Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



25.10.2019

Skalowalna infrastruktura

Red Hat OpenStack Platform 15
25.10.2019

Cienki klient 2.0

Windows Virtual Desktop
25.10.2019

Nowy sprzęt Microsoftu

Rodzina Surface się powiększa
24.10.2019

Serwery ARM

Oracle stawia na Ampere Computing
24.10.2019

Wszechstronny i elegancki

Dell XPS 15
10.10.2019

CYBERSEC EXPO - największe w...

Bezpieczeństwo cyfrowe nie jest problemem dotyczącym jedynie działów IT. Obecnie stanowi...
30.09.2019

Nowości w wirtualizacji

VMware World 2019
30.09.2019

Bezpieczeństwo mobile-first

Android 10

Powstrzymać pożar?

Data publikacji: 26-09-2019 Autor: Michał Jaworski

Na pytanie, czy można powstrzymać wszystkie naruszenia danych, odpowiedź jest tylko jedna. Nigdy to się nie uda. Historia pożarnictwa pokazuje, że informatyka ma się od kogo uczyć.

 

Zacznę od dygresji. Chciałem tę historię oprzeć na polskich danych, ale statystyki na stronach Komendy Głównej Państwowej Straży Pożarnej mają charakterystykę typową dla naszej części świata – nie sposób porównać wyników sprzed lat z aktualnymi, bo zmienia się sposób pomiaru. Dzięki temu zawsze można wykazać postęp i poprawę... Na tym dygresję kończę i posłużę się danymi z USA zebranymi przez Michaela McLoughlina z Microsoftu. Skoncentrował się on na trzech typach pożarów: budynków, pojazdów oraz pożarach zewnętrznych na terenach zurbanizowanych. Pod koniec lat 70. amerykańskie służby musiały reagować na niemal 3 miliony incydentów rocznie, a pożary były odpowiedzialne za ponad 7 tysięcy ofiar śmiertelnych rocznie. Między 1997 a 2017 rokiem liczba siedzib wzrosła z 79 milionów do 138 milionów. Liczba pojazdów zwiększyła się ze 142 milionów do 272 milionów, ale liczba pożarów w 2017 roku zmniejszyła się do 1,3 miliona. Co ważne, liczba ofiar śmiertelnych spadła do 3400 osób! Co się wydarzyło?

Wydaje się, że odpowiedź znajdziemy w trzech obszarach. Pierwszy to technologia – zarówno budynki, jak i samochody są dzisiaj projektowane z myślą o przeciwdziałaniu zagrożeniu pożarowemu, a materiały wykorzystywane do ich budowy zmieniły się zasadniczo. Drugi obszar to przepisy i standardy. Trzecia to zmiana zachowania ludzi. Nie mam złudzeń, że przeciętny Amerykanin ma większą wiedzę o pożarach niż czterdzieści lat temu, ale bez wątpienia zmniejszyła się liczba palaczy i tych, którzy preferują ogień jako źródło ciepła w kuchni czy pokojach.

Wróćmy na informatyczne podwórko. Powyżej przedstawiona została klasyczna triada warunków dla każdego systemu – technicznych, prawnych i organizacyjnych. IT jest w coraz większym stopniu projektowane z myślą o cyberbezpieczeństwie, a rozwiązania je podnoszące są wbudowane niemal w każdy produkt. Standardy, takie jak ISO 27001 i jego kolejne rozszerzenia dla chmury (27017) lub dla zarządzania danymi osobowymi (27018, 27701), czy te związane z zarządzaniem ciągłością działania lub zasadami SLA, znajdują się między strefą technologii a organizacji. Nie istnieją bez siebie. Wypełnienie tych wymagań można uzyskać na dwa sposoby – samemu projektując, wdrażając i utrzymując cały system, bądź korzystając z infrastruktury oferowanej przez np. dostawcę chmury obliczeniowej. Ponieważ standardów i wymagań jest coraz więcej, stąd druga opcja robi się coraz bardziej atrakcyjna. Jeśli zgodność ze standardem jest nieustannie audytowana, to zaufanie i pewność działania rosną. Do tego dochodzą wymagania prawne, które znowu przekładają się na technologię i organizację. Możemy wziąć dowolną regulację, choćby PSD2 czy ustawę o krajowym systemie cyberbezpieczeństwa. Z jednej strony zapisy dotyczące wprost bezpieczeństwa, z drugiej – i tu dotykamy warunków organizacyjnych – wymogów rozliczalności procesów przetwarzania.

Pozostają nam jeszcze zachowania użytkowników systemów IT. W 2018 roku Gartner przewidywał, że w ciągu czterech lat aż 95% wszystkich naruszeń bezpieczeństwa w chmurze będzie wynikało z błędów usługobiorców. Niektóre zachowania mogą być narzucone przez zmiany organizacyjne, wymagania prawne czy samą technologię. Przykładem niech będzie wieloskładnikowe uwierzytelnienie. Jeśli zostanie wprowadzone, to jak pokazują badania, pozwoli na wyeliminowanie aż 99,9% wszystkich nieuprawnionych prób logowania. To ogromna zmiana w bezpieczeństwie zarówno systemu, jak i samego użytkownika. Szum wokół rodo z jednej strony wytworzył rodzaj psychozy, ale równocześnie wiele osób po raz pierwszy zaczęło się zastanawiać nad ochroną danych osobowych.

Stosujemy niepalne materiały w budynkach i pozbyliśmy się tych, które pod wpływem temperatury zmieniały się w trucizny. Przeprojektowane zostały samochodowe zbiorniki paliwa, a czujniki informują o problemie szybciej niż unoszący się spod maski dym. Domowe kominki mają inną konstrukcję niż ongiś, a gaśnice w bagażnikach są obowiązkowe. Wspomniane na początku statystyki pokazują przemianę. Podobnie w IT nie spodziewajmy się przełomu, ale poprawiających się warunków zapewnienia cyberbezpieczeństwa. Technologii, standardów, zbiorów zasad i ludzkich zachowań.


Michał Jaworski – autor jest członkiem Rady Polskiej Izby Informatyki i Telekomunikacji. Pracuje od ponad dwudziestu lat w polskim oddziale firmy Microsoft.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"