JAK UNIKNĄĆ BŁĘDÓW PRZY WDRAŻANIU NOWYCH ROZWIĄZAŃ Z ZAKRESU ZABEZPIECZEŃ TECHNICZNYCH

Artykuł ukazał się w SEC&AS nr 4/2017

Wprowadzanie nowych rozwiązań z zakresu bezpieczeństwa i technologii w dobie dzisiejszych możliwości technicznych wymaga głębokiej analizy potrzeb, tak aby przy uruchomieniu finalnie wybranych rozwiązań móc potwierdzić: „Tak, to jest to, czego potrzebowaliśmy!”. Ale w przypadku rozwiązań technologicznych dla bezpieczeństwa powinna mieć miejsce jeszcze jedna analiza – analiza ryzyka względem bezpieczeństwa życia, zdrowia, wartości materialnych i niematerialnych, takich jak informacje i dane. Jest to także wyzwanie wobec nowych, ciągle doskonalszych możliwości, jakie pojawiają się w branży.

Branża zabezpieczeń, choć teoretycznie wydawałoby się, że powinna być dobrze uregulowana oraz funkcjonująca w sieci obowiązujących norm i zasad bezpieczeństwa, nie ma narzuconego jednego spójnego katalogu dobrych praktyk, który mógłby być przewodnikiem „jak postępować” przy wdrożeniu bardziej i mniej rozbudowanych systemów.
Większe przedsięwzięcia z zakresu zabezpieczeń technicznych często koordynowane są przez bardziej rozbudowane zespoły, gdzie uwzględniane są opinie i wymagania istotne z punktu widzenia biznesu, obszaru IT, zarządzania zasobami ludzkimi, projektowania przepływów ludzkich w budynkach, finansów i innych czynników. Na końcowe rozwiązanie ma wpływ wiele zmiennych. Jednak ciągle jeszcze wiele wdrożeń często ma swój początek w biurze projektowym, gdzie nie wszystkie aspekty są rozpatrywane od początku i dopiero z czasem projekty „obrastają” w nieprzewidziane wcześniej systemy. Są to na przykład systemy kontroli dostępu do dodatkowych pomieszczeń, dozoru wizyjnego lub rozwiązania pozwalające na integrację z już obecnymi w danym przedsiębiorstwie systemami-satelitami.
Ciekawym podejściem do bardziej rozbudowanych wdrożeń nowych rozwiązań z zakresu bezpieczeństwa może być zapożyczenie metodyki implementacji systemów skomputeryzowanych z branży farmaceutycznej. Na regulowanym rynku producentów i dystrybutorów farmaceutycznych każde wdrożenie technologii opartych o systemy skomputeryzowane musi odbywać się w określony sposób. Przy implementacji tych systemów obowiązują zasady udokumentowania procesu wdrożenia, opracowania analizy ryzyka i jego szacowania oraz dokładnego przetestowania rozwiązania względem wymagań przed nim stawianych, zanim dane rozwiązanie zostanie oddane do użytku. Proces jest oczywiście znacznie bardziej złożony, ale żelaznymi punktami walidacji są: spisanie wymagań, ocena ryzyka, przeprowadzenie testów oraz udokumentowanie całego rozwiązania, i dopiero na bazie tego zestawu działań podjęcie decyzji, czy rozwiązanie może funkcjonować „produktywnie” w świecie farmacji. Brak postępowania w branży farmaceutycznej zgodnie z narzuconą przez legislację metodyką grozi brakiem utrzymania pozwoleń na wytwarzanie lub dystrybucję leków. Zatem realizowanie wdrożeń nowych rozwiązań zgodnie z zasadami walidacji jest traktowane jako inwestycja, a nie koszt i stanowi swoisty „bilet wstępu” do istnienia w tej branży. W efekcie na szali znajduje się nasze, jako pacjentów, zdrowie, dlatego też zasady są tak nieugięte.
W branży zabezpieczeń też stawiamy na szali nasze bezpieczeństwo, komfort pracy i życia, a często zdrowie i życie w ogóle. Warto, projektując rozwiązania, poświęcić czas na adekwatną analizę potrzeb i ryzyka, jak również być otwartym na otoczenie i ryzyka stamtąd płynące. W dobie zagrożeń dla cyberbezpieczeństwa, czy zagrożeń terrorystycznych skrupulatnie przeprowadzona analiza ryzyka jest wyjątkowo potrzebna i może wskazać nowe obszary, które wymagają objęcia systemem zabezpieczeń.
Dlatego też, pamiętając o chętnie powtarzanym w wojsku powiedzeniu: „Im więcej potu na ćwiczeniach, tym mniej krwi w boju” (Howard E. Wasdin, Snajper. Opowieść komandosa SEAL Team Six), można zalecić, aby w czasie wdrożenia rozwiązań z zakresu zabezpieczeń technicznych postępować zgodnie z zasadami zapożyczonymi z walidacji systemów skomputeryzowanych dla farmacji i wplatać w plan projektu analizę ryzyka oraz rozbudowane testy i sprawdzenia instalacji.

