Infotrendy 2013 alebo pohľad na IT bezpečnosť a digitálne súkromie očami ekonomického pragmatika - Nethemba

BLOG

Infotrendy 2013 alebo pohľad na IT bezpečnosť a digitálne súkromie očami ekonomického pragmatika

2013-04-23 22:50 Pavol Lupták

Mojou motiváciou na napísanie nasledujúceho článku bola účasť na panelovej diskusii Infotrendy 2013 venujúcej sa aktuálnym otázkam IT bezpečnosti a digitálneho súkromia. Vzhľadom na búrlivú diskusiu ohľadom mojich prezentovaných názorov, rozhodol som sa ich vysvetliť trochu detailnejšie v nasledujúcom článku. Chcel by som len upozorniť, že tento článok reprezentuje môj subjektívny názor a nie názor spoločnosti Nethemba s.r.o., na tomto blogu ho uverejňujem preto, lebo sa bezprostredne týka IT bezpečnosti.
Hneď na začiatok by som sa rád predstavil – moje meno je Pavol Lupták, IT bezpečnosti sa venujem profesionálne 15 rokov, z čoho 6 rokov bezprostredne IT security biznisu, takže si myslím, že celkom rozumiem ako IT bezpečnosti, tak samotnému biznisu v tejto oblasti (požiadavkám klientov a ich motivácii rozhodnúť sa pre naše služby).
Následujúcim článkom by som chcel podkopať (ak nie úplne vyvrátiť) mýty, ktoré panujú vo svete IT bezpečnosti a ktoré boli predmetom dnešnej kontroverznej diskusie:

  • Štát dokáže efektívne bojovať proti cyberzločinu
  • Každý má právo na digitálne súkromie
  • Posilňovanie regulácii a legislatívy upevní bezpečnosť a ochranu súkromia občanov
  • Je nevyhnutné zaviesť také technické opatrenia a regulácie, ktoré zvýšia trestno-právnu zodpovednosť na Internete

Štát dokáže efektívne bojovať proti cyberzločinu
Aj napriek tomu, že som ako človek priamo závislý od príjmov v IT bezpečnosti nemyslím si, že IT bezpečnosť je úplne najdôležitejšia vec na svete a nesnažím sa o tom našich zákazníkov presvedčiť za každú cenu – investovať do IT bezpečnosti totiž musí mať vždy ekonomický zmysel. Ak náklady na bezpečnosť prevýšia výšku potenciálnych strát v prípade jej nedodržania, investovať do bezpečnosti pravdepodobne nie je moc ekonomické. Samozrejme je nutné počítať aj s tým, že potenciálne straty z prípadného bezpečnostného incidentu nemusia byť bezprostredne finančne kvantifikovateľné, môže ísť totiž napríklad o stratu dobrého mena, reputácie spoločnosti apod. Náš zákazník si platí naše služby penetračných testov, či bezpečnostných auditov preto, lebo mu pomáhame znížiť pravdepodobnosť zneužitia jeho aplikácie alebo systému a teda aj riziko priamej, či nepriamej finančnej straty. Ide o obojstranne dobrovoľný a výhodný biznis vzťah – naše predané služby sú pre neho dôležitejšie ako peniaze, ktoré nám za to poskytne, naopak pre nás sú dôležitejšie jeho peniaze (a samozrejme jeho spokojnosť ovplyvňujúca našu reputáciu a to, že sa k nám ako zákazník ešte niekedy vráti). Existujú ale reálne situácie, kedy potenciálne straty (odhadnuté napríklad analýzou rizík) sú dosť nízke na to, aby si zákazník zaplatil príliš drahý detailný bezpečnostný audit, takže sa rozhodne pre naše lacnejšie a ekonomicky výhodnejšie služby alebo uvedené bezpečnostné riziko jednoducho akceptuje. Znamená to, že rozhodnutia, či investovať do IT bezpečnosti a koľko na voľnom trhu priamo reflektujú riziko potenciálneho zneužitia a prípadných strát s tým spojených – ide totiž o reálne peniaze súkromnej spoločnosti, ktorá ich v prípade pre nich akceptovateľného rizika vie určite využiť lepším spôsobom ako akurát do bezpečnosti. Poznám reálne pár prípadov, kedy sa súkromná spoločnosť jednoducho rozhodla akceptovať občasné veľmi agresívne distribuované DoS útoky, nakoľko si spočítala, že náklady na prípadnú ochranu voči nim by niekoľkonásobne presiahli ich potenciálne straty (a tam patrí aj strata dobrého mena). Prípadný DoS útok v tomto prípade teda nijako nepoteší, je to ale ekonomicky najviac akceptovateľné riešenie.

