Kontrola dostępu – technika i organizacja
Przemysław Bańko
Coraz więcej organizacji ma problem z kontrolowaniem dostępu do danych szczególnie chronionych, niezależnie czy jest to know how, czy dane osobowe. Spora część organizacji stara się zabezpieczać poszczególne obiekty lub pomieszczenia. Duża ich część wdraża zabezpieczenia techniczne, z pominięciem rozwiązań organizacyjnych. Kilkanaście lat praktyki pozwala mi na dość śmiałą tezę: ZABEZPIECZENIA TECHNICZNE BEZ ODPOWIEDNICH PROCEDUR I SZKOLEŃ OBNIŻAJĄ POZIOM BEZPIECZEŃSTWA!
Czy techniczna kontrola dostępu podnosi poziom bezpieczeństwa?
Ileż to razy w trakcie audytów widziałem personel wchodzący do danej strefy z wykorzystaniem karty dostępu jednego z pracowników. Ilu z nas spotkało się z niedbale wbijanym kodem PIN do systemu. Jak często widzimy drzwi wejściowe przystawione popielniczką lub kubłem z wodą. Jak często widujemy pomieszczenia bez obsługi z zalogowanymi komputerami. Przykłady można by mnożyć. Statystyki naruszeń, i to nie tylko w zakresie ochrony danych osobowych, wskazują, iż do naruszeń w przeważającej mierze dochodzi z winy personelu. Bagatelizowanie ryzyka, omijanie procedur – jeżeli istnieją – i przeświadczenie, że przecież nigdy nic się nie stało, bywa zgubne.
Zawsze na pytanie „dlaczego tak funkcjonuje to konkretne zabezpieczanie” otrzymuję odpowiedzi typu „to dziś tak zupełnie przypadkiem”, „na co dzień drzwi są zamknięte”, „po raz pierwszy zapomniałem swojej karty dostępu”. Każdy, kto brał udział w audycie, dodałby jeszcze kilkanaście zwyczajowych kłamstw.
Tylko w jakim celu – zadaję sobie pytanie – inwestujemy w zabezpieczenia? Dla wydawania pieniędzy? Dla prestiżu? Dla poprawy wizerunku? Jeden z moich pierwszych szefów zwykł mawiać „system nałożony na bałagan, daje jeszcze większy bałagan”. Ostatnich dwadzieścia lat uświadamia mi prawie na co dzień, iż miał rację.
Zdaję sobie sprawę, że dostawcom rozwiązań zależy na szybkiej dostawie, sprzedaży rozwiązania, podpisaniu umowy serwisowej. To naturalne, z tego przecież się utrzymują. Rozmawiam często w branży i słyszę, że „klient tak chciał, więc tak wykonaliśmy”. Czy nie lepiej dla wszystkich byłoby wyedukować klienta, iż każdy system, nawet najdroższy, bez odpowiednich zapisów w organizacji może być dla niego ryzykowny?
Dla zobrazowania opiszę konkretną sytuację w jednym z sądów apelacyjnych. Przez lata obowiązywała w nim procedura, iż przed rozprawami dla szczególnie niebezpiecznych przestępców, tzw. eNek, policja sprawdza cały budynek w celu wykrycia niebezpieczeństw. Po analizie sprawdzeń kierownictwo sądu zadecydowało o odcięciu parteru i kilku pomieszczeń pierwszego piętra od pozostałej części budynku solidnym systemem kontroli dostępu. Natychmiast po wdrożeniu systemu starą procedurę zmieniono. Od momentu wdrożenia policja sprawdzała jedynie parter i część ogólnodostępnego pierwszego piętra, „bo przecież dalej było już bezpiecznie”.
Siedziałem pewnego razu, czekając na spotkanie z kierownictwem sądu, tuż przy wejściu do strefy chronionej obiektu. I jakież było moje zdziwienie, gdy raz za razem wchodzący do strefy bezpiecznej wprowadzali jeden i ten sam kod 1 – 2 – 3 – 4 #. Nie wierzyłem własnym oczom. Natychmiast po rozpoczęciu spotkania poinformowałem w dość żartobliwym tonie rozmówców o swoim odkryciu. Ot, taka przyjacielska pogadanka w stylu „bardzo fajny system wdrożyliście, ale dobrze byłoby, aby pracownicy bardziej zakrywali kod, którym się posługują. Może warto z nimi porozmawiać”. Miny moich rozmówców nie były radosne, miałem wręcz wrażenie, że wyrażały wściekłość i zdziwienie. Puenta: w sądzie nadal funkcjonuje system kontroli dostępu, a policja, jak przed jego wdrożeniem, sprawdza cały budynek.
Myślę, że taką lub inną sytuację zaobserwował każdy z nas. Otwarta serwerownia. Otwarty korytarz i wszystkie biura w ciągu, bo tak przecież łatwiej i szybciej się sprząta. Włączony komputer w ogólnodostępnym sekretariacie. Papierzyska walające się na stołach i parapetach. Można wymienić setki przykładów.
