Uživatel není nejslabším článkem IT bezpečnosti

Dlouho, už velmi dlouho se v novinách, na serverech a v dalších médiích objevují názory, že nejslabším článkem IT (Cyber) bezpečnosti je běžný uživatel. Určitě běžní uživatelé nejsou dokonalí, ostatně právě proto jsou to běžní uživatelé. Jenže oblast IT má tu úžasnou možnost mnoho problémů v předstihu vyřešit za uživatele. Jak je to možné? Vše od A až po Z co je v operačních systémech a dalších aplikacích vytvořeno, tak vytvořil člověk – programátor. Pro změnu situace by vlastně stačilo pokud by si programátoři uvědomili, že často i jejich partnerka, táta, máma nebo další blízcí jsou běžní uživatelé.

Stručně, programování, tvorba operačních systémů a dalších aplikací, to jsou čistě lidské práce. Nejsou tam žádná neprobádaná úskalí jako v lidském těle, ve vesmíru, apod.

Už když jsem pomáhal objasnit případy prvních vykradených účtů přes internetová bankovnictví, tak jsem se setkal s názorem, že si za problémy mohou sami uživatelé.

Pokud tento chybný názor prosazoval v roce 2001 vysokoškolský profesor, soudní znalec a poradce politiků v oblasti IT a IT bezpečnosti, tak to může být na první pohled problém starý 18 – 20 let. Jenže část jeho kolegů a žáků převzala chybné názory, že „je to problém nezkušeného uživatele“ a opakují je dodnes bez ohledu na realitu a předchozí zkušenosti.

Už tehdy, před téměř 20 lety, se jednalo, například v případě drahého připojení do Internetu (případ Žluté linky, Dialery) o víc jak 4000 poškozených uživatelů. Těmto uživatelům se do počítačů dostal virus, který tehdejší antiviráky nedokázaly odhalit. A ani tak velká skupina poškozených nepřiměla „odborníky“, aby změnili své názory. Takže se situace zhoršuje. Běžní uživatelé se dál stávají obětmi nových, zatím neznámých virů a „odborníci“ si stále trvají na svém, tedy, že „je to problém uživatelů, kteří jsou největší slabinou IT bezpečnosti“.

Ve skutečnosti občané, běžní uživatelé, mají své limity, kdy jsou schopní poznat podvod nebo jinak špatné chování. To platí v reálném životě při prodeji hrnců, dek a dalšího zboží a musí to platit i v prostředí počítačů, mobilů a Internetu.

Zmínil jsem případ starý téměř 20 let. Od té doby se situace stále zhoršuje. Problém není pouze na straně běžných uživatelů. Velká část pochybení a nezájmu o běžné uživatele je na straně velkých SW firem, jejich „odborníků „ a poradců. Pokud se nějaký problém opakuje déle jak 5 let, v tomto případě déle jak 20 let, tak je jasné, že výmluvy na nezkušené a nepozorné uživatele nepomohou situaci zlepšit. Musí se od základu změnit přístup velkých SW firem a především tvůrců operačních systémů a nejrozšířenějších aplikací.

„Odborníci“ mají za ty dlouhé roky celou řadu výmluv a pseudo-argumentů. Zde jsou některé z nich :

- uživatelé klikají na vše na Internetu

Jak mají, ale uživatele poznat, že zrovna tento odkaz s nápisem „Download“, „Read Me“, „další“, atd. v sobě ukrývá špatný (závadný) link, když stejné tlačítko na jiné www stránce je v pořádku.

Ostatně, že e-mail, odkaz na webu nebo cokoliv jiného vypadá důvěryhodně, tak to je základní pravidlo podvodníků. Opět si to porovnejte s tím jak vystupují prodejci dek, nožů nebo hrnců. Na prvním místě je vypadat seriozně a důvěryhodně.

Pokud si nějaký mladý a sebevědomý (namyšlený) „odborník“ myslí, že se mu nemůže nic stát, tak mu garantuji, že až bude mít šedivou hlavu a tvář plnou vrásek, tak se objeví noví „prodavači hrnců“ a zkusí podvést i jeho. Ostatně nemusí to být prodavači dek, může se jednat o velmi výhodné zahraniční dluhopisy nebo jiné investování.

- uživatelé otvírají jakékoliv přílohy

Stejná situace jako v případě surfování po Internetu, tak platí i u elektronické pošty a dalších forem komunikace, kde je možné poslat nějakou přílohu.

