Bezpieczeństwo znaczy kontrola
W ramach wykonywania obowiązków służbowych trafiłem kiedyś na zorganizowaną w multipleksie prezentację produktów bezpieczeństwa. Przez kilka godzin specjaliści firmy prezentowali nam najnowsze systemy kontroli i wykrywania zagrożeń w sieciach korporacyjnych. Na koniec zaprezentowano drobiazg, dodawany za darmo, jeśli firma kupi licencję na duży system bezpieczeństwa: mały programik do zainstalowania na firmowych komputerach, dzięki któremu będzie można ustalić kto i na którego pendrive skopiował pliki, które wpadły później w ręce konkurencji albo pojawiły się na WikiLeaks. Po prezentacji, aby wynagrodzić wszystkim dzień spędzony w dusznej sali, zaproszono nas na pokaz "Dystryktu 9". Efekt był ironiczny, organizatorzy pokazu prawdopodobnie wybrali z oferty kina jeden z nowych hitów, bez zagłębiania się w fabułę: osią akcji filmu Neila Blomkampa jest konieczność przeciwstawienia się działaniom wielkiej korporacji i wykradzenia technologii Obcych z laboratorium firmy .
Indywidualny użytkownik nie wyda na zabezpieczenie ani dziesięciu tysięcy, ani nawet tysiąca złotych. Może wyda sto.
Nie sugeruję tu, że firmy powinny zrezygnować z zabezpieczeń, wręcz przeciwnie. Rozliczalność (accountability) to podstawa mocnych procedur bezpieczeństwa - dla firm. To duży rynek. Mało jest za to komercyjnych systemów zabezpieczeń dla indywidualnych użytkowników, to zrozumiałe, indywidualny użytkownik nie wyda na zabezpieczenie ani dziesięciu tysięcy, ani nawet tysiąca złotych. Może wyda sto.
Efektem takiego - racjonalnego z punktu widzenia biznesu - podejścia, są miliony zombie - komputerów zarażonych sieciowymi robakami, kontrolowanych przez przestępcze podziemie. Komputery te są wykorzystywane do przeprowadzania ataków, rozsyłania spamu, Dopiero kiedy stało się to globalnym problemem, pojawiły się globalne rozwiązania wprowadzone przez producentów systemów operacyjnych. Trochę to pomogło, ale niewiele. Dlaczego?
Tańczące świnie
Na konferencjach traktujących o tematach związanych z bezpieczeństwem internetowym, często można usłyszeć, że opłakany stan sieciowego bezpieczeństwa, to wszystko wina użytkowników , którzy klikają w każdy link jaki się im pokaże, uruchamiają każdy program jaki im wpadnie w ręce i wysyłają swoje hasła do poczty w odpowiedzi na bełkotliwe wiadomości z automatycznego tłumacza, a jeśli ich nie wyślą, zapisują na małych żółtych karteczkach przyklejanych potem gdzie popadnie, albo oddają je obcym za czekoladki. Użytkowników należy wyszkolić, wyszkoleni użytkownicy będą zachowywać się w sposób przewidywalny odpowiedzialny i bezpieczny i nie będą powodować zagrożeń.
Najbardziej to przypomina postulaty stworzenia nowego, komunistycznego człowieka. Rewolucyjnego człowieka. Prawdziwie chrześcijańskiego człowieka. Wszystkie te eksperymenty społeczne upadały. Dlatego też zwalanie winy na użytkowników to wybieg, natury ludzkiej zmienić się nie da. Światowej sławy kryptolog i ekspert w dziedzinie bezpieczeństwa, Bruce Schneier powiedział kiedyś:
użytkownik, mając do wyboru bezpieczeństwo, albo kliknięcie w tańczące świnie, wybierze tańczące świnie
Systemy bezpieczeństwa trzeba projektować tak, żeby były odporne na zagrożenie ze strony tańczących świń. Kryje się tu jeszcze jedno niebezpieczeństwo, analizy wykazały, że upraszczając system bezpieczeństwa, rezygnujemy z ochrony jaką on oferuje. Skomplikowany system szyfrowania zabezpieczony jednym hasłem, jest po prostu systemem zabezpieczeń jednym hasłem, niezależnie od komplikacji wewnętrznych mechanizmów, a przez to podatny jest na wszystkie ataki na hasła.
Czołgiem na infostradę
W Polsce dobrą robotę robi GIODO, ale to kropla w morzu potrzeb.
Jak rozwiązać problem bezpieczeństwa internetowego? Podobny problem istniał kiedyś z pojazdami mechanicznymi - w społeczeństwa przyzwyczajone do transportu konnego wjechały eksperymentalne potwory samochodowych wynalazców: pojazdy napędzane sprężonym powietrzem, gazem, nawet prochem, wielkie, niezgrabne, czasem wybuchające, niebezpiecznie, pisał o nich fascynująco Witold Rychter w "Dziejach Samochodu". Po infostradach dzisiejszego Internetu krążą równie niebezpieczne wirtualne pojazdy: ziejące ogniem czołgi zaraźliwych botnetów, taranujące inne pojazdy ataki DDoS zatykające łącza, pomiędzy nimi na deskorolkach, z puszkami farby w rękach, grasują grafficiarze w charakterystycznych maskach. Nie ma nikogo kto powie "ten pojazd nie wyjedzie na drogę bo leci z niego kwas", prawie żadnej homologacji i certyfikacji internetowych produktów przeznaczonych dla indywidualnych użytkowników. Certyfikaty takie istnieją w wypadku produktów dla firm i wojska. W Polsce dobrą robotę robi GIODO, zmuszając firmy do przestrzegania elementarnych zasad bezpieczeństwa informacji, kiedy w grę wchodzą dane osobowe, ale to kropla w morzu potrzeb.
Tak jak rządy wypracowały metody dopuszczania do ruchu pojazdów mechanicznych, tak prędzej czy później będą musiały wymusić metodę "dopuszczania do ruchu" aplikacji internetowych. Inaczej użytkownicy uciekną z niebezpiecznych ulic i schronią się w bezpiecznych centrach handlowych - zamkniętych mikroświatach serwisów społecznościowych. A Internet to w tej chwili najważniejsza przestrzeń publiczna.
