Celá věc poukazuje na něco jiného – a mnohem více problematického. Totiž na všeobecnou ignoraci, která panuje nejenom u laických uživatelů informačních technologií, ale třeba i u lidí s velkou rozhodovací pravomocí. Panuje také v otázkách bezpečnosti informací.
1) Informační bezpečnost je poměrně složitý obor. Je naivní očekávat, že se mu běžný uživatel, který musí v první řadě zvládnout svůj obor, bude nějak zvlášť věnovat.
2) Průměrné náklady na zajištění bezpečnosti jsou mnohdy podstatně (i řádově) vyšší než průměrné ztráty z ignorování bezpečnosti.
Pokud chceme zvýšit informační bezpečnost, jsou na tahu především producenti řešení, kteří by se měli soustředit na překonání výše zmíněných dvou bodů. Pro mě to znamená zejména to, že bezpečnostní řešení by nemělo uživateli klást vůbec žádné dotazy, zobrazovat žádná varování ani vyžadovat žádná potvrzení, pokud si je uživatel sám explicitně nevyžádá.
Mám čtyři poznámky:
1. Je těžké nedostatek ochrany informací generalizovat. Faktem je, že jakýkoliv přestupek proti bezpečnosti informací může zůstat nepoitrestán roky. A pak příjde den, kdy si bezejmenný klučina někde v internetové kavárně v Bombaji dá věci dohromady a plány vašeho nejnovějšího produktu končí kdovíkde v Číně.
2. Určit cenu informací je hodně těžké, takže lze velmi špatně určit zda cena zabezpečení je vyšší, než případná cena zabezpečovacích mechanismů. Nedávno jsem vedl rozpravu s naším managementem a ptal jsem se jich na cenu naších informací. Oni nedokázali odpovědět a já jim nastínil, že pokud bychom ztratili jediný vývojový projekt, bylo by to asi 2-2,5 mil Eur. Kvůli ztrátě cca 50-60 mil korun je doplnění naší infrastruktury o pár disků, nějaký ten server a pár hodin školení docela malý díl peněz.
3. Víte, největší ohrožení Vaších informací nepřichází zvenčí (přesně opačně, jako v tom příkladě s indickým klučinou), ale zevnitř. Vaším největším problémem je váš vlastní zaměstnanec, který svou ignorancí, laxností, hloupostí, omylem a nebo zlým úmyslem dokáže napáchat škody opravdu obrovské.
4. No a mluvit o tom, že bezpečnost je složitý obor a uživatel musí zvládnout v první řadě svůj obor je taky ustřelené, protože každý uživatel, co pracuje s počítači by měl vědět co si smí a co si nesmí dovolit.... Pokud si není jist, měl by se zeptat. Bezpečnost všobecně je opravdu složitý obor, ale z pohledu uživatele je to poměrně jednoduchá záležitost, která se dá shrnout do pár pravidel....
2) Určit cenu může být těžké, ale mnohdy to jde celkem snadno. Například když Cormac Herley argumentoval, že problém není v uživatelích ale v tom, že bezpečnost je objektivně příliš drahá a tudíž ji uživatelé zcela racionálně odmítají (zdroj), demonstroval to mimo jiné i na objemu podvodných transakcí na Paypalu (což se dá zdokladovat docela snadno) a počtu uživatelů této služby. Vyšla mu z toho průměrná ztráta jednoho uživatele, a to po přepočtu hodinovou mzdou udává čas, který by měl racionální uživatel ročně věnovat bezpečnosti. To číslo bylo zatraceně malé - natolik, že v podstatě jakékoliv přemýšlení nad bezpečností už se nevyplatí.
4) Ano, to je právě ta naivita a idealismus. Ano, mělo by to tak být, souhlasím. Ale není to tak a nebude tomu tak, dokud přínosy z bezpečnosti nepřekročí náklady.
Nesouhlas!
Neúspěšně jsem se snažil o jakési zavedení informační bezpečnosti. Ta totiž začíná v hlavách lidí.
Jestliže dostanete v nemocnici zprávu, kde se liší systémový podpis uživatele a skutečného lékaře, který zprávu před vámi vytiskl, pak je něco v nepořádku.
Informace se dostanou do lejster a stále je to jedna informace. Informatici se (občas) mohou přetrhnout, ale o lejstra se starat nemohou. A uživatelé nechtějí a nechápou.
ČLÁNKY DO MAILU