Architektura bezpieczeństwa.

Iluzja odporności: Pytania, których nikt nie zadaje. 

Zacznijmy od zrozumienia czym jest architektura systemu IT.
Dla mnie jest nie tylko katalogiem usług czy zestawem diagramów w dokumentacji projektowej. To całość decyzji, założeń, procesów i praktyk, które kształtują sposób działania organizacji. W tym sensie architektura jest czymś znacznie szerszym i bardziej złożonym: obejmuje zarówno fundamenty technologiczne, jak i kulturę pracy, przepływy biznesowe, relacje z dostawcami czy sposób zarządzania ryzykiem. To tkanka, która spaja technologię i biznes.

Czy architektura może być bezpieczna przez przypadek?

Na pierwszy rzut oka to pytanie wydaje się banalne, ale jeśli przyjrzeć się bliżej, kryje w sobie sedno problemu. Bezpieczeństwo w wielu firmach przypomina gaśnicę w piwnicy: wszyscy teoretycznie wiedzą, że istnieje, ale nikt nie sprawdza, czy faktycznie działa, dopóki nie pojawi się pożar.
Dopiero w obliczu kryzysu okazuje się, że to, co miało zapewniać spokój, było jedynie złudzeniem kontroli.

Podczas rozmów z Zarządami i Prezesami, niezależnie od tego, czy chodzi o niewielką firmę czy globalną korporację, słyszę często podobne zdanie: „Cyberbezpieczeństwo mamy zaopiekowane, bo mamy świetny zespół IT i nowoczesne technologie”.
To zdanie brzmi dobrze, daje poczucie panowania nad sytuacją, a jednocześnie skutecznie spycha temat bezpieczeństwa poza agendę strategicznych dyskusji.
W praktyce jednak bezpieczeństwo architektury rzadko wynika z codziennej refleksji i analizy. Jest deklarowane na papierze, oparte na narzędziach, checklistach i audytach, które bardziej uspokajają niż rzeczywiście chronią.

Powstaje iluzja odporności - skoro nie wydarzył się żaden spektakularny incydent, zakładamy, że system działa poprawnie. Do momentu, aż wydarzy się coś, czego nikt nie przewidział.

Dlaczego tak trudno zadać proste pytania?

Raporty po takich zdarzeniach często powtarzają tę samą narrację: „Firma XYZ padła ofiarą zaawansowanego ataku hakerskiego, mimo stosowania najlepszych praktyk”. Tyle, że w większości przypadków ten „zaawansowany atak” nie był ani nowy, ani wyjątkowy. To zazwyczaj stare, powtarzające się schematy:

► słaba segmentacja sieci,
► źle skonfigurowane uprawnienia,
► brak aktualizacji,
► nieuwzględnione zależności.

Nowoczesne technologie i procedury nie uchronią organizacji, jeśli ich fundamentem są niezweryfikowane założenia. Więc dlaczego tak trudno zadać proste pytania?
W dużej mierze wynika to z kultury organizacyjnej. Mało kto chce wyjść na osobę, która kwestionuje oczywistości. Łatwiej jest przyjąć za dobrą monetę to, co wpisano w dokumentację lub co powtarza się od lat na spotkaniach.

Presja czasu i budżetu dodatkowo wzmacnia tę tendencję, a pytania o bezpieczeństwo często traktowane są jako hamulec. Zaufanie do zespołu też bywa zgubne: im większe przekonanie o kompetencjach, tym mniejsza skłonność do grzebania w detalach. Wreszcie dochodzi mechanizm psychologiczny: skoro przez lata nic złego się nie wydarzyło, to zapewne wszystko działa, jak należy. To myślenie bywa bardzo kosztowne.

Technologia jest ważna, ale nie rozwiąże problemu kultury, więc dlaczego tak trudno zadać proste pytanie? Bo kultura nagradza szybkość i gładkie slajdy, a nie wątpliwości. Bo nikt nie chce wyjść na „tę osobę, która hamuje projekt”. Bo ufamy sobie i zespołom, więc mniej grzebiemy w detalach. A jednak to detale decydują.

W architekturze bezpieczeństwo to konsekwencja nawyków:
► jak modelujemy zagrożenia,
► jak włączamy bezpieczeństwo w decyzje biznesowe,
► jak projektujemy uprawnienia,
► jak ćwiczymy odtwarzanie, gdy coś pójdzie źle.

Podsumowanie

Architektura rzadko zawodzi przez spektakularne błędy, częściej przez iluzję, milczące założenia i kulturę, która nie nagradza zadawania pytań. Na slajdach wszystko wygląda spójnie. W praktyce pęka tam, gdzie nikt nie zadał pytania.
Pierwsza lekcja brzmi: To nie technologia tworzy iluzję odporności, ale nasze nawyki myślenia.

Skoro to kultura i milczące założenia tworzą iluzję, to gdzie konkretnie pęka architektura?
W kolejnym artykule z tej serii przeanalizuję miejsca realnych pęknięć - od domyślnych konfiguracji po ukryte zależności.

Karol Kij 
Dyrektor Działu Rozwiązań Cyberbezpieczeństwa |Ambasador CyberOdporności 
CyberShieldON

CyberShieldON – Gdy wiedza spotyka decyzję.
Tutaj cyberbezpieczeństwo to nie tylko technologia, ale też konsekwencje wyborów, ryzyko systemowe i odpowiedzialność.
Łączymy doświadczenie z projektów z refleksją nad tym, jak naprawdę działa organizacja i jak ją chronić. Dzielimy się praktyką, która wytrzymała presję, oraz pytaniami, które zmieniły kierunek działania.

To miejsce jest dla Ciebie, jeśli tworzysz systemy, zarządzasz bezpieczeństwem, projektujesz architekturę i nie zatrzymujesz się na poziomie technologicznym.

Nowe artykuły – regularnie na cybershieldon.pl

Strona www stworzona w kreatorze WebWave.