Tradície informačnej bezpečnosti na Slovensku
(Predbežná verzia bola publikovaná pod názvom
"Tradície ochrany údajov a počítačových systémov v slovenskej ľudovej slovesnosti"
v týždenníku TREND č.23/1995, str.24A. Súčasná verzia bola publikovaná v
mesačníku Slovenské pohľady č. 5, 1999, str. 68-73) |
Jozef Vyskoč
|
Cieľom tohto stručného príspevku je na konkrétnych príkladoch
názorne demonštrovať bohatstvo poznania (knowledge base) slovenského
ľudu aj v takej napohľad mladej disciplíne, akou je oblasť informačnej bezpečnosti
(information security). Jedným z potešiteľných dôsledkov našich zistení
(findings) je aj skutočnosť, že pri výchove špecialistov v tejto oblasti
nemusíme byť odkázaní na drahé importované učebnice, ktoré navyše obsahovo vychádzajú
zo skúseností anglosaských krajín, čiže prevažne USA.
Naozaj, keď sa dôkladne začítame do slovenských prísloví a porekadiel,
Dobšinského rozprávok, či započúvame do textov lahodne znejúcich slovenských
ľudových piesní (Slovak folk songs), poľahky v nich objavíme ako popis
základných problémov, s ktorými je možné sa u nás stretnúť pri každom úsilí
vyriešiť ochranu údajov a počítačových systémov, tak aj návody (hints)
na ich riešenie. Stáročná múdrosť slovenského ľudu, vyjadrená v dochovaných
dielach jeho tvorivosti a fantázie, tak názorne preukazuje svoju nadčasovú platnosť.
Ale dosť už bolo planého rečnenia - je načase dokázať povedané a
napísané. Začnime hoci základným problémom, s ktorým sa v našich podmienkach
adept na experta na informačnú bezpečnosť nezriedka stretne, totiž presvedčiť
manažment organizácie o nevyhnutnosti vôbec prijať účinné (a nie len predstierané)
opatrenia na zvýšenie bezpečnosti počítačových systémov a údajov. Naši predkovia
múdro postrehli, že
Kde Pán Boh kostol stavia, tam si diabol kaplnku
pristavuje
a naozaj niet dôvodu veriť že informačné technológie sú v tomto smere nejakou výnimkou. A či vari existuje presvedčivejší argument na podporu tvrdenia o nevyhnutnosti vyriešenia systému ochrany ako poukázanie na reálny fakt, o ktorého pravdivosti nikto nepochybuje? Ktože by po vypočutí textu slovenskej ľudovej piesne
Hej, hora, hora
dubová chrásť, dubová chrásť
hej, dajže bože
dačo ukrásť, dačo ukrásť,
neuznal, že prinajmenšom v našom regióne je vybudovanie ochranných opatrení naprostou nevyhnutnosťou? Vieme aj, aká je často motivácia páchateľov, veď ktože by na Slovensku nepoznal ono známe
Poďme chlapci, poďme zbíjať,
veď nemáme za čo píjať...
Je známe, že nestačí potenciálneho páchateľa len preventívne odstrašovať nejakými normami či zákonmi - náš ľud má s rešpektovaním platnej legislatívy svoje skúsenosti, keď spieva
Ešče je, ešče je
v tej Trnave míra
pod kterú zebrali
jednej mamke syna
Kto len trochu dlhšie pôsobí v oblasti informačnej bezpečnosti, zaiste potvrdí že jedným z najväčších problémov pri realizácií systému ochrany je prirodzená ľudská vlastnosť spoliehať sa že "to urobí niekto iný". Znalca slovenského folklóru tento poznatok neprekvapí, veď aj v texte
Taká sa mi fľaška páči
čo sa sama k ruke tlačí
spevák vyjadruje svoje sympatie takej druhej strane, ktorej činnosť mu ušetrí zopár pohybov.
