Facebook, GDPR a prostor pro šmírování

  Šmírování na Internetu nabralo v posledních letech obrovských rozměrů. Na Facebook to prasklo a veřejně už o tom mluví už běžní uživateli (novinář, advokát, politik i svářeč jsou běžní uživatelé). Těmto aferám se dalo předejít nebo o problémech alespoň víc a jasně mluvit a nastavit kontrolu. Facebook je pouze špička pomyslného ledovce. Šmírují aplikace v mobilu i viry v počítačích. Jenže údajní odborníci na IT bezpečnost víc jak 15 let šíří naprosto pomílené názory, že největší slabinou je podle jejich názoru prý koncový uživatel. (zde, zde nebo zde)

  Problém v podobě nezkušeného uživatele se podle názoru „odborníků“ týkal a týká Facebooku, ale také operačních systémů (Windows, Android, atd.) a obecně počítačových programů. Jenže situace se zhoršovala, zhoršuje. Vyrostla nová generace uživatelů a situace se nezlepšila. Čím dál více se ukazuje, že názory „IT odborníků“ jsou chybné a odpovědnost SW firem stojí na špatných základech. Kde chybí odpovědnost a kontrola tam se dříve nebo později objeví problém. Před námi se objevuje skutečně globální, IT problém.

  Do této situace přichází GDPR. Jedná se především o ochranu osobních údajů, nikoliv o ochranu počítačů. Jenže to v naprosté většině dnešních firem a úřadů jsou osobní údaje v nějaké databázi, takže kdo chce mít vše v pořádku z pohledu GDPR, tak se musí znova a lépe zabývat i ochranou informačních systémů, ve kterých se pracuje s osobními údaji.

  Ochrana není jednoduchá, protože se stalo téměř samozřejmostí svádět odpovědnost za nevyřešené problémy na toho kdo se nedokáže bránit, tedy na koncového uživatele a administrátory. Navíc tento princip funguje již velmi dlouho. Jsou zde ještě další dvě překážky. Za prvé, celá IT (Cyber) bezpečnosti se stal kšeft a za druhé, chybné názory „odborníci“ šíří tak dlouho, že je pro ně dnes těžko představitelné najednou změnit názor a začít říkat něco jiného.

  Dá se tedy situace vůbec ještě změnit? Jistě je to možné. Není a nebude to jednoduché, ale jde to změnit. Při úvahách o tom jestli je možné zlepšit stav bezpečnosti na Internetu, v počítačích a v dalších „IT hračkách“ je dobré mít stále na paměti, že programování je čistě lidská práce, žádná fyzika, žádná chemie nebo biologie.

  Změna nebude jednoduchá, protože vyrostla minimálně jedna generace IT odborníků, poradců, právníků, novinářů a politiků, kteří byli vychování tak, že dnešní počítačové programy je jedinné správné řešení a žádná jiná cesta neexistuje. Připomíná vám to názory z minulého století? Tehdy byl také prosazován jediný správný názor. Smířit se s jediným správným řešením byla chyba v minulosti a je to chyba i dnes. Možná se historie opakuje v novém prostředí a s modernějšími technologiemi.

  Současní „odborníci“, kteří hlásají jediné možné řešení IT bezpečnosti jsou sebevědomí, mají dobré presentační schopnosti a pohybují se v prostředí kde jsou peníze. To vše již mnoho let využívali pro zachování jakéhosi status quo. Tedy stavu, který jim zajišťuje příjmy, odpovědnost přenáší na uživatele a nemění nic na zavedených pravidlech. Jenže situace v oblasti IT (Cyber) bezpečnosti se rok od roku zhoršuje, přibývají sofistikované útoky i na relativně dobře zabezpečené systémy.

