Piše: Tomislav Pongrac
U prvom dijelu sam ukratko ispričao osnovu priče o slučaju SolarWinds. Iznio sam tezu o naknadnoj pameti. Ona kaže da je vrlo uobičajeno i normalno zanemariti ranjivosti u uvjetima kad nema neposredne opasnosti. Teza djeluje vrlo očito, ali nažalost često je zanemarujemo.
Evo dokaza. Zamislimo dvije, potpuno različite priče – nazovimo ih (nemaštovito) Kontekst 1 i Kontekst 2.
Kontekst 1 – business as usual
- Svi rade svoje uobičajene poslove i fokusirani su na core_business. Uobičajene aktivnosti – svi su užurbani, nemaju vremena, razgovara se o projektima, budžetima i ostalim poslovnim temama.
- Nema informacije o bilo kakvim napadima ili kompromitaciji unutar kompanije
- Unutar uobičajenog poslovnog procesa netko ukaže na ranjivost_1, ranjivost_2 i ranjivost_3
- Odgovorni na to kažu: Daj pusti nas s time. Nemamo sad resurs_koji_fali_1, resurs_koji_fali_2 ni resurs_koji_fali_3 da bi se sad gnjavili s time. Vidiš da radimo core_business!
- Tu obično priča završi
Kontekst 2 – dogodio se incident
- Reputacija je narušena
- Podaci su izgubljeni ili kompromitirani, vjerojatno je i servis prema korisnicima patio
- Panika je, a potencijalno su i novci izgubljeni
- Nakon puno muke incident se nekako riješi, podaci se vrate i firma nastavlja s radom
- Kreće analiza zašto se to dogodilo
- Dolazi tijelo_koje_analizira i nakon nekoliko izvida počne postavljati pitanja
- Među prvim pitanjima je: Čekajte, vi se bavite core_business, a niste ništa radili kako bi adresirali ranjivost_1, ranjivost_2, a čak ni ranjivost_3.
- Sad je onaj argument da nema resursa malo tanak i vjerojatno ga nitko ne želi koristiti.
- Dolazi tijelo_koje_analizira i nakon nekoliko izvida počne postavljati pitanja
Primijenimo ovo na slučaj SolarWinds. SEC je analizu napravio u Kontekstu 2. Potpuno različite okolnosti od onih u kojima su izvještaji napravljeni. Dogodio se jedan od najvećih napada u povijesti IT industrije. Koristeći taj napad, kompromitiran je velik broj drugih entiteta. Razina drame je neusporedivo veća od Konteksta 1. Uzevši u obzir naknadnu pamet, ranjivosti su dobile svoju stvarnu težinu.
Da se vratim na pitanje zašto ranjivosti nisu završile u poslovnim izvještajima. Volim čitati poslovne izvještaje kompanija. Vrlo mi je interesantno informirati se o različitim poslovnim modelima, strategijama, pogledima na rizike i, naravno, financijskim podacima. Pročitao sam dobar broj financijskih izvještaja i vrlo mali broj kompanija detaljnije navodi popise sigurnosnih ranjivosti na kojima rade. Čini se da to još jednostavno nije standard. Nadam se da će ovaj postupak SEC-a doprinijeti da se uskoro taj standard poboljša. To bi sigurnosne ranjivosti definitivno stavilo na viši prioritet vodstva kompanija.
I što dalje?
Srećom, većinu vremena provodimo u Kontekstu 1 – business as usual. Tu je razgovor o ranjivostima pomalo neugodan. Asocira na paranoično navođenje loših stvari koje se mogu dogoditi a vrlo su malo vjerojatne. Kao oni požari i prirodne nepogode u spornom izvještaju SolarWinds. Ljudi to jednostavno ne vole slušati. Nažalost, najčešće počinjemo slušati kad se (nama ili drugim bliskima) dogodi incident.
Čistunci u upravljanju informacijskom sigurnošću će reći: pa to se mora raditi redovito, Business Impact Analysis (BIA), analiza rizika. Kako god promišljali rizike, strukturirano kroz spomenute procese ili drukčije – imam prijedlog.
Mislim da za početak trebamo osvijestiti postojanje spomenutih konteksta i u “mirnodopskim uvjetima” pokušati objektivno sagledati postojeće ranjivosti. Kad sagledavam te ranjivosti, volim koristiti jednu jednostavnu metodu. Zajedno s timom zamislim da se upravo zbog te ranjivosti dogodio incident sa svim svojim posljedicama: panika, izgubljeni podaci, članovi uprave zovu na raport. I onda netko koristeći naknadnu pamet pita: “A dobro, zašto tu ranjivost nismo riješili?”.
Na to pitanje dajemo mentalni odgovor ili opravdanje. Ako nam taj odgovor u zamišljenom Kontekstu 2 (panika, gubici, blame allocation) ima smisla, možda ranjivost i nije toliko strašna. Možda može proći još neko vrijeme prije nego se riješi. A ako ipak nemamo prihvatljivo objašnjenje – idemo rješavati ranjivost.
Bugovi u zaključivanju (cognitive biases) su gadna stvar. To su pogreške koje su nam, u doba kad smo bili lovci sakupljači, spašavale život jer su nas držale zajedno s plemenom. Sad nam zamućuju kvalitetu odluka. Naknadna pamet (hindsight) mi je jedna od omiljenih. Kao i sve pameti, može se koristiti naknadno. No, mislim da je ipak najbolje iskoristiti je prije. Pogotovo u sigurnosti.
Dodatak – rječnik
Ovdje navodim vrijednosti primjenjive za slučaj SolarWinds. Pozivam vas da varijable u kontekstima zamijenite svojima. Garantiram – zvučat će vam jako poznato.
core_business == proizvodnja nadzornog softvera kojeg koriste tisuće kompanija širom svijeta, uključujući mnoge državne agencije
ranjivost_1 == nekorištenje dobrih sigurnosnih praksi prilikom razvoja softvera
ranjivost_2 == loša zaštita VPN pristupa
ranjivost_3 == loše prakse vezane uz korištenje lozinki
resurs_koji_fali 1..3 == ne znamo koji su bili u SolarWinds slučaju, ali obično su to budžeti (novac), kompetentni ljudi i vrijeme
tijelo_koje_analizira == SEC. Kod nas može biti državna institucija (HAKOM, AZOP, ZSIS …), može biti i interna revizija vlasnika