Nesouhlas!
Neúspěšně jsem se snažil o jakési zavedení informační bezpečnosti. Ta totiž začíná v hlavách lidí.
Jestliže dostanete v nemocnici zprávu, kde se liší systémový podpis uživatele a skutečného lékaře, který zprávu před vámi vytiskl, pak je něco v nepořádku.
Informace se dostanou do lejster a stále je to jedna informace. Informatici se (občas) mohou přetrhnout, ale o lejstra se starat nemohou. A uživatelé nechtějí a nechápou.
2) Určit cenu může být těžké, ale mnohdy to jde celkem snadno. Například když Cormac Herley argumentoval, že problém není v uživatelích ale v tom, že bezpečnost je objektivně příliš drahá a tudíž ji uživatelé zcela racionálně odmítají (zdroj), demonstroval to mimo jiné i na objemu podvodných transakcí na Paypalu (což se dá zdokladovat docela snadno) a počtu uživatelů této služby. Vyšla mu z toho průměrná ztráta jednoho uživatele, a to po přepočtu hodinovou mzdou udává čas, který by měl racionální uživatel ročně věnovat bezpečnosti. To číslo bylo zatraceně malé - natolik, že v podstatě jakékoliv přemýšlení nad bezpečností už se nevyplatí.
4) Ano, to je právě ta naivita a idealismus. Ano, mělo by to tak být, souhlasím. Ale není to tak a nebude tomu tak, dokud přínosy z bezpečnosti nepřekročí náklady.
O většině novinářů jsem přesvědčen, že jsou to nekompetentní lidé na nesprávném místě s velkým potenciálem měnit věci, ale s nulovou odpovědností.
Podle mne, nejsou "novináři" nijak zvlášť mocní. Spíše je mnohem více lidí, než jen novináři, na ne-správných místech a nekompetentních!
To, že někdo dezinformuje, vyvolává chaos, lobuje, nadává v hospodě či šíří špatnou náladu ve společnosti... by ve vyspělé a vyrovnané společnosti neměl být problém.
Společnost, kde se každý kdo má určitou moc, nechá velmi snadno ovlivnit v úsudku a celkově neexistuje téměř žádná stabilita, nebo "předvídatelný pozitivní růst" je nemocná jako celek. "Novinář" funguje jen jako, na pohled viditelný, šiřitel choroby.
Mám čtyři poznámky:
1. Je těžké nedostatek ochrany informací generalizovat. Faktem je, že jakýkoliv přestupek proti bezpečnosti informací může zůstat nepoitrestán roky. A pak příjde den, kdy si bezejmenný klučina někde v internetové kavárně v Bombaji dá věci dohromady a plány vašeho nejnovějšího produktu končí kdovíkde v Číně.
2. Určit cenu informací je hodně těžké, takže lze velmi špatně určit zda cena zabezpečení je vyšší, než případná cena zabezpečovacích mechanismů. Nedávno jsem vedl rozpravu s naším managementem a ptal jsem se jich na cenu naších informací. Oni nedokázali odpovědět a já jim nastínil, že pokud bychom ztratili jediný vývojový projekt, bylo by to asi 2-2,5 mil Eur. Kvůli ztrátě cca 50-60 mil korun je doplnění naší infrastruktury o pár disků, nějaký ten server a pár hodin školení docela malý díl peněz.
3. Víte, největší ohrožení Vaších informací nepřichází zvenčí (přesně opačně, jako v tom příkladě s indickým klučinou), ale zevnitř. Vaším největším problémem je váš vlastní zaměstnanec, který svou ignorancí, laxností, hloupostí, omylem a nebo zlým úmyslem dokáže napáchat škody opravdu obrovské.
4. No a mluvit o tom, že bezpečnost je složitý obor a uživatel musí zvládnout v první řadě svůj obor je taky ustřelené, protože každý uživatel, co pracuje s počítači by měl vědět co si smí a co si nesmí dovolit.... Pokud si není jist, měl by se zeptat. Bezpečnost všobecně je opravdu složitý obor, ale z pohledu uživatele je to poměrně jednoduchá záležitost, která se dá shrnout do pár pravidel....
