Bezpečné IT: Začínat se musí architekturou, a ne nákupním seznamem
Bezpečnost informačního systému stojí zejména na jeho architektuře. Bohužel řada institucí v Česku si IT pořizuje podle nákupního seznamu, píše šéf NEWPS Aleš Kučera. Více se dočtete v následujícím sloupku.
O kybernetických hrozbách a hackerských útocích je slyšet stále častěji. Krize, jako koronavirové pandemie, jim ještě nahrávají. Zároveň se neustále objevují zprávy o tom, jak ten, který hardware, software či konkrétní aplikace obsahuje bezpečnostní díru, kudy útočníci mohou dovnitř. Jak je to možné?
Člověk jménem Kurt Gödel už kdysi dávno vysvětlil, že je to v podstatě nevyhnutelné. Uvedl to v definici tak vědecké, že ji chápou snad jen ti, kdo mají vystudovanou logiku. Ale jedna z interpretací zní, že v každém systému, který má axiomy a pravidla, lze dokázat tvrzení i jeho negaci. Neboli skutečnost, že se v nejrůznějších IT systémech vyskytuje chyba, je normální. V okamžiku, kdy ji opravíte, vytvoříte jiný axiomatický systém s jinými pravidly, ale i v něm se zase dá dokázat tvrzení i jeho negace.
V podstatě existují dva způsoby, jak se s tím vypořádat. Za prvé je to otázka praktičnosti případného útoku. Když jeho provedení stojí větší úsilí nebo větší náklady – ať už finanční či jiné než zisk, který z něj plyne, tak se útočníkovi nekalá akce prostě nevyplatí.
Za druhé je třeba si říct, co dělat v případě, kdy kdokoli nějakou slabinu skutečně využije. Dobří architekti informačních systémů by měli přemýšlet o obou těchto aspektech – jak systémy, co nejlépe zabezpečit, ale zároveň jak reagovat v případě, že přes veškeré úsilí útočníci chybu najdou a proniknou přes ní.
Třeba v českých nemocnicích, z nichž některé v uplynulých měsících útok hackerů doslova paralyzoval, ale takto zjevně nikdo neuvažuje. Důvod je jednoduchý. Tyto instituce nemají pocit, že by měly zaměstnávat lidi, kteří věci rozumějí. Nejspíš tam zpravidla byl „expert“, který nakupoval počítače a software podle nákupního seznamu. Bezpečnost je ale v drtivé většině případů skutečně především otázkou architektury IT systému.
Ing. Aleš Kučera
předseda představenstva
NEWPS HOLDING SE
Najdete nás i na LinkedIN nebo Facebooku.
elektronické formuláře pro komunikaci (nejen) s úřady - zdarma, rychle, z bezpečí domova
povinnosti podnikatelů na jedno místě a přehledně