Zaplanuj, zaprojektuj, opisz w procedurach, przeszkól personel. Tylko tyle i aż tyle
Planując system zabezpieczeń, nie musimy wyważać otwartych drzwi. Możemy sięgnąć po normy, po wiedzę konsultanta lub stworzyć własny interdyscyplinarny zespół, który odpowie na pytania, w jakim celu chcemy wdrożyć zabezpieczenia techniczne, w jaki sposób wpłyną na obniżenie ryzyka wystąpienia incydentu lub naruszenia, co zrobić, aby system był wykorzystywany zgodnie ze swoim przeznaczeniem, w jaki sposób monitorować zabezpieczenie.
Przykładem norm pomocnych przy wdrożeniu każdego z zabezpieczeń technicznych jest rodzina norm ISO 27000. Warto przy inwestycji w zabezpieczenia techniczne wysupłać kilkaset złotych i zakupić w Polskim Komitecie Normalizacyjnym normy:
- PN-EN ISO/IEC 27005 – Technika informatyczna. Techniki bezpieczeństwa. Zarządzanie ryzykiem w bezpieczeństwie informacji
- PN-EN ISO/IEC 27001 – Technika informatyczna. Techniki bezpieczeństwa. Systemy zarządzania bezpieczeństwem informacji. Wymagania
- PN-EN ISO/IEC 27002 – Technika informatyczna. Techniki bezpieczeństwa. Praktyczne aspekty zabezpieczania informacji
Zawierają one wiele przydatnych informacji pozwalających na zaplanowanie zabezpieczeń, ich dobór, opracowanie niezbędnych procedur i instrukcji.
Do czego będą przydatne normy?
Przede wszystkim do określenia, jaki obszar i jakie dane chcemy chronić. Analiza ryzyka zagrożeń – bo od niej właśnie zawsze zaczynamy – pozwala na dokładne określenie granic bezpieczeństwa, stref bezpieczeństwa i pomieszczeń bezpieczeństwa. Wiemy w końcu, gdzie incydent będzie dla nas najbardziej bolesny. Analiza umożliwi zinwentaryzowanie przetwarzanej informacji, systemów, aplikacji, baz danych. Pozwoli ponadto wskazać główne podatności i zagrożenia, a także oszacować ewentualne straty, gdyby do niechcianego naruszenia bądź incydentu doszło. Znając miejsce i wartość informacji, wiemy z grubsza, ile powinniśmy wydać na jej zabezpieczenie. Wtedy trudniej powiedzieć zarządzającym organizacją, że „nie stać nas na zabezpieczenie”.
Po analizie ryzyka warto zaplanować, które konkretne zabezpieczenia odpowiadają w jak największym stopniu za minimalizację zinwentaryzowanych zagrożeń. Czy konieczne jest wytyczenie stref bezpieczeństwa. Czy niezbędna jest inwestycja w system monitoringu wizyjnego, system kontroli dostępu, czy inne systemy zabezpieczenia. Wtedy będziemy w stanie wskazać projektującym nasze instalacje, które obszary są dla nas kluczowe. Po prawidłowej analizie ryzyka zagrożeń stajemy się dla projektujących i wdrażających systemy bezpieczeństwa partnerem. Jednocześnie wewnętrzne struktury firmy już na tym etapie powinny przemyśleć, jak zorganizujemy dostęp do poszczególnych miejsc organizacji lub systemów. W jaki sposób nadamy i będziemy odbierali uprawnienia do poszczególnych miejsc, ról i systemów. Jak będziemy weryfikowali, kontrolowali, monitorowali i audytowali poprawność korzystania z nadanych uprawnień.
Warto spojrzeć na rozdziały dziewiąte norm ISO 27001 i 27002. W pierwszej z nich znajdziemy dobre praktyki zabezpieczeń, w drugiej szczegółowy opis, jak wdrażać zabezpieczenia techniczne, proceduralne i organizacyjne. Idąc krok po kroku, będziemy w stanie wyznaczyć:
- fizyczne granice obszaru bezpiecznego (od płotu po zamek w drzwiach),
- fizyczne zabezpieczenia wejścia i modele nadawania uprawnień do wejścia na teren chroniony,
- sposoby dostawania się do pomieszczeń pracowników zewnętrznych, np. serwisu technicznego lub sprzątającego,
kontrole miejsc przebywania personelu, - standardy zabezpieczania systemów, usług i informacji – znana i nadal niepraktykowana zasada czystego biurka i czystego ekranu,
- standardy dostępu do systemów z urządzeń mobilnych,
minimalny zakres przeszkolenia pracowników.
Pamiętajmy, że dobrze zaprojektowany system kontroli dostępu do miejsc i informacji pozwoli na realną próbę ograniczenia skutków incydentów i naruszeń. Same zabezpieczenia są połową sukcesu, ale bywają wręcz preludium do porażki. Gdy nałożymy system zabezpieczeń technicznych na uporządkowany, zaplanowany, zaprojektowany i prawidłowo wdrożony system techniczny, bez wątpienia zmniejszymy różne rodzaje ryzyka w obszarze bezpieczeństwa fizycznego oraz teleinformatycznego.
Warto również pomyśleć o testach zabezpieczeń. Przydatne może być podejście socjotechniczne – rzucony w kąt pendrive lub odłożona karta do systemu kontroli dostępu. Bo pomimo opracowanych polityk i procedur, instrukcji i szkoleń jesteśmy tylko ludźmi, najsłabszymi elementami systemu bezpieczeństwa.