Docendo discimus [1]: Jak kropla w strumieniu

O człowieku, o konwersacji, o wolności i bezpieczeństwie. O przestrzeni pomiędzy nimi, którą my w Inicjatywie Kultury Bezpieczeństwa nazywamy cyberprzestrzenią. O kryzysie zaufania i osobistym bezpieczeństwie.


Ten tekst pierwotnie ukazał się w drugim kwartale 2016 roku na łamach biuletynu Polskiego Towarzystwa Informatycznego (http://biuletyn.pti.org.pl/BiuletynPTI-2016-02.pdf)


Panta rhei… starożytna filozofia Heraklita wyrażona obrazem ciągle zmieniającej się rzeki wydaje się adekwatnym opisem naszej technologicznej codzienności. Zatopieni w oceanie informacji dryfujemy pod wpływem trendów błyskawicznej konsumpcji technologii i jej coraz trudniejszego do zrozumienia wpływu na nasze życie.

Z punktu widzenia obserwatora, ostatnie 30 lat przyniosło radykalne zmiany w sposobie komunikacji pomiędzy ludźmi. Dotyczą one nie tylko sposobu przekazu, czyli technik cyfrowych i np. urządzeń osobistych, ale również form i treści tego przekazu. Obecnie każdy człowiek, jeśli zechce, może zostać autorem, zdobyć uwagę innych a stosując odpowiednie techniki i znając ich potrzeby, ostatecznie również ich pieniądze. Dlaczego zatem nie przestępcy?
Szlachetny w swojej naiwności model ogólnoświatowej sieci technologicznej posłużył do stworzenia alternatywnej rzeczywistości - cyberprzestrzeni, w której jeden człowiek może konwersować z drugim pomimo dzielących ich tysięcy kilometrów. Jak w globalnej wiosce.


Kryzys zaufania

Są jednak różnice. W rzeczywistej wiosce istnieją realne szanse na mniejszą lub większą znajomość wszystkich jej mieszkańców. Szanse te maleją gwałtownie, gdy wioska staje się miasteczkiem, natomiast stają się bliskie zeru, gdy miasto staje się metropolią nie wspominając już o globalnej wiosce.
Pojawia się zatem problem braku możliwości zaufania rozmówcy w cyberprzestrzeni. Problem, który jako fundamentalny dla relacji międzyludzkich zbudowanych na konwersacji nie znalazł rozwiązania do dzisiaj. Przymus globalnej identyfikacji rozmówców i zbudowania zaufania do jednej, lub więcej sieci, organizacji potwierdzających tożsamość narusza prawo do prywatności i ideę wolności, która przyświecała twórcom cyberprzestrzeni. Dodatkowo, obowiązek identyfikacyjny pozbawiłby anonimowości tych, którzy używają jej przeciwko tyranii i w ramach protestu wobec braku poszanowania praw człowieka, co w konsekwencji naraziłoby ich na niebezpieczeństwo wykraczające znacznie poza cyberprzestrzeń.
Problem jest znany od dawna, nie miał jednak tak istotnego znaczenia jak obecnie. Jako przykład niech posłuży ostatnia kampania malvertisingu [A] angażująca legalne strony internetowe BBC, The New York Times, AOL i NFL do zarażania nieświadomych użytkowników oprogramowaniem szyfrującym ich dane i żądającym okupu (ransomware). W tym przypadku, przestępczy proceder bazuje na wszechobecnych w cyberprzestrzeni kanałach dostarczania reklam w celu monetyzacji odwiedzin użytkowników je oglądających. Niestety, przy obecnej konstrukcji sieci reklamowych, ich powiązań z legalnymi stronami internetowymi i imperatywem ich prezentowania użytkownikom nie ma technicznych możliwości zablokowania tego zjawiska. Brak zautomatyzowanych środków przeciwdziałania doprowadzi w najbliższym czasie do eskalacji tego problemu.


