoduše novou opravu nenainstalovali, což vedlo k masivním infekcím podniků a celé společnosti.

Jak je vidět, lidská omylnost představuje pro IT prostor značné problémy. Pokud jde o to, jak to vyřešit, tvrdil bych, že nejlepší praxí je přijmout přístup k národní bezpečnosti v duchu struktury CI. Celým smyslem kontrarozvědky je zabránit protivníkům získat převahu identifikací, klamáním, zneužíváním, narušováním a ochranou důležitých informačních sektorů, fyzických umístění a dokumentů, které by ohrožovaly bezpečnost Spojených států.

Zaujměte přístup kontrarozvědky, který vyžaduje, aby byli dozorci a veškerý personál ve střehu, měli přísný proces prověřování pozadí s důrazem na detaily, znali hrozby, které jsou ve světě (jak v technologickém, tak netechnickém smyslu), naslouchali jak historii, tak důležitým analýzám a správně školili lidi. Toto jsou některé z technik, které by mnozí akademici, experti a další specialisté na CI doporučovali, aby se daly využít v IT prostoru a měly extrémní výhody při ochraně citlivých informací.

Pokud jde o odolnost, existuje řada způsobů, jak učinit sektor informačních technologií odolným vůči různým formám útoků.

Za prvé, vzdělání by mělo být primárním faktorem při podpoře odolnosti v IT sektoru. Mnoho IT profesionálů má buď pracovní zkušenosti nebo vojenskou službu, na rozdíl od vysokoškolského vzdělání v oblasti informatiky nebo informačních technologií. Z tohoto důvodu, zatímco mnozí jsou zběhlí v technických konstrukcích IT a počítání, slušná část není tak zběhlá v nebezpečích, kterým čelí kyberprostor ze strany zahraničních aktérů, nebo větších geopolitických problémech, které kyberprostor zahrnují.

Kromě toho, stejně jako u většiny pracovních míst, se mohou profesionálové spokojit se standardními každodenními operacemi a stát se laxními ve svých povinnostech. Tento nedostatek povědomí může vést k tomu, že se systémy stanou kompromitovanými a proniknuty nepřátelskými aktéry, což má za následek poškození citlivých dat; odcizené nebo smazané položky; a obrovská národní bezpečnostní rizika. S prezidentskými volbami v USA v roce 2016 je zřejmé, že uvolněná bezpečnostní opatření a všeobecná letargie byly klíčem, který umožnil Rusku vstup na servery DNC. Dalo by se snadno namítnout, že na úrovni společnosti a společnosti by měly být podniknuty kroky k zajištění toho, aby si všichni členové IT oddělení byli vědomi větších geopolitických hrozeb, které jsou relevantní pro oblast kybernetického prostoru.

Rovněž spojení sil s federální vládou, aby speciální agenti a odborníci z kontrarozvědky informovali členy IT oddělení velkých internetových společností o aktuálních hrozbách a potenciálních rizicích, jimž společnost čelí na svých serverech a platformách, by významně pomohlo při prosazování společného soukromého a veřejného sektoru. pracovní skupina pro boj proti dezinformacím a kybernetickým útokům a zároveň umožňuje IT profesionálům lépe se orientovat v nových a vznikajících hrozbách, kterým čelí technologický průmysl a USA jako celek. Tento typ organizace by byl velkým přínosem v anti-dezinformační kampani (podobné tomu, co bylo vidět u Pracovní skupiny pro aktivní opatření v 80. letech 20. století).

Související článek:

Kybernetická bezpečnost

Školení kybernetické bezpečnosti

Autor původního článku: Alan Cunningham
Překlad: Ondřej Strachota