Świat Internetu i komputerów ani nie jest rajem dla przestępców - jak przedstawiają to niektóre firmy i media - ani nie jest też miejscem, gdzie można by czuć się całkiem bezpiecznie. Wbrew temu, co twierdzą optymiści, nie ma powrotu do czasów niemal całkowitego bezpieczeństwa. Ale też - na przekór pesymistom - radykalna poprawa jest możliwa i najbardziej od nas samych zależy, do jakiego stopnia to bezpieczeństwo poprawimy.

Skanowanie portów, przeszukiwanie dysków, łatanie oprogramowania, instalowanie nowych wersji, reagowanie na incydenty, kształtowanie polityki bezpieczeństwa, pisanie procedur, wypełnianie sprawozdań... oto co znaczy bezpieczeństwo w dużej organizacji. Regułą jest dziś, że nawet średnie firmy posiadają specjalistę ds. bezpieczeństwa i nie jest to osoba, która narzekałaby na nadmiar czasu. Mimo ogromnych inwestycji w rozmaite zabezpieczenia, zagrożeń zdaje się być coraz więcej.

Zobacz również:

• Rząd Ghany pracuje nad regulacjami dotyczącymi AI
• Sophos pisze o cyberzagrożeniach w 2023 roku

Czy Internet to dziś Dziki Zachód, gdzie nie obowiązują żadne reguły i w którym rządzi prawo silniejszego? Czy naprawdę skazani jesteśmy na nieustającą próbę sił i sprytu - naruszających z chroniącymi, gdzie ci pierwsi ukryci są w "komputerach zombie", a drudzy wystawiają im "plastry miodu", które pozwolą poznać ich zwyczaje i narzędzia? Po głębszym zastanowieniu przychodzi pierwsza refleksja - jak wiele energii i wiedzy marnowane jest w sposób zupełnie jałowy. I zaraz potem druga; że problem bezpieczeństwa jest stary jak świat.

Nie ma powrotu do czasów "pierwszej informatyki", z jej odizolowanymi wyspami informacji, dla których zabezpieczeniem był kluczyk zamykający klawiaturę, login do systemu oraz - przede wszystkim - granicząca z magią znajomość składni poleceń systemu operacyjnego, dostępna tylko nielicznym. Od momentu, gdy powstały pierwsze maszyny wielodostępne, a pierwsze dwa komputery zostały połączone w sieć, skazani jesteśmy na balansowanie między niedostatecznym bezpieczeństwem a niepełnym zaufaniem.

Gdyby szukać źródeł problemów z bezpieczeństwem, należałoby w pierwszym rzędzie wskazać na naszą pramatkę Ewę. To ona, mając ograniczony dostęp do Systemu, zapragnęła poszerzyć go w sposób nieautoryzowany; sięgnęła w tym celu po Zasób, do którego nie miała Uprawnienia, naruszając stabilność Systemu i wywołując gwałtowną interwencję Administratora. Ludzkość w pewnym sensie narodziła się z pary hakerów - i od tego czasu z hakerami będzie musiała się mierzyć już zawsze.

Ten nieco egzaltowany opis ma na celu uzmysłowienie, że próby wejścia w posiadanie czegoś, do czego nie jest się uprawnionym, są stare jak sama ludzkość. Naruszenia bezpieczeństwa informatycznego nie są niczym innym, jak przeniesieniem w nowy wymiar i nowe medium pragnień i problemów, które nie są charakterystyczne dla Internetu i informatyki.

Rozrywka nie dla każdego

Najlepsza definicja indywidualnego bezpieczeństwa informatycznego wg Computer Security Institute brzmi - informacje na twoim komputerze są twoje dotąd, aż zdecydujesz inaczej. To stwierdzenie wyraźnie używa kryterium własności - informacja jest wartością, która ma swojego właściciela i dopóki ten właściciel nie zdecydował udostępnić tej własności komuś innemu, to każda próba sięgnięcia po nią jest naruszeniem bezpieczeństwa.

Niby wszystko jest oczywiste, ale diabeł tkwi w szczegółach. Rozważmy kilka przykładów. Czy kradzież czyjegoś hasła do e-banku i wyprowadzenie pieniędzy z konta właściciela to naruszenie bezpieczeństwa? Z pewnością tak! Czy skopiowanie filmu przed jego premierą i udostępnienie go w Internecie to naruszenie bezpieczeństwa? Tu także wszyscy będą zgodni - choć raczej werbalnie niż praktycznie - gdyby było inaczej, sieci peer-to-peer nie cieszyłyby się taką popularnością.

