Žeby tušili, že sa im to nemusí vyplatiť? Nedávno v USA skončil dohodou prípad obvinenia z porušovania zákona, ktoré spočívalo v klamnom tvrdení o bezpečnosti počítačového systému. Divízia finančných praktík americkej FTC (Federal Trade Commission) sa dostala do sporu s dodávateľom krmiva pre zvieracích miláčikov Petco Animal Supplies, ktorý na svojej webstránke tvrdil, že čísla kreditných kariet jeho klientov sú ochránené pred neautorizovaným prístupom. Že to tak úplne neplatilo, ilustroval v r. 2003 nezávislý bezpečnostný konzultant, ktorý na zmienenej stránke odhalil bezpečnostnú dieru umožňujúcu čítať dáta zákazníkov, uložené v databáze spoločnosti. Hoci konzultant spoločnosť okamžite upozornil, a prípadný útočník mohol získať len časť z údajov, FTC sa nepáčil takto zistený rozpor s tvrdením o zabezpečení údajov zákazníkov spoločnosti.
Spor skončil minulý týždeň dohodou, podľa ktorej sa Petco zdrží klamných tvrdení o bezpečnosti svojej stránky a naviac vytvorí a zavedie komplexný program informačnej bezpečnosti, ktorý bude po dobu 20 rokov podrobovaný nezávislým auditom.
Informačnej bezpečnosti sa profesionálne venujem už nejaké tie roky a veľmi dobre viem, ako ťažké je zrealizovať “bezpečný systém” a následne ho udržiavať na primeranej úrovni bezpečnosti. Domnievam sa však, že by nezaškodilo, keby aj u nás bol pohľad na úroveň zabezpečenia informačných systémov trochu kritickejší – prinajmenšom pre tie systémy, v ktorých sa spracúvajú údaje občanov. Tí totiž spravidla nemajú možnosť ovplyvniť, do akej miery sú ich údaje chránené, a ostáva im len veriť, že “sú zabezpečené, pretože predsa musia byť zabezpečené”.
V posledných rokoch sa v USA, ale aj v Európskej únii začal na bezpečnosť klásť oveľa väčší dôraz, ako predtým. Bezpečnosť je skrátka “in”, ako vidieť napríklad aj z priorít podpory výskumu Európskou úniou. Pre ilustráciu, 8. novembra sa v Bruseli konalo konzultačnéstretnutie k programu pre rok 2005 pre PASR (Preparatory Action in the field of Security Research), na ktorom organizátori predpokladali asi 100 účastníkov ... nakoniec ich bolo vyše 400. Trpezlivo čakám, kedy aj u nás prestane postačovať jednoduché prehlásenie zástupcu inštitúcie o náležitej bezpečnosti ich informačných systémov (vie si niekto predstaviť, že by vyhlásil opak?), a začnú sa požadovať vierohodné argumenty, ktoré by také tvrdenie podložili.
Náš systém je bezpečný. Naozaj?
Bolo by asi veľkým prekvapením, keby sa niektorá inštitúcia verejne priznala, že jej informačný systém nie je dostatočne zabezpečený – na prípadnú priamu otázku sa štandardne odpovedá ubezpečením, že všetko je v poriadku.. Faktom však je, že o úrovni bezpečnosti konkrétnych systémov sa u nás verejne príliš nehovorí, resp. ich prevádzkovateľov sa na to málokto pýta ... a tak napohľad u nás v tejto oblasti vládne bezmála idylická situácia. Asi nie som jediný, kto sa pri zisťovaní názorov na bezpečnosť stretol so zaujímavým spôsobom uvažovania bežných ľudí, ktoré asi najlepšie vyjadruje nasledovné tvrdenie jedného respondenta môjho osobného prieskumu „Bankové informačné systémy sú určite bezpečné! Že prečo? Pretože banky predsa musia byť bezpečné!“ Na druhej strane sa nedá nevšimnúť si opatrnosť organizácií, ktoré sa vyhýbajú iniciatívnemu zdôrazňovaniu bezpečnosti svojich systémov ako potenciálnej konkurenčnej výhody.
