Docendo discimus [3]: Siła złego na jednego

O trudnych czasach, o samotności i ziarnie prawdy w legendach. O bohaterach, o buncie i zaradności. Oraz o kartce, zapisanej z obu stron i jej znaczeniu dla naszego bezpieczeństwa w pracy i życiu.


Ten tekst pierwotnie ukazał się w czwartym kwartale 2016 roku na łamach biuletynu Polskiego Towarzystwa Informatycznego (http://biuletyn.pti.org.pl/BiuletynPTI_2016-04.pdf)




Nec Hercules contra plures – czyli i Herkules nie pomoże przeciw wielkiej liczebności. Zatem, jeśli i Herkules nie da rady, to co ja mam powiedzieć? Bo jak obronić swoje urządzenia przed złośliwym oprogramowaniem, jak ustrzec się przed atakiem ze strony odwiedzanej witryny, czy też ochronić swoją przed atakiem przez innych? Jak ustrzec się przed zmienieniem mojego urządzenia w element botnetu? Jak uzyskać dostęp do danych, czy pieniędzy podczas ataku odmowy usługi? Jak ustrzec się przed złodziejem, nieuczciwym znajomym, złośliwą kuszącą ofertą czy zalewem niechcianych informacji? O zautomatyzowanych atakach, wyciekach danych, kradzieży tożsamości, szantażu i szpiegostwie nie wspominając? (kolejność nieprzypadkowa oparta o mapę zagrożeń ENISA 2015 [A]). Co robić? Jak żyć?

Warto przede wszystkim pamiętać o oddychaniu. Sytuacja może i wygląda nieciekawie, a w obecności powszechnie dostępnych urządzeń internetu rzeczy do których stopniowo już się przyzwyczailiśmy - wręcz beznadziejnie ale pamiętajmy, że strach ma wielkie oczy. Poczucie izolacji, braku czasu i fałszywych relacji „społecznościowych” może jest dobre dla realizacji planów sprzedaży i konsumpcji ale nie przekłada się na prawdziwe zagrożenie dla każdego z nas. Na szczęście, jest coś co nas jeszcze broni przed szaleństwem wszech-cyfryzacji. To pospolity zdrowy rozsądek.


Diabeł tkwi w szczegółach

Paradoksalnie nasz mechanizm oceny ryzyka używany w rzeczywistości budujemy w dzieciństwie poprzez uniwersalne opowieści – legendy i bajki. Te swoiste symulatory przeróżnych życiowych sytuacji, towarzyszących im zagrożeń i konsekwencji wynikających z ich ignorowania trenują nasze zmysły przed prawdziwym życiem. A choć obecna w nich magia zastępuje to, co w życiu nieprzewidywalne, to prawdziwą wartością są zawsze relacje akcja-reakcja, jako wynik decyzji podjętych przez bohatera. To, że się utożsamiamy z protagonistą opowieści wzmacnia jedynie nasze mechanizmy obronne. Głównym problemem, z tym liczącym kilka tysięcy lat mechanizmem, jest fakt niemal magicznego funkcjonowania współczesnej technologii. Kto się dzisiaj zastanawia jak to się dzieje, że zamówione towary z sieci trafiają do naszych rąk? Oczywiście, z grubsza wiemy co i jak, ale jakie są szczegóły? A wiadomo od dziecka, że diabeł (w tym przypadku przestępca) tkwi w szczegółach. Niestety nasz umysł upojony magią technologii często ignoruje sygnały zdrowego rozsądku i ten czarny charakter nie musi się nawet zbytnio wysilić. 

O uniwersalności legend i ich roli w budowaniu zdrowego rozsądku warto się przekonać samodzielnie dzięki projektowi współczesnych wersji znanych opowieści realizowany przez Allegro.pl pod tytułem Legendy Polskie [B].


Bezpieczeństwo w świecie nowych technologii

Nie można zapomnieć również o grupie ludzi, którzy odporni są na zakusy nowych technologii czy pęd do gadżetów. Niektórzy, ci oszukani przez przestępców w cyfrowym świecie mogą nawet próbować przyznać rację takiemu podejściu i żałować swojej nowoczesności. Warto w tym miejscu odpowiedzieć na pytanie, czy unikanie technologii jest w dzisiejszych czasach możliwe i czy gwarantuje nam „niewidzialność”? Niech za odpowiedź posłużą nam fakty popularyzacji serwisów udostępniających zdjęcia wraz z gwałtowną rozbudową algorytmów identyfikujących i analizujących osoby na tych zdjęciach umieszczone.

Dodatkowo, fakt podjęcia pracy, skorzystania z usług publicznych obecnie związany jest z umieszczeniem naszych danych personalnych w systemach cyfrowych. Może jeszcze nie dzisiaj, ale w niedalekiej przyszłości taki bunt przeciwko cyfryzacji porównywany będzie do zachowania dziecka, które zakrywając oczy mówi, że go nie ma.