  Změna je nutná a především změna je možná. Když předchozí generace vědců, inženýrů a techniků dokázali odhalit princip elektrické energie nebo termojaderné reakce, tak dnešní generace musí být schopná se vypořádat s počítačovými viry. Navíc pro změnu a vyřešení těch nejvážnějších problémů IT bezpečnosti není nutné znovu a lépe zkoumat přírodní zákony. Stačí si uvědomit, že chyby a slabiny v programech (Windows, Android, atd., atd.) nebo nedokonalost IT služby (Facebook, internetbanking, atd.) jsou výsledkem nezkušenosti, neznalosti nebo pohodlnosti konkrétních lidí. Naštěstí platí, že co jeden člověk vymyslel, to může někdo jiný zdokonalit. To platilo po dlouhá staletí a bylo to základem pokroku ve všech oborech lidské činnosti. Navíc programování je čistě lidská práce.

  V případě sítě Facebook se jednalo o osobní údaje uživatelů sítě. V případě děravých operačních systémů jde o důvěryhodnost celého oboru IT a o bezpečnost a důvěryhodnost služeb, které jsou na těchto systémech závislé.

  Jedním z největších bezpečnostních problémů dnešní doby jsou počítačové viry a sofistikované útoky na informační systémy. Není důležité jestli těm virům budeme říkat malware, ransomware nebo jinak. Jedná se prostě o cizí program, který v počítači nebo jiném zařízení zákazníka nemá co dělat. Jenže dnes to funguje tak, že pokud se virus dostane do počítače, tak mu operační systém dovolí v zařízení pracovat. To je špatně a je to velká chyba dnešních operačních systémů.

  Když vytvoříme prostředí, kde počítačové viry nebudou mít prostor pro svoji existenci, tak to zásadním způsobem změní celý obor IT. Současná cesta s použitím různých antivirových programů nefunguje, přesněji dokáže odhalit pouze již známé viry. To se opakovaně potvrzuje už minimálně od roku 2000.

  Existuje ještě druhá cesta. Pro inspiraci se můžeme podívat jak se ověřuje původ náhradních dílů pro letadla nebo původ jednotlivých balení léků. Navíc v prostředí počítačových souborů je možné tuto kontrolu dotáhnout až doslova a do písmene k 100% spolehlivosti. Řešení je popsáno ve Třech zákonech počítačové bezpečnosti. Technické detaily jednoho z možných způsobů najdete například na rule.salamandr.cz. Stručně řečeno se jedná o důvěryhodné ověřování systémových souborů a porovnání jejich parametrů v počítači uživatele s parametry, které ke konkrétnmu souboru zveřejnil jeho autor. Takovým postupem se zajistí důkladná kontrola původu souboru, podobně jak to funguje u ověřování náhradních dílů pro letadla.

  Nejdůležitější co je dobré si uvědomit a stále si připomínat, tak je fakt, že programování je čistě lidská práce, žádná fyzika, žádná chemie. Chyba v programu je výsledkem špatné práce analytika, programátora a testera.

  Změna situace v oblasti základů počítačové bezpečnosti s sebou přinese pravděpodobně stejnou nebo ještě větší aféru jakou představovalo šmírování uživatelů Facebooku. Na druhou stranu oddalování změny bude ve výsledku znamenat, že následná aféra bude s časem a přibývajícími útoky narůstat.

  Za pár týdnů začne platit nařízení GDPR. To s sebou přinese zvýšené nároky na provozovatele informačních systémů (databází) kde jsou osobní údaje. Jenže GDPR již nestanoví, žádné povinosti a žádnou odpovědnost pro tvůrce SW. To jsou velmi nevyvážené podmínky. Na jedné straně je odpovědnost provozovatele IS za ochranu osobních údajů. Na druhé straně jsou tvůrci operačních systémů, kteří za nic neručí. To je špatné rozložení odpovědnosti a je třeba jej změnit.

  Pokud jsou za svoji práci odpovědní výrobci letadel, automobilů nebo potravin, tak stejně musí být odpovědní o programátoři a softwarové firmy. Existují způsoby jak se vypořádat jednou pro vždy s počítačovými viry.

  Na začátek bude stačit, když se nahlas začne mluvit o tom, že programování je čistě lidská práce, ke které nejsou potřeba hluboké znalosti fyziky, chemie nebo biologie a  program je možné udělat lépe podobně jako jakýkoliv jiný výrobek.