Wesołych Świąt
Polityka bezpieczeństwa informacji i fizyka kontra gwiezdne wojny

Jacek Rembikowski, Poznań 2011

W ramach działań określanych, jako Polityka Bezpieczeństwa Informacji często można zetknąć się z pytaniami klasy „a po co”, „a dlaczego” i odpowiedziami przypominającymi syndrom palacza, czyli „mnie to nie dotyczy”, „ja jestem zabezpieczony”. Jak ktoś nie wierzy, to niech spróbuje i pokaże palaczowi paczkę papierosów i spyta go co myśli o napisach na nich umieszczonych – gwarantuję, że dziewięć no może osiem osób na dziesięć zwyczajnie się uśmiechnie i tylko uśmiechnie.

 

Takie zachowania to nic dziwnego. Gdybyśmy nie podchodzili w ten sposób do zagrożeń, to większość z nas nigdy nie wyszłaby z domu, po wywrotce na rowerze już nigdy by na niego nie wsiadła itd. Jednak co innego spaść z konia, a co innego być święcie przekonanym i często tylko przekonanym, że mi nic nie grozi, że moje zabezpieczenia są najlepsze itd. Można tu dla żartu przywołać cytat z pewnego kultowego filmu – „niedoceniasz potęgi mocy” – wiemy jak ostatecznie skończył wypowiadający te słowa, choć moc ciemna była w nim nader silna, prawda.

 

W filmach już tak jest, że dobro zwycięża zło – w życiu wbrew pozorom też. Jednak w filmach nie widać wszystkiego. Nikt nie wie np. jak bardzo bolało Kopciuszka, że jest Kopciuszkiem, ile się musieli napocić bohaterowie Szklanej Pułapki aby w końcu wygrać ze złoczyńcami, nie mówiąc już o tym ile kosztowało budżet miasta odbudowanie infrastruktury po tym jak Bruce Willis ścigał się ciężarówką z eFem 35-tym. W filmie to nie istotne, kto za to sprzątanie zapłaci, w życiu już niekoniecznie. Nie raz okazuje się, że zwycięstwo ma jednak gorzki posmak porażki. Swoją drogą polecam tą bajkę pod tytułem Szklana Pułapka IV, zwłaszcza w kontekście komputerów i PBI.

 

Samą Politykę Bezpieczeństwa Informacji można przyrównać do fizyki, której zdecydowana większość z nas nie lubi, choć nie bardzo wiem dlaczego. Poziom przekonania do fizyki rośnie wraz ze wzrostem dostrzegania jej w otoczeniu. Piszę tak może dlatego, że moi nauczyciele m.in. od fizyki uczyli jej na bazie otaczającego nas świata i zjawisk, co dawało możliwość szybkiego przyswajania wiedzy i jej wykorzystywania na co dzień.

 

Podobnie jest z PBI. Jeżeli zaprzestaniemy ślepo wierzyć w technikę i moc zabezpieczeń i uwierzymy w możliwości ludzkiej wyobraźni oraz jeżeli zaczniemy uważnie obserwować rzeczywistość dostrzeżemy, że zagadnienia te wcale nie są takie trudne. Trudnym natomiast zadaniem jest niewątpliwie poszukiwanie „środka”, w którym leży prawda, czyli umiejętność dokonywania rzetelnej oceny zagrożeń.

 

Całkiem niedawno miałem do czynienia z kilkoma, a dokładniej mówiąc dwoma zjawiskami, które potwierdzają moją, być może nawet mocno subiektywną teorie.

