PECHOWA DWUNASTKA: Brak zasobów

Czwarty czynnik wspierający błędy ludzkie, w ramach Pechowej Dwunastki to brak zasobów. Wygląda całkiem trywialnie i praktycznie daje się zamknąć w prostym stwierdzeniu: „Z pustego to i Salomon nie naleje”. Czyżby?

Brak zasobów, postrzegany najczęściej jako forma ograniczenia zaplanowanego działania, stosuje się do tej samej zasady co ograniczenia, w ogóle. Nasze życiowe doświadczenia podsuwają wiele przykładów, gdzie brak świadomości, że coś nie można, lub że się nie da, nie przeszkodziło faktycznie wykonać zaplanowany zamiar. Na drugim końcu tego problematycznego kija stoi motywacja wraz z jej siłą do działania wbrew rozsądkowi i przesłankom. I tak, prosty w zasadzie problem braku zasobów, który powinien doprowadzić do żądania ich uzupełnienia i oczekiwania na możliwość działania zgodnie z zasadami wprowadza na scenę kreatywność oraz iluzję potencjału, czy to z powodu braku świadomości czy olbrzymiej motywacji.

Przykłady znamy wszyscy:

  1. Brak czasu, wpływający na jakość wykonanej pracy, nasze zmęczenie i generujący szkodliwy stres,
  2. Brak materiałów, wpływający znowu na jakość pracy i narażający nas na odpowiedzialność za prowizorki,
  3. Brak reguł lub ich przekraczanie, które zagraża wartością jakie cenimy, w tym prywatności czy zdrowiu,
  4. Brak siły roboczej, wpływający na wszystkie wcześniej wymienione.

W świecie cyber, praktycznie każde zagrożenie jakie znamy związane jest z brakiem zasobów i przekraczaniem obowiązujących standardów w imię kreatywności rozwiązań wynikających z tego braku. Są to:

  1. Phishing – temat rzeka, ofiara wyobraża siebie czerpiącą korzyści z czegoś co jest ograniczone czasowo lub dostępnością, jak ekskluzywne treści, przeceny, zyski… dobrze dobrana przynęta jest wysoce skuteczna. Innym przykładem jest brak jasno określonych zasad i ich łamania, przez co przekraczanie ustalonych zabezpieczeń powinno zawsze zostać wykryte i odrzucone, a jednak BEC, czyli „oszustwo na prezesa” przyniosło w tym roku dwukrotnie więcej strat finansowych niż w roku 2018 zgodnie z raportem FBI zamykając się w kwocie około 1,3 miliarda dolarów (https://www.zdnet.com/article/fbi-us-companies-lost-1-3-billion-in-2018-due-to-bec-scams/) .
  2. Podatności w oprogramowaniu – słabości kodu, wynikające ze sztywnych ram czasowych, presji na zespołach deweloperów oraz krótkim lub prawie zerowym czasie poświęconym testom bezpieczeństwa tworzonego kodu jest głównym źródłem problemu „podatności dnia zero” czyli błędów występujących w kodzie, którego właściciele właśnie dowiedzieli się o ich istnieniu. Niestety proces naprawy błędów, jest zarówno kosztowny, zajmujący więcej czasu niż ich testowanie, jest również (właśnie z uwagi na presję czasu) przyczyną powstawania nowych błędów, które również będą kiedyś klasy „zero”. Tak prosta mechanika wydaje się absurdalnie irracjonalna, jednak stanowi tło praktycznie każdego procesu rozwoju oprogramowania od małych firm po wielkie korporacje. Często przyczyną nie jest nawet kod, który został napisany przez pracowników firmy, ale sposób w jaki został użyty kod open-source. Statystyki są mocno niepokojące, wskazują, że około 60% kodu ma podatności w komponentach zewnętrznych. Dodatkowo warto pamiętać, że znajomość podatności w jednym publicznym komponencie pozwala atakować wiele celów używających tego komponentu, co zmniejsza koszt ataku i zwiększa jego popularność (https://www.cyberscoop.com/bootstrap-sass-infected-snyk-rubygems/).
  3. Brak aktualizacji infrastruktury – podatności typu dnia zerowego są problemem samym w sobie, jednak najbardziej przerażający jest brak zamykania podatności istniejącymi łatami. Oczywiście wymówek jest tyle ile przypadków włamań. Od braku zasobów ludzkich, braku zdefiniowanych przerw serwisowych i planowanych włączeń usługi, przez brak wsparcia producenta dla przestarzałego produktu (ktoś przegapił cykl życia technologii), brak procedur testowych, czy choćby bardziej podstawowy – brak środowiska testowego, gdzie można określić wpływ poprawki na środowisko. Praca na infrastrukturze produkcyjnej w warunkach mocno ograniczonego czasu, czy wręcz incydentu, prowadzi do sprzężenia z czynnikiem stresu i prowadzi do powstania kolejnych błędów.
  4. Brak „zapasu” – zarówno począwszy od zasobów eksploatowanych „pod dach”, jak i planów naprawczych, gdzie procedury BCP/DR przechodzą testy dla elementów infrastruktury, nigdy jednak nie były testowane, czy nawet skalowane na większe awarie, dotyczące choćby i 50% całej infrastruktury. W tym segmencie znajdujemy również kopie zapasowe, których brak testów z uwagi na nieistniejące środowisko zapasowe wprowadza czynnik niepewności przy procedurach odtworzenia. Niestety w wielu przypadkach dotyczy to również strategii archiwum danych, gdzie z uwagi na ograniczenia budżetu, brak monitorowania cyklu życia technologii często prozaicznie nie ma na czym odtworzyć danych lub nie ma osoby która jest w stanie daną technologię obsłużyć.

