Autor: Vojtěch Bednář, externí redaktor ICTsecurity

Tvrdit, že bezpečnost v informačních technologiích je výhradně technickým problémem, by její problematiku značně redukovalo. Na druhou stranu se ale nejedná o faktor ryze humánní. Jaký je poměr mezi lidským a technickým vlivem na zabezpečení systémů a na ochranu dat? Nakolik bezpečnost ovlivňuje člověk, a na kolik faktory ležící mimo něj?

O dvou zlech

Diskuze o vzájemném poměru technických, respektive antropogenních vlivů v informační bezpečnosti jsou často a nesprávně redukovány na souboj dvou, vzájemně protichůdných faktorů a s nimi spojených názorů. Zatímco pro první je otázka bezpečnosti informačních systémů čistě technickou, technickými prostředky řešitelnou věcí, druhý staví nadevše člověka; v pozici uživatele a správce systémů, přičemž minimalizuje vliv těchto systémů samotných.

Oba výše uvedené názory jsou značně rozšířené, ale ve skutečnosti zavádějící. První z nich, tedy technický najdeme nejčastěji u správců informačních systémů a u jejich tvůrců. Druhý, antropogenní pak u těch, kteří k problematice bezpečnosti přistupují z uživatelského, v některých případech z manažerského hlediska. Oba lze poměrně snadno vyvrátit. Argumentem pro vyvracení prvního je, že technika, ať už jde o hardware, software nebo síťovou infrastrukturu je dílem člověka, argumentem pro vyvracení druhého pak je, že přes veškerou snahu člověka ať už v pozici uživatele, správce nebo útočníka, je technika nástrojem, s nímž pracuje a tím vstupuje do interakce.

Z výše uvedeného vyplývá, že počítačová bezpečnost, bereme-li ji jako stav vzniká z interakce různých humánních faktorů (správců, uživatelů, tvůrců systémů a pochopitelně těch, kteří se jejich zabezpečení snaží překonat) a faktorů technických, které jsou ale v úzké vazbě na faktory humánní. Otázkou pak nastává, jak tuto interakci popsat a jaké z ní vyvodit důsledky. Tedy nakolik je otázka zabezpečení lidská a nakolik ryze technická záležitost. Odpovědět na ni nelze jinak, než pohledem do praxe.

Restrikce a zodpovědnost

Tak jako existují dva výše popsané náhledy na bezpečnost, jsou i lidé, kteří z nich vyvozují něco jako ideologii pro praxi. Konkrétní aplikací této praxe je určování základní bezpečnostní strategie v organizaci, vyjádřeno směrem k uživateli. Tedy k tomu, pro nějž je informační infrastruktura pracovním prostředkem, ale sféra informatiky jako taková obvykle leží mimo hlavní oblast jeho zájmu.

Restriktivní strategie (která je založena na technokratickém přístupu) vychází z předpokladu, že chování uživatelů je potřeba korigovat technickými prostředky. Člověk je ve své podstatě největším bezpečnostním ohrožením, nejméně předvídatelným prvkem celé infrastruktury a současně její největší bezpečnostní mezerou. Protože se jej pochopitelně nelze zbavit, nezbývá, než snažit se redukovat jeho pole působnosti pomocí technických prostředků, přičemž se uplatňuje (a to na jak hardwarové, tak softwarové úrovni) systém „cest“. Lidem je v podstatě zakázána jakákoliv práce s informační infrastrukturou s výjimkou té, kterou nezbytně potřebují k vykonávání své funkce v rámci organizace. To, co mohou s infrastrukturou dělat je pak jasně vymezeno, přičemž se technickými prostředky vynucuje, aby nikdo svou „cestu“ (např. seznam povolených aplikací, respektive funkcí v nich) nemohl opustit.

