Vlákno názorů k článku
Benešovská nemocnice byla napadena kryptovirem
od Miroslav Šilhavý - Bezpečnost se v praxi odsouvá na vedlejší kolej....
-
Bezpečnost se v praxi odsouvá na vedlejší kolej. Nevím jak v benešovské nemocnici.
Vím ale, že když se zákazníkovi předloží bezpečnostní koncept, protočí se mu panenky z ceny, co bude představovat úprava všech "doposud dobře fungujících" systémů. Zákazníci žijí v přesvědčení, že když je patnáct let nepotkal průšvih, tak dalších patnáct let je zase nepotká - tak proč vytahovat bubáky.
Málokdo je ochotný si naprojektovat havarijní stavy, náklady s jejich řešením, sankce a reputační rizika. Přitom pojistku na auto nebo nemovitost považují za samozřejmou.
Do hry vstupuje také fenomén sociální lenosti: na to přeci máme dodavatele, který za to ručí. Dodavatel ručí za prd, maximálně dá slevu na svoje služby, ale škody nezahladí.
-
null null (neregistrovaný)
Když už jste neskončil po "Nevím jak v benešovské nemocnici." tak jste do sve brilantní úvahy mohl započítat taky to kolik by to stálo navic a kdo by to zaplatil kdyby měla ta opatření byt opravdu komplexní a stejně ještě bez absolutní zaruky.
Uz Vas vidim jak nekomu z voličů kraje vykladate ze návštěva v nemocnici nepujde treba pod 50 - 70 Kč, s vyjmutim důchodců i vice - to pak radsi investujete do vlastni ochranky ... -
Tak bezpečnost už z principu je o kompromisu mezi cenou a úrovní zabezpečení. Ale jsou věci, co nic prakticky nic nestojí a pořeší plno věcí:
1) Politika hesel - stojí jenom vypracování směrnice, 2h proškolení a sesbírání podpisů, že dotyčný porozuměl a zodpovídá za porušení. Řeší, že nikde na stroji nebude heslo "ABC123" a ztíží přístup. A pokud ne, je daný viník, na kterým se exemplárně zahojí pro inspiraci ostatním.
2) Uživatel nemá právo cokoliv instalovat. Náklady jsou max. 1 zaměstnanec, co to bude instalovat, snižuje riziko zavirování.
3) Rozdělení sítě na segmenty. Náklady - nakonfigorování souteru a switche ( třeba řada ZyXEL 1900 není výrazně dražší, než nemanagovaný switch a pro pár ordinací na chodbě je to OK ). Přinese to, že se třeba účetní nedostane ke kartě pacienta, rentgenolog do daňovýho přiznání očaře a soukromníkovi se nikdo nehrabe v komplu v jeho věcech.
4) Zařízení bez záplatovanýho OS a možnosti upgrade (RTG, CT,...) ve vlastní síti za nějakou proxinou a bez přístupu ven. Náklady - jeden starší stroj, pár hodin IT oddělení na konfiguraci + starý PC se dvěma síťovkama. V provnání s cenou CT, FMR, ... je to nic. Řeší stav, kdy například díky ransomware stroj týden stojí, pojišťovny neproplácí výkony na něm a čeká na placený servis v ceně 10 těchhle proxyn.
5) Nesdílet data na úrovni sdílení file systému, ale např. pomocí DB + klientské aplikace. Náklady - server v DMZ + aplikace (ta může klidně i reportovat na pojišťovnu atd. - náklady se dají napsat na něco jinýho). Řeší, že PC z chirdy nezaviruje radiologii a je evidence, kdo se kdy dostal ke kartě pacienta (legislativní požadavky na ochranu osobních údajů, centrální zálohování,...). Jenom to zadat do výběrovky při budování infrastruktury.Atd.
-
ad 1) odpovědnost za porušení: zaměstnance postihnete do dvojnásobku průměrné mzdy - to nenahradí škody; zaměstnanec se odvolá k soudu a s velkou šancí to vyhraje
ad 2) spousta aplikací takto neumí funovat a nikdo nemá koule říct, že taková aplikace do sítě nesmí
ad 3) jestli je pro Vás ZyXEL řešením bezpečnosti, tak potěš koště
ad 4) utopie - pracujete s tím, co vedení nakoupí
ad 5) kdo zabezpečí aplikaci? kdo ověří její bezpečnost teď a v budoucnu? -
1) Zaměstnance je třeba motivovat. I dva platy bolí a pak je tady ještě pár dalších možností, jako že na čas přijde o nenárokovou část mzdy (prémie), hrubé porušení pracovní kázně a podobně. Jestli zaměstnanec vyhraje je otázka - pokud zaměstnavatel prokáže, že zaměstnanec byl seznámený s tím, jak se má chovat a že se zachoval jinak a bez jeho zapříčinění by škoda nevznikla, moc šancí s žalobou nemá.