Je známe, že teória i prax ochrany informačných systémov je v podstatnej miere
založená na princípe centralizovaného riadenia prístupu k systému, čo znamená
izolovanie chránených objektov od okolia tak, že prístup k nim je možný jedine
prostredníctvom špeciálnej entity (v anglosaskej teoreticky zameranej literatúre
známej ako tzv. reference monitor), ktorú nemožno ignorovať a ktorá reguluje
samotný prístup vonkajších subjektov k chráneným objektom. Len skutočný majster,
ktorý dokonale zvládol tento základný princíp úspešného prevádzkovania bezpečného
systému, dokáže namiesto drmolenia naučenej poučky takýto suchopárny popis podať
novým, sviežim spôsobom. Niet pochybností o tom, že nasledovná ukážka z tvorby
slovenského ľudu
Ani sa ma netýkaj, netýkaj
materi sa opýtaj, opýtaj.
Keď ti mamka dovolí, dovolí
urobím ti po vôli, po vôli.
svedčí o hlbokom pochopení a precítení spomenutého základného pilieru bezpečnosti informačných systémov.
Skúsenosti z praxe informačnej bezpečnosti dnes už bežne poukazujú na nezastupiteľnú úlohu manažmentu pri definovaní bezpečnostných potrieb organizácie a špeciálne pri riadení celého procesu budovania a prevádzkovania systému ochrany, čo je konzistentné so všeobecnejším pozorovaním že radový pracovník obvykle čaká, čo mu "vrchnosť" povie či ukáže. Pre znalca slovenského folklóru je takáto spojitosť medzi úspešným vybudovaním a prevádzkovaním systému ochrany a kvalitou a zainteresovanosťou vrcholového manažmentu samozrejmou záležitosťou, veď
Kde je gazda chorý, tam i sluhu čosi morí
Výsledok budovania systému ochrany pod vedením nekvalifikovaného manažmentu predikuje aj ďalšia ľudová múdrosť, nepochybne vychádzajúca z vlastných bolestných skúseností jej autora
Keď vedie slepý slepého, padnú oba do jamy
Zvlášť pre radového pracovníka - začiatočníka vedomého si nedostatku svojich znalostí je však mimoriadne dôležité, aby vyvíjal tlak na nadriadeného a priamo sa domáhal zlepšenia situácie a prinajmenšom zvýšenia úrovne svojho poznania - aspoň tak, ako sa spieva v pesničke pre tzv. redový tanec
ukladali mladú spať
nevedela jak mu dať
či nakrivo či prosto
príď a ukáž starosto
V našom regióne je žiaľ stále pravdepodobné pri poukazovaní na dôležitosť informačnej bezpečnosti stretnutie so spupnou odpoveďou vrchnosti v štýle "my sme bezpeční". Náš ľud spoznal množstvo takýchto chválenkárov a odhalil aj skutočnú hodnotu ich výrokov, ktoré vytrvá len do prvej vážnej skúšky
já jsem chlapem, já jsem
ale to len časem
nebojím sa ženy
keď jej doma neni
alebo, stručnejšie ale rovnako výstižne
Prázdny sud najviac hučí
Ej veru, náš ľud už dávno pochopil, že kvalitu výsledku - vykonanej práce, teda v tomto prípade bezpečnosť informačného systému určuje kvalita rozhodnutí už v úvodných fázach projektu, veď
Ruža u hovna vyrostená smrdzí
názorne (takpovediac multimediálne) ilustruje závislosť celkového výsledku projektu od úvodného rozhodnutia manažmentu.
Ľudová múdrosť sa však nevysporiadala len s takýmito povrchnými tárajmi. V poslednom čase sa v informačnej bezpečnosti stále viac presadzuje myšlienka potreby občasného preverenia skutočného stavu systému, tzv. bezpečnostný audít. Táto novinka pritom nie je pre Slovákov ničím novým, veď rozdiel medzi
Prídi ty šuhajko ráno k nám,
uvidíš čo ja to robievam
ja ráno vstávam, kravy napájam,
ovečky na pole vyháňam.