I tutaj przychodzi nam z pomocą zdrowy rozsądek. Jednak gdy nie jest on podparty rzetelną wiedzą robi co może -czyli improwizuje. Tak pojawia się zaradny „Janusz biznesu” – człowiek, który w pracy może wszystko, nie zatrzymają go żadne ograniczenia, bo na „metody” są „sposoby”. Uproszczeniami i działaniem „na chłopski rozum” można robić karierę Dyzmy nawet skuteczniej niż kiedyś – bo wszystko teraz jest szybciej i łatwiej. Problem w tym, że nawet jeśli takie działanie nie jest na granicy prawa, to z pewnością zostanie użyte przez tych, którzy doskonale znają ciemną stronę mocy. 

To oni, przestępcy, dla takich Januszy tworzą: od narzędzi przełamujących zabezpieczenia płyt DVD/BR po jailbrake do Iphone czy konsoli po platformy oprogramowania złośliwego jako usługi w chmurze (malware as a service). To przecież małe zło, tak rzucić atak odmowy usługi na konkurencję, czy dla żartu zaszyfrować koledze dysk z danymi w domu. A jak nie dla żartu tylko dla okupu, to przecież sam jest sobie winien, nie musiał klikać w ten załącznik... 

Jest zatem cienka linia pomiędzy tym jak i do czego użyjemy zdrowego rozsądku. Aby jej nie przekroczyć niezbędna wydaje się wiedza o tym co, jak, kiedy, dlaczego i z kim robimy. W życiu wszystkie te elementy znamy naturalnie, a normy społeczne pozwalają nam odróżnić co jest akceptowalne a co nie. W pracy jest trudniej. Najczęściej jesteśmy w stanie odpowiedzieć na pytanie „z kim?”, czasami na pytania „co, jak i kiedy”, ale odpowiedź na pytanie „dlaczego?” zazwyczaj nie jest znana. Ten brak wiedzy daje przestępcom pole do działania i np. prowadzenia ataków z fałszywej pozycji przełożonego domagającego się od nas pilnie wykonania czynności o poważnych konsekwencjach dla firmy, bez możliwości rzetelnej oceny ryzyka takiej czynności i najczęściej wbrew obowiązującym procedurom. Jak zdobyć taką wiedzę?

W 2014 roku powstały wytyczne dotyczące ramowego modelu oceny kondycji cyberbezpieczeństwa różnych podmiotów wpływających na infrastrukturę krytyczną USA [C]. Jak się okazuje, wytyczne te można zastosować zarówno do dowolnej firmy jak i życia prywatnego. Głównie jest to możliwe dzięki podejściu łańcucha dostaw w którym ktoś produkuje coś, co jest niezbędne dla drugiej osoby/firmy w celu osiągnięcia jej wyniku i tak dalej.

Kierując się poniższymi zasadami w pracy jak i w życiu prywatnym możemy zrobić dobry użytek ze zdrowego rozsądku jakim obdarzyło nas życie w społeczeństwie. Dla spraw służbowych są to: 
(1) Poznaj swoje środowisko i zasoby, jego słabe i silne strony;
(2) naucz się chronić to co cenne;
(3) znaj symptomy zagrożenia
(4) reaguj gdy wykryjesz nieprawidłowość
(5) zapewnij ciągłość działania i bądź zdolny(-a) do powrotu do pracy po katastrofie.

Analogicznie te same obszary transferują się na sferę prywatną ujętą w ramach Netykiety Bezpieczeństwa Bardziej Osobistego Inicjatywy Kultury Bezpieczeństwa: 
(I) Szanuj ludzi i uważaj na nieznajomych
(II) Doceń swoją prywatność i ją chroń (jak i tych co Ci zaufali)
(III) Działaj odpowiedzialnie unikając zbędnego ryzyka
(IV) jeśli Ty nie zareagujesz na przestępstwo lub wandalizm prawdopodobnie nikt tego nie zrobi
(V) Daj przykład innym tworząc miejsce do bezpiecznej pracy, nauki i zabawy. 

Ostatecznie praca, czy życie prywatne, to ta sama kartka, tylko zapisana z innej strony. Gdy kartka jest cienka jeden tekst przebija na drugi co znacznie utrudnia przeczytanie prawdziwej treści...


[A] Raport ENISA dla zagrożeń w Internecie 2015 (https://www.enisa.europa.eu/publications/etl2015)
[B] Projekt Legendy Polskie od Allegro https://legendy.allegro.pl/
[C] NIST Cybersecurity Framework https://www.nist.gov/cyberframework

Popularne posty