Zabezpieczenia fizyczne w obiektach o znaczeniu krytycznym (cz. 1)

Gdy mowa jest o bezpieczeństwie centrum danych, pierwszą rzeczą, która przychodzi do głowy, jest ochrona przed sabotażem, szpiegostwem lub kradzieżą danych. Chociaż konieczność ochrony przed intruzami i zamierzonymi szkodami, które mogą oni wyrządzić, jest oczywista, w przypadku większości obiektów większe zagrożenia na co dzień stanowią zwyczajne czynności personelu pracującego w centrum danych.

Ludzie są konieczni do działania centrum danych, mimo to z badań jednoznacznie wynika, że to właśnie oni są bezpośrednio odpowiedzialni za 60% przestojów centrów danych na skutek różnych wypadków i błędów — niewłaściwe procedury, źle oznaczone urządzenia, upuszczone przedmioty lub rozlane płyny, błędnie wpisane polecenia i inne mniejsze lub większe nieprzewidziane wpadki. Ze względu na możliwość wystąpienia błędu ludzkiego, która jest nieuniknioną konsekwencją obecności człowieka, zminimalizowanie i kontrolowanie dostępu personelu do obiektów stanowi kluczowy element zarządzania ryzykiem, nawet wówczas, gdy obawy o umyślne złośliwe działania są niewielkie.

Technologia identyfikacji zmienia się równie szybko, co chronione przez nią obiekty, informatyka i komunikacja. Ze względu na ciągłe pojawianie się nowych urządzeń i technik, łatwo jest zapomnieć, że ten stary problem, który ta technologia usiłuje rozwiązać, nie jest ani techniczny, ani skomplikowany: niedopuszczenie osób nieuprawnionych lub o złych zamiarach do miejsc, w których nie powinny one przebywać. I chociaż pierwszy krok, wydzielenie z obiektu zabezpieczonych obszarów i określenie reguł dostępu, może doprowadzić do powstania warstwowej i skomplikowanej struktury, intuicyjnie nie jest on trudny — kierownicy działów IT na ogół bowiem wiedzą, kto i gdzie powinien mieć dostęp. Wyzwanie stanowi krok drugi — podjęcie decyzji odnośnie sposobu zastosowania niedoskonałych technologii w celu realizacji założonego planu.

Zabezpieczenia fizyczne wchodzą w skład infrastruktury fizycznej sieci o znaczeniu krytycznym (NCPI), ponieważ odgrywają bezpośrednią rolę w maksymalizowaniu dostępności systemu („czasu pracy”). Realizują to przez ograniczanie przestojów wynikających z wypadków lub sabotażu powodowanych obecnością niepotrzebnych lub złośliwych osób. Innymi elementami infrastruktury NCPI są zasilanie, szafy, okablowanie i systemy przeciwpożarowe.

Pomimo że pojawiające się technologie zabezpieczeń mogą się wydawać egzotycznymi i zagadkowymi — skanowanie odcisków palców i dłoni, skanowanie oczu, karty procesorowe, rozpoznawanie geometrii twarzy — stawiane przed nimi zadanie zabezpieczeń, niezmienne od czasu, gdy ludzie po raz pierwszy zaczęli chronić swoje rzeczy, jest nieskomplikowane i dobrze znane nam wszystkim: uzyskanie wiarygodnej odpowiedzi na pytanie „Kim jesteś i po co?”.

Pierwsze pytanie — „Kim jesteś?” — stwarza najwięcej kłopotów przy konstruowaniu zautomatyzowanych systemów zabezpieczeń. Wszystkie współczesne technologie starają się ustalić tożsamość w ten czy inny sposób ze zróżnicowanym poziomem pewności, a co się z tym wiąże za odpowiednio zróżnicowaną cenę. Na przykład karta dostępu jest niedroga i nie zapewnia pewnego określania tożsamości (nie można mieć pewności, kto używa danej karty). Z kolei skaner tęczówki jest bardzo kosztowny i zapewnia wysoką pewność ustalonej tożsamości. Znalezienie akceptowalnego kompromisu pomiędzy pewnością a kosztami stanowi kluczowy aspekt projektowania systemu zabezpieczeń.