..
a zistenou skutočnosťou
Keď som k nej prišiel na špehy
ona si ležala v posteli,
kravy bučali, svine kvičali
ovečky žalostne bľačali
názorne dokazuje nevyhnutnosť pravidelných audítov.
Ďalšou, v zahraničnej literatúre spomenutou, metódou testovania účinnosti bezpečnostných
opatrení, či presnejšie demonštrovania iluzórnosti ich spoľahlivosti, je dohoda
so skupinou špecialistov, ktorí sa zmluvne zaviažu pokúsiť sa preniknúť do systému
a demonštrovať jeho prípadné nedostatky (tzv. tiger team). Tento mnohými
velebený spôsob testovania bezpečnosti pritom pre Slovákov nie je ničím novým,
ako to demonštruje prastarý popis akcie takéhoto tiger-teamu - rozprávka Klinko
a Kompit kráľ (P.Dobšinský: Slovenské rozprávky), v ktorej zbojník Klinko dokázal
husárovi koňa spod sedla ukradnúť, a tak demonštrovať jednak svoju kvalifikáciu,
jednak nedostatočnosť ochranných opatrení.
Prípad zbojníka Klinka môže byť zároveň varovaním pre všetkých, ktorí podceňujú schopnosti našich šuhajov a dievčeniec a svoj pocit bezpečia zakladajú na predpoklade, že na Slovensku sme v oblasti neoprávneného prenikania do počítačových systémov ešte kdesi na úrovni prvotnopospolnej spoločnosti. Ignorovanie či už spomenutého Klinkovho príbehu, alebo hoci aj slovenskej ľudovej múdrosti
To si ani čert nevymyslí, čo má žena v svojej mysli
sa im s najväčšou pravdepodobnosťou vypomstí.
Slovenská ľudová slovesná tvorba sa však neobmedzila len na všeobecné princípy
informačnej bezpečnosti, ale svoju pozornosť venovala aj špecifickým metódam prieniku
či mechanizmom ochrany. Je napríklad pozoruhodné, že problém autentifikácie oprávneného
používateľa sa v slovenských rozprávkach nerieši napr. heslom, ako je to v zahraničí
(pozri napr. použitie hesla Sezam otvor sa v orientálnej rozprávke Ali
Baba a 40 zbojníkov), alebo biometrickými metódami (známa autentifikácia Popolušky
prostredníctvom jej črievičky), ale pomocou rôznych tzv. tokenov (kráľov
obraz napr. v rozprávke O troch grošoch, špeciálne zelinky ktorých vlastníctvo
umožňuje prístup - otvára skaly s ukrytými pokladmi, a podobne). Keď túto skutočnosť
porovnáme s čoraz silnejúcim presvedčením zahraničných špecialistov informačnej
bezpečnosti o nevhodnosti používania hesla pre spoľahlivú autentifikáciu, a s
tempom rozvoja používania moderne poňatých tokenov - čipových kariet, ostáva nám
len trpko priznať pravdu o hriešnom premrhaní nesporného náskoku, ktorý sme v
oblasti informačnej bezpečnosti mali.
Je jasné, že vzhľadom na technologické možnosti nášho ľudu v minulých storočiach
a na rýchlosť produkovania nových verzií prostriedkov výpočtovej techniky, musí
v ľudovej slovesnosti absentovať detailný popis tých techník prenikania cez systémy
ochrany, ktoré sú založené na chybách či už v návrhu alebo v implementácií konkrétnej
verzie systému. Popisu techník, ktoré nie sú tak úzko viazané na konkrétny hardware
či software, sa však náš ľud venoval v hojnej miere. Napríklad, zatiaľ čo v zahraničí
sa až na odhalených prípadoch počítačovej kriminality učia o dôležitosti tzv.
