Hrozby zvnútra

či to je preto, že bezpečnosť sa až príliš často rieši nesystematicky, bez aspoň základnej analýzy možných rizík, čiže jednoduchým hromadením bezpečnostných produktov, ktoré sú spravidla stavané proti útokom zvonku. Ale nie o tom som chcel – je zaujímavé pozrieť sa na myslenie ľudí v prípade, že berú do úvahy aj možnosť vnútornej hrozby. Zdá sa totiž, že skoro bez výnimky sa za potenciálneho škodcu považuje predovšetkým niekto z oprávnených používateľov systému a prípadné bezpečnostné opatrenia proti hrozbám zvnútra sa orientujú na túto (najpočetnejšiu) skupinu.

Oveľa zriedkavejšie sa prípadné bezpečnostné opatrenia proti vnútorným hrozbám orientujú na síce počtom menšiu, ale možnosťami spôsobiť škody oveľa významnejšiu skupinu „insiderov“ – správcov, prípadne programátorov. Prečo to tak je, sa dá celkom logicky odôvodniť – sú to ľudia, na ktorých spočíva praktická realizácia veľkej časti bezpečnostných opatrení, no a niekomu predsa musíme dôverovať.

Vnútri každej organizácie však existuje aj ďalšia, počtom tiež neveľká skupina, ktorej potenciál narobiť škody prevyšuje aj možnosti správcov systému – pri úvahách o hrozbách zvnútra je však systematicky vynechávaná. Možno preto, že pri riešení bezpečnosti sa pozornosť akosi automaticky sústreďuje na ochranu proti úmyselným útokom – ich dôsledky sú vcelku jednoducho popísateľné a teda aj predstaviteľné. Ako však popísať škody, ktoré môžu vzniknúť nečinnosťou či zlým rozhodnutím? Oná skupina, ktorú spomínam na začiatku tohto odseku, sú totiž tí, ktorí rozhodujú a ktorých rozhodnutie môže mať ďalekosiahle, aj keď nie okamžite viditeľné dôsledky na bezpečnosť informačného systému – poznáme ich pod označením ako manažéri, vedúci, riadiaci pracovníci, a pod. Nedá sa od nich vyžadovať, aby boli špecialisti na bezpečnosť, len zriedkakedy majú hlbšie znalosti o informačných technológiach ako bežný používateľ, svojimi rozhodnutiami však pritom môžu v podstatnej miere ovplyvniť riešenie bezpečnosti informačného systému organizácie. Otázka je, či si to uvedomujú. Či si napríklad uvedomujú, že ak pri rozdeľovaní balíka peňazí, ktorý je samozrejme vždy menší ako by sa žiadalo, uprednostnia vybavenie nových áut klimatizáciou na úkor požiadavky informatikov na náhradu za zastaralý server, že to môže mať dôsledky na bezpečnosť a spoľahlivosť prevádzky celého informačného systému a v konečnom dôsledku na to, či organizácia bude schopná fungovať tak, ako sa to od nej očakáva.

Obávam sa, že ideálnych manažérov, teda takých ktorí si podobné dôsledky svojich rozhodnutí na bezpečnosť sami uvedomia, je a bude zúfalý nedostatok. A že u tých ostatných ešte dlho potrvá, kým im niekto vysvetlí, že to či ono rozhodnutie, ktoré prijmú, môže svojimi dôsledkami vážnym spôsobom ohroziť bezpečnosť, a teda že oni sami v tomto prípade predstavujú „hrozbu zvnútra“...