Podatkov, ki jih je neznani žvižgač iz podjetja Mossack Fonseca dostavil medijskim hišam po celem svetu, je bilo res veliko – več kot 2.5 terabajta. Za primerjavo: Afera Wikileaks jih je imela za 1.7GB, Ashley Madison 30GB in Sony Pictures 230GB. Čeprav so prva ugibanja o viru govorila o nezadovoljnem uslužbencu, se je kasneje izkazalo, da je stvar veliko bolj preprosta in veliko bolj zapletena hkrati: v Mossack Fonseca je vdrl heker.
Kako razumemo stroje
Izvorni greh je v našem nerazumevanju delovanja programske in strojne opreme, ki izvira še iz predinformacijske dobe. Čeprav so bili tudi fizični izdelki nevarni oziroma so imeli pomankljivosti, se te niso neprestano spreminjale, kot se to dogaja pri programski in strojni opremi. Tako se lahko določena programska oprema dobesedno čez noč iz popolnoma varnega okolja spremeni v varnostno nočno moro.
Tej spremembi ne botruje en faktor, temveč je informacijska varnost ponavadi splet večih okoliščin, ki vplivajo druga na drugo. Povedano drugače – programska in strojna oprema sta varni, dokler nekdo ne opazi luknje. Čista metafizika!
Kako razumemo ljudi
Eden od najbolj enostavnih preizkusov korporativne informacijske varnosti je test z USB ključi. Ljude najprej opravijo izpit iz varnosti, kjer jim strokovnjaki v teoriji in praksi razlagajo, kako nevarno je v računalnik vtikati neznane USB ključe. Nato jih spustijo domov in na parkirišču raztresejo več USB ključev. Uganite, koliko ljudi jih pobere in vtakne v svoj računalnik? Skoraj polovica!
Podjetja se pri informacijski varnosti premalo zavedajo človeškega faktorja in prevelike upe polagajo v tehnologijo. Tako se tudi na položajih varnostnih inženirjev znajdejo tehnično podkovani ljudje, ki so zelo slabi v komuniciranju in družbene spretnosti, kar jim onemogoča, da bi ljudem varnost razložili na način, ki bi jim bil blizu in ki bi se jih dotaknil.
Kako razumemo informacijsko varnost
To ni zgodba o digitalnih Robin Hoodih, temveč o veliko bolj nesposobnemu kralju, ki svojega grada ni uspel dobro zavarovati, čeprav so ga na to večkrat opozorili. Podjetje Mossack Fonseca svojega spletnega mesta ni vzdrževalo in je na njemu poganjalo programsko opremo, ki je imela več znanih lukenj.
To je zgodba o napačnemu načinu razmišljanja o informacijski varnosti, ki je še vedno preveč prisoten v naši poslovni in splošni javnosti. Zgodba o podjetjih, ki se z informacijsko varnostjo ponavadi ukvarjajo takrat, ko je že prepozno. In ki v varnosti vidijo predvsem strošek, ne pa konkurenčno prednost.
Dokler si bomo z informacijsko varnostjo kupovali predvsem mirno vest in ne dejansko ščitenje informacij in dokler bo varnost razumljena kot nepotreben strošek, bodo hekerski napadi in kraja informacij še vedno del našega informacijskega vsakdana.
