Aleksandra SOWA: "Kryptografia nas nie ochroni. Futurologia bezpieczeństwa. Koncepcja Bruce Schneiera"

"Kryptografia nas nie ochroni. Futurologia bezpieczeństwa. Koncepcja Bruce Schneiera"

Photo of Aleksandra SOWA

Aleksandra SOWA

Badacz nowych mediów. Z kryptologiem Hansem Dobbertinem w Horst Görtz Institute for Information Security prowadziła jedne z najważniejszych europejskich badań dotyczących kryptologii oraz bezpieczeństwa w dziedzinie technologii informatycznych. Autorka licznych publikacji fachowych. Zajmowała się także m.in. redakcją internetową w ramach „Wahlkampftour” w kampanii wyborczej Gerharda Schroedera.

Ryc.: Fabien Clairefond

zobacz inne teksty Autorki

„It is insufficient to protect ourselves with laws; we need to protect ourselves with mathematics”, napisał w swojej pierwszej książce na temat bezpieczeństwa, amerykański guru bezpieczeństwa w sieciach komputerowych, Bruce Schneier. To bylo w roku 1994. Gdy w roku 2000 wydał swoja kolejna książkę na ten temat, poprawił się: sama kryptografia (w tym sensie dziedzina matematyki) nie jest już w stanie nas ochronić. Zabezpieczenia w sieci są na tyle skuteczne, na ile wytrzymały jest ich najsłabszy punkt. A tym słabym ogniwem coraz częściej są właśnie ludzie: pracownicy, menedżerowie, doradcy.

Kontrola. To słowo od co najmniej dekady dominuje systemy bezpieczeństwa. Kontrole techniczne i organizacyjne, kontrole procesów, kontrole manualne i automatyczne. Całe systemy kontroli, wymagane przez regulacje prawne – międzynarodowe, europejskie, narodowe. Systemy zapobiegania oraz identyfikowania słabych punktów dających hackerom, insiderom, hacktywistom czy nawet zwykłym szpiegom, wolną rękę.

Tu powstaje pewien paradoks. Okazuje się, że przerost kontroli nie jest w stanie zapobiec wciąż wzrastającej liczbie włamań do systemów firm i organizacji. Ba, włamań tych jest coraz więcej. A te znane i nagłośnione są tylko czubkiem góry lodowej. Co gorsza: kontrola prowadzi często do demotywacji pracowników. A brak motywacji to spadek efektywności i produktywności, jak stwierdzili w laboratoryjnych eksperymentach naukowcy na uniwersytecie w Bonn.

Tak więc systemy kontroli nie tylko rozczarowaly pod wzgledem efektywności w prewencji włamań do sieci. Mogą również doprowadzić do spadku produktywności, a w rezultacie do gorszych wyników.

Ten poniekąd mało optymistyczny wniosek wystarczył, aby grupa badawcza Maverick Research, (której zadaniem jest rozwijanie nowych i niekonwencjonalnych metod wpływających na strategie organizacji oraz mających zwiększać korzyści, jakie mogą przynieść firmom prywatnym i organizacjom pożytku publicznego nowoczesne oraz informatyczne technologie), odkurzyła ponad dziesięcioletnią koncepcję Bruce Schneiera.

Dyktat kontroli nie tylko obniża efektywność technik i metod bezpieczeństwa, ale też często prowadzi do frustracji pracowników, petentów i klientów oraz ignorancji przepisów, powodując stały wzrost kosztów związanych z wprowadzaniem ciągle to nowych kontroli i zabezpieczeń.

Koncepcja “People-Centric Security” (PCS), stawiająca w centrum uwagi ludzi (pracowników, klientów, interesantów itd.), opiera sie na tezie, iż hierarchiczne, zbiurokratyzowane, autorytatywne systemy kontroli bezpieczeństwa nie są efektywne w kwestii poprawiania stanu bezpieczeństwa sieci i technologii informatycznych. „If you treat people like children, then they behave like children”, – jeśli traktuje się pracowników jak dzieci to zaczynają się oni zachowywać jak dzieci, tak streścił, działający w USA i Wielkiej Brytanii doradca i naukowiec Peter Cochrane, swoje obserwacje. Tom Scholtz z Maverick Research zauważył, że dyktat kontroli nie tylko obniża efektywność technik i metod bezpieczeństwa, ale też często prowadzi do frustracji pracowników, petentów i klientów oraz ignorancji przepisów, powodując stały wzrost kosztów związanych z wprowadzaniem ciągle to nowych kontroli i zabezpieczeń.