 

Pierwsze z nich dotyczy kwestii uświadamiania pracowników co do zagrożeń niesionych za pośrednictwem wirusów. W odpowiedzi na zalecenie można przeczytać, iż poziom zabezpieczeń i obowiązujące procedury właściwie wykluczają konieczność prowadzenia wewnętrznych szkoleń z tej materii, czyli konieczność uświadamiania pracowników. Nie trzeba było długo czekać, a w sieci dało się przeczytać, że hakerzy podrzucili kilku bankom wirusy. Ktoś może powiedzieć, że widocznie te banki były słabo zabezpieczone. Może być to prawdą, choć trudno w to uwierzyć, bo dotyczy to wiodących, a więc i dostatecznie bogatych jednostek, których infrastruktura z pewnością nie przypomina domowej sieci, często funkcjonującej w trybie prowizorki. Uświadamianie natomiast, to jeden z lepszych sposobów na ograniczanie potencjalnego wystąpienia zagrożeń i szczerze mówiąc chyba jedno z najtańszych, a często mocno skutecznych.

 

Innym zagadnieniem, z którym przyznam się miałem dość sporo kłopotów była kwestia weryfikacji, że tak powiem praworządności kandydata do pracy. Dyskusja oparła się o to, że prawo z jednej strony zabrania gromadzenia danych wrażliwych bez zgody zainteresowanego, a z drugiej o dobre praktyki w tym zakresie. Do tego w dyskusji poruszono jeszcze dwa elementy jako przeciwstawne – możliwość weryfikacji danej osoby, pod kątem niekaralności oraz prawo do rehabilitacji osoby, która gdzieś tam w życiu zbłądziła ale swój błąd zrozumiała i chce być dobrym obywatelem. Prawda – w tym drugim zestawie trudno o udzielenie jednoznacznej odpowiedzi. Jednak co pomyślałby sobie każdy z nas jako klient np. banku, który zatrudnia Ala Capone lub jego krewnych. No właśnie… Ale zostawmy kwestie etyczno moralne i rzućmy okiem na otaczającą nas namacalną rzeczywistość.

 

Spotkałem się z rozwiązaniem, które ogranicza się do tego, że instytucje, w których swego czasu zaświadczenia o niekaralności stanowiły podstawę zatrudnienia, ograniczyły swoje działania do wymogu przedłożenia takiego dokumentu przez pracownika i odnotowania faktu przez kadry o zapoznaniu się z jego treścią. Super – zachowanie informacji w postaci jawnej też oznacza przechowywanie tych informacji ale ktoś może powiedzieć, że to naciągana teoria, wiec rzućmy okiem na inne faktycznie zdarzenie.

 

Jak możemy przeczytać w ostatniej Polityce, właśnie ujęto gang podrabiaczy dokumentów – ponoć można było zbudować sobie pełną historię, całkiem nowego życia. Szajkę złapano, teraz zamierzają łapać klientów szajki. Ponoć w komputerach znaleziono rejestr ich klientów – cóż za niedopatrzenie, prawda. Całkowity brak profesjonalizmu w zakresie ochrony danych, o braku zgłoszenia do GIODO nie wspominając. No ale to nie nasze zmartwienie i chciałbym zwrócić uwagę na zupełnie innych fakt.

 

Otóż, do Polskiego Towarzystwa Kryminalistycznego, zgłosiła się klientka, takiej fałszywej drukarni dokumentów i wylegitymowała się dyplomem wyższej uczelni – prawda, że brzmi jak opowieść rodem z literatury przedziwnej? No to proszę teraz wykorzystać wyobraźnię i pomyśleć, że ktoś przedstawia nam dokument o niekaralność, my piszemy, że i owszem i o.k. a tu psikus, bo taki dokument po prostu nie istnieje.

 

Przykłady zagrożeń można wręcz mnożyć. Co więcej, gdyby zebrać tylko opowieści o awariach wynikających ze zbagatelizowania tematu, to wyszłoby dzieło godne co najmniej Kafki, choć do rywalizacji ze znanym nam wszystkim „Procesem” bardziej nadaje się rzeczywistość ustawodawcza, tu dopiero można poszaleć, zwłaszcza w zakresie ochrony danych. Ostatnio bowiem znowu zadając trudne pytanie wprawiliśmy w zadumę Pana Urzędnika ale póki co czekamy na rozwiązanie zagadki, a jak już to nastąpi z pewnością podzielimy się wiedzą.