Docendo discimus [4]: Stawiłem sobie pomnik trwalszy niż ze spiżu

O tożsamości pod presją wszech-talentu. O dezorientacji we mgle danych, która staje się trującym smogiem. O nieznanych bohaterach w cieniu ulotnych pomników. Czyli o nas i naszej prywatności.



Ten tekst pierwotnie ukazał się w pierwszym kwartale 2017 roku na łamach biuletynu Polskiego Towarzystwa Informatycznego (http://biuletyn.pti.org.pl/BiuletynPTI_2017-01.pdf)
Non omnis moriar multaque pars mei – cytując Horacego w przekładzie Lucjana Rydla - nie wszystek umrę, wiele ze mnie tu zostanie. Lęk przed odejściem w zapomnienie jest równie silny jak przed tym, co na nas czeka po śmierci. Kruchość ludzkiego istnienia, współczesna cywilizacja neguje praktycznie w każdym przekazie medialnym – oczywiście ludzie giną w różnych okolicznościach, ale ważniejsze jest to, co można sprzedać przy tej okazji. Czasami ideę, czasami produkt. 

Gdy odchodzi ktoś popularny – rusza machina dostarczająca każdemu z nas wszystkich detali związanych z jego życiem. To z czego był znany, to co po sobie zostawił, to do czego się przyznał i co ukrywał. Wszystko okazuje się być na sprzedaż i co więcej, jest okazją na sprzedaż łączoną produktów nawet tych słabo związanych z tematem. Wystarczy kliknąć raz, wykazać zainteresowanie tematem i później trudno się opędzić od propozycji najlepszych okazji cenowych lub ekskluzywnych treści.

Odejście celebryty czasami jest również okazją do refleksji, często budowanej poprzez porównanie osiągnięć, tych co odeszli, do tych co zbudowali karierę w oszałamiającym tempie, czy to zaczynając od dobrego pomysłu, czy mając szczęście do ludzi, których spotkali na swojej drodze. Przy tej okazji wielokrotnie przywołuje się potrzebę nieszablonowego działania, łamania schematów, burzenia układów. Tych przykładów w ostatnich dekadach jest tak wiele, że odbiorca takich informacji staje w obliczu presji swojej tożsamości i własnych wyborów zawodowych. Z jednej strony dostrzega historię pozornie zwykłych ludzi, którzy wykorzystali układ i stali się celebrytami co przyniosło im sławę i pieniądze. Z drugiej strony widzi swoje życie i poddaje je ocenie. Zazwyczaj każda porażka ma odpowiednie wytłumaczenie, a sukces jednego ojca. Niestety w obliczu takiej presji świata zewnętrznego nie wystarcza już przekonać samego siebie, że odniesione sukcesy są ważne dla nas, że są osobiste. Pojawia się potrzeba udowodnienia innym własnej wartości. Potrzeba lajków.

Pierwsze kontakty z współczesnymi mediami społecznościowymi wydają się być trudne. Z jednej strony jest to przestrzeń zupełnie obca dla ludzi przyzwyczajonych do świata realnego, gdzie gazetę czyta się od prawej do lewej, filmy ogląda w telewizji a wiadomości mają konkretną formę. Jednak wirtualni asystenci są na tyle rozwinięci, że uczucie szoku szybko mija. Kluczem jest „quasi-rozmowa” i subtelne wyciąganie kolejnych informacji na Twój temat: zdjęcie, nr telefonu, miejsce zamieszkania, historia edukacji, zatrudnienia a na ich podstawie sugestie znajomych – i tutaj robi się naprawdę ciekawie. Obce do tej pory środowisko staje się „swojskie” właśnie poprzez twarze, nazwiska, fakty z życia które znamy. W ten sposób informacja wszelakiej maści zaczyna nas otaczać zewsząd – pierwsze posty znajomych, ich zdjęcia, pierwsze rozmowy na czatach, pierwsze lajki i komentarze... mgła danych gęstnieje wokół nas, a my sami coraz częściej dodajemy kolejne dane: zdjęcia z wakacji, zdjęcia znajomych... Integrujemy telefon, aby pozostać w kontakcie – a nuż ktoś będzie miał coś ciekawego do powiedzenia, właśnie wtedy gdy będziemy daleko od komputera. Kolejne możliwości otwierają się przed nami jak za dotknięciem magicznej różdżki: możemy dać znać znajomym jakie miejsca odwiedzamy, dostajemy powiadomienie, gdy znajomy jest w pobliżu, zaliczamy rabaty i szanse na skorzystanie z „fantastycznych okazji tylko dla nas”. Nie ma to jednak nic wspólnego z magią a z faktem udzielenia dostępu aplikacji sieci społecznościowej do czujników telefonu i danych na nim zgromadzonych.

