Kinek érdeke, hogy az Internet biztonságos legyen, és kinek nem?

biztonsagos2.jpg

Update: Kicsit beelőztek, az SG-n megjelent most egy hasonló témájú cikk, legalábbis alaptémában ebben az irányban mozog.

Sokat gondolkodtam azon, hogy a mostani helyzet – hívószóval élve: KIBERBIZTONSÁGI helyzet – kinek áll az érdekében, illetve ki és mennyire érdekelt abban, hogy a helyet javuljon, vagy romoljon? (nyilván csak romlik)

A felhasználónak, legyen bármilyen furcsa is, nem áll érdekében, hogy az Internet biztonságosabb legyen. Fura ezt kimondani, de így van. Persze, hatalmas elvárások azok vannak:

„Legyen biztonságos, védjenek meg engem és a családomat, az értékeimet, az adataimat, az identitásomat – mindezt olcsón, sőt!”

„Ne kelljen ennek érdekében semmit tennem, ne kelljen fél kattintásnál több hozzá, de akkor jó, ha az sem kell, működjön magától a védelem, ne okozzon plusz feladatokat, ne kelljen gondolkodni, stb.”

A biztonság nem valósítható meg korlátozás és kontroll nélkül - viszont a kényelem és a korlátozás nehezen összeférő fogalmak. 

Szóval lehet mondani, hogy érdek, na az lenne - de mivel ezért nemigen akarnak tenni (illetve nem akarnak korlátokat és kontrollt elfogadni), ez hasonló ahoz, hogy ötöslottót akarnak nyerni, de egy szelvényt sem hajlandók megvásárolni vagy legalább az öt számot beikszelni (miért nem elég csak a három??!). 

Ez nem csak az otthoni felhasználókra igaz, a legtöbb vállalati védelmi megoldás legfontosabb alappillére, hogy a felhasználóknak (és persze az üzemeltetőknek) ne kelljen „foglalkozni” vele.

Nem lehet ezt és ezt bevezetni, mert a felhasználók felakasztanak” – ezt nagyon sokszor hallom, halljuk. (A sales repertoárjában mindig is előkelő key selling point a „nem kell vele foglalkozni, leteszitek és működik” kijelentés, pontosan azért, mert szóban tökéletesen kiszolgálja ezt az igényt.)

A vállalat, a szervezet sok esetben az egyszeri madám álláspontjára helyezkedik: 

Lányok, csak semmi paráználkodás! Na, most lássuk a bevételt!

Azaz a felhasználók nehogy zúgolódjanak, de azért a security meg az üzemeltetés védje meg a felhasználókat és az adatokat. Az érdek gyakran alárendelődik a felhasználók kényelmének, elvárásának – holott nem a felhasználóé a megvédendő infrastruktúrális és adatvagyon, hanem a szervezeté.

A security vendorok esetében kicsit olyan érzésem van, mint a fegyvernepperek, fegyvergyártók – és ezzel együtt nyilván a védelmi arzenálok gyártóival kapcsolatban: Ha valakiknek, nekik aztán (mint profitorientált vállalat) nem áll érdekében a biztonságos Internet (bocs).

Abból élnek, hogy egy vélt/valós/hájpolt fenyegetettségekre adjanak választ, tehát a csökkenő fenyegetettség, a biztonságos Internet nekik üzletileg nem áll érdekükben. 

Ezzel együtt nyilván azok a vállalkozások, akik a védelmi rendszereket (mint profitorientált vállalkozás) eladják, maguk sem érdekeltek a helyzet változásában, ha alacsony a fenyegetettség, ki a fene ruházna be a méregdrága védelmi rendszerekbe?

A saját portámon körülnézve, azt kell mondanom, hogy a tanácsadóknak (mint profitorientált vállalkozás) sem érdeke az alacsony fenyegetettségi szint, egy békés és biztonságos KIBERHELYZETben ki a fene lenne kíváncsi a tanácsainkra és venné igénybe a szolgáltatásainkat? Én például rendszeresen prédikálok a csúcsosszárnyú ázsiai flamingófarm beruházási előnyeiről, mégse érdekel senkit. 

Ha Internet szolgáltatókról beszélünk, na jó, inkább ne is beszéljünk róluk, sajnos a legtöbb esetben számukra a KIBERVÉDELEM a spam-szűrésnél és a spamassasin-nál megált, tisztelet a kivételnek (mert azért akadnak). Nyilván, az ISP-k esetében a fenyegetettséget a DOS/DDoS jelenti leginkább, webszervereseknél kicsit más a helyzet, de ők is igyekeznek mindent a felhasználóra áttolni, meg is van ennek a látható eredménye.

Az SG-cikk bemutatja, hogy a kormányzat, hogy viszonyul a biztonságos Internethez, erről nem is igen akarnék írni, bizonyos szektoraiban a kormányzatnak ugye nagyon-nagyon nem érdeke, másik oldalról viszont a felhasználói sapkában a kormányzat semmiben nem különbözik az otthoni vagy vállalati felhasználótól (még akkor sem, ha törvényi kötelezettségek állnak fent).

Szóval úgy néz ki, lehet, hogy igazából senkinek nem (racionális) érdeke a biztonságos Internet.

Vagyis...

Érdemes azért az embert keresni.

Ugyanis perszonálisan sokszázezer kolléga, gyártói mérnök, fejlesztő, tanácsadó, evangelista, kutató, szakértő, stb. dolgozik azon, hogy az Internet ne hasonlítson a vadnyugatra. Egyre kevesebb sikerrel, de minden nap ezen munkálkodnak, és óriási köszönet érte mindenkinek, aki ebben tevékenykedik!

De ha holnap megjelenne egy hír, miszerint Zacher Gábor és Csernus Imre új vállalkozása alkohol- és gandzsanagykerben utazik, csak megvonnám a vállam.