Metodyka wprowadzenia nowego rozwiązania z zakresu bezpieczeństwa mogłaby być zgrubnie oparta o następujące etapy:

    1. zebranie wymagań,
    2. opracowanie koncepcji rozwiązania,
    3. oszacowanie i analiza ryzyka dla procesów, jakie rozwiązanie pokrywa,
    4. opracowanie projektu technicznego,
    5. realizacja,
    6. testy instalacyjne rozwiązania,
    7. testy funkcjonalne rozwiązania,
    8. testy akceptacyjne rozwiązania w środowisku rzeczywistym,
    9. akceptacja i odbiór rozwiązania.

Z moich doświadczeń wynika, że największą wagę należy przyłożyć do dobrej koncepcji i analizy ryzyka. Im lepiej są przygotowane, tym mniej błędów oraz nowych wymagań („Ale ja myślałem, że to będzie inaczej działać! To musi być zmienione”) pojawia się w czasie testów i skraca się czas przygotowania docelowego rozwiązania.
Testy muszą być zaprojektowane tak, aby pokrywały cały zakres wymagań stawianych przed wdrażanym rozwiązaniem, ale także dawały dowód, że wcześniej sprecyzowane ryzyka nie będą zachodziły.

Dlaczego warto przeprowadzać szeroko zakrojone testy?

Bo zapewniają oszczędność czasu i pieniędzy. W przypadku zaistnienia błędów nieodkrytych w czasie testów, a dopiero na etapie uruchomienia systemu, wprowadzenie poprawek, zmian w oprogramowaniu, zmian w doborze urządzeń lub przeorganizowanie procesu wymaga czasu (zwykle nieprzewidzianego w planie projektu dla danego etapu), wymaga pokrycia dodatkowych kosztów pracy uczestników projektu i wiąże się z kosztami opóźnienia „produktywnego” uruchomienia rozwiązania.
W czasie testów z użytkownikami systemu, którzy nie mieli do czynienia z jego przygotowaniem, a jedynie będą w przyszłości tzw. użytkownikami końcowymi, odkrywane są często jakieś zupełnie nowe aspekty wymagań. Na przykład podczas testowego uruchomienia stanowiska nowego systemu kontroli dostępu, opartego na skanowaniu palca przez czytnik linii papilarnych, spotkano się z taką sytuacją: jedna z pracownic zdecydowała się pominąć nowy system i używać starej metody dostępu poprzez czytnik kart i otwierać drzwi ręcznie. Na pytanie, dlaczego preferowała ona stare rozwiązanie, a nie biometrię, pracownica przytoczyła obawy dotyczące higieny – tego samego skanera biometrycznego używają wszyscy inni. Stało się to dobrą okazją edukacyjną dla obu stron. W efekcie okazało się, że z punktu widzenia higieny mniejszym ryzykiem jest dotykanie jednym palcem skanera niż całą dłonią klamek i drzwi. Zwrócono też uwagę na fakt, że ten aspekt powinien być przedstawiony na szkoleniu dla innych użytkowników.
Rzetelne testowanie rozwiązań musi wynikać z oczekiwań inwestora i dla inwestora stanowi najlepszą polisę, że wybrane i wdrożone rozwiązanie będzie odpowiadało wymaganiom, nie będzie wymagało poświęcenia czasu i wysokich kosztów wprowadzania zmian w stosunku do pierwotnego projektu. Jednak praktyka pokazuje, że wobec braku wymogów formalnych i prawnych, aby proces przebiegał według ustalonych reguł wdrożenia, zdarza się, że inwestorzy idą na skróty, narażając się na konsekwencje ponoszenia podwójnych kosztów lub funkcjonowania z rozwiązaniem odbiegającym od założeń.
Dobrą wiadomością jest, że to dostawcy – zarówno producenci technologii, jak i dostawcy usług wdrożenia tych technologii – bazując na swoim doświadczeniu, znają wagę testów i rzetelne sprawdzenia urządzeń i całych instalacji zaczynają się już po stronie dostawców, zanim rozwiązanie w całości trafi do inwestora. Ma to miejsce począwszy od projektowania produktów, ich jakości, dostarczania dobrej dokumentacji przydatnej przy instalacji i wdrożeniu, a skończywszy na utrzymaniu rozwiązań. Przeprowadzenie przez dostawców rzetelnych testów w rzeczywistych warunkach zapewnia tym dostawcom „święty spokój” w przyszłości.
Przykłady ewidentnego braku analizy ryzyka przy wdrożeniu rozwiązań z wykorzystaniem kamer IP podłączonych do Internetu możemy oglądać do woli na portalach, które udostępniają nam obraz z kamer „otwartych na świat”. Przesyłanie obrazów ze stoków narciarskich, widoków ulic miasta czy nawet możliwość ciągłego podglądu sali obrad rady miasta w jednym z miasteczek we Francji możemy uznać za celowo zaprojektowane do nieograniczonego udostępniania. Jednak nie przypuszczam, aby właściciel warsztatu z Quebecu w Kanadzie, zlecając montaż kamery (lub montując ją samodzielnie), chciał, abym pisząc ten artykuł, spoglądała, jak przenosi narzędzia z półki na stół i przy okazji dłubie w nosie… Podobnie jestem raczej pewna, że sympatyczna rodzina z USA, z New Jersey, nie chciała, abym dołączyła do ich spotkania rodzinnego dzisiejszego wieczoru.