Odpovědnost neleží v jedněch rukou, viníků je víc:
Dodavatelé zatím nenabídli řešení, která by umožňovala průměrnému uživateli chovat se trvale zodpovědně, aniž by se zároveň musel stát odborníkem na informační bezpečnost. Jistě, existují dílčí technologie téměř na všechno; je jich ale příliš mnoho, nejsou dostatečně vzájemně integrované, jejich správa je často zbytečně složitá a mají svá vlastní rizika. Vyznat se v tom je pro laika nemožné a pro odborníka… těch opravdu znalých je jen hrstka. Technologie prochází explozivním rozvojem a snížená (a bohužel stále klesající) úroveň informační bezpečnosti je daň, kterou za to platíme.
Infrastruktura, která zajišťuje chod společnosti ve fyzickém světě, v tom virtuálním zatím de facto neexistuje – státy a mezinárodní společenství sem zatím nedospěly. Budete-li ohrožováni ve fyzickém světě, můžete se obrátit o pomoc na policii. I v případě, že zločin už byl dokonán (např. vám vykradli byt), existuje šance, že se pachatele podaří vypátrat a dopadnout, třeba i v zahraničí, a to bez dalších nákladů na straně vaší, tj. oběti. Informační bezpečnost je zatím na úrovni středověku: každý se musí bránit sám, není kam se obrátit. Pro organizace (tak jako ve středověku pro šlechtická panství) to znamená náklady, pro domácí uživatele (prostý lid) je to zčásti otázka zodpovědného chování (viz ale výše), z velké části pak také otázka štěstí.
To ale neznamená, že uživatelé jsou jen oběti. Tak jako ve fyzickém světě, i v tom virtuálním musí každý dodržovat určitá pravidla vycházející ze znalosti zákonitostí okolního světa: Když odejdu z bytu a nechám dveře dokořán, někdo mi ho vybílí (a malíř to nebude). Když nebudu chránit svá data, přijdu o ně taky. Uživatelům příliš často schází znalost principů virtuálního světa – i přes mou výhradu v odstavci o dodavatelích ne vždy jsou třeba detailní znalosti, přesto děláme všichni hloupé chyby. Chybí osvěta, chybí vzdělání. Tam je potřeba začít. Vzdělaný uživatel se bude chovat zodpovědněji, vzdělaný zákazník bude svými penězi podporovat dodavatele kvalitně zabezpečených řešení; vzdělaný volič bude požadovat podobnou úroveň ochrany ve virtuálním světě, jakou má v tom fyzickém.
Že je to běh na dlouhou trať? To si pište. A to jsem ještě nenakousl téma motivace, tedy „co z toho budu mít“ (http://en.wikipedia.org/wiki/Economics_of_security). Neexistuje jednoduché řešení ani úřad, na který bychom mohli ukázat prstem – každý musí začít u sebe. Skoro bych řekl, že novináři a bloggeři by měli jít příkladem, co myslíte? ;-)
Celá věc poukazuje na něco jiného – a mnohem více problematického. Totiž na všeobecnou ignoraci, která panuje nejenom u laických uživatelů informačních technologií, ale třeba i u lidí s velkou rozhodovací pravomocí. Panuje také v otázkách bezpečnosti informací.
1) Informační bezpečnost je poměrně složitý obor. Je naivní očekávat, že se mu běžný uživatel, který musí v první řadě zvládnout svůj obor, bude nějak zvlášť věnovat.
2) Průměrné náklady na zajištění bezpečnosti jsou mnohdy podstatně (i řádově) vyšší než průměrné ztráty z ignorování bezpečnosti.
Pokud chceme zvýšit informační bezpečnost, jsou na tahu především producenti řešení, kteří by se měli soustředit na překonání výše zmíněných dvou bodů. Pro mě to znamená zejména to, že bezpečnostní řešení by nemělo uživateli klást vůbec žádné dotazy, zobrazovat žádná varování ani vyžadovat žádná potvrzení, pokud si je uživatel sám explicitně nevyžádá.
