Problém je medzi klávesnicou a stoličkou...

Pred pár dňami som sa v Bratislave zúčastnil zaujímavej konferencie o bezpečnosti, v ktorej podstatnú časť programu tvorili názorné ukážky techník prieniku do počítačových systémov. Prednášky i samotné ukážky predpokladali u poslucháčov pomerne hlboké technické znalosti, neboli teda určené bežným používateľom. Jeden z poslucháčov sa rozhodol využiť diskusiu na čosi ako konzultáciu – najprv pomerne detailne popísal ako v „jeho“ organizácii majú nastavenú a zabezpečenú sieť a následne žiadal potvrdiť, že uvedený spôsob ochráni pred útokom predvedeným v rámci prednášky. Evidentne mu neprekážalo, že vyše stovka prítomných sa dozvedela zaujímavé detaily o spôsobe zabezpečenia systému v jeho organizácii ... a naviac si vypočula aj odpoveď, ktorá síce pripustila že popisovaný útok by v danom prostredí neuspel, ale zároveň aj presne uviedla, ako by sa uvedený spôsob ochrany dal prekonať...

Používatelia systému nezriedka predstavujú vážnu hrozbu pre jeho bezpečnosť, a to aj napriek tomu, že o samotnom systéme toho spravidla veľa nevedia. Aj preto každý slušný bezpečnostný projekt obsahuje časti venované potrebe vzdelávania používateľov v oblasti bezpečnostných praktík. Menej časté je upozornenie na potrebu bezpečnostného vzdelávania zamestnancov IT útvarov – a keď aj je, spravidla sa tým myslí vzdelávanie „technického“ charakteru. Ukazuje sa, že by nezaškodilo aj informatikom občas pripomenúť, že konzultovať niektoré bezpečnostné detaily so špecialistami je síce žiadúce, ale dá sa to aj bez bezdôvodného zverejňovania detailov bezpečnostných opatrení ...