Autorytatywny system dyktowania reguł bezpieczeństwa i kontroli (tzw. „top-down”) jest odbierany przez pracowników jako narzucony i jako taki, często nie jest przez nich akceptowany. System kontroli jest systematycznie rozszerzany i rozbudowywany o dodatkowe kontrole, a mimo tego i tak nie nadąża za zmieniająca się rzeczywistością. W tym samym czasie megatrendy, takie jak konsumeryzacja (consumerizm), mobilność, cloud computing czy social computing, radykalnie zmieniają relacje między technologią informatyczną i biznesem a użytkownikami. Ponieważ aktualizacje systemów kontroli nie nadążają za megatrendami, Maverick Research proponuje nowy model, oparty na zaufaniu i współpracy. Tenże model zwany “People-Centric Security” jest oparty na trzech filarach: odpowiedzialności (responsibility), regułach (principles) oraz prawach i obowiązkach (rights).

Maverick Research proponuje nowy model, oparty na zaufaniu i współpracy

Podstawą modelu jest edukacja pracowników (klientów, interesantów itd.). Ponieważ tylko znający i rozumiejący reguły postępowania, swoje prawa i obowiązki jak i konsekwencje niewłaściwego postępowania pracownicy, są w stanie stosować się do reguł (principles).

Dlatego prawa i obowiązki pracownikow powinny byc jasno zdefiniowane. Tak nakazuje reguła transparencji. Maverick Research doradza skoncentrowanie się na kontrolach tzw. reakcyjnych (tzn. skierowanych na szybkie reagowanie). Redukcji natomiast powinny ulec kontrole prewencyjne. Odradza się również rozszerzanie istniejącego systemu kontroli[1].

Aby taki system mógł funkcjonować w praktyce, ważna jest szybka i konsekwentna reakcja pracodawcy w przypadku naruszenia praw i obowiązków przez pracowników oraz konsekwentne egzekwowanie kar. To wymaga przede wszystkim rozwiniętego monitoringu skierowanego na wykrywanie odchyleń od reguł, incydentów itd.

Oczywiscie nadal pozostaje problem bezpieczeństwa systemów informatycznych i sieci przed intruzami z zewnątrz. Znacząco zmniejsza się jednak prawdopodobieństwo ataków z wewnatrz, tzn. dokonywanych przez obecnych lub byłych pracowników, a to głownie dzięki regule obligujacej pracowników do meldowania zaobserwowanych odstępstw od reguł, zachowań i sytuacji podejrzanych oraz incydentów.

Taki właśnie przyszłościowy scenariusz proponuje Maverick Research organizacjom prywatnym i publicznym, aby skutecznie podnieść efektywność zabezpieczeń sieci i technologii informatycznych[2].

Pilotowane przez Maverick Research projekty, przeprowadzane w międzynarodowych instytutach finansowych, wykazały pozytywne efekty. Dzięki nim błędy w systemie bezpieczeństwa i incydenty przestały być odpowiedzialnością osób trzecich, a stały się odpowiedzialnością osobistą użytkowników. Negatywny pogląd na systemy bezpieczeństwa, jako ”uniemożliwiacze” biznesu – bezpieczeństwo, jako „Dr. No” – zostały zrewidowane. Zauważono również ogólną poprawe efektywności monitoringu dotyczacego odstępstw od reguł czy  incydentów.

Samokontrola jest wydajniejsza niż kontrola z zewnątrz.  Samokontrola daje ludziom iluzję wolności. I to właśnie dzięki temu jest ona wyjątkowo skuteczna i efektywna.

Z jednej strony mniej kontroli. Z drugiej strony większa kontrola – samokontrola.

Jak zauważył Byung-Chul Han, filozof i teoretyk mediów, samokontrola jest wydajniejsza niż kontrola z zewnątrz.  Samokontrola daje ludziom iluzję wolności. I to właśnie dzięki temu jest ona wyjątkowo skuteczna i efektywna.

Model, który potrafi ten fakt wykorzystać, ma szanse na przyszlość.

dr Aleksandra Sowa

[1] Scholtz, T. 2012. “Maverick* Research: Kill Off Security Controls to Reduce Risk” (G00234920), 12.9.2012 https://www.gartner.com/doc/2156018.

[2] Scholtz, T. 2013. „Consider a People-Centric Information Security Strategy“, Gartner Webinar, 14.8.2013, http://my.gartner.com/portal/server.pt?open=512&objID=202&mode=2&PageID=5553&ref=webinar-rss&resId=2546716 (21.12.2013)

Materiał chroniony prawem autorskim. Dalsze rozpowszechnianie wyłącznie za zgodą wydawcy. 20 stycznia 2014