Aby prowadzić samochód na drodze publicznej, konieczne jest posiadanie prawa jazdy, a sam pojazd musi mieć ważne badania techniczne. Tymczasem z Internetu może korzystać każdy i podłączać do niego dowolne urządzenie, o ile będzie ono w stanie komunikować się z innymi. Można próbować sobie wyobrazić, czym taka sytuacja skończyłaby się na drogach. I w pewnym sensie odpowiada ona za to, co dzieje się z Internetem. Problemy te z wolna zaczynają być dostrzegane. Cieszy, że powstają programy, takie jak Dziecko w sieci, informujące dzieci i rodziców o zagrożeniach z punktu widzenia najmłodszych. Trudno jednak uwierzyć, by ukończenie szkolenia z zakresu obsługi sieci, netykiety i bezpieczeństwa, certyfikowane Prawem internauty stało się kiedyś odpowiednikiem prawa jazdy, wymaganym przy korzystaniu z kawiarni internetowej, nie wspominając o zatrudnieniu w poważnej instytucji. Dlatego w interesie każdej firmy jest, oprócz przygotowania i egzekwowania odpowiedniej polityki bezpieczeństwa, także zadbanie o to, by jej pracownicy zostali należycie przeszkoleni - również w zakresie bezpieczeństwa teleinformatycznego. Jest to jedyny sposób na wyeliminowanie sytuacji podobnych do opisanych w niniejszym artykule, co prowadzi bezpośrednio do wymiernych oszczędności - jeżeli nie polegających na wyeliminowaniu niektórych systemów zabezpieczeń (jak wspomniałem we wstępie, edukacja powinna uzupełniać, a nie zastępować technikę), to przynajmniej na braku kosztów związanych ze znoszeniem skutków niektórych awarii.

Tymczasem z badań przeprowadzonych w ramach projektu Human Firewall (http://humanfirewall.com ) wynika, że blisko połowa ankietowanych instytucji nigdy w sposób formalny nie szkoliła swoich pracowników w zakresie bezpieczeństwa. Wśród tych, które to uczyniły, zaledwie 15% przeprowadziło takie szkolenia w ciągu sześciu miesięcy poprzedzających badania. W praktyce większość szkoleń związanych z siecią komputerową w firmach sprowadza się do przygotowania do korzystania z określonych aplikacji, związanych bezpośrednio z wykonywanym stanowiskiem. Wydaje się, że należałoby raczej zakładać, że każdy nowy pracownik posiada praktycznie zerową wiedzę o tym, jak w bezpieczny sposób działać w środowisku komputerowym i stanowi potencjalne zagrożenie dla firmy do czasu zdobycia takiej wiedzy.

Przemysław Jaroszewski jest specjalistą CERT Polska - jednostki zajmującej się bezpieczeństwem Internetu, działającej przy Naukowej i Akademickiej Sieci Komputerowej. Tekst jest zredagowanym referatem "Ataki w warstwie ósmej" z tegorocznej konferencji Secure.

<hr size=1 noshade>Nie zabijajcie misia

Do końca nie wiadomo, czy jest to kiepski żart, czy też czysta złośliwość - w Internecie krążą bowiem wciąż listy zawierające ostrzeżenie o rzekomym wirusie wraz z receptą, jak się przed nim obronić. Tyle tylko, że to w ogóle nie jest żaden wirus, zaś podana recepta może użytkownika wpędzić w kłopoty. W zilustrowanym przykładzie rzekomym wirusem ma być plik systemowy oznaczony ikoną niedźwiadka.