Odpowiedź na pytanie „Po co tu jesteś?” — inaczej mówiąc, co masz do załatwienia w tym punkcie dostępu — może być domniemana po ustaleniu tożsamości („To jest Alicja Nowak, nasz specjalista ds. okablowania, zajmuje się kablami — proszę ją wpuścić”) lub można ją zrealizować na wiele różnych sposobów. Tożsamość i zadanie danej osoby można ze sobą połączyć — na przykład w informacjach zapisanych na pasku magnetycznym karty dostępu. Tożsamość osoby może służyć do sprawdzania informacji w bazie komputerowej zawierającej dane o dozwolonym dostępie. Ponadto w różnych częściach obiektu mogą być stosowane różne metody dostępu, których zadaniem będzie zezwalanie na dostęp w różnych celach. Niekiedy pytanie „Po co to jesteś?” jest jedynym, a pytanie „Kim jesteś?” nie ma właściwie znaczenia, np. w przypadku personelu serwisowego lub sprzątającego.

Kierownicy działów IT znają reguły dostępu, które mają zostać wdrożone w systemie zabezpieczeń w ich instalacji, lecz mogą nie posiadać wystarczającej wiedzy odnośnie szczegółów współczesnych metodologii lub technik, aby je zastosować — a nawet nie powinni jej posiadać. Znają oni ograniczenia budżetowe, a także zagrożenia związane z naruszeniem różnego rodzaju zabezpieczeń w ich obiekcie.

Z drugiej strony, doradca ds. systemów zabezpieczeń nie zna szczegółów danego obiektu, lecz dysponuje wiedzą na temat możliwości, wad i kosztów obecnych metodologii. Posiada również doświadczenie w projektowaniu innych systemów zabezpieczeń, a więc może poprzez zadawanie właściwych pytań pomóc wyjaśnić, udoskonalić lub uprościć wymagania w zakresie reguł dostępu.

Dzięki połączeniu wiedzy fachowej można zaprojektować system, który stanowi optymalny kompromis pomiędzy wymaganiami dostępowymi, akceptowalnym ryzykiem, dostępnymi metodami i ograniczeniami budżetowymi.

Zabezpieczone obszary — co wymaga ochrony?
Pierwszym krokiem do opracowania planu zabezpieczeń jest po prostu narysowanie mapy fizycznego obiektu i ustalenie obszarów i punktów dostępowych, które wymagają różnych reguł dostępu, czyli poziomów zabezpieczeń. Granice tych obszarów mogą mieć wspólny środek: obwód siedziby, obwód budynku, obszar komputerów, pomieszczenia komputerowe, szafy z urządzeniami, lub stykać się ze sobą: obszary dla gości, biura, pomieszczenia gospodarcze.

Obszary koncentryczne (współśrodkowe) mogą mieć różne lub coraz surowsze metody dostępu, zapewniając dodatkową ochronę zwaną głębią zabezpieczeń. W przypadku głębi zabezpieczeń obszar wewnętrzny jest chroniony zarówno przez własne metody dostępu, jak i metody dostępu obszarów go otaczających. Ponadto po włamaniu do obszaru zewnętrznego do pokonania jest kolejne wyzwanie z zakresu dostępu na bardziej wewnętrznym obwodzie.

Rysunek 1 — Mapa zabezpieczeń przedstawiająca ideę „głębi zabezpieczeń”

Zabezpieczenia na poziomie szaf — najbardziej wewnętrzną warstwę „głębi zabezpieczeń”, znajdującą się bardziej wewnątrz niż samo pomieszczenie przetwarzania danych, stanowi szafa. Zamki w szafach nie są (jeszcze) w powszechnym użyciu, tym niemniej, jeśli są używane, stanowią ostatnią linię obrony przed nieuprawnionym dostępem do urządzeń o znaczeniu krytycznym. Byłoby niezwykłe, gdyby każda osoba w pomieszczeniu pełnym szaf musiała mieć dostęp do wszystkich szaf. Zamki w szafach gwarantują, że dostęp do serwerów będzie miała tylko obsługa serwerów, dostęp do urządzeń telekomunikacyjnych będzie miała tylko obsługa urządzeń telekomunikacyjnych itd. Łatwe w obsłudze zamki w szafach, które można zdalnie konfigurować, aby zezwalać na dostęp tylko w razie potrzeby — określonym osobom w określonym czasie — zmniejszają ryzyko wystąpienia wypadku, sabotażu lub nieuprawnionej instalacji dodatkowych urządzeń, które mogą spowodować potencjalnie szkodliwy wzrost poboru mocy i temperatury w szafie.

Zabezpieczenia infrastruktury — ważne jest, aby na mapie zabezpieczeń uwzględnić nie tylko obszary zawierające funkcjonalne urządzenia IT obiektu, lecz także obszary, w których znajdują się elementy infrastruktury fizycznej, których zakłócenie działania mogłoby spowodować przestój. Urządzenia HVAC, na przykład, mogą zostać przypadkowo lub umyślnie wyłączone, , a konsola zarządzania systemem przeciwpożarowym wprowadzona w błąd co do konieczności uruchomienia spryskiwaczy.