Školení jsem tam napsal právě proto, aby prokazatelně zaměstnanec věděl, jak sestavit a používat heslo, proč to tak dělat a co mu hrozí.
2) Proč by nemohla? Jestli myslíš jako zápis dat do c:\cosi, tak tam se dají na ten adresář upravit práva a jinak nevím, proč by to nešlo. A pokud je aplikace fakt nepoužitelná z hlediska bezpečnosti, tak už se někdo musí zamyslet, jaký jsou priority. Kde není vůle řešit bezpečnost, tam není otázka jestli, ale kdy.
3) ZyXEL není řešením bezpečnosti, má svoje díry. Ale furt vidím jako lepší řešení mít jakýkoliv managovaný switch (včetně low cost GS1900) a VLANy, než když počítač od účetní vidí na počítač na chirdě a ten má namontovaný disk v CT na radiologii. "Jedna síť pro všechny" je to, co bych si jako blackhat přál - jeden stroj infikuje a zašifruje vše, ovládnu jeden stroj a vidím všechny... S několika VLANama a sítěma dostanu zruba to, co ve fyzické stavbě představují "požární úseky". GS1900 je jenom příklad, že na tohle nemusí být switch za 30 000+ a situaci dokáže dost zlepšit.
4) IT i vyřazuje stroje, co už z nějakýho důvodu nevyhovují. Většinou někde zbude nějaký PC po upgradech. Druhou síťovku, tučňáka, zapojit mezi skupinu nebezpečných přístrojů, nasadit firewall na konkrétní porty a nazdar. A furt jsou to věci, který IT nakoupilo. Jenom chtít.
5) Tak tam je to jednoduchý. Aplikaci si nemocnice nepíše, ale buďto koupí licence (s nějakou podporou, v rámci které se dělá údržba a záplatování chyb), nebo si to nechá napsat s tím, že si platí podporu. Pokud to udělají jinak, už to není věc IT, ale managementu. Každopádně ransomware funguje tak, že zašifruje disky, o kterých ví. Pokud vidí data na serveru, zašifruje je a okamžitě znepřístupní data i ostatním uživatelům. Pokud se z venku dostanu na jeden stroj, vidím všechno a nikdo nedohledá, kdo a co si kopíroval nebo mazal. Samba je sice jednoduchá a zadarmo, ale z pohledu ochrany dat a zabezpečení před ransomwarem je absolutně mimo hru. Takže pro sdílení dat je potřeba nesouborový přístup, třeba SQL databáze. A ideálně, pokud jedou doktoři na WIdlích, dát si na ten server jiný systém nebo ideálně i jiný procesor, aby případný útok zkomplikoval (nespustí se binárka viru, v jiným OS nebude ta samá díra jako ve WIdlích, blackhat potřebuje víc znalostí,...) A i děravá aplikace v tomto případě udělá z pohled bezpečnosti lepší službu, než použití SMB z widlí na widlí server, kam lezou stovky klientů. To je totiž cesta do pekla... -
pokud zaměstnavatel prokáže, že zaměstnanec byl seznámený s tím, jak se má chovat a že se zachoval jinak
V praxi to tak u soudů nechodí. Zkoumá se, jaké jsou skutečné zvyklosti - mimo jiné, jestli to někdo průběžně kontroluje, jestli selhal jen ten jeden jednotlivec, nebo jestli je zažitou praxí, že se tak chovají všichni, ... Podepsaný cár papíru, neuvedený do praxe u soudu fakt nestačí.
S několika VLANama a sítěma dostanu zruba to, co ve fyzické stavbě představují "požární úseky".
Separace a segregace jsou bezpečnostní postupy, o tom není pochyb. Samotné VLAN nic nevyřeší, zejména protože pak dělat prostupy mezi segmenty začne být neúnosně složité. Ale chytré switche (myslím ty opravdové, ne za pár tisícikorun) to opravdu umějí řešit, jen VLAN není ta správná cesta na tento případ.
