Cena zmúdrenia

... o bežných sklamaniach z chatových vzťahov sa predsa nepíše v médiách. Onen študent bol kľúčový hráč basketbalového tímu svojej univerzity, jeho novú známu „Victoriu“ za pomoci fotografií atraktívnej osoby ženského rodu stvárnil fanúšik konkurenčného tímu ... a napohľad sľubný vzťah sa začal rozvíjať pár dní pred prestížnym vzájomným súbojom. Pointa prišla práve na onom zápase – keď sa nič netušiaci študent objavil na palubovke, fanúšikovia súpera začali zborovo skandovať „Victoria“ a vydržali tak po celý zápas. Naviac, objavil sa transparent s telefónnym číslom nešťastníka a medzi divákmi sa rozdávali prepisy jeho privátnych chatov s „Victoriou“.

Na tomto mieste príliš neprekvapí reakcia čitateľa typu „tak mu treba, mal predsa vedieť že na Internete/chate sa nedá veriť že na druhej strane je naozaj osoba, ktorá to o sebe tvrdí“ ... a prečo túto historku vyťahujem práve v rubrike venovanej informačnej bezpečnosti? Nuž preto, že podobný emocionálne ladený prístup („tak mu treba keď nevie/je neschopný/je hlupák“) nie je zriedkavosťou ani v tejto oblasti – aj v diskusiách sa dá stretnúť s názormi typu „ak admin nedokáže nastaviť správne firewall/včas nainštalovať najnovší patch a pod., zaslúži si aby bol hacknutý...“ ... a podľa môjho názoru autorom takýchto výrokov uniká čosi, čo by nemalo uniknúť niekomu, kto sa k otázke bezpečnosti stavia naozaj seriózne.

Na jednej strane výrok otroka Kaptaha (Waltariho „Egypťan Sinuhe“) – „Hlupákov treba klamať, aby skúsenosťami zmúdreli“ nepochybne má čosi do seba. Na druhej strane seriózny prístup k riešeniu bezpečnosti by mal prinajmenšom zvážiť v prípade ktorých osôb by nebolo práve najrozumnejšie čakať, až zmúdrejú... zvlášť takým spôsobom. Nie vždy sa totiž dôsledky zlyhania/neskúsenosti/hlúposti jednotlivca obmedzia len na neho. V prípade spomínanom v úvode, ponížený a otrasený študent podal v zápase výkon ďaleko zaostávajúci za jeho obvyklou úrovňou, na čo doplatil celý tím. V prípade, že admin nenainštaluje potrebný patch, možno si zaslúži aby systém, ktorý spravuje, bol hacknutý – ale dôsledky predsa postihnú aj používateľov či ľudí, ktorých dáta sa v systéme nachádzajú a ktoré sa v dôsledku úspešného hacknutia „rozletia do sveta“ – aj oni si to „zaslúžia“? A nejde len o admina, kiks s vážnymi následkami môže urobiť aj niekto iný kto sa „točí“ okolo systému ... klasikou v tomto smere je prípad upratovačky v juhoafrickej nemocnici, ktorú nikto neupozornil, že na oddelení ARO nemá vyťahovať prístroje zo zásuvky len preto, aby mala kde zapojiť svoj vysávač...

Samozrejme, od istého veku by mal človek byť zodpovedný za to, čo urobí či neurobí, a podobne by aj každý admin i používateľ informačného systému mal niesť istú zodpovednosť za svoje aktivity v systéme. Profesionálny prístup k zaisteniu bezpečnosti by si však nemal klásť za jediný cieľ dosiahnuť detinské uspokojenie z toho, že niekto bude „spravodlivo potrestaný“ ... veď ak sa chybou/zlyhaním/nevedomosťou admina v dôsledku incidentu „položí“ celá firma, možnosť ukázať prstom na vinníka je len chabou útechou – pre jeho nadriadených je to vítané alibi, pre niekoho môže jeho potrestanie priniesť určité emocionálne uspokojenie, nenahradí to však spôsobené škody. Rozdeliť zodpovednosť je ľahké, príspevok k riešeniu bezpečnosti to však bude až vtedy, keď sa spolu s tým zabezpečí aj náležité poučenie/vzdelávanie príslušných ľudí. Iste, môžu sa poučiť na skúsenostiach z vlastných chýb, cena takého „vzdelávania“ však môže byť privysoká ... ak na to ten, kto rieši, resp. zodpovedá za bezpečnosť (a to platí aj pre manažment organizácie), nemyslí, cena za JEHO zmúdrenie môže byť ešte vyššia...