Analizujmy jednak dalej - czy włamanie się do sieci fabryki nawozów sztucznych i udostępnienie mediom informacji o zatruwaniu środowiska przez tę fabrykę to też naruszenie bezpieczeństwa? Tutaj zgodności już nie będzie; nie trzeba być alterglobalistą, by uważać, że to raczej ukrycie informacji o zatruwaniu środowiska było przestępstwem, nie jej upublicznienie. I wreszcie ostatnie pytanie - czy zainstalowanie na domowym komputerze narzędzia do rippingu MP3 i niekorzystanie z niego to naruszenie bezpieczeństwa czy nie? Większość z nas odpowie, że oczywiście nie - choć w wielu krajach jest to karalne!

Powyższe przykłady mają uzmysłowić nie tylko fakt, że bezpieczeństwo nie przez wszystkich rozumiane jest jednakowo. Mają pokazać coś jeszcze - bezpieczeństwo nierozerwalnie wiąże się z prawem do informacji oraz wolnością osobistą. Tak się składa, że kraje najbardziej zaawansowane technologicznie są jednocześnie najbardziej przywiązane do osobistych wolności i praw jednostki. Warunkiem bezpieczeństwa informatycznego, mówią obrońcy tych praw, nie może być rezygnacja z prywatności. Każda inicjatywa, która poprawia bezpieczeństwo, prędzej albo później napotyka przeszkodę ze strony swobód osobistych i organizacji ich broniących. Na tej granicy zachodzi nieustające "siłowanie się" dwóch racji - prawa do własności i prawa do wolności.

A skoro o prawie mowa, nigdzie bardziej niż w bezpieczeństwie informatycznym nie widać problemu globalizacji prawa. Internet przyniósł globalny biznes, ale i globalne zagrożenia. Niestety, prawo nadal stanowione jest w ramach poszczególnych państw, ewentualnie ich grup w rodzaju Unii Europejskiej. Co z tego, że kraje rozwinięte, które tracą najwięcej w wyniku naruszeń bezpieczeństwa, ustanowiły restrykcyjne prawo, skoro większość hakerów działa z krajów o niezbyt restrykcyjnym prawie i słabym aparacie wykonawczym?

Czy utopia da się zrealizować

Producenci kompleksowych zabezpieczeń dla korporacyjnych sieci, audytorzy informatyczni oraz twórcy standardów roztaczają przed nami wizję, która wygląda mniej więcej tak: świat informatyki i Internetu pełen jest złych ludzi zwanych hakerami, którzy tylko czyhają na wartościowe informacje zgromadzone w naszych zasobach informatycznych. Wystarczy skorzystać z usług owych producentów, wdrażając oprogramowanie/implementując standard/wykonując kompleksowy audyt (niepotrzebne skreślić), aby zidentyfikować i stopniowo wyeliminować zagrożenia.

Ta wizja ma jedną istotną wadę, o której niechętnie mówią ci, którzy produkty i usługi chcą sprzedawać. Jest utopijna i jak każda utopia nie da się zrealizować.

Przyszłość zagrożeń bezpieczeństwa w Internecie zupełnie inaczej widzi organizacja CERT. Wizja inteligentnych systemów zabezpieczających nowej generacji (NIDES) nie zakłada, że każda informacja powinna być zabezpieczona w sposób absolutnie uniemożliwiający dostęp niepowołanej osobie. Zamiast tego koncentruje się na kilku aspektach. Wymieńmy je po kolei.

Przede wszystkim, zdaniem CERT, konieczne jest "utwardzenie" protokołów internetowych, by w każdym z nich autoryzacja, identyfikacja nadawcy i inne aspekty szeroko rozumianego bezpieczeństwa były wbudowane w sposób naturalny i od podstaw. Drugie wyzwanie to szybka identyfikacja włamania na podstawie anormalnego zachowania uczestników komunikacji w sieci lub urządzeń w niej działających. Trzeci aspekt to inżynieria oprogramowania - by w większym stopniu wspierała mechanizmy zabezpieczające. Wystarczy tylko przypomnieć, że znaczna część "dziur" wykorzystywanych przez hakerów to - znany od wielu lat - mechanizm przepełnienia bufora lub stosu.