Samozrejmosti

... napríklad sa automaticky predpokladá (očakáva), že niektoré „samozrejme hlúpe“ kroky ľudia ani neurobia. Je predsa úplne samozrejmé, že ak organizácia vynakladá značné úsilie na ochranu údajov, ktoré spracúva, tak nejde len tak o hocijaké údaje a malo by sa s nimi aj príslušne nakladať. Je to tak samozrejmé ... a predsa zamestnanec úradu pre záležitosti vojnových veteránov v USA si vzal domov CD s osobnými údajmi 26,5 milióna veteránov, aby oň pri vlámaní do jeho predsa len menej zabezpečeného domu prišiel. Ako samozrejmosť sa očakáva, že konzultanti a audítori – zamestnanci firmy patriacej do „veľkej štvorky“ celosvetovo pôsobiacich poradenských spoločností ovládajú zásady bezpečnosti – a potom média prinesú správy o stratách laptopov obsahujúcich údaje klientov takej prestížnej spoločnosti. Zdá sa byť samozrejmé, že človek ktorý bežne má prístup k utajovaným údajom, má príslušné postupy, ako sa hovorí, „v krvi“ – a predsa sa utajované dokumenty gréckej armády objavili na Internete po tom, ako ich príslušný špecialista pri oprave vojenského počítača skopíroval na svoj laptop, aby ich mohol zazálohovať na CD, a potom ich zabudol vymazať a laptop pripojil na Internet cez súkromné pripojenie(!) bez firewallu(!)... Od strážcu atómovej elektrárne sa zas samozrejme očakáva, že v pracovnom čase stráži vstup do atomovej elektrárne – a nie že sa tak zahĺbi do videohry, že prehliadne aj kontrolóra , ktorý prišiel na inšpekciu bezpečnosti... A, aby sme neblúdili len po svete, aj u nás sa ako samozrejmosť predpokladá, že správca systému (akéhokoľvek, ani nemusí ísť o systém organizácie ktorá je „zo zákona“ najvyššou autoritou keď ide o ochranu utajovaných skutočností) pozná a v praxi uplatňuje tie najzákladnejšie bezpečnostné pravidlá pre výber a nakladanie s heslami, a predsa sa heslo nbusr123 dočkalo svojej mediálnej slávy...

Ľudia nemajú radi, keď im niekto pripomína niečo, čo považujú za samozrejmosť. Napríklad, nepochybne mnohí admini by sa urazili, keby ich niekto začal poúčať o takých samozrejmostiach, akými nepochybne sú základné bezpečnostné zásady, hoci aj pre heslá – celkom oprávnene by to vnímali ako spochybňovanie svojich schopností, IQ, a pod. A samozrejme, nesmieme zabudnúť ani na používateľov, ktorí samozrejme ... vieme vlastne čo je pre nich samozrejmé a čo nie, v čom okolo bezpečnosti potrebujú poradiť a usmerniť?

Pre človeka, ktorý vypracováva bezpečnostný projekt, nie je jednoduché odhadnúť, aké správanie možno očakávať od ľudí, ktorých činnosť (alebo nečinnosť) môže ovplyvniť bezpečnosť systému a jeho údajov. Nie je jednoduché rozlíšiť čo je tak samozrejmé, že je naozaj zbytočné sa tomu bližšie venovať, a čo si zas naopak zaslúži aspoň odstavec čiste preto, aby sa na niečo nezabudlo. Naviac je potrebné brať do úvahy, že taký projekt môže pretrvať aktuálne personálne zloženie, t.j. pre prípadných náhradníkov súčasných „bystrých a spoľahlivých“ adminov, používateľov či manažérov nemusí byť samozrejmé konať vo všetkom tak, ako ich predchodcovia. Popísať do detailov všetky postupy ako „pre blbov“ síce autorovi projektu zabezpečí istú formu alibi, ale to len ak na niečo nezabudne – naviac, kto bude ochotný si taký projekt celý naštudovať a presne sa ním riadiť? Opačný extrém, teda predpokladať, že všetci zúčastnení, ktorí môžu či už vedome alebo nevedome ovplyvniť bezpečnosť, budú samozrejme vždy konať tak, ako to o nich autor projektu mlčky predpokladal, má tiež svoje riziká.

Samozrejme, toto všetko je zrejmé každému, kto sa nad tým čo len trošku zamyslí. A naozaj nezaškodí sa nad "samozrejmosťami" v bezpečnosti občas zamyslieť ... a najlepšie ak sa takéto zamýšľanie stane samozrejmou súčasťou (samozrejme pravidelného) hodnotenia dosiahnutej úrovne bezpečnosti. A keď už také zamýšľanie bude samozrejmosťou, samozrejme nebude potrebné písať takéto články o samozrejmostiach... :-)