Jak przeciwdziałać czynnikowi ograniczonych zasobów? Choć to brzmi banalnie prosto, takie jest: Trzeba mieć plan. Dotyczy to zarówno zasobów infrastruktury jak i personelu.

Taki plan powinien uwzględniać:

  1. konsumpcję zasobów,
  2. koszty utrzymania,
  3. koszty zaopatrywania w komponenty oraz wymiany,
  4. cykl życia zasobów (sam zakup to dopiero początek opowieści),
  5. optymalizację użycia zasobów,
  6. racjonalne powiązanie z procesem wnioskowania o nowe zasoby.

Dodatkowo plan nie wdrożony, przetestowany i poprawiany regularnie, zwyczajnie nie działa i nie rozwiązuje problemu… co więcej sam stanowi inny problem, iluzji rozwiązania problemu.

Na poziomie osobistym, problem braku zasobów to kwestia 💬 reakcji na bieżące warunki pracy i 🚫asertywność w zakresie stawianych wymogów. Nie tylko nie należy zgadzać się na pracę bez zabezpieczenia w warunkach podwyższonego ryzyka, jak również silnie eskalować problem braku reakcji na zgłoszone ryzyka. W praktyce oznacza to, że praca na sprzęcie prywatnym naraża na straty finansowe i kłopoty prawne nie tylko pracodawcę, ale i nas samych oraz naszych bliskich. Praca ponad siły, w warunkach przedłużającego się stresu związana jest z ekstremalnie wysokim kosztem relaksu i naprawiania zdrowia, o ile to w ogóle będzie możliwe. Depresja, brak poczucia wartości czy brak możliwości wpływu na sytuację wokoło siebie jest obecnie problemem cywilizacyjnym wynikającym bezpośrednio ze stanu akceptowania czynnika braku zasobów i promowania „kreatywnego rozwiązania problemu kosztów”.

Gdy zjawisko dotyka zabezpieczeń informacji czy bezpieczeństwa fizycznego – nie ma miejsca na kompromisy. Przekraczanie granicy w pierwszej sytuacji prowadzi do kar finansowych i odpowiedzialności osobistej (tak, ostatecznie zostajemy sami z problemem), w drugiej zaś do utraty zdrowia lub życia swojego, współpracowników lub rodziny (jak np. wypadek samochodowy w wyniku przemęczenia bądź niesprawnego sprzętu).
Dlatego kompetencja 🔥rozwagi stanowi miarę naszego zaangażowania. Nie można podać uniwersalnego rozwiązania tego problemu, jednak posiadanie sprawnego planu zarządzania zasobami i potrzebami, wraz z komunikacją uwzględniającą realia zastosowanych ograniczeń technologicznych i proceduralnych (🔒ochroń) jak i zaangażowanego personelu (👤szacunek) stanowią niezbędny punkt wyjścia. Warto tutaj zaznaczyć, podsumowując, że procesy, ludzie i technologie w dowolnej konfiguracji zawsze są podatne na problem ograniczonych zasobów, a skuteczne nimi zarządzanie nie polega na „kreatywnym nalewaniu z pustego”, tylko racjonalnej i bazującej na liczbach, ilościowej analizie ryzyka.

 

Artur Marek Maciąg

Inicjatywa Kultury Bezpieczeństwa, doświadczony expert i pasjonat bezpieczeństwa informacji.