Waszyngton. Niezależny zespół ekspertów stwierdził w ubiegłym tygodniu, że systemy komputerowe w USA są szczególnie narażone na zagrożenia, spowodowane zaniechaniem przez rząd federalny i przemysł komputerowy prac nad rozwojem technologii ochronnych i zabezpieczających.

Zespół, o którym mowa, czyli komitet działający przy National Research Council, obwinia również użytkowników o nieprzestrzeganie najbardziej podstawowych i najistotniejszych zasad bezpieczeństwa komputerowego oraz wskazuje na to, że opublikowany ostatnio raport na temat wirusów, robaków (worms), koni trojańskich itp. zwiastuje problemy związane z bezpieczeństwem komputerowym, które zdominują nadchodzącą dekadę.

Horrory

Zespół ekspertów przytacza ogromną liczbę wydarzeń, określonych przezeń mianem horrorów komputerowych, m.in. aferę finansową w zakładach Volkswa-gena w Ameryce Południowej na sumę 259 milionów USD oraz próbę oszustwa, która nieomal doprowadziła Loterię Pensylwańską do utraty 15 milionów USD. Przytacza też inne horrory, spowodowane atakami wirusów i podobnych do nich niszczycielskich programów.

O ile bezpośredniej przyczyny niektórych przykrych wydarzeń upatruje się w zbyt prymitywnej technologii zabezpieczającej, o tyle w większości wypadków za największego wroga bezpieczeństwa komputerowego uznano samego użytkownika.

Użytkownicy zwykle zachowują się tak, że urąga to podstawowym zasadom bezpieczeństwa: dobierają łatwe do odgadnięcia hasła, gromadzą hasła przeznaczone do maszyn z zabezpieczeniem w maszynach bez zabezpieczenia, przechowują nielegalnie rozprowadzane kopie, nie korzystają z istotnego systemu bezpieczeństwa z myślą o przyszłych operacjach, nie rozbudowują mechanizmów służących do odtwarzania zniszczonych zbiorów.

- Użytkownicy często sami narażają się na straty, kupując sprzęt bez zabezpieczenia, aby zaoszczędzić pieniądze - powiedział Ha-rold F. Tipton, członek komitetu i menedżer w dziedzinie bezpieczeństwa komputerowego w Rockwell International Corp. - To jest tak, jak z pasami bezpieczeństwa: jeżeli trzeba za nie zapłacić dodat-

kowo, to niewielu je kupi. Zdaniem zespołu ekspertów ocena sprzętu i możliwość uzyskania certyfikatu powinny zależeć głównie od stopnia bezpieczeństwa, jaki sprzęt gwarantuje w konfiguracji podstawowej: wówczas „użytkownik nie może z niczego zrezygnować, by oszczędzić 1000 USD".

Szkolenie w zakresie bezpieczeństwa

Zespół ekspertów wystąpił z inicjatywą powołania niezależnej od rządu fundacji, mającej na celu szkolenie w zakresie technologii bezpieczeństwa komputerowego i niezawodności oraz komercjalizację tych technologii.

- Główny wniosek, do jakiego doszliśmy, sprowadza się do stwierdzenia, że nasze systemy komputerowe i komunikacyjne są potencjalnymi ofiarami katastrof,wynikających z naruszenia zasad bezpieczeństwa oraz z powodu innych przypadkowych słabości -powiedział David D. Clark, prezes komitetu i informatyk z MIT. Jak dotąd, ludziom udawało się z niezłym skutkiem unikać systematycznych krytycznych ataków, podważających stan bezpieczeństwa systemów komputerowych.

Przeszło trzystustronicowy raport z posiedzenia zespołu ekspertów - „Ryzyko a bezpieczeństwo komputerowe w erze informacji" opublikowany w grudniu ubiegłego roku, relacjonuje 18-miesięczne badania szesnastu reprezentantów przemysłu i nauki, wyznaczonych przez National Research Council, główną komórkę operacyjną National Academies of Sciences and Engineering. Praca została wykonana na zamówienie Pentagons Defense Advanced Research Projects Agency w związku z aferą spowowdowaną dwa lata temu przez robaka Internet (Internet worm).

Komisja ds. sankcji za naruszanie bezpieczeństwa komputerowego, działająca przy National Research Council powołała Fundację Bezpiecznej Informacji (Information Security Fundation), w której skład będą wchodzili użytkownicy, sprzedawcy oraz przedstawiciele innych instytucji, np. towarzystw ubezpieczeniowych.

Fundacja będzie oceniać produkty, wydawać dla nich certyfikaty bezpieczeństwa oraz zajmować się powiązaniami między stroną komercyjną a bezpieczeństwem informacji.

Do podstawowych zasad systemu bezpieczeństwa uznanych przez Fundację zgodnie z raportem należą: kontrola jakości i źródła pochodzenia, identyfikacja i legalizacja użytkownika, ochrona kodu, stosowanie środków zapewniających bezpieczeństwo, przeprowadzanie niezależnych kontroli i losowych badań.