Bezpieczna organizacja niebezpieczny umysł

Oto krótki katalog naturalnych cech ludzkich, które przyczyniają się do powstawania ryzyka z dziedziny bezpieczeństwa informacyjnego przedsiębiorstwa.

Oto krótki katalog naturalnych cech ludzkich, które przyczyniają się do powstawania ryzyka z dziedziny bezpieczeństwa informacyjnego przedsiębiorstwa.

Komunizm miał być najdoskonalszą formą rozwoju społecznego, na co istniały liczne naukowe dowody. Przodujący ustrój miał samych sojuszników i tylko jednego wroga: naturę ludzką. Ludzie, mimo całej rozbudowanej maszyny propagandowo-represyjnej, nie chcieli pozbyć się osobistej własności, nie nauczyli się przedkładać dobra zbiorowości nad dobro indywidualne; nie odrzucili też tradycji ani religii. Komunizm przegrał między innymi dlatego, że uważał, że natura ludzka jest "naprawialna", a do jej "naprawiania" zaprzągł środki przymusu niespotykane nigdy wcześniej.

Na podobny rodzaj naiwności cierpi bezpieczeństwo informatyczne: nie jest trudno znaleźć firmę i specjalistę, którzy powiedzą, że wszystko byłoby bezpieczne, gdyby nie ci nieodpowiedzialni ludzie. Wielu innych cechy natury ludzkiej próbuje "reperować" represyjnymi ograniczeniami, inni - inwestycjami. Wszystkich zaś cechuje arogancki technokratyzm i serdeczne ignorowanie czynnika psychologicznego i socjologicznego jako praprzyczyny wielu zagrożeń. W sytuacji gdy niemal połowa naruszeń bezpieczeństwa pochodzi z wewnątrz samych firm, a w reszcie przypadków główną przyczyną są czyjeś niedbalstwo czy lenistwo, brak refleksji nad tą naturą jest doprawdy dziwny. Budżety bezpieczeństwa puchną, a efekty pozostają ograniczone. Spróbujmy więc stworzyć krótki katalog naturalnych cech ludzkich, które owocują ryzykami z dziedziny bezpieczeństwa informacyjnego przedsiębiorstwa.

Nie chcę, by mnie kontrolowano

Pierwszą z takich cech jest ochrona własnej prywatności oraz rozsądne rozgraniczenie życia prywatnego i służbowego. We współczesnych przedsiębiorstwach użytkownicy komputerów musieli przyzwyczaić się do tego, że każdy ich ruch w systemach informatycznych jest kontrolowany i może być użyty przeciwko nim. Z jednej strony daje to przedsiębiorstwu przekonanie, że dzięki zapewnieniu takiej właśnie kontroli użytkownik będzie się zachowywał w sposób odpowiedzialny. Przekonanie to jest złudne, bo firma nie jest w stanie w sposób ekonomicznie racjonalny zbierać i przetwarzać wszystkich danych o aktywności pracowników w systemach, zaś naruszenia bezpieczeństwa zdarzają się nadal. Efekt uboczny jest jeszcze mniej pożądany: inwigilowani pracownicy tracą inwencję i stale obawiają się, że zrobią coś nie tak i zostaną za to pociągnięci do odpowiedzialności. Przede wszystkim zaś tracą zaufanie do firmy, która nie ufa im.

Obowiązkowym elementem każdej nieomal polityki bezpieczeństwa jest zakaz wykorzystywania komputera do celów prywatnych, przy czym najczęściej "cele prywatne" nie są wymienione enumeratywnie. Jednocześnie w nieomal każdej firmie pracownicy wykorzystują służbową pocztę, by wysyłać i odbierać prywatne listy. Na dyskach służbowych laptopów nieomal każdy trzyma zdjęcia z wakacji, a nie brakuje takich, którzy umilają sobie czas słuchając internetowych rozgłośni radiowych lub plików MP3. Jaki jest efekt? Ano taki, że polityka bezpieczeństwa powszechnie jest wyszydzana (publicznie albo nie), a jeśli nawet nie wyszydzana, to lekceważona. Zagrożeń wielkich nie ma. Koszty są umiarkowane albo żadne, bo z punktu widzenia firmy nie ma znaczenia, czy pół gigabajta na dysku stacji roboczej jest puste, czy zapełnione zdjęciami dzieci pracownika i jego znajomych.

