Totall recall - pamiętam doskonale

Seria wyłudzeń numerów kart kredytowych za pomocą mechanizmu zwanego phishing każe jeszcze raz postawić pytanie na temat bezpieczeństwa w Internecie. Na sieciowych forach dyskusyjnych można przeczytać z jednej strony utyskiwania na błędy w przeglądarkach internetowych, które ułatwiają oszustom zwodzenie użytkowników. Z drugiej strony - osoby obyte z technologią nie mogą się nadziwić, że ktoś może być tak naiwny, by podawać tak istotne informacje bez żadnej weryfikacji źródła.

Seria wyłudzeń numerów kart kredytowych za pomocą mechanizmu zwanego phishing każe jeszcze raz postawić pytanie na temat bezpieczeństwa w Internecie. Na sieciowych forach dyskusyjnych można przeczytać z jednej strony utyskiwania na błędy w przeglądarkach internetowych, które ułatwiają oszustom zwodzenie użytkowników. Z drugiej strony - osoby obyte z technologią nie mogą się nadziwić, że ktoś może być tak naiwny, by podawać tak istotne informacje bez żadnej weryfikacji źródła.

Czy rzeczywiście musieliśmy wynaleźć przeglądarki internetowe, wykształcić wirtualne społeczności i rozwinąć usługi online, by odkryć zupełnie banalną prawdę - że bezpieczeństwo jakiejkolwiek zbiorowości oparte jest na kontrolowanym i ograniczonym, ale jednak sporym zaufaniu między jej uczestnikami? Czy rzeczywiście doniesienia o wykradzionych numerach kart kredytowych i opróżnionych kontach są tak bardzo różne od informacji o "inkasentach" czy "Cygankach" okradających emeryckie domy, korzystając z naiwności właścicieli?

Sam doskonale wiem, co to znaczy ograniczone zaufanie, bo przeżyłem kradzież samochodu. Nic wielkiego - ktoś przywłaszczył sobie należącego do mnie poloneza, auto niepierwszej młodości, takiejże urody i na dodatek chronione ubezpieczeniem auto-casco. Ubolewam z tego powodu i chętnie widziałbym za kratkami tego, który dokonał kradzieży, ale nadal stawiam samochód przed blokiem, zaś szyb nie zmieniłem na pancerne.

Jest takie pojęcie jak akceptowalny poziom ryzyka. W skrócie oznacza ono, że godzimy się na pewne prawdopodobieństwo straty, bo nie chcemy stale ponosić zbyt wielkich kosztów zabezpieczeń. Najlepiej pokazać to na przykładzie. Niewątpliwie karty kredytowe chronione hasłami jednorazowymi byłyby nie tylko bezpieczniejsze, ale i niewiele droższe od tych, które używamy dzisiaj. A jednak korzystanie z nich byłoby na tyle utrudnione, że setki milionów osób na całym świecie godzi się na korzystanie z mniej bezpiecznej wersji, całkowicie "bezbronnej" wobec zwykłej, kieszonkowej kradzieży. Przecież wszystkie istotne informacje są dostępne czarno na białym, czy raczej wypukłe na wklęsłym.

Powtórzę pewien banał, który jednak powtarzać trzeba: totalne bezpieczeństwo jest możliwe tylko przy totalnej kontroli. Ta zaś oznacza, że wszystkie nasze słowa i czyny są gdzieś rejestrowane i analizowane. Środowisko podległe totalnej kontroli to nie jest, jak chcą to przedstawić niektórzy, bezpieczne miejsce do pracy, zabawy i robienia interesów. Takie miejsce to raj tylko dla szubrawców i ludzi nieodpowiedzialnych. Zaś kontrola niedoskonała to miejsce wymarzone dla tych, którzy nauczą się zabezpieczenia "obchodzić", co kiedyś nazywało się kombinowaniem, a teraz "hackowaniem systemu".

Jestem jednocześnie zbyt młody i zbyt stary, by wierzyć, że totalna kontrola rozwiąże jakikolwiek problem w sposób pewny i bez jednoczesnego stwarzania innych problemów. Zbyt stary, bo doskonale pamiętam społeczeństwo, w którym taką totalną kontrolę próbowano wdrożyć; zbyt młody, bo nie zdążyłem tym systemem przesiąknąć i pójść z nim na kompromisy, które kazałyby mi go w sposób mniej lub bardziej świadomy bronić czy rozgrzeszać. Nie muszę sprawdzać ponownie, tym razem w wymiarze wirtualnym, że totalna kontrola jest gorsza od ograniczonego zaufania.

Jeśli spam, phishing i spyware na moim komputerze mają być ceną za brak totalnej kontroli, to chcę jasno powiedzieć, że godzę się tę cenę płacić.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200