Czwarty pomysł to "wirtualizacja wykonania", a więc rozwijanie koncepcji znanej z języka Java - kod wykonywany jest nie przez fizyczne urządzenie, a przez logiczne "pudełko" zwane maszyną wirtualną. Wszystko, co jest przesyłane z serwera do przeglądarki i tam, w ten czy inny sposób, "wykonywane", powinno gwarantować maksimum separacji od środowiska, w którym działa użytkownik. I wreszcie piąta, ostatnia inicjatywa, znana jest na razie lepiej z literatury science fiction niż z praktyki działania specjalistów ds. bezpieczeństwa. To pomysł mobilnych agentów "wpuszczanych" w wirtualne środowisko, np. dla zebrania ofert w postępowaniu przetargowym. Agent przemieszcza się w Internecie programów, nie jest powiązany z żadną maszyną, ma dużą autonomię i sam posiada mechanizmy autoryzacji oraz kontroli dostępu.

Jeden z uczestników rynku, Microsoft, ma szczególne znaczenie, bo użytkownicy programów tej firmy ponieśli największe szkody z powodu jej wyjątkowo niefrasobliwego podejścia do bezpieczeństwa informacji. Naprzeciw oczekiwaniom użytkowników wychodzi inicjatywa Trustworthy Computing.

Jeden z głównych technologów Microsoftu, Craig Mundie, trafnie konstatuje, że w bezpieczeństwie brakuje solidnej bazy teoretycznej: "Umiemy budować silniki parowe, ale jeszcze nie poznaliśmy termodynamiki". Jednak firma śmiało i solidnie wyznacza horyzont: przedsiębiorstwo, w którym można ufać informacji. Cele Trustworthy Computing to tradycyjnie rozumiane bezpieczeństwo (security), ochrona prywatności (privacy), niezawodność (reliability) oraz spójność i odpowiedzialność (business integrity).

Zobacz również:

• Rząd Ghany pracuje nad regulacjami dotyczącymi AI

Jak nietrudno zauważyć, w wizjach tych nie ma śladu przedsiębiorstwa jako "cyfrowej twierdzy", zabezpieczonej przed dostępem z zewnątrz setkami zamków, kamer i alarmów. To raczej ulica w centrum miasta, gdzie ludzie przemieszczają się w tę i z powrotem, sklepy prezentują swoje witryny, a jednocześnie dyskretny personel dba, by każdy, kto chce wynieść coś ze sklepu, nie zapomniał wcześniej wstąpić do kasy.

Po tej ulicy przechadzają się policjanci, a co cenniejszy towar znajduje się w zamkniętych i monitorowanych gablotach. Czasami kieszonkowiec wyciągnie komuś z kieszeni portfel, a zbuntowany nastolatek wyjdzie z modnym szalikiem nie zapłaciwszy za niego - ale nikt z tego powodu nie zakłada pancernych szyb w oknach, ani nie przenosi się gdzie indziej.

Stosownie do problemów

Powiedzmy to wyraźnie: nie ma rozwiązań technicznych dla problemów, które nie są techniczne. Dotychczasowa nierówna walka między informatycznym podziemiem i działami bezpieczeństwa przedsiębiorstw jest wygrywana przez tych pierwszych dlatego, że rozwiązania nie nadążają za wyzwaniami. A dzieje się tak z tego powodu, że problemy nietechniczne oraz globalne próbuje się rozwiązać środkami lokalnymi i na dodatek technicznymi.

Popatrzmy na inny, bardzo istotny problem związany z bezpieczeństwem: ruch drogowy. Niemal we wszystkich krajach rozwiniętego świata wypadki są najważniejszą przyczyną nienaturalnej śmierci ich mieszkańców. Jeżeli mimo to większość ludzi regularnie korzysta z samochodów i autobusów, to dlatego, iż dołożono wszelkich starań, by zapewnić bezpieczeństwo na drogach. Zauważmy, że zaangażowano w to całą gamę środków. Przede wszystkim są to środki prawne: istnieją obszerne regulacje dotyczące ruchu drogowego, w znacznej mierze jednakowe we wszystkich krajach. Powołano specjalne organy egzekucyjne, czyli policję, władną karać mandatami, oraz sądy.

Oprócz tego istnieje specjalna służba dbająca o dobry stan techniczny infrastruktury służącej komunikacji, tj. utrzymująca oraz oznaczająca trasy. Obowiązkowe jest ubezpieczanie się od odpowiedzialności za szkody wyrządzone innym na drodze.

Mimo tych wszystkich wysiłków w wymiarze prawnym i technicznym, nadal kierowanie samochodem wymaga uprawnień, sporych umiejętności i zawsze obarczone jest pewnym ryzykiem. Dlatego przewidziano również środki specjalne - ABS-y, pasy bezpieczeństwa, poduszki powietrzne i telefony alarmowe.

Nikt przy zdrowych zmysłach nie obiecuje, że da się uchwalić takie prawo albo stworzyć takie drogi, by zwykła ostrożność na drodze była niepotrzebna. Analogicznie, nieuczciwe jest obiecywanie, że istnieje sprzęt, oprogramowanie, kompetencje bądź metodyka audytu, która ochroni "własność informacji", jak definiuje to Computer Security Institute. Nie powinno się dziś stawiać pytania: "Jak zapewnić bezpieczeństwo informatyczne organizacji?". Właściwe pytanie brzmi: "Jaki jest poziom ryzyka naruszenia bezpieczeństwa informatycznego, który organizacja jest skłonna zaakceptować ze względu na wartość posiadanych informacji oraz koszty jej zabezpieczenia".

Na to ostatnie pytanie można szukać odpowiedzi. Nie jest jednak ona prosta, np. "kup system X", bo wszystko zależy od charakteru i istotności informacji, którą zarządza przedsiębiorstwo. Zapewnienie bezpieczeństwa informatycznego należy więc zacząć od dokładnego zinwentaryzowania informacji, które znajdują się w zasobach organizacji. Potem potrzeba określenia ich istotności dla poszczególnych procesów biznesowych, a dopiero później opracowywania sposobów - polityki, szkoleń, zabezpieczeń technicznych itd. - które pozwolą ograniczyć ryzyko niepowołanego dostępu.

Jak do tej pory kolejność jest z reguły odwrotna i pewnie dlatego Internet nadal pozostaje rajem dla hakerów. A nawet wtedy, gdy organizacja wykonała wszystkie potrzebne kroki, musi zakładać, że - tak jak kierowca samochodu - nie jest nieomylna i niezniszczalna. Dlatego każda firma powinna posiadać systemy, procedury i służby będące w stanie właściwie zareagować w przypadku stwierdzenia incydentu.

Bezpieczeństwo, nic specjalnego

Nade wszystko jednak wszyscy powinniśmy pamiętać, że bezpieczeństwo informatyczne prawdopodobnie nigdy już nie będzie zagadnieniem deterministycznym i technicznym, a probabilistycznym i holistycznym. Znajdzie się w nim miejsce na wszystko to, co znamy z dzisiejszej praktyki - zapory, łatanie, aktualizowanie, skanowanie, a także szkolenie przeciwko inżynierii społecznej i zwykłej naiwności.

Czy wizja ta jest tak bardzo różna od świata, który obserwujemy na co dzień w sferze życia realnego, pełnego zamków w drzwiach, odciętych numerów 0700 w telefonach, immobilizerów w samochodach, radarów na drogach i więzień dla przestępców?

Nie - i nie ma powodu, aby bezpieczeństwo informatyczne rządziło się innymi prawami niż business as usual.