Bezpieczeństwo osobiste

Co zatem robić? Jak się bronić? Może warto zmienić perspektywę i dostrzec, że fontanna tryskająca wodą, tak z bliska i po spowolnieniu czasu, złożona jest z tysięcy kropel, na które prócz siły wyrzucającej je w powietrze działają grawitacja i wiatr - czynniki indywidualizujące ich zachowanie. Podobnie jest z każdym użytkownikiem cyberprzestrzeni. Możliwe jest przewidzenie trendów zachowania poszczególnych grup użytkowników, ale przestępcy są jak wiatr, będą starali się użyć indywidualnych różnic, pragnień i okazji atrakcyjnych dla użytkownika, tego konkretnego - Ciebie czy mnie. Wcale nie muszą Ciebie znać (choć zdobycie wystarczającej wiedzy w oceanie informacji o naszym życiu on-line nie jest takie trudne), pewne zachowania i mechanizmy reakcji mamy wspólne i ze statystycznego punktu widzenia dajemy się złapać na odpowiednio zróżnicowaną przynętę.
Zmiana perspektywy wymaga pójścia dalej. W naszych realiach będzie to: poza zgodność z Ustawą o Ochronie Danych Osobowych z 1997r wraz z Rozporządzeniem MSWiA, poza politykę haseł, zasadę czystego biurka i czarnego ekranu, poza coroczne szkolenie i jednorazowe upoważnienie do przetwarzania danych osobowych. Warto zbliżyć się do podejścia znanego z nauki jazdy na rowerze, samochodem, zasad BHP w domu i pracy. Czas, aby bezpieczeństwo informacji uczynić prywatnym.


Inicjatywa

Przyglądając się tematowi z różnych stron, nie jest aż tak wiele do zrobienia, jakby się wydawało. Po pierwsze, każdy z nas od dziecka uczy się zasad prywatności i bezpieczeństwa w świecie realnym -dlaczego nie użyć tej wiedzy w cyberprzestrzeni? Dlaczego mamy ufać komuś w Internecie bardziej, niż dopiero co spotkanej osobie na ulicy? Dlaczego mamy płacić komuś, kogo na parkingu ominęlibyśmy szerokim łukiem, nawet jeśli proponowałby połowę ceny? W cyberprzestrzeni nie mamy takich hamulców. Czas je zastosować.
Po drugie, materiałów edukacyjnych jest tak wiele dookoła nas, że zdajemy się ich nie dostrzegać. Są to artykuły, filmy, plakaty, raporty, wiadomości. Przypuśćmy, że taki przeczytany artykuł, wraz z jego adresem opiszemy słowami kluczowymi zgodnie z ustaloną taksonomią. Ustalimy poziom trudności, typ, tematykę, kluczowe terminy.
Budując w ten sposób bazę, którą my nazywamy Skarbnicą Wiedzy mamy możliwość wybierania z niej zestawów o wspólnej tematyce, w zależności od potrzeb, poziomu trudności czytelnika i czasu jaki na taką lekturę może poświęcić. Tak tworzymy Ścieżki Wiedzy. Jedna może być poświęcona prywatności, inna zagadnieniom phishingu a jeszcze inna bezpieczeństwu dzieci w internecie czy bezpiecznej konfiguracji routera domowego.
Do Ścieżek Wiedzy budujemy test sprawdzający reakcję użytkownika w pięciu typowych dla tej ścieżki sytuacjach zagrożenia. Jeśli obroni siebie i swoje dane, dostaje Certyfikat Ścieżki Wiedzy.
Po trzecie, Certyfikaty mają swoją wartość w fikcyjnej walucie, którą używamy do zbudowania rywalizacji pomiędzy użytkownikami, zdobycia nagród rzeczowych i zebrania sumarycznie liczby punktów spełniających nasze wymagania co do recertyfikacji bezpieczeństwa informacji w organizacji.
Po czwarte, podsumowując: to wszystko robimy dla Was w  ramach Inicjatywy Kultury Bezpieczeństwa. Nasze materiały są dostępne publicznie, za darmo i możecie je wzbogacać o swoje własne wymagania organizacyjne (jak np. proces zarządzania incydentami). Jest to prywatny, zindywidualizowany i różnorodny system podnoszenia świadomości. A to jeszcze nie wszystko, co przygotowaliśmy i mamy w planach...
Szukajcie nas na Facebooku, G+, LinkedIN.

Ten tekst pierwotnie ukazał się na łamach biuletynu Polskiego Towarzystwa Informatycznego (http://biuletyn.pti.org.pl/BiuletynPTI-2016-02.pdf)

[A] https://blog.malwarebytes.com/threat-analysis/2016/03/large-angler-malvertising-campaign-hits-top-publishers/

Popularne posty