sociálneho inžinierstva, t.j. techniky získavania dôležitých informácií
od kľúčových oprávnených osôb sociálnou interakciou s nimi, náš ľud túto techniku
spoznal a popísal už dávno, aj keď nie pod takým odborne pôsobiacim názvom. V
tejto súvislosti pripomeňme napríklad rozprávku Popolvár najväčší na svete
(P.Dobšinský: Slovenské rozprávky), kde princezná vhodnou sociálnou interakciou
so Železným mníchom dosiahla. že jej tento prezradil v čom tkvie jeho moc (z čoho
napokon vyťažil Popolvár, ale sprostredkovane aj princezná). Techniky sociálneho
inžinierstva sa dostali aj do slovenských ľudových piesní, o čom svedčí aj nasledovný
text
Dal mi šuhaj jabĺčko
za jabĺčkom hrušku
potom sa ma spytoval
čo mám pod fertušku
v ktorom sa krásne demonštruje základný postup sociálneho inžinierstva, t.j. vhodnými akciami najprv nadviazať užší vzťah - získať si dôveru nič netušiacej "obete" a následne sa pokúsiť o zneužitie takéhoto vzťahu na nenápadné dosiahnutie cieľov o ktoré páchateľovi predovšetkým ide.
Pochopiteľne, sociálne inžinierstvo ani zďaleka nevyčerpáva bohatú množinu techník prieniku do chránených systémov. Každý expert na informačnú bezpečnosť, hodný tohto označenia, vie, že absolútne bezpečný systém neexistuje - úspech pokusu o prienik do systému je prakticky len otázkou dostatočnej sumy peňazí či iných motivačných podnetov, ktoré má páchateľ k dispozícií pre získanie priazne kľúčových prvkov systému ochrany. O tom, že slovenský ľud naplno pochopil a precítil tento jednoduchý ale mimoriadne účinný princíp, svedčí aj text ľudovej piesne
Joj, zaprelo sa dievča
dubovým záporkom.
Joj, nechcelo otvoriť
chudobným paholkom
O hĺbke poznania uvedeného princípu svedčí aj skutočnosť, že spektrum motivačných podnetov známych (a teda zrejme aj používaných) na Slovensku bolo skutočne pestré a neobmedzovalo sa len na kovové či papierové platidlá, ako každého presvedčí text slovenskej ľudovej piesne
A za jedno jabúčko,
a za jednu plánku
dala sebe opáčiť
niže pupka jamku.
Z uvedených úryvkov jasne plynie, že hlbšie štúdium slovenskej
ľudovej slovesnosti by mohlo tvoriť základ výuky v oblasti informačnej bezpečnosti.
Ale pozor! Samotné zvládnutie slovenských ľudových prísloví, porekadiel, rozprávok
či piesní ešte nemusí stačiť na získanie kvalifikácie experta, minimálne však
môže napomôcť získať širší rozhľad o problémoch informačnej bezpečnosti. Napríklad
aj manažment mnohých organizácií by sa mohol poučiť z početných slovenských rozprávok,
kde si kráľ (chief executive officer) v prípade nemožnosti vyriešiť problém
- napríklad likvidáciu dotieravého šarkana - vlastnými silami privolá na pomoc
externých špecialistov, čo je plne v súlade s odporúčaným postupom pri budovaní
systému ochrany informačného systému organizácie. Pravda, bude potrebné doriešiť
niektoré praktické problémy, špeciálne ako rozlíšiť skutočného experta na informačnú
bezpečnosť od obyčajného šarlatána či táraja, alebo síce snaživého ale predsa
len amatéra (problém určenia experta je v rozprávkach riešený značne zjednodušene
- kto premohol draka, vyskočil najvyššie, priniesol tri zlaté vlasy a pod., bol
uznaný za experta). V mene všetkých potenciálnych externých, ale aj interných
expertov pritom považujem za potrebné poukázať na poučenie z mnohých rozprávok,
kde honorár za konzultácie či priamo výkonnú činnosť špecialistu sa pohybuje od
hranice pol kráľovstva hore.