Nová škola informačnej bezpečnosti

Prvá časť knihy rozoberá niektoré zlyhania informačnej bezpečnosti (spam a ďalšie problémy s e-mailom, malware, prieniky do systémov, krádeže identity...) a kriticky rozoberá stav, do ktorého disciplína dospela. Napríklad, bezpečnostné produkty sú často zamerané na vonkajšie prejavy, nie podstatu problému. Ani služby ponúkané jednotlivcami či spoločnosťami v oblasti bezpečnosti nie sú bez problémov – kvalita je premenlivá, pre klientov nie je ľahké overiť si, či ponúkaný odborník naozaj má deklarované kvality. Mali by im napomôcť bezpečnostné certifikáty, vydávané rôznymi organizáciami – je však možné spoľahnúť sa, že ten, kto úspešne urobil (písomný) test, naozaj odvedie dobrú prácu? Naviac, požiadavky na ten či onen certifikát do istej miery obmedzujú myslenie a prístupy k riešeniu problémov – dá sa očakávať novátorský prístup od niekoho, kto memoroval niekoľko sto strán textu, aby urobil písomný test? Výhrady sú aj voči najrôznejším „checklistom“ či odporúčaným „best practices“ – odkiaľ vlastne pochádzajú, prečo by sa im malo veriť? Obvykle sú všeobecné a neberú do úvahy špecifiká organizácií či odvetví. A tak ďalej.

Cez kritické pohľady na aktuálny stav informačnej bezpečnosti sa autori postupne dopracujú ku konštatovaniu, že bez (objektívnych) údajov pre overenie nápadov na riešenie bezpečnosti je ťažké posúdiť, či sa (ne)mýlime v rozhodovaní, čo je vlastne dôležité. A zdôrazňujú, že ak nejaké stanovisko nemožno podrobiť overeniu (otestovať ho), ide o vieru, nie o vedu. Ako upozorňujú, v doterajšej praxi informačnej bezpečnosti chýbala práve schopnosť sústrediť objektívne údaje, voči ktorým možno testovať hypotézy (kľúčová charakteristika vedeckého prístupu).Tým prezradia, že im ide predovšetkým o to, aby disciplína informačnej bezpečnosti dostala solídne vedecké základy, a nebola len viacmenej náhodným zoskupením pocitov, tvrdení a dogiem.

Len konštatovať potrebu údajov o informačnej bezpečnosti pochopiteľne nestačí – kľúčovým problémom je otázka spoľahlivých zdrojov takých (objektívnych) údajov a ich použiteľnosť. Autori podrobili kritike aj také obľúbené zdroje informácií, ako sú napríklad prieskumy. Vlastne sa ani nemožno čudovať – kto sa nad prieskumami čo len na chvíľu zamyslí, rýchlo príde na to, že vyjadrujú názory nejakej skupiny respondentov – svoju rolu pritom zohráva výber a formulácia otázok, do akej miery respondenti otázky či použité termíny chápu a interpretujú rovnako ako autori prieskumu, a podobne. Skrátka, prieskumy síce majú nejakú hodnotu, ale v podstate len odrážajú pocity a vnímania respondentov.

Sľubný zdroj údajov pre rozvoj informačnej bezpečnosti vidia autori v údajoch o prienikoch do systémov, resp. bezpečnostných incidentoch. Cestu týmto smerom začala raziť Kalifornia so svojim zákonom (California Senate Bill 1386), ktorý uložil spoločnostiam povinnosť informovať o bezpečnostných incidentoch, pri ktorých mohlo dôjsť k neoprávnenému prístupu k osobným údajom občanov Kalifornie; obdobnú legislatívu neskôr prijali aj ďalšie štáty a uvažuje sa o zavedení podobného princípu do legislatívy EÚ. Autori pripúšťajú, že v súčasnosti dostupné údaje takéhoto druhu reprezentujú len podmnožinu toho, čo by sme potrebovali (napríklad podrobnejšie údaje o príčinách úspešnosti prienikov), ale práve v dostupnosti takýchto údajoch vidia potenciál pre zmenu charakteru disciplíny informačnej bezpečnosti z umenia na vedu.

Pravda, nejde len o dostupnosť údajov, ale aj o spôsoby, akými sa pristupuje k riešeniu problémov - a v tomto smere autori zdôrazňujú nutnosť inšpirovať sa ďaleko širším okruhom ďalších disciplín, ako doteraz. Uvažujme napríklad častý problém - obvinenie používateľov, že si vyberajú zlé heslá. Klasický prístup k náprave má silový charakter - spočíva v nasadení rôznych technologických riešení, vo vynaložení značného úsilia na prinútenie používateľov, aby si vyberali „správne“ heslá ... výsledky sú obvykle žalostné. Iný prístup ponúka ekonomický pohľad - čo takto zamyslieť sa ako sú (resp. či sú vôbec) používatelia stimulovaní k výberu lepších hesiel? Čo bude asi viesť k úspechu - pokúšať sa (silou) prekonať ľudskú prirodzenosť, alebo ju vhodným spôsobom (motiváciou) nakloniť želaným smerom?

Autori pripomínajú, že „ekonomické okuliare“ pomáhajú vysvetliť, prečo vlastne v informačnej bezpečnosti dochádza k niektorým javom - napríklad prečo niektoré bezpečnostné technológie zlyhávajú, prečo na trhu prevláda softvér ktorý nie je bezpečný, prečo je tak ťažké zastaviť spamovanie... Psychológia napríklad pomáha pochopiť, prečo toľko administrátorov neaplikuje bezpečnostné záplaty, hoci z čisto bezpečnostného pohľadu na také rozhodnutie nie je dôvod. Poznatky zo sociológie pomôžu ovplyvniť správanie ľudí (používateľov) želaným smerom. A tak ďalej - skrátka, poznatky z iných disciplín pomáhajú nájsť odpovede na otázky, ktoré sa vynárajú pri skúmaní reálneho sveta informačnej bezpečnosti.

Kniha tu nekončí, myslím si však, že na objasnenie v čom spočíva „nová škola informačnej bezpečnosti“ to stačí. Podľa môjho názoru celkom užitočné čítanie - prinajmenšom pre tých, ktorí sa dokážu odpútať od zaužívaného nazerania na riešenia informačnej bezpečnosti. Kritické zhrnutie stavu, v ktorom sa disciplína nachádza, rozhodne neuškodí, takisto aj ilustratívne príklady o možnostiach využitia poznatkov iných disciplín na riešenie problémov (zodpovedanie otázok) z informačnej bezpečnosti. Na druhej strane kniha asi veľmi nepomôže informačnobezpečnostným „remeselníkom“, teda tým, ktorí sú zvyknutí bez hlbšieho rozmýšľania aplikovať naučené recepty - v knihe ich nenájdu. Koniec koncov, „Nová škola informačnej bezpečnosti“ je ešte len vo svojich začiatkoch - naznačuje rámec a zaujímavé možnosti hľadania odpovedí, nie konečné (univerzálne) odpovede. Ktovie, či v našich podmienkach nájde dostatočne výživnú pôdu pre svoj ďalší rozvoj - osobne som dosť skeptický, aj keď nádej ešte nestrácam.