Firmowe służby bezpieczeństwa zamiast szukać rzeczywistych luk w systemach zabezpieczeń zajmują się dokumentowaniem takich błahostek. Nade wszystko zaś każdy pracownik żyje w przekonaniu, że firma ma na niego "haka" i w razie potrzeby nie zawaha się go użyć. Wystarczy obejrzeć dowolny film Stanisława Barei, aby dostrzec trudną do zignorowania analogię pomiędzy takim przedsiębiorstwem a socjalizmem z ludzką twarzą.

Nie chcę robić sobie kłopotu

Niestety, wiele wymagań dotyczących bezpieczeństwa wiąże się z uciążliwościami. Specjaliści do spraw bezpieczeństwa - niczym urzędnicy peerelowskiej biurokracji - bez sentymentów przerzucają te ciężary na użytkowników, będąc jednocześnie głuchymi na opinie, że utrudniają im one życie.

Najlepszym przykładem jest konieczność zachowywania pewnego formatu hasła i jego regularnej zmiany. W zasadzie wszyscy specjaliści od bezpieczeństwa zgadzają się, że hasło powinno mieć kombinację dużych i małych liter, znaki specjalne, minimalną długość oraz niezbyt długi czas ważności. Nie może stanowić żadnego słowa z języka naturalnego, nie powinno powtarzać się i niektóre systemy pamiętają nawet 10 poprzednich haseł, by uniemożliwić użytkownikowi powtórzenia.

Tylko nikt nie zastanowi się nad biednym użytkownikiem, który raz na kilka tygodni musi od nowa wymyślić taką kombinację i skutecznie ją zapamiętać (nie zapisując nigdzie, bo to także jest surowo wzbronione). W efekcie przedsiębiorstwa, które wprowadzając rygorystyczną politykę, zabezpieczyły się przed negatywnymi efektami włamań przez odgadnięcie hasła, jednocześnie tracą setki godzin roboczych z powodu zapomnianych haseł (i ich odblokowywania) albo tracą dane, które zabezpieczono zapomnianym hasłem.

Wystarczyłoby tymczasem podanie użytkownikom kilku prostych reguł, wedle których mogliby takie hasła konstruować i zapamiętywać. Są psychologiczne sposoby zapamiętywania bezsensownych ciągów znaków, np. poprzez zdania lub zdarzenia. Hasło "kk3ppf" znacznie łatwiej dałoby się zapamiętać jako "koło katedry trzech parafian pali fajki". Ale próżno szukać takich podpowiedzi w książkach o bezpieczeństwie i ogłoszeniach wprowadzających nowy obowiązek w przedsiębiorstwie. Jak w komunizmie, represja uznawana jest tam za najlepszą formę radzenia sobie z ułomnościami natury ludzkiej.

Po co te wszystkie papiery

Elementem każdej polityki bezpieczeństwa są uwarunkowania regulacyjne, zawarte w zarządzeniach i procedurach. Warto od razu zaznaczyć, że taka właśnie "regulacja proceduralna" jest fundamentem systemu zabezpieczeń w przedsiębiorstwie, bo informatycy zostawiają luki w szeroko pojętym bezpieczeństwie nie ze złej woli, a z niewiedzy; użytkownikom zaś brakuje wyobraźni i świadomości zagrożeń. Każdy zaś z nich - i jest to kolejna cecha natury ludzkiej - lubi mieć odrobinę swobody w ramach procedur.

Natomiast całe "oprzyrządowanie" bezpieczeństwa w przedsiębiorstwie w postaci procedur powinno być wdrażane ze zrozumieniem konsekwencji, jakie dana procedura rodzi w praktyce przedsiębiorstwa. W szczególności, użytkownicy powinni być przeszkoleni, zrozumieć ryzyka związane z daną czynnością i poczuć, że są odpowiedzialni za dobro organizacji. Nade wszystko zaś każda procedura powinna dopuszczać pewną inwencję uczestnika - natura ludzka nienawidzi być ubezwłasnowolniana i jeśli procedura będzie zbyt szczegółowa albo - w przekonaniu pracowników - bezsensowna, nie będą jej realizować.


TOP 200