Pechowa Dwunastka: Problem braku wiedzy

Pechową dwunastkę* otworzy nam problem braku wiedzy. Wybór tego czynnika jako pierwszego wydaje się być oczywistym, a przy tym trywialnym wyborem. Gdy nie ma wiedzy, można co najwyżej mieć szczęście, cała reszta przypadków to wypadki, te znane i te ukrywane. Tutaj wszelkie oczywistości się kończą i poszukiwanie źródła problemu, zgodnie z wspomnianą zasadą wymaga wiedzy.

Na potrzeby tej formy, krótkiej i zwięzłej skoncentrujmy się na trzech przypadkach:

  • Działaniu na nieaktualnej dokumentacji, które może doprowadzić do chaosu i błędów w operacjach,
  • Wykonywaniu zadań bez uprzedniego treningu, narażające pracownika i reputację firmy,
  • Próby rozwiązania problemu przez niedoświadczony, pozbawiony wiedzy i umiejętności personel, doprowadzające do eskalacji problemu w kryzys.

Prawdopodobnie większość z czytających tego bloga osób jest w stanie podać czy z własnego doświadczenia, czy zasłyszanych opowieści wiele przykładów tych błędów.

Ponownie odniosę się do najgłośniejszego incydentu z 2018 roku, włamania do Equifax, po wykorzystaniu niezałatanej luki w Apache Struts. Incydent wykryto po ponad 75 dniach, a można było praktycznie w ciągu jednego dnia. Ruch kierowany przez zaatakowany serwer webowy był poddawany inspekcji metodą przechwytywania ruchu szyfrowanego (HTTPS interception), dla którego krytyczny jest status certyfikatów używanych przez narzędzie realizujące inspekcję. W tym wypadku nieaktualny certyfikat (oraz idąc dalej, nieaktualne informacje o stanach certyfikatów oraz brak właściwego treningu operatorów technologii) doprowadził do wyłączenia inspekcji ruchu, tym samym nie pozwalając wykryć włamania. Po 75 dniach, gdy zorientowano się, że certyfikat nie jest aktualny i naprawie sytuacji, inspekcja została wznowiona co pozwoliło wykryć nieautoryzowany dostęp do wewnętrznych zasobów. Szczegóły można znaleźć między innymi tutaj.

Jak przeciwdziałać takim problemom?

Ustalić proces aktualizacji dokumentacji do stanu faktycznego – ta strategia, choć kosztowna, pozwala skrócić czas odpowiedzi na incydent i znacznie zredukować ilość incydentów poprzez dostęp osób realizujących operację do aktualnej dokumentacji, odzwierciedlającej bieżącą sytuację środowiska.

Wykonywać zadania do których zostaliśmy przeszkoleni – często występują sytuacje, gdy dla nowego produktu, lub zaktualizowanej technologii nie stosuje się szkolenia personelu stawiając go przed wyzwaniem, swoistym testem jego profesjonalizmu i zdolności rozwiązywania problemów. Ta krótkowzroczna oszczędność prowadzi do eksperymentowania, budowania hipotez o funkcjonowaniu technologii w oparciu o wiedzę z innych rozwiązań lub wersji, co prowadzi bezpośrednio do nieprofesjonalnego, opartego na próbach i zgadywaniu używania lub zarządzania nową technologią oraz nieuchronnego incydentu.

Nie próbować pomóc, jeśli nie wiemy jak to zrobić skutecznie – kluczowe jest tutaj „wiedzieć jak” co nie oznacza teoretycznej wiedzy, tylko praktykę. Prawdopodobnie, mając wystarczająco dużo czasu, dostęp do instrukcji, poradników i np. instruktażu na YouTube można poprawnie skonfigurować czy przywrócić dowolną technologię. Niestety rzeczywistość jest inna: niecierpliwa, zestresowana i pozbawiona drugiej szansy. Wiesz albo nie, czyli potrafisz lub nie próbuj. Obowiązuje tutaj zasada podobna jak w medycynie – po pierwsze nie szkodzić.

Na koniec zostawiłem najsilniejszą praktykę zaradczą – Jeśli nie wiesz – zapytaj! To trywialne i powszechnie znane rozwiązanie, zaskakująco często stosowane jest na końcu, błędnie przyjmowane jako porażka. Świadomość swoich ograniczeń, jest prawdziwą miarą profesjonalizmu zawodowego. Podobnie jak mierzenie sił na zamiary. Ta praktyka nie dotyczy tylko i wyłącznie problemu „wiem – nie wiem”, ale przede wszystkim upewnia Cię, że angażujesz się w sytuację którą rozumiesz, znasz jej bieżący stan.

W inicjatywie Kultury Bezpieczeństwa opracowaliśmy zestaw kompetencji, których rozwój pomaga sprawnie przeciwdziałać negatywnym efektom pechowej dwunastki poprzez usprawnienie bezpiecznej postawy.

Dla problemu braku informacji, polecam rozwijać kompetencje:
?Ochroń – znajomość ograniczeń technologii,
?Wykryj – znajomość stanu normalnego procesów i zdolność wykrywania anomalii,
?Szacunek – ograniczone zaufanie do siebie i innych ludzi oraz umiejętność rozpoznawania wpływu emocji na swoje decyzje,
?Rozwaga – zdolność przewidywania skutków swoich czynności.

Pełen program rozwoju własnej postawy bezpiecznej znaleźć można na blogu inicjatywy kultury bezpieczeństwa i w sieciach społecznościowych oraz YouTube.

Zdanie do przekazania innym i zapamiętania: „Jeśli nie wiesz – zapytaj!

 

 

Artur Marek Maciąg

Inicjatywa Kultury Bezpieczeństwa, doświadczony ekspert i pasjonat bezpieczeństwa informacji.

 

Pechowa Dwunastka to dwanaście czynników błędów ludzkich, które występując w pewnych okolicznościach praktycznie materializują incydent bezpieczeństwa.

Lista tych czynników jest następująca:

  • Organizacyjne: zwyczaje, brak wiedzy, brak komunikacji, brak zasobów, brak pracy zespołowej, presja.
  • Personalne: utrata uwagi, zmęczenie, stres, brak świadomości, brak zaangażowania, przecenianie siebie.

Kolejne artykuły naszego bloga poświęcamy analizie każdego z tych czynników w kontekście bezpieczeństwa teleinformatycznego i nie tylko.