Z ochroną systemów informatycznych jest podobnie jak z obroną przed atakami terrorystycznymi. Napastnicy wykorzystują nie tyle dziury w fizycznym systemie obrony, ile luki w sposobach myślenia osób odpowiedzialnych za bezpieczeństwo. W efekcie pojawiają się zazwyczaj tam, gdzie się ich nikt w ogóle nie spodziewa.

Systemom obronnym często trudno coś zarzucić. Tworzone olbrzymim nakładem sił i środków stanowią zaporę nie do przebycia. Słabe punkty znajdują się gdzie indziej - są rezultatem stereotypowego podejścia do rozwiązywania problemów bezpieczeństwa, jak również braku wyobraźni, zadufania w organizacyjną i techniczną niezawodność zastosowanych rozwiązań. Stamtąd właśnie - ze sfery zachowań emocjonalnych i postaw intelektualnych - pochodzą niejednokrotnie najważniejsze wskazówki dla napastników szukających skutecznych metod ataku.

Z pewnością można by napisać niezwykle interesującą opowieść o socjotechnice komputerowej wirusologii. W ubiegłym roku sprytnie wykorzystano psychozę strachu przed rozsyłanymi przez Internet wirusami, panującą wśród internautów po nagłośnieniu przez mass media przypadku listów z nagłówkiem I love you, zawierających groźny w skutkach kod. Do wielu osób zaczęły przychodzić pocztą elektroniczną ostrzeżenia o wykryciu wyjątkowo paskudnego "robaka". Do wiadomości była dołączona szczegółowa instrukcja, jak się pozbyć intruza. Przesyłki nie wzbudzały podejrzeń, gdyż były wysyłane przez znajomych, którzy informowali o wykryciu wirusa u siebie i w dobrej wierze przekazywali sposób jego "unieszkodliwienia". Ci, którzy niebacznie zastosowali się do załączonych wskazówek, po pewnym czasie ze zdumieniem stwierdzali, że własnoręcznie usunęli ważny plik z systemu operacyjnego swojego komputera. Autorzy "żartu" nieprzypadkowo wybrali go bezbłędnie spośród wielu innych - jego czarna ikona jeszcze bardziej wzmagała poczucie zagrożenia.

Na wiele sposobów

Złożoność i szerokość problematyki ochrony systemów informacyjnych dobrze ilustruje wydana niedawno w Polsce książka Dorothy E. Denning pt. Wojna informacyjna i bezpieczeństwo informacji. Chociaż od jej pierwszego wydania na rynku amerykańskim minęły już cztery lata, nadal stanowi aktualne, obszerne kompendium wiedzy o wielu metodach informacyjnego ataku i sposobach możliwej obrony. Zawiera usystematyzowany i poparty konkretnymi przykładami przegląd mechanizmów i form prowadzenia wojny informacyjnej w elektronicznym i zinformatyzowanym świecie.

Autorka pokazuje, jak wiele możliwości oferują w tym zakresie współczesne technologie. Włos się jeży na głowie, gdy czyta się o możliwościach podsłuchiwania rozmów telefonicznych na całym świecie za pośrednictwem amerykańskiego systemu Echelon czy stosowanego przez Rosjan satelitarnego systemu szpiegowskiego.

Prawdziwa wartość tej książki polega jednak na zupełnie czym innym. Uzmysławia, gdzie tak naprawdę leżą największe zagrożenia dla bezpieczeństwa systemów informacyjnych. Poprzez prezentację kolejnych form informacyjnej ofensywy i defensywy ukazuje mechanizmy, które rządzą współczesną wojną informacyjną (rozumianą bardzo szeroko, nie tylko w aspekcie militarnym).

Mimo rosnącej roli techniki, czynnik ludzki ma wciąż decydujące znaczenia dla skuteczności działań związanych zarówno z pozyskiwaniem informacji, jak i ich ochroną. Choć techniki komputerowe i elektronika odgrywają coraz większą rolę w systemie obiegu informacji, to nie maleje znaczenie ludzkiej pomysłowości, wiedzy, umiejętności analizy i wyciągania wniosków.

W książce pojawiają się opisy tradycyjnego szpiegostwa, metod związanych z przekupstwem, sztuczkami psychologicznymi czy innymi socjotechnicznymi pułapkami (np. znane są przypadki hakerów, którzy nie mogąc złamać technicznych zabezpieczeń systemu, sięgali po telefon i podszywając się np. pod administratora systemu lub asystentkę prezesa, otrzymywali hasło dostępu od któregoś z pracowników).

Najsłabsze ogniwa

Lektura Wojny informacyjnej uzmysławia nam, jak coraz bardziej skomplikowane i wszechobecne są techniki ochrony informacji - lecz też zarazem, jak bardzo ułomne i zawodne są systemy zabezpieczeń ograniczające się tylko do techniki. Jej obserwacje znajdują potwierdzenie także w innych opracowaniach. Z opublikowanego niedawno przez Internet Security Alliance (ISA) raportu wynika, że częstym sposobem ataku na ważne, korporacyjne lub państwowe sieci jest wykorzystanie przypadkowych, funkcjonujących w domach komputerów osobistych podłączonych do tych sieci. Dlaczego tak się dzieje? Bo jesteśmy zbyt ufni, beztroscy, leniwi. Nie zdajemy sobie sprawy z rzeczywistych zagrożeń czyhających na nas w sieci albo nie chce nam się skutecznie im przeciwdziałać bądź nie potrafimy sobie z tym poradzić ze względu na niską znajomość techniki komputerowej. Firmy zrzeszone w ISA wydały poradnik, który ma pomóc indywidualnym użytkownikom w należytym zabezpieczeniu swojego domowego komputera.