IT i vyřazuje stroje, ... Druhou síťovku, tučňáka, zapojit mezi skupinu nebezpečných přístrojů, nasadit firewall na konkrétní porty a nazdar.
Potěš koště, jestli tohle považujete za postup v bezpečnosti. Mimochodem, spousta aplikací má porty dynamicky, z toho co zajímá firmy můžu jmenovat MS SQL. HTTPS přenos nezabezpečíte jinak než přes proxy, ale tím zase zlomíte NTLM ověření, které v místní síti potřebujete.
Ad 5) k tomu nemám co říct. Podnikovou síť jste podle mě nikdy neviděl (soudím z naivity názorů), za sdílení souborů považujete Sambu, ale jako bezpečnostní opatření vidíte architekturu CPU serveru.
Prosím Vy neraďte a hlavně nejděte nikdy spravovat žádnou nemocnici :).
-
Filip JirsákStříbrný podporovatelAby byla politika hesel k něčemu, musí být za prvé rozumná – pokud ji bude navrhovat někdo za nejnižší cenu, určitě se tam objeví skvosty jako pravidelná změna hesel. A za druhé musí být implementovaná v celém IT, všude musí fungovat SSO. Bez toho je politika hesel jen cár papíru a zahojíte se maximálně na někom, kdo nebude vědět, že se může bránit.
Bohužel se ale bavíme o českém zdravotnictví, které celé jede v režimu „hlavně, aby to teď vypadalo co nejlevněji“. Všichni vědí, jak jsou ve zdravotnictví neustále porušovány normy o bezpečnosti práce – IT bezpečnost je jenom jiný důsledek téhož problému. Vlastně je s podivem, že se těch průšvihů reálně děje tak málo.
-
Filip JirsákStříbrný podporovatel
Proč myslíte, že rozumná politika nemá šanci na dodržování? Pokud bude zaměstnanec v organizaci používat jediné heslo (přes SSO), a na to heslo budou nějaké rozumné podmínky (aby nešlo používat heslo „a“), ta politika se podle mne dodržovat bude. Ještě lepší je přihlašovat se čipovou kartou, ale i tam je potřeba mít nějaké záložní heslo.
-
Filip JirsákStříbrný podporovatel
Vynucená pravidelná změna hesla je nesmysl, ale já jsem se ptal na rozumnou politiku. Vynucení alespoň tří sad znaků podle mne není problém, nemyslím si, že by to pro uživatele byla překážka. Samozřejmě ale musí vědět, jak a proč heslo správně vytvářet, protože tři sady znaků ještě nejsou zárukou bezpečného hesla.
-
> tři sady znaků ještě nejsou zárukou bezpečného hesla.
A naopak – použití jediné sady znaků (třeba pouze velká písmena) ještě neznamená nutně slabé heslo. Když je dostatek entropie…
Ještě k podpoře Vašeho tvrzení – třeba „P@ssw0rd“ obsahuje velké písmeno, malé písmeno, číslici a speciální znak, bezpečné ale moc není…
-
Protože v praxi to sklouzává k tomu, že politka hesel není rozumná, SSO se nedá zavést (spousta ostrovních sytémů), takže uživatel u každé aplikace mění heslo zvlášť a v jinou dobu. U první aplikace si heslo nastaví, a druhá aplikace na něj zařve, že v ní jsou pravidla pro heslo jiná. A tak má uživatel možná na začátku aspoň stejné heslo všude, ale po pár týdnech se to rozjede a nepomůže nic, než papírek pod klávesnicí (nebo jiný password manager).
Pokud má IT sílu zavést a prosadit u všech systému SSO, pak už je to IT, které bezpečnost řešit a prosadit UMÍ. My tu mluvíme hlavně o těch, kteří to neumějí.
-
Tak jestli nejste schopen dodržet ani takovou <|>vinu jako volba a použití rozumného hesla, nemůžete řešit agendu počítači, obecněji nemůže tak činit ani zdravotnictví. Osobně proti tomu nic nemám, papír fungoval i dříve, můžeme se k tomu vrátit, bezpečnost tím zjevně vzroste.
Celý problém nasazení IT v různých oborech je ten, že všichni v něm vidí jen ty přínosy, ale nedostatky přehlížejí.
