reklama

Ekonómia a informačná bezpečnosť

Ako som na tomto mieste už párkrát spomenul, pre vývoj disciplíny informačnej bezpečnosti je v posledných rokoch charakteristická inšpirácia „netechnickými“ disciplínami, ako psychológia, sociológia či ekonómia. Keďže podľa mojich vedomostí sa tomuto trendu rozvoja informačnej bezpečnosti na Slovensku nikto seriózne nevenuje (budem len rád, ak ma niekto opraví a upozorní na jednotlivcov či pracoviská, ktorí/é sa takýmto smerom rozvoja disciplíny zaoberajú), snáď bude užitočné uviesť ilustratívny príklad prínosu nového pohľadu na existujúce problémy v praxi riešenia bezpečnosti. Konkrétne, uvažujme

Písmo: A- | A+
Diskusia  (2)

známy problém s používateľmi a ich prístupom k výberu a používaniu prístupových hesiel. Je „všeobecne známe“, že používatelia až príliš často k svojím heslám pristupujú s oveľa menšou vážnosťou, ako by si to predstavovali admini či bezpečnostní manažéri – vyberajú si heslá, ktoré sú krátke, jednoducho skonštruované, ľahko uhádnuteľné ... bez zábran poskytnú svoje heslo kolegovi či známemu, používajú jedno heslo pre viaceré účty, používajú ho niekoľko rokov bez zmeny, majú ho zapísané v kalendári na stole, a tak podobne. Skrátka, nesprávajú sa racionálne, neberú vážne odporúčania admina/bezpečnostného manažéra, ktoré sú predsa také jasné a logické... výsledkom je obvykle pevné presvedčenie admina/bezpečnostného manažéra, že používatelia sú hlúpi, neschopní, leniví (ďalšie prívlastky vulgárneho charakteru radšej ani neuvádzam...).

Problém informačnej bezpečnosti s napohľad iracionálnym správaním sa používateľov je podobný problémom, s ktorými sa stretáva ekonómia ako veda – vtedy, keď výsledky predpovedané modelmi, založenými na koncepte ľudí, ktorí prijímajú rozhodnutia založené na racionálnej analýze, akosi nezodpovedajú realite. Snaha hlbšie pochopiť procesy rozhodovania ľudí, motivácie, ktoré ich ovplyvňujú, viedla k rozvoju behaviorálnej ekonómie ... a o niečo podobné sa pokúšajú tí odborníci informačnej bezpečnosti, ktorí sa neuspokoja konštatovaním hlúposti či lenivosti používateľov, ale usilujú sa o pochopenie faktorov, ktoré ovplyvňujú ochotu používateľov IS osvojiť si bezpečnostne dôležité návyky.

Pekný príklad „ekonomického“ pohľadu na dôvody, pre ktoré používatelia ignorujú pre nás tak jasné a logické odporúčania pre výber a nakladanie s heslami možno nájsť napríklad v práci Cormaca Herleyho. Serióznym záujemcom o konštruktívny prístup k riešeniu bezpečnosti odporúčam preštudovať si celú Herleyho prácu, tu uvediem len niekoľko poznámok.

O čo vlastne ide? Dodržiavanie bezpečnostných odporúčaní má chrániť používateľov pred niektorými útokmi v zmysle odstránenia, resp. redukcie možných škôd. S realizáciou bezpečnostných odporúčaní sú spojené nejaké náklady (vynaložené prostriedky), výsledným ziskom (prínosom) je neexistencia, resp. redukcia škôd spôsobených útokom. Rôzne bezpečnostné odporúčania týkajúce sa výberu a používania hesiel evidentne vyžadujú zvýšené úsilie používateľov – aký je však ich prínos?

