CS Computer Systems
  1. O nama
  2. Novosti i blog

  3. SEC vs SolarWinds

SEC vs SolarWinds - o naknadnoj pameti 2. dio

20. prosinca 2023.

SEC vs SolarWinds - o naknadnoj pameti 2. dio

 

Piše: Tomislav Pongrac

 

U prvom dijelu sam ukratko ispričao osnovu priče o slučaju SolarWinds. Iznio sam tezu o naknadnoj pameti. Ona kaže da je vrlo uobičajeno i normalno zanemariti ranjivosti u uvjetima kad nema neposredne opasnosti. Teza djeluje vrlo očito, ali nažalost često je zanemarujemo.

Evo dokaza. Zamislimo dvije, potpuno različite priče - nazovimo ih (nemaštovito) Kontekst 1 i Kontekst 2.

 

Kontekst 1 - business as usual

  • Svi rade svoje uobičajene poslove i fokusirani su na core_business. Uobičajene aktivnosti - svi su užurbani, nemaju vremena, razgovara se o projektima, budžetima i ostalim poslovnim temama.
  • Nema informacije o bilo kakvim napadima ili kompromitaciji unutar kompanije
  • Unutar uobičajenog poslovnog procesa netko ukaže na ranjivost_1, ranjivost_2 i ranjivost_3
  • Odgovorni na to kažu: Daj pusti nas s time. Nemamo sad resurs_koji_fali_1, resurs_koji_fali_2 ni resurs_koji_fali_3 da bi se sad gnjavili s time. Vidiš da radimo core_business!
  • Tu obično priča završi

 

Kontekst 2 - dogodio se incident

  • Reputacija je narušena
  • Podaci su izgubljeni ili kompromitirani, vjerojatno je i servis prema korisnicima patio
  • Panika je, a potencijalno su i novci izgubljeni
  • Nakon puno muke incident se nekako riješi, podaci se vrate i firma nastavlja s radom
  • Kreće analiza zašto se to dogodilo
    • Dolazi tijelo_koje_analizira i nakon nekoliko izvida počne postavljati pitanja
      • Među prvim pitanjima je: Čekajte, vi se bavite core_business, a niste ništa radili kako bi adresirali ranjivost_1, ranjivost_2, a čak ni ranjivost_3.
    • Sad je onaj argument da nema resursa malo tanak i vjerojatno ga nitko ne želi koristiti.

 

Primijenimo ovo na slučaj SolarWinds. SEC je analizu napravio u Kontekstu 2. Potpuno različite okolnosti od onih u kojima su izvještaji napravljeni. Dogodio se jedan od najvećih napada u povijesti IT industrije. Koristeći taj napad, kompromitiran je velik broj drugih entiteta. Razina drame je neusporedivo veća od Konteksta 1. Uzevši u obzir naknadnu pamet, ranjivosti su dobile svoju stvarnu težinu.

Da se vratim na pitanje zašto ranjivosti nisu završile u poslovnim izvještajima. Volim čitati poslovne izvještaje kompanija. Vrlo mi je interesantno informirati se o različitim poslovnim modelima, strategijama, pogledima na rizike i, naravno, financijskim podacima. Pročitao sam dobar broj financijskih izvještaja i vrlo mali broj kompanija detaljnije navodi popise sigurnosnih ranjivosti na kojima rade. Čini se da to još jednostavno nije standard. Nadam se da će ovaj postupak SEC-a doprinijeti da se uskoro taj standard poboljša. To bi sigurnosne ranjivosti definitivno stavilo na viši prioritet vodstva kompanija.

 

I što dalje?

Srećom, većinu vremena provodimo u Kontekstu 1 - business as usual. Tu je razgovor o ranjivostima pomalo neugodan. Asocira na paranoično navođenje loših stvari koje se mogu dogoditi a vrlo su malo vjerojatne. Kao oni požari i prirodne nepogode u spornom izvještaju SolarWinds. Ljudi to jednostavno ne vole slušati. Nažalost, najčešće počinjemo slušati kad se (nama ili drugim bliskima) dogodi incident.

Čistunci u upravljanju informacijskom sigurnošću će reći: pa to se mora raditi redovito, Business Impact Analysis (BIA), analiza rizika. Kako god promišljali rizike, strukturirano kroz spomenute procese ili drukčije - imam prijedlog.

Mislim da za početak trebamo osvijestiti postojanje spomenutih konteksta i u “mirnodopskim uvjetima” pokušati objektivno sagledati postojeće ranjivosti. Kad sagledavam te ranjivosti, volim koristiti jednu jednostavnu metodu. Zajedno s timom zamislim da se upravo zbog te ranjivosti dogodio incident sa svim svojim posljedicama: panika, izgubljeni podaci, članovi uprave zovu na raport. I onda netko koristeći naknadnu pamet pita: “A dobro, zašto tu ranjivost nismo riješili?”.

Na to pitanje dajemo mentalni odgovor ili opravdanje. Ako nam taj odgovor u zamišljenom Kontekstu 2 (panika, gubici, blame allocation) ima smisla, možda ranjivost i nije toliko strašna. Možda može proći još neko vrijeme prije nego se riješi. A ako ipak nemamo prihvatljivo objašnjenje - idemo rješavati ranjivost.

 

Bugovi u zaključivanju (cognitive biases) su gadna stvar. To su pogreške koje su nam, u doba kad smo bili lovci sakupljači, spašavale život jer su nas držale zajedno s plemenom. Sad nam zamućuju kvalitetu odluka. Naknadna pamet (hindsight) mi je jedna od omiljenih. Kao i sve pameti, može se koristiti naknadno. No, mislim da je ipak najbolje iskoristiti je prije. Pogotovo u sigurnosti.

 

 

Dodatak - rječnik

Ovdje navodim vrijednosti primjenjive za slučaj SolarWinds. Pozivam vas da varijable u kontekstima zamijenite svojima. Garantiram - zvučat će vam jako poznato.

core_business == proizvodnja nadzornog softvera kojeg koriste tisuće kompanija širom svijeta, uključujući mnoge državne agencije

ranjivost_1 == nekorištenje dobrih sigurnosnih praksi prilikom razvoja softvera

ranjivost_2 == loša zaštita VPN pristupa

ranjivost_3 == loše prakse vezane uz korištenje lozinki

resurs_koji_fali 1..3 == ne znamo koji su bili u SolarWinds slučaju, ali obično su to budžeti (novac), kompetentni ljudi i vrijeme

tijelo_koje_analizira == SEC. Kod nas može biti državna institucija (HAKOM, AZOP, ZSIS …), može biti i interna revizija vlasnika 

HR EN

Stranice cs.hr koriste kolačiće (eng. cookies). Neophodni kolačići nužni su za ispravan rad stranice. Ostali kolačići omogućuju praćenje posjetitelja u svrhu poboljšanja naših usluga te boljeg marketinškog iskustva. Informacije o kolačićima koje koristimo ili opcije za isključivanje možete pronaći u postavkama kolačića.