Czołowy ekspert w dziedzinie bezpieczeństwa ostrzegł przedsiębiorców, aby uważali przy kupnie zabezpieczeń słabej jakości.
Bruce Schneier – założyciel i główny dyrektor techniczny w BT Counterpane – wystosował ostrzeżenie na wtorkowej konferencji RSA Conference Europe 2007 w Londynie. Powiedział delegatom, że niekoniecznie powinni ufać sprzedawcom zabezpieczeń dającym zwodnicze wyobrażenie na temat bezpieczeństwa tych produktów.
„Być może istnieje polityczny przymus dotyczący decyzji w sprawie zabezpieczeń, może też istnieć przymus marketingowy” – powiedział Schneier, podając przykład ludzi sprzedających inteligentne karty (smart cards), którzy „robią dużo, aby przekonać nas, że inteligentne karty są odpowiedzią na problemy bezpieczeństwa. Dla każdej firmy, która jest bezpieczna, istnieje przynajmniej jedno ‘ja też’”.
Schneier powiedział, że ocena bezpieczeństwa różnych produktów jest trudna dla firm, ponieważ znane ataki są stosunkowo rzadkie, przez co utrudniają zebranie wystarczających danych dla oceny bezpieczeństwa produktu.
„Jeśli przypadki mają wysoką szkodliwość i są rzadkie, trudno jest zdobyć dane. Nie poznam (wiarygodności produktu), ponieważ nie mam danych. Po 11-tym września istnieje duża dociekliwość na temat tego, co się nie udało, lecz trudno powiedzieć co poszło źle, ponieważ był to jeden przypadek. Nie ma wystarczającej ilości danych” – powiedział Schneier.
„Rynek (zabezpieczeń) jest asymetryczny – sprzedający wie o wiele więcej niż kupujący” – powiedział Schneier. „W USA kiepski, używany samochód nazywany jest cytryną, ale zanim nie wyjedziesz od sprzedawcy nie dowiesz się, że to jest cytryna”.
Jeżeli słabe produkty zostają poprawnie wprowadzone do sprzedaży, mogą wyprzeć te dobre z rynku – ostrzega Schneier.
„Produkty mogą mieć takie same wymagania, takie same algorytmy, takie same slogany reklamowe i jedne są bardzo bezpieczne, a inne tylko się przyplątały. Jeśli nie ma żadnego praktycznego sposobu, aby sprawdzić produkt, kupisz ten tańszy” - powiedział Schneier.
Schneier powiedział, że w związku z dynamiką rynku, dobre produkty zazwyczaj pną się w górę, lecz rynek prawdopodobnie nie może powstrzymać zasięgu rzadkich przypadków. Ostrzegł przedsiębiorców, aby nie dali się złapać w pułapkę poczucia bezpieczeństwa, powodowanego raczej strachem niż realnością”.
„Zasadniczo nie jesteśmy racjonalistami” – powiedział Schneier – „Mózg ledwo pracuje we wspólnocie bezpieczeństwa. Nadal jest w fazie testów beta. Jest wiele dziwnych dziur i skrótów oraz wiele łat i obejść”.
Przedsiębiorstwa powinny bardzo ostrożnie ocenić zabezpieczenia – powiedział Schneier – i znaleźć zaufane osoby biegłe w temacie, które są w stanie podjąć odpowiednie decyzje w firmie w sprawie bezpieczeństwa.
Eric Baize – dyrektor działu zabezpieczeń firmy EMC – zgodził się, że dostępne są zabezpieczenia zarówno dobrej jak i złej jakości.
„Prawo statystyk jest takie, że we wszystkim są rzeczy dobrej i złej jakości” – powiedział Baize. „To odnosi się do wina, żywności i zabezpieczeń. Toczą się dyskusje czy zabezpieczenia powinny być dodane do infrastruktury czy zawarte jako cecha rdzeniowa. Aktualnie w dziedzinie zabezpieczeń firmy sprzedają bezpieczne infrastruktury”.
Shannon Kellogg – dyrektor ds. polityki informatycznej w firmie RSA – powiedział, że kwestią decydującą jest wbudowanie zabezpieczeń w systemach od początku.
„Budowanie rdzeniowych funkcjonalności zabezpieczeń jest absolutnie istotne” – powiedział Kellogg. „W przeszłości systemy nie miały funkcjonalności zabezpieczeń, ale to właśnie sprawia, że firmy mogą zrobić więcej. Jeśli Twój samochód ma hamulce, możesz jechać szybciej”.
Źródło: http://www.news.com |