Uvažujme napríklad populárny zákaz zapísať si heslo niekde na papier ... ak používateľ papierik s heslom skladuje napríklad v peňaženke, zvýšil tým riziko jedine v prípade útočníka, ktorý má prístup k tej peňaženke – ak je hlavnou hrozbou anonymný (vzdialený) útočník, opatrenie, ktoré nepochybne vyžaduje zvýšené úsilie používateľov, má nulový prínos. Podobne, zákaz používať rovnaké heslo pre viac účtov má nenulový prínos iba v situáciách, kedy hrozí že útočník získa používateľovo heslo na systéme A a súčasne pozná jeho prihlasovacie meno na systéme B, na ktorom používa rovnaké heslo – je pravdepodobnosť takejto kombinácie hrozieb dostatočne veľká na to, aby vyvážila zvýšené nároky na používateľa vyvolané používaním zvláštneho hesla pre každý účet? Alebo, aký je prínos častej zmeny hesla? Ak sa nad tým zamyslíme, bezpečnostný efekt sa dosiahne iba v prípadoch, kedy k zmene hesla dôjde práve medzi časom, kedy útočník heslo zistil a časom, kedy ho chce použiť ... dá sa spoľahnúť, že po získaní hesla bude čakať niekoľko týždňov kým ho použije? Pritom časté zmeny hesla (spolu s dodatočnými opatreniami proti recyklovaniu predchádzajúcich hesiel) nepochybne komplikujú používateľom život a teda ich uplatnenie vyžaduje zvýšené úsilie z ich strany. A tak by sa dalo pokračovať...

Z uvedeného nevyplýva, že spomenuté bezpečnostné odporúčania sú zlé ... skôr to, že v konkrétnej situácii nemusia byť nejakým extra prínosom. Keďže bezpečnosť nezhoršujú, prečo by sme ich nepresadzovali? Ako však Herley zdôrazňuje, nemali by sme zabúdať, že čas a úsilie, ktoré používatelia musia vynaložiť na dodržiavanie bezpečnostných odporúčaní, majú tiež svoju „cenu“ ... a používatelia budú skôr motivovaní rešpektovať takéto odporúčania, ak ich prínosy budú primerané vynaloženým prostriedkom. Naviac, ak sa nezohľadňuje „cena“ za dodržiavanie bezpečnostných odporúčaní, tak hrozí tendencia považovať pozornosť a úsilie používateľov za neohraničené, čo následne vedie k hromadeniu najrôznejších bezpečnostných odporúčaní, povinností a zásad ... každá z nich má nepochybne nejaký prínos, ale ich kumulácia vedie k tomu, že používatelia jednoducho nezvládnu to všetko v plnej miere rešpektovať. Ako Herley konštatuje, „Security is not something users are offered and turn down. What they are offered and do turn down is crushingly complex security advice that promises little and delivers less.“

Pochopiteľne, o pokusoch použiť „ekonomické okuliare“ pri skúmaní podstaty niektorých problémov praxe informačnej bezpečnosti možno diskutovať, domnievam sa však, že prinajmenšom poukazujú na niektoré aspekty, ktoré technicky (informaticky) založení ľudia zvyknú prehliadať. Osobne mi je sympatická snaha hľadať racionálne vysvetlenie pre známu neochotu používateľov osvojiť si bezpečnostné návyky v takej hĺbke a rozsahu, ako by sme si to želali ... pochopenie dôvodov umožní zvažovať účinnosť a zmysluplnosť uvažovaných bezpečnostných odporúčaní. Ktorý prístup bude mať väčšiu šancu na zmenu správania sa používateľov želaným smerom - ten, ktorý sa zaujíma o ich motiváciu, alebosilový prístup presadzovaný Návrhom systému vzdelávania v oblasti informačnej bezpečnosti v SR (t.j. všetci používatelia, vrátane žiakov základných a stredných škôl, či sa im to páči alebo nie, sa majú učiť zriedenú formu toho, čo nejaké združenie v USA vyžaduje od technicky orientovaných profesionálov pôsobiacich v oblasti informačnej bezpečnosti)?

Jozef Vyskoč

Jozef Vyskoč

Bloger 
  • Počet článkov:  166
  •  | 
  • Páči sa:  1x

Živí sa poradenstvom v oblasti bezpečnosti informačných systémov. Pravidelný prispievateľ do patavedeckých seminárov v Bratislave. Zoznam autorových rubrík:  BezpečnosťOchrana súkromiaPatavedaVzdelávanie a výskumNezaradené

Prémioví blogeri

Matúš Sarvaš

Matúš Sarvaš

3 články
Milota Sidorová

Milota Sidorová

5 článkov
Post Bellum SK

Post Bellum SK

74 článkov
Zmudri.sk

Zmudri.sk

3 články
Pavol Koprda

Pavol Koprda

10 článkov
Yevhen Hessen

Yevhen Hessen

20 článkov
reklama
reklama
SkryťZatvoriť reklamu