Tylko system

Rozmowa z Bruce'em Schneierem, autorem głośnej książki Beyond Fear, będącej próbą dokonania syntezy światów bezpieczeństwa informatycznego i fizycznego.

Rozmowa z Bruce'em Schneierem, autorem głośnej książki Beyond Fear, będącej próbą dokonania syntezy światów bezpieczeństwa informatycznego i fizycznego.

Wygląda na to, że przeszedł Pan swego rodzaju ewolucję od specjalisty zajmującego się kryptografią do eksperta od szeroko rozumianego bezpieczeństwa...

Bruce Schneier - autor głośnej książki - Beyond Fear&frac

Bruce Schneier - autor głośnej książki - Beyond Fear&frac

Bezpieczeństwo to system. Im więcej miałem do czynienia z kwestiami bezpieczeństwa, tym bardziej zdawałem sobie z tego sprawę, że najwłaściwsza jest tutaj właśnie perspektywa systemowa. Dawniej, gdy zajmowałem się tylko kryptografią, wydawało mi się, że trzeba przede wszystkim tworzyć systemy bezpieczne w matematycznym sensie. Ale oczywiście najlepsze algorytmy kryptograficzne nas nie zabezpieczą, jeśli komputer, na którym działają, zostanie odpowiednio inteligentnie zaatakowany. Dlatego zacząłem się zajmować nie tylko kwestią bezpiecznych technik kryptograficznych, ale też zapewnieniem bezpieczeństwa samym komputerom. Tutaj znowu, gdy mamy nawet najbezpieczniejszy komputer, ataku można dokonać na nie zabezpieczone sieci. Ostatecznie dochodzimy do punktu, w którym superstrzeżona sieć zostaje pokonana przez ludzki błąd. I tak dalej.

To banał, ale wart powtórzenia: bezpieczeństwo to łańcuch, ten zaś, jak wiadomo, jest tyle wart, co jego najsłabsze ogniwo. Dlatego częstokroć poprawienie stosowanych rozwiązań kryptograficznych to nic innego, jak tylko wzmocnienie najmocniejszego ogniwa. Właśnie myślenie systemowe to szukanie tego najsłabszego ogniwa.

Co ciekawe, za pomocą technik opracowanych dla systemów informatycznych można próbować oceniać bezpieczeństwo niekomputerowe. Do napisania książki skłoniło mnie głównie przekonanie, że konwencjonalne bezpieczeństwo to zbiór sztuczek i technik, a nie myślenie systemowe. Myślę, że sposób myślenia eksperta komputerowego może się przydać również drugiej stronie.

Ta druga strona może się zrazić stwierdzeniem, że nie myśli w kategoriach systemowych.

Z przyczyn, nazwijmy to, społeczno-kulturowych, łączenie tych dwóch światów - bezpieczeństwa fizycznego i informatycznego - jest trudnym zadaniem. Często przyglądam się różnym systemom bezpieczeństwa fizycznego i zawsze widzę to samo. Ochroniarze troszczą się o identyfikatory i dowody tożsamości, podczas gdy tak naprawdę identyfikacja ma niewiele wspólnego z zagrożeniami, którym oni powinni stawiać czoło. Na lotniskach sprawdzają paszporty dwa razy, ale skądinąd wiadomo że przestępcy posługują się tak dobrze sfałszowanymi paszportami, że nie da się ich w warunkach takiej kontroli odróżnić od oryginału. Ochroniarze myślą, że konfiskata pilnika do paznokci u starszej pasażerki to sukces, gdy tymczasem dla mnie jest to dowód porażki całego systemu. Nasze bezpieczeństwo jest pełne dziur, właśnie dlatego że zajmujący się tym bezpieczeństwem nie myślą w kategoriach systemowych.

Czy spotykał się Pan z niechęcią specjalistów od bezpieczeństwa fizycznego, gdy mówił Pan o bezpieczeństwie w tym szerokim kontekście? Podobnie, czy rozumieli Pana specjaliści od zabezpieczeń sieci teleinformatycznych, kryptografii i temu podobnych dziedzin, gdy odwoływał się Pan do bezpieczeństwa fizycznego?