Podstatná jsou slova „nějakou přílohu“, tedy v podstatě jakýkoliv soubor. Navíc velmi často příjemce vidí název souboru, ale nezobrazí se mu příloha. Takže u souboru faktura může často pouze odhadovat, že to bude dokument ve formátu *.pdf nebo ve formátu nějakého textového editoru. Takže příjemce nemusí vůbec zjistit, že se jedná o soubor faktura.exe, faktura.msi, atd.

Skutečně účinné a spolehlivé řešení musí přinést tvůrci operačních systémů, resp. jeden dominantní tvůrce operačního systému pro počítače v práci a v domácnosti.

- uživatelé chodí na podezřelé stránky

Stejné jako v případě klikání na odkazy je i konstatování, že uživatelé chodí na podezřelé stránky výmluva a únik od řešení základních problémů s IT bezpečností. Ano, stejně jako v Praze, Berlíně nebo Paříži jsou bezpečné ulice a jsou ulice kam je lepší v noci nechodit, tak i na Internetu je to podobné.

Vedle toho se, ale opakovaně prokázalo, že ze stránek důvěryhodných organizací se může do počítačů uživatelů také dostat počítačový virus.

Takže argument, že problém je v tom, že uživatelé chodí na podezřelé stránky není zcela správný. Už před 20 lety jsem upozorňoval, že virus (tehdy Dialer) byl nalezen i na stránkách autobazaru a dalších na první pohled důvěryhodných firem.

Zadání by mělo podle mne znít : „Vytvořte takové řešení, aby se příště z jakýchkoliv www stránek nedostal do počítačů uživatelů virus.

- uživatelé používají slabá hesla

Co je silné heslo? Pokud se do počítačů uživatelů dostane virus typu „keylogger“, který dokáže snímat a zaznamenávat stisknuté klávesy, tak je i to nejkomplikovanější heslo k ničemu. Útočník jej s pomocí keyloggeru získá.

Heslo je možné navíc odposlechnout po cestě, pokud komunikace mezi uživatelem a serverem není šifrovaná. Dalším způsobem je nabourání do databáze hesel na špatně zabezpečeném serveru.

Výše uvedené čtyři výtky od „odborníků“ směrem k běžným uživatelům se opakují už více jak 18-20 let. Za tu dobu vyroste z miminka mladý ajťák. Jeho starší kolegové za tu dobu nedokázali pochopit, že se uživatelé nezmění, že budou stále nezkušení a nepozorní. To je divné. Obzvlášť pokud IT firmy rády prohlašují, že jsou zákaznicky orientované. Již ale taktně mlčí o tom, že jejich výrobky (operační systémy, programy) jsou založeny na čiste lidské práci, nikoliv na poznání přírodních zákonů.

Souboj mezi podvodníky a potenciálními oběťmi je starý jak lidstvo samo. Jenže v případě počítačů a mobilů se jedná o první nástroje, které většině dnes známých forem počítačových podvodů mohou sami zabránit. Jednoduše tím, že nepůjde automaticky spustit jakoukoliv přílohu v e-mailu nebo nepůjde přes prohlížeč stáhnout a ihned spustit jakýkoliv program. Zdá se vám krátce zmíněné řešení phishingových a dalších virových útoků moc snadné? Ano, ono to řešení ve své podstatě snadné je. Vždyť operační systémy, Internet a další aplikace vytvořili lidé. Takže další lidé mohou najít a popsat slabinu v jejich dřívější práci. Víc než technické překážky a složitost Windows a dalších programů, jsou větší překážkou prosté lidské vlastnosti lidí, kteří již víc jak 20 let tvrdí v ČR, v EU a po celém světě běžným uživatelům, že lépe to dělat nejde. Ve skutečnosti není hlavním bezpečnostním rizikem běžný uživatel, ale špatná architektura operačního systému a dalších aplikací. Běžné uživatele nezměníme. To ukázalo mimulých 20 let. Musíme změnit názor a přístup tvůrců technologií, které se do Internetu připojují.

Mám ještě krátkou poznámku na závěr. Pokud se nedokážeme vypořádat s tak jednoduchými problémy jako je phishing a počítačové viry, tak bychom měli být velmi opatrní v nasazování umělé inteligence, samoříditelných automobilů a dalších technologií, které jsou nebo mají být závislé na počítačových programech.