Choć troska o bezpieczeństwo IT i danych jest na ustach wszystkich, nikt nie czuje się za nie do końca odpowiedzialny. Przerzucanie piłeczki między państwem, dostawcami i użytkownikami trwa i nic nie wskazuje, by w przyszłym roku miał tu nastąpić jakiś przełom.

Informatyka od dobrych kilku lat czeka na przełom w dziedzinie bezpieczeństwa i jakoś nie może się go doczekać. Wygląda na to, że nikt nie chce za bezpieczeństwo korzystania z informatyki wziąć odpowiedzialności. Państwo nie ma o nim pojęcia. Nie ma też kadr ani środków, by ten stan zmienić. Z kolei dostawcy informatyki tworzą pozory, nie są bowiem specjalnie zainteresowani radykalną poprawą bezpieczeństwa. Kto kupowałby nowe wersje programów i aktualizacje systemów zabezpieczeń, gdyby wszystko dało się zabezpieczyć? Nawet sami użytkownicy informatyki nie wykazują w tej sprawie wielkiej aktywności - o bezpieczeństwie większość z nich wie mało lub zgoła nic - i szybko się to nie zmieni. O perspektywach poprawy bezpieczeństwa w informatyce w 2005 r. trudno zatem myśleć z optymizmem.

Wolność lub bezpieczeństwo

Jak dotychczas państwo wzbrania się przed rolą cyberpolicjanta, zasłaniając się brakiem kadr i środków, a także obawiając się oskarżeń o przekraczanie granic prywatności. Taka postawa nie da się jednak utrzymać na dłuższą metę, bo informatyka wkracza w coraz to nowe sfery życia. Przy jej pomocy prowadzona jest działalność gospodarcza, społeczna, edukacyjna itd. Oczywiście nie oznacza to automatycznie, że powinniśmy iść śladem skrajnych pomysłów, np. tych, jakie niedawno narodziły się w amerykańskich kręgach rządowych.

George Tenet, były dyrektor CIA, stwierdził ostatnio, że być może nadszedł czas, by z Internetu korzystali tylko ci, którym można zaufać. Według niego, najlepszym rozwiązaniem problemu bezpieczeństwa w sieci byłaby budowa ogólnokrajowej infrastruktury PKI na najniższym możliwym poziomie, a więc, jak można sobie wyobrazić, identyfikująca zarówno urządzenia, jak i użytkowników. Niegdysiejsze próby sprzętowego znakowania procesorów Pentium Intela zakończyły się fiaskiem. Czyżby miało dojść do kolejnej próby sił z obrońcami prywatności?

Bezsprzeczna identyfikacja użytkownika na każdym kroku mogłaby wyrządzić spore szkody - z zagrożeniem demokracji włącznie. Zablokowanie możliwości publicznej wypowiedzi już na poziomie infrastruktury osobom niewygodnym z punktu widzenia władzy czy szybka identyfikacja tych, którzy poinformowali o jej nadużyciach rodzi naturalne skojarzenia z Orwellem. Zresztą nie o samą identyfikację chodzi - szkodliwa byłaby, będąca pochodną identyfikacji, możliwość tworzenia dla poszczególnych osób "profili" czy też "historii".

Mimo to przed powszechnym wykorzystaniem PKI raczej nie da się uciec. W świecie realnym podstawą wszelkich działań jest ustalenie tożsamości osoby lub firmy przez weryfikację autentyczności określonych dokumentów - zwykle wydawanych przez państwo. Świat wirtualny będzie musiał, prędzej czy później, dostosować się do tego - pytanie tylko, w jakim zakresie. Można spekulować, że np. weryfikacja poprzez PKI mogłaby być konieczna do skorzystania z określonych usług w sieci. Rolą państwa byłoby wtedy nakreślenie rozsądnych ram systemu bezpieczeństwa. Ale czy nie jest to założenie z gruntu wirtualne?

Uciążliwy bagaż

Gdy cały system weryfikacji tożsamości może zostać przełamany lub ominięty, sprawdzanie tożsamości nie ma sensu. Tu akurat państwo niewiele może zrobić. Producenci systemów i aplikacji już dawno przyzwyczaili się do myśli, że ich dzieła nigdy nie będą doskonałe. Jak twierdzą, za poprawę jakości, która jest kosztowna, nikt im nie zapłaci. Skupiają się więc głównie na poprawie funkcjonalności, kwestie bezpieczeństwa pozostawiając dostawcom rozwiązań zabezpieczających.

Microsoft zrobił wiele szumu wokół inicjatywy mającej na celu poprawę bezpieczeństwa jego produktów, jednak zrobił to pod wpływem krytyki ze strony klientów i rozwoju konkurencji w postaci oprogramowania open source. Efekty widać dopiero w najnowszych produktach, które wydają się być lepiej zabezpieczone, a ich domyślne konfiguracje nie są już, jak niegdyś, zachętą dla hakerów.

Starych produktów firma nie zamierza udoskonalać. Efekty takiego stanu rzeczy są opłakane. Jeden z najbardziej dziurawych programów w historii informatyki - przeglądarka Internet Explorer (IE) - od trzech lat nie doczekał się istotnych udoskonaleń, choć to on jest przyczyną bardzo wielu problemów. Zmiany wprowadzone w pakiecie aktualizacji Service Pack 2 dla systemu Windows XP poprawiły poziom bezpieczeństwa tylko nieznacznie. W samym SP2 wykryto już zresztą co najmniej 10 poważnych luk. Co będzie dalej?

W wielu firmach IE wykorzystywany jest tylko dlatego, że w przeszłości firmy uznały za atrakcyjne ułatwienia w tworzeniu dynamicznych witryn WWW oferowane przez możliwość osadzania w nich obiektów ActiveX. Żadna aplikacja nie trwa jednak wiecznie. Wątpliwe, aby firmy, które przekonały się o zdradliwej naturze ActiveX, zechciały to doświadczenie powtarzać. W obawie o bezpieczeństwo swoich danych, a zwłaszcza pieniędzy, zamienników dla IE poszukiwać będą także użytkownicy indywidualni. Szanse na zwiększenie popularności mają zwłaszcza Mozilla Firefox, Netscape Navigator czy Opera.