Bezpieczeństwo jest dyscypliną z wieloletnią tradycją, dlatego jest odporne na zmiany. Większość specjalistów zajmujących się tradycyjnie pojmowanym bezpieczeństwem nie jest w stanie zmienić swojego sposobu myślenia. Na jednej z konferencji, jeden ze współpracujących ze mną ekspertów przedstawił referat dotyczący różnych sposobów pokonywania zamków w drzwiach.

Profesjonaliści od bezpieczeństwa fizycznego byli zszokowani - "nikt nigdy nie powinien ujawniać takich sekretów" - mówili. Tymczasem w informatyce o takich informatycznych zagrożeniach mówi się dość otwarcie. Przecież i tak cała ta "sekretna wiedza" najpierw zostanie przyswojona przez czarne charaktery i jeśli "dobrzy specjaliści" nie posiądą jej równie szybko, to zagrożenia będą się zwiększać.

Sam często stosuję fizyczne metafory do opisu zagrożeń systemów informatycznych. Specjaliści od bezpieczeństwa IT są znacznie bardziej ciekawi, w jaki sposób ich osiągnięcia i metodologie można przenieść do świata fizycznego.

Specjaliści od bezpieczeństwa fizycznego mogą argumentować, że informatycy zawsze będą chcieli rozwiązywać problemy za pomocą narzędzi technologicznych.

Oczywiście, zazwyczaj tak właśnie robią, co doskonale tłumaczy, dlaczego tak wiele rozwiązań bezpieczeństwa IT zawodzi. Znowu się kłania myślenie systemowe - w dużej części przypadków chodzi o błędy ludzkie, a tutaj technologia niewiele pomoże. Dobrym przykładem są dokumenty identyfikacyjne. Specjaliści od technologii chcieliby dodawać coraz to bardziej wymyślne dodatki - ostatnio biometryczne, które uniemożliwiałyby fałszowanie takich identyfikatorów. Zapominają, że zawsze można wydawać takie najlepiej zabezpieczone dokumenty z fałszywymi danymi osobowymi. Przynajmniej dwóch terrorystów, którzy uczestniczyli w ataku z 11 września w USA, tak właśnie postąpiło, przekupując urzędników odpowiedzialnych za wydanie tych dokumentów.

Większość sądzi, że podniesienie wymagań dotyczących identyfikacji zwiększa poziom bezpieczeństwa. Podobnie jak konfiskowanie scyzoryków pasażerom samolotów. Bezpieczeństwo to zarówno rzeczywistość, jak i jej wyobrażenie. Jeśli się od siebie oddalają, to mamy problem.

Tytuł Pańskiej książki sugeruje, że o bezpieczeństwie myśli się w sposób, delikatnie mówiąc, mało sensowny...

Krąży mnóstwo prawdziwych historii o idiotycznych rozwiązaniach, procedurach i przepisach dotyczących bezpieczeństwa. Publikujący część z nich serwis internetowyhttp://www.stupidsecurity.com co roku przyznaje nagrodę za najgłupszy system bezpieczeństwa - Award Winning Stupidity. Obawiam się, że odpowiedzialni za te rozwiązania ludzie wierzą, że nie są one aż takie złe.

Od pamiętnego ataku ma Manhattanie minęły już ponad 2 lata. Jak wygląda rzeczywiste zagrożenie cyberterroryzmem, którym zaraz po ataku tak często nas w mediach straszono?

Napisano w tym czasie mnóstwo bzdur. To sprawiło, że ludzka wrażliwość na te sprawy została uśpiona, przestano zauważać rzeczywiste zagrożenia. Wyolbrzymiono sprawy cyberterroryzmu, jednocześnie więc uznaliśmy, że działalność kryminalna w sieci to też jedynie jakieś opowieści. Moja firma zarządza bezpieczeństwem sieciowym setek firm na całym świecie. Widzimy, jak duża jest aktywność kryminalistów w sieci. Nie jest to wielki cyberterror, nie widać więc tego w mediach. Problem leży w tym, że stosuje się metodę spychania odpowiedzialności. Cyberterroryzm - to sprawa rządu. Cyberprzestępczość - operatorów. A najlepiej nie ujawniać zbyt wielu informacji.


TOP 200