Strategie založená na zodpovědnosti (a tedy vycházející z humánního paradigmatu) zakládá na obdobném předpokladu, tedy že největším bezpečnostním rizikem v řízeném systému je jeho uživatel. Na rozdíl od prve uvedeného ale také předpokládá, že omezování uživatele technickými prostředky, a tedy delegování bezpečnosti na techniku nevede k očekávanému cíli. Jinak řečeno, že z různých důvodů (obejít lze vše, chybná může být i technika a člověk je mnohem více adaptabilní než libovolná hardwarová komponenta nebo softwarový systém) je lepší zodpovědnost za bezpečnost ICT na uživatele delegovat, než snažit se snížit jeho působení coby rizikového faktoru. V takovém případě jsou uživatelé vystaveni mnohem nižším restrikcím, oproti systému jasně vymezených cest mohou používat své technické prostředky mnohem volněji, ale současně zodpovídají za to, aby jejich vinou nedošlo ke ztrátě nebo odcizení dat, či k poškození informační infrastruktury.

Důsledky

Obě strategie vycházející z obou principů se používají v různých organizacích, zdá se, že některé jsou vhodné pro jisté typy organizací, jiné zase pro další. Faktem ovšem je, že úplnou bezpečnost nepřináší ani jedna z nich.  Delegace bezpečnosti na uživatele znamená sníženou ochranu před jeho selháním (uživatelé jsou při takové strategii sice proškolováni a je jím věnována pozornost, ale možnost že dojde k bezpečnostnímu incidentu jejich vinou nelze vyloučit). Delegace bezpečnosti na techniku a maximální omezení uživatelů způsobuje pro změnu to, že rizika způsobená technikou jsou minimalizována (ale ne odstraněna bereme-li v úvahu to, že technická bezpečnostní opatření jsou administrována lidmi), ale zato rizika způsobená uživateli v restriktivním režimu stoupají. Důvodem je, že uživatelé, kterým jsou značně omezeny možnosti práce, se chovají nezodpovědně.

Kompromisy

Samozřejmě že existují kompromisní přístupy snažící se poměr sil mezi technologickými a antropogenními prvky bezpečnosti vyvážit, případně zkombinovat jejich výhody – a to nejenom v jednom konkrétním případě přístupu infrastruktury k uživateli, který zde zmiňuji. Zajímavostí je, že tyto kompromisy vznikají typicky z původně restriktivních strategií, které se ukazují být nefunkčními a které jsou následně „změkčovány“ s odkazem na efektivitu práce. Poměr zodpovědnosti za bezpečnost se v tomto případě přesouvá z technických faktorů na lidské a to reálně na základě zjištění, že jeho úplná delegace technice spojená se svázáním uživatele produkuje enormní rizika na uživatelově straně spolu s nízkou efektivitou vlastní práce. V opačném případě, kdy jsou technická řešení implementována tak, aby doplňovala, případně korigovala chybné chování uživatelů, ale zodpovědnost za infrastrukturu a za data je přenesena na ně se ukazuje, že lze dosáhnout vyšší míry zabezpečení, ale s nižší stabilitou a dlouhodobou spolehlivostí (danou chybovostí, ale také třeba fluktuací uživatelů). Přesto se toto řešení ukazuje jako vhodnější.

Nepravá cesta

Jaký je tedy poměr mezi lidským a technickým faktorem při zajišťování informační bezpečnosti? Ačkoli strategie a jejich konkrétní aplikace se různí, vždy si je potřeba uvědomit to, že informační infrastruktury nejsou stavěny pro informace, ale pro lidi. Uživatelem počítače je člověk. Uživatelem informačního systému je člověk, který obvykle není, pokud jde o jeho funkci, odborníkem. Uživatelem serveru je – zprostředkovaně – rovněž člověk. Data jsou pouze předmětem zájmu člověka – uživatele. Z těchto skutečností musí vycházet veškeré bezpečnostní strategie. Je z nich také zřejmé to, že poměr bezpečnosti mezi technikou a lidmi je bez ohledu na konkrétní zvolenou strategii vychýlen směrem k lidem. Tedy, že bezpečnost informačních systémů je především otázkou lidí a až pak otázkou informačních systémů samotných. To je fakt, který se mnohým z těch, jež jsme na začátku označili za vycházející z čistě technického paradigmatu, nemůže líbit ale fakt, se kterým je zcela nezbytné se naučit žít. Snaha o úplnou delegaci bezpečnosti na techniku a v důsledku toho eliminaci možností uživatele je v celém kontextu informačních technologií nepravou cestou, kterou nelze jít donekonečna.