 

Podałam przykłady małych instalacji kamer IP, nie są to zintegrowane systemy zabezpieczeń związane z dużymi inwestycjami. Ale niestety oko możemy zapuścić także w miejsca ważniejsze z punktu widzenia bezpieczeństwa – można was zaprosić do sali płatności na określonej poczcie w Rosji lub do wielu pomieszczeń centrum wystawienniczego w Sokolnikach w Rosji. Przykłady można mnożyć. W tych przypadkach warto zastanowić się, jak bardzo systemy IP CCTV czy VSS są zamknięte (patrz artykuł Waldemara Więckowskiego, Żegnaj CCTV, witaj VSS! A co z tematem zamkniętości systemów dozoru wizyjnego? Nowa norma – stare problemy, SEC&AS, 2/2017).

Jakie ważne wnioski dla dostawców usług lub inwestorów powinniśmy wysnuć?

Wdrażając nowe technologie, należy:

  • oprzeć koncepcję rozwiązania na wymaganiach i opiniach różnych stron (finanse, zarządzanie bezpieczeństwem, zarządzanie personelem, integracja z innymi systemami);
  • uzyskać informacje od przyszłych użytkowników – niezależnie od tego, czy będą to codziennie obcujący z rozwiązaniem pracownicy, czy operatorzy lub administratorzy systemów;
  • działać wg ustalonej metodyki;
  • szacować i analizować ryzyko;
  • przeprowadzić testy rozwiązania – zarówno te pozytywne, jak i negatywne, testy regresji;
  • ująć w harmonogramie bufory czasowe na poszczególne etapy wynikające z ryzyka błędów, jakie mogą być wykryte w czasie testów;
  • tworzyć dokumentację papierową lub elektroniczną testów;
  • nieustannie wdrażać wyniki tzw. odrobionych lekcji;
  • prowadzić wdrożenie każdego rozwiązania według ustalonej, powtarzalnej metodyki, obejmującej określoną kolejność działań.

Czego się nie zaleca przy wyborze i wdrożeniu rozwiązania technicznych zabezpieczeń:

  • kupowania gotowych rozwiązań bez analizy dopasowania do własnych potrzeb;
  • ignorowania kultury własnego przedsiębiorstwa, użytkowników czy odbiorców rozwiązania;
  • ignorowania funkcji i bezpieczeństwa cybernetycznego;
  • rozważania tylko bieżących potrzeb i wyzwań.

Ingrid Krasnowska

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *