12 největších mýtů z oblasti informační bezpečnosti

Existuje celá řada bezpečnostních mýtů, které jsou opakovány tak často, až se stávají „neoddiskutovatelnou pravdou“. Zeptali jsme se proto odborníků na bezpečnost, aby nám popsali, které z těchto mýtů považují za nejnebezpečnější.

12 největších mýtů z oblasti informační bezpečnosti


1. Čím více zabezpečení, tím lépe

Bruce Schneider, bezpečnostní expert na IT technologie, vysvětluje, proč je podle něj špatný koncept „zabezpečení není nikdy dost“. „Více investic do bezpečnosti nemusí být vždy lepším řešením. Zabezpečení podle něj vždy představuje určitý kompromis a náklady na vyšší úroveň zabezpečení bývají někdy vyšší než jeho vlastní přínos. Celou věc uvádí na banálním příkladu: „Nevyplatí se investovat 100 000 dolarů do ochrany jedné koblihy. Jistě, kobliha musí být v bezpečí, ale za ty peníze si jich koupíte opravdu hodně.“ Při zvyšování míry zabezpečení je podle něj třeba počítat s klesajícím výnosem z rozsahu.

2. Útoky DDoS lze odstranit zvýšením šířky pásma

Carl Herberger, viceprezident pro bezpečnostní řešení v Radwaru, říká, že se mnoho IT manažerů domnívá, že když budou mít k dispozici dostatečnou šířku pásma, útoky typu DDoS vymizí. Realita je však podle Herbergera taková, že od loňského roku není více než polovina DDoS útoků charakterizována zahlcením pásma, ale orientuje se přímo na provozované aplikace, kde útočníci docílí narušení služeb úderem na jejich specifickou vlastnost. Za těchto okolností pomůže větší šířka pásma spíše útočníkovi. Ve skutečnosti se dá v dnešní době rozšířením pásma zmírnit pouhá čtvrtina DDoS útoků.

3. Pravidelná expirace hesel za 90 dnů posiluje bezpečnost systémů

„Myslím si, že je to něco jako nutriční rada, která nám říká, že bychom měli vypít osm sklenic vody denně,“ říká Ari Juels, hlavní vědecký pracovník RSA z bezpečnostní divize EMC, o svém oblíbeném mýtu. Z výzkumu, který provedly laboratoře RSA, navíc vyplývá, že pokud se organizace chystá měnit hesla, měla by to dělat podle náhodného rozvrhu, a ne podle pevně daného časového rozestupu.

4. Spolehněte se na moudrost davu

„Znovu a znovu budou zaměstnanci dostávat e-mail od někoho, kdo říká, že se objevil nový virus nebo že se vynořil jiný druh hrozícího nebezpečí na internetu a s tzv. novinkou budou obratem kontaktovat oddělení IT,“ konstatuje Bill Bolt, viceprezident pro informační technologie v basketbalovém týmu Phoenix Suns. Po přezkoumání se však ukazuje, že informace obsažené v těchto upozorněních varují i před deset let starými hrozbami.

5. Virtualizace na straně klienta vyřeší bezpečnostní problémy s BYOD

„Další mýtus, který slýchám opakovaně, říká, že problémy se zabezpečením vlastních zařízení uživatelů zapojených do firemní sítě budou vyřešeny rozdělením na pracovní a soukromý virtuální prostor,“ říká analytik Gartneru John Prescatore. Ale v tomto případě je skeptický. „První věc, která se stane po rozdělení do scénářů ‚pracuj‘ a ‚hraj‘ je, že dostanu e-mail ve svém pracovním prostředí a potřebuji ho použít v tom osobním – pošlu tedy e-mail sám sobě nebo použiji USB flash disk k přenesení – celé rozdělení tím okamžitě ztrácí smysl.“