Co więcej, patrząc na nas z pewnej perspektywy można dostrzec człowieka, który z nosem w telefonie, nerwowo reaguje na każdy jego sygnał, o każdej porze dnia i nocy, w trakcie rozmów i spotkań z prawdziwymi znajomymi.

Mgła danych powoli zaczyna nas zatruwać, wpływać na nasze zachowanie, sterować naszą reakcją, nastrojem i docelowo życiem. Staje się smogiem danych. Im więcej „dokładamy do pieca” swoich danych prywatnych, im więcej klikamy, lajkujemy, komentujemy, polecamy czy inaczej - wchodzimy w reakcję z proponowanymi treściami, tym doskonalej budowany jest profil naszego zachowania. Podobno wystarczy mniej niż 300 interakcji aby stworzyć profil psychologiczny użytkownika sieci społecznościowej. Podobno tak utworzone profile można użyć do manipulacji życiowymi decyzjami. Jeśli ktoś potrzebuje faktów, niech spojrzy na obecność gigantów sprzedaży dowolnego produktu w sieciach społecznościowych. Te firmy żyją zyskiem i nie inwestują w to, co go nie gwarantuje. Politycy zainteresowani są władzą i kontaktami – spójrzcie, ilu ich jest obecnych w sieciach społecznościowych, a ilu w miejscach gdzie potrzebują ich ludzie.

Ale cofnijmy się o krok, zanim dojdziemy do wniosków, które niekoniecznie oparte są o realne dane, a bardziej wynikają z ludzkich nastrojów.

Choć rozproszone przetwarzanie danych nazywane jest chmurą tych danych więcej ma wspólnego z mgłą, którą definicyjnie jest chmura dotykająca ziemi. Jest to na tyle powszechne zjawisko, ze każdy posiada pewne doświadczenia z nią związane. 


Po pierwsze

Widać jedynie to, co na wyciągnięcie ręki, a to co dalej jest widoczne w zarysie, albo w ogóle. Podobnie jak w przypadku danych które wprowadzamy do chmury. Gdy są w naszym ręku, czy to zdjęcia, czy pliki dokumentów – wiemy gdzie są. Przesłane do chmury przebywają w „centrum obliczeniowym”- być może jesteśmy w stanie określić kraj, może miasto, może nawet budynek, ale dalej? Kogo satysfakcjonuje wiedza, że jego zdjęcia są „gdzieś tutaj”?


Po drugie

Dźwięk i światło – gdy coś się do nas (lub my do tego) zbliża we mgle, słychać że coś się dzieje, ale trudno odgadnąć kierunek z którego nadchodzi. Wszystkie odgłosy są wytłumione. Słabe światło jest ledwie widoczne, silne źródło światła oślepia wszystko wokoło, tak, że widać jeszcze mniej, niż bez niego. Podobnie w sytuacji danych w chmurze. Zagrożenia i ryzyka związane z danymi rozproszonymi ciągle ewoluują – trudno obecnie wskazać na ustalony ich kształt jak i możliwość wpływu na nasze interesy, szczególnie w perspektywie kilku lat. Incydenty, które się zdarzają uderzają w nas w momencie, w którym na reakcję zostaje bardzo mało czasu. Głównie z powodu albo braku informacji o nich, albo w takim chaosie informacyjnym, że nie jest możliwe, w realnym czasie, uzyskania tej, która jest kluczowa dla naszego bezpieczeństwa.


Po trzecie

Mgła w przeciwieństwie do powszechnie panującej opinii nie jest parą wodną a mikroskopijnymi kroplami wody zawieszonymi w powietrzu. Tym samym, im dłużej przebywamy w jej obecności, tym bardziej zmoknięci jesteśmy. Jest to zjawisko przeczące naturalnym zmysłom i nie wymagające od organizmu natychmiastowej reakcji, jak w przypadku unikania ulewy, czy strumienia wody. Podobnie w sytuacji danych: swoboda i elastyczność w dostępie do nich i usług z nim związanych przyćmiewa aspekty związane z odpowiedzialnością za przetwarzanie informacji zgodnie z prawem. Rozproszenie danych i transgraniczna natura usług chmurowych prowadzą do ekspozycji na ryzyka niewidoczne z punktu widzenia użytkownika końcowego, co może doprowadzić do ich materializacji bez właściwych strategii mitygacyjnych i ostatecznie do znacznych oraz nieprzewidzianych kosztów.

W sytuacji gdy mgła danych staje się smogiem zagraża zarówno użytkownikom jak i firmom. Wymóg utrzymania uwagi za wszelką cenę, tego pierwszego prowadzi przez jego rozdrażnienie do fizycznego i mentalnego wycieńczenia. Głównym źródłem niebezpieczeństwa dla firm jest konstrukcja łańcucha usług powszechna w modelu chmurowym, gdzie wtyczki, pluginy i dodatki stosowanych usług realizowane są przez firmy trzecie ale nie w ramach chmury usługodawcy ale własnych rozwiązań rozproszonych. Sytuacja, w której każda dodatkowa usługa świadczona przez firmę trzecią w ramach wykupionej usługi wymaga z legalnego punktu widzenia dodatkowych analiz i umów stanowi ryzyko kar nałożonych przez regulatorów i zmniejsza atrakcyjność modelu chmurowego dla firm.

