Používate pri ochrane počítačov mágiu?

Podobne ako v prípadoch dávnej ľudovej mágie, aj v praxi informačnej bezpečnosti sa možno stretnúť s praktikami a príkazmi, o ktorých nevie nikto presne povedať prečo by mali zabezpečiť ochranu, ale napriek tomu sa deklaruje nutnosť ich použitia. Krásnym príkladom sú prístupové heslá, v súvislosti s ktorými sú aj v našich podmienkach často kategoricky formulované rôzne zásady údajne zvyšujúce bezpečnosť. Napríklad, zatiaľ som ešte nepočul presvedčivý argument, prečo je heslo potrebné meniť práve po 30 dňoch, čo je hodnota ktorá sa dosť často vyžaduje. Ako sa zmení (zhorší?) bezpečnosť, keď sa heslá budú meniť nie po 30, ale po 93 dňoch, alebo viacmenej náhodne, zhruba raz ročne? Podobne, systém prihlasovania sa má vraj byť nastavený tak, že po 3 neúspešných pokusoch zadať heslo sa príslušný účet zablokuje ... to, že sa účet zablokuje, má svoju logiku, ale z čoho sa odvodilo to číslo 3, a o čo je lepšie ako 2, 4, či 7?

Dnešná doba celkom praje podobnému bezmyšlienkovitému hlásaniu rôznych bezpečnostných zásad. Keď sa konečne objavili oficiálne štandardy pre bezpečnosť, pre niektorých ľudí sa stali akýmsi fetišom... Hoci každý štandard je nutne všeobecný, a zvlášť pri tých bezpečnostných je potrebné zohľadňovať konkrétnu situáciu, fetišizovanie štandardu vedie k hlásaniu jeho ustanovení bez najmenšieho zamyslenia sa. Mal som možnosť vidieť dokument nazvaný Analýza rizík podľa štandardu XYZ (ktorý inak nie je štandardom pre analýzu rizík) - pozostával z výberu formulácií štandardu a v súlade s ním končil odporúčaním klientovi, aby si dal vypracovať - neuhádnete - analýzu rizík. Videl som aj bezpečnostný dokument, v ktorom "odborník" klientovi doslovným zopakovaním formulácií štandardu naliehavo odporúčal prijať opatrenia pre prípad havárie, vyvolanej o.i. lavínami a zosuvmi pôdy (šlo o organizáciu sídliacu v širšom centre Bratislavy)... Skrátka, štandard a to čo je v ňom, je sväté a treba sa tým riadiť - bez ohľadu na to, či to je v danej situácii vôbec zmysluplné. Slovko "štandard" má pre mnohých ľudí takú magickú silu, že akákoľvek logika musí ustúpiť.

Keďže ľudia preferujú jednoduché riešenia, ktoré ich nenútia rozmýšľať, možno sa časom dočkáme aj ďalších podobných postupov a príkazov. Už sa teším na odporúčania, že ochranu servera zabezpečí magický kruh, ktorý okolo neho o polnoci urobí nahá správkyňa systému ... Nakoniec, prečo nie? Neuvádza to síce žiaden štandard, ale to len zatiaľ... Na rozdiel od predchádzajúcich príkladov toto opatrenie sa pritom dá krásne logicky vyargumentovať ... rôzne firemné rituály upevňujú „ducha“ organizácie, ako to odporúča každá lepšia učebnica manažmentu, z hľadiska nákladov je to lacnejšie ako vypracovať a realizovať bezpečnostný projekt, a naviac to medzi zamestnancami zvýši záujem o aktívnu účasť na procedúrach ochrany počítačov organizácie...