6. IT oddělení by mělo přesvědčit uživatele, aby využívali zcela náhodná hesla

„Skutečnost je taková, že čistě náhodná hesla jsou sice silná, ale mají také své nevýhody: jsou těžko zapamatovatelná a píšou se pomalu,“ tvrdí Kevin Haley, manažer uživatelské podpory ve společnosti Symantec. „Ve skutečnosti je velice jednoduché vytvořit hesla, která jsou stejně silná jako ta náhodná, ale jsou o mnoho lépe zapamatovatelná díky použití několika jednoduchých technik. Hesla, která mají délku alespoň 14 znaků, obsahují velká a malá písmena, dvě čísla a dva symboly, jsou obvykle velmi silná a mohou být zformulována do jednoduše zapamatovatelné fráze.“

7. Každý počítačový virus se nějak projeví na obrazovce počítače

„Pro běžného uživatele jsou počítačové viry spíše pohádkami,“ míní David Perry, prezident G Data Software v Severní Americe. „Můj oblíbený mýtus je pravděpodobně ten, že počítačový virus musí produkovat viditelné symptomy na obrazovce například tím, že ukáže proces mazání souborů nebo že zčerná pracovní plocha. Z toho lidé dedukují, že by měli obviňovat viry ze všeho, co na jejich počítači nefunguje.

8. My přece nejsme cíl

„Většinou to slýchávám od obětí,“ říká Alan Brill, senior manažer pro bezpečnost kyberprostoru a informační zajištění ve společnosti Kroll. „Myslí si, že nestojí za napadení. Jiní tvrdí, že neshromažďují rodná čísla, čísla kreditních karet nebo jiné ‚hodnotné‘ informace.“

9. Z hlediska bezpečnostních děr není dnešní software o nic lepší, než býval dříve

„Určitá skupina lidí ráda aktivně prohlašuje, že nový software není o nic lepší než ten starý, a to kvůli bezpečnostním mezerám, které obsahuje,“ upozorňuje Gary McGraw, technologický ředitel v Cigitalu. Opak je ale podle McGrawa pravdou, hustota výskytu bezpečnostních děr totiž v průběhu času výrazně poklesla, neboť kódovací postupy jsou dnes výrazně sofistikovanějšími než před deseti nebo dvaceti lety. Často přehlíženým faktem podle něj je, že ve srovnání s érou Windows 95 se píše mnohem více softwarového kódu a ten je větší než kdy dříve.

10. Přenos citlivých informací přes SSL je bezpečný

„Společnosti často využívají SSL k posílání citlivých informací od zákazníků nebo partnerů a domnívají se, že je to dokonale bezpečné,“ konstatuje Rainer Enders, technický ředitel v NCP Engineering. „V tomto procesu se však vynořuje stále více slabých míst.“ Ideální cesta, jak se vyhnout nebezpečí, může být ta, že se nikdy nepoužije stejný klíč pro šifrování dvou různých dokumentů.

11. Zabezpečovací software pro koncové stanice je komodita

Jon Oltsik, analytik Enterprise Strategy Group, říká, že většina IT specialistů považuje různé produkty pro zabezpečení koncových stanic za velmi podobné, a tudíž i vzájemně zastupitelné. Oltsik s tím ale nesouhlasí, protože jednotlivá řešení se výrazně liší jak úrovní ochrany, tak i svou funkčností. Domnívá se také, že většina organizací není dostatečně informována o možnostech tohoto softwaru.

12. Jistěže jsme ochráněni, v naší síti máme přece firewall

Kevin Butler, analytik bezpečnosti IT na univerzitě v Arkansasu, říká, že existuje mnoho mýtů o firewallech. Butler považuje za nejvýznamnější z nich domněnku, že firewally jsou vždy součástí hardwaru a dobře nastavený firewall vás ochrání před všemi hrozbami.


Úvodní foto: Fotolia © xiaoliangge

Vyšlo v CIO Business World 4/2012
Časopis lze koupit se slevou 20 %





Komentáře