Jak w każdym dramacie, należy dać nadzieję na sukces pomimo niesprzyjających okoliczności. Co zatem robić?


Małe kroki

Czy prywatnie, czy też jako firma, warto krok po kroku wchodzić w mgłę danych. Powoli uwalniać do chmury to co dla nas cenne i obserwować jak to zmienia naszą firmę i nas osobiście. Ile czasu musimy poświęcić na „nowe”? Jaki mamy z tego tytułu zysk? Warto zadawać sobie pytania o następne kroki i próbować przewidywać konsekwencje zarówno obserwując swoją firmę jak i sektor w którym funkcjonuje oraz rozwój stosowanych technologii. Świadomość otoczenia, wiedza na temat tego co i gdzie umieściliśmy w zakresie własnych danych i reagowanie gdy dane te pojawiły się w miejscu przez nas nieoczekiwanym jest podstawą nowoczesnego podejścia do bezpieczeństwa informacji opierającym się na świadomości kontekstu użycia danych i usług, wynikających z tego zagrożeń i planowaniu strategii obrony zanim ryzyko niepowodzenia się zmaterializuje.


Szyfrowanie

Wprowadzając dane do chmury krytycznym elementem staje się realizacja podstaw bezpieczeństwa informacji: poufności, integralności i dostępności danych. Ostatnie zapewnia użycie technologii wirtualizacji, deduplikacji i gwałtowny rozwój technik telekomunikacyjnych, pierwsze dwa mogą być osiągnięte przez szyfrowanie.

Przeglądanie internetu z użyciem HTTPS i przekazywanie danych z użyciem tego protokołu, czy starszego, ale ciągle używanego powszechnie SFTP, stosowanie tuneli transmisyjnych w celu rozszerzenia sieci korporacyjnych z użyciem technologii wirtualnych sieci prywatnych, są właśnie przykładem stosowania szyfrowania danych w transporcie. Tak zabezpieczone dane nie są dostępne dla postronnych obserwatorów o ile zabezpieczenia zostały zastosowane z użyciem dobrych praktyk i z uwzględnieniem informacji od „cichych bohaterów”. Ci bohaterowie to badacze bezpieczeństwa, którzy szukają luk w zabezpieczeniach, zgłaszają je czasami wchodząc w konflikty z prawem lokalnym lub łamią uznane normy i standardy komunikacji. Czasami, jak to z bohaterami bywa, robią niejako przy okazji, nieco szkód, narażając tych, którzy nie byli gotowi się zabezpieczyć ale ostatecznie, technologie bezpieczeństwa stają się coraz lepsze i bardziej odporne.


Dane bezpiecznie przekazane na serwer nie będą bezpieczne jeśli nie zostaną zaszyfrowane w spoczynku. Dlatego warto zawsze domagać się, aby każde informacje przekazane do chmury były zarówno szyfrowane w transporcie jak i szyfrowane w spoczynku. Tak samo jak na dowolnym urządzeniu prywatnym jak i służbowym. Bez tej ochrony, czy zagubione urządzenie czy wykradzione dane mogą posłużyć przestępcom.


Na koniec warto zwrócić uwagę, że pomniki, które współcześnie budują sobie zarówno osoby prywatne jak i firmy związane są z poważnymi naruszeniami prywatności albo tych pierwszych albo ich klientów, przez co mogą równie szybko jak zostały wzniesione - zostać obalone. Kto zapewni im „wieczną pamięć” gdy technologia lub moda się zmienia a wiatr zawieje z innej strony?

Może warto zachować to co prywatne blisko siebie. A uwolnić do chmury to co potrzebne do kontaktów z innymi. Tak jak od wieków.

Co zrobić, aby na co dzień nie zapomnieć o przydatnych dobrych praktykach bezpieczeństwa
informacji? Proponujemy samodzielne złożenie poniższej przypominajki. Tak utworzoną kostką można rzucać codziennie po to, aby danego dnia zwrócić szczególną uwagę na wylosowany aspekt bezpieczeństwa.
Może to być również przedmiot przydatny przy szkoleniu pracowników; pod ikoną buźki można wpisać imię pracownika, pod aktówką – nazwę firmy. Pracownik taki materiał może trzymać w zasięgu wzroku, przypominając sobie podstawowe zasady na bieżąco. Dostepne materiały zródłowe pozwalaja wymienic aktówke na np. logo firmy.





Więcej na blogu Inicjatywy Kultury Bezpieczeństwa https://sci-ikb.blogspot.com




Popularne posty