Štát ale nedokáže ekonomicky efektívne reagovať na bezpečnostné hrozby súkromných firiem, nakoľko nevie, koľko peňazí ma zmysel investovať do ochrany voči danej hrozbe a už vonkoncom netuší, či nie je vhodné a ekonomicky efektívne za istých okolností toto riziko jednoducho akceptovať. Môže sa snažiť reagovať na bezpečnostné útoky voči jeho vlastnej kritickej infraštruktúre, nedokáže dostatočne dobre kvantifikovať hodnotu informácií uložených v svojej infraštruktúre a už vonkoncom nedokáže odhadnúť potenciálne straty spojené s rizikom straty reputácie (keďže ako monopolizovaná inštitúcia žiadnu nepotrebuje) – keď citlivé informácie o všetkých svojich klientoch zverejní súkromná banka, tak hrozí, že skrachuje, keď rodné čísla všetkých majiteľov nehnuteľností zverejní omylom štátny kataster, obvykle sa nestane úplne nič a prípadnú pokutu štátneho úradu zaplatia daňoví poplatníci – daná monopolizovaná štátna inštitúcia zaručene neskrachuje.

Štátne úrady majú na boj proti cyberzločinu dedikovaný rozpočet (ktorý je z hore uvedených dôvodov viacmenej odhadnutý z brucha) a ani pri najlepšej snahe nedokážu proti cyberzločinu bojovať tak ekonomický efektívne ako súkromná sféra.

Bohužiaľ sme svedkami, že celosvetovo stúpa trend vládneho boja proti cyberzločinu a cyberterorizmu (na úrovni EU ako aj USA), rozpočty pre boj s cyberzločinom sa neustále navyšujú a to aj napriek tomu, že existujú relevantné štúdie (Ross Anderson, Chris Barton, Rainer Bohme, Richard Clayton, Michel J.G. van Eeten, Michael Levi, Tyler Moore, Stefan Savage – Measuring the Cost of Cybercrime ), že náklady na boj proti cyberzločinu prevyšujú potenciálne straty. Hrozbu hackerov a cyberzločinu zámerne navyšujú samotné vlády (Government Use of Hackers as an Object of Fear), čím ospravedlňujú neprimerane vysoký rozpočet na boj proti cyberzločinu a cyberterorizmu.

Každý má právo na digitálne súkromie
Nech to znie akokoľvek nehumánne, toto tvrdenie nie je pravda, nakoľko náklady na zabezpečenie akéhokoľvek práva sú vždy externalizované (pod hrozbou násilia a vynucovania) na všetkých občanov spoločnosti. Podobne ako právo na minimálnu mzdu alebo iné sociálne istoty. Ak si niekto nijako necení svoje súkromie a nie je ochotný investovať žiadnu energiu alebo peniaze do jeho ochrany, právo na digitálne súkromie jednoducho nemá. Centrálne a celoplošne vynucovanie tohto práva vo forme zákonov a regulácii na ochranu súkromia je nemorálne voči všetkým tým zodpovedným, ktorí si svoje digitálne súkromia chránia a ktorí toto vynucovanie a zabezpečovanie “práva na digitálne súkromie” nedobrovoľne hradia zo svojich peňaženiek napríklad vo forme zvýšených daní. Ak má ktokoľvek obavy, že ľudia sú nevzdelaní a nezodpovední a je nevyhnutné sa postarať o ich súkromie, môže to rovno odteraz začať robiť – napríklad založením a priamym finančným podporovaním občianskeho združenia “Ochrana súkromia nezodpovedných ľudí na Internete”, prípadne môžu časť svojho života altruisticky zasvätiť šíreniu myšlienok o ochrane digitálneho súkromia medzi nevzdelanými a nezodpovednými ľudmi.

Je nevyhnutné podotknúť, že súčasný stav spoločnosti je začarovaný kruh – nezodpovední ľudia nikdy nebudú motivovaní starať sa o seba a svojej súkromie, keď to za nich bude robiť a garantovať štát na úkor ostatných.

Osobne mi preto príde viac ako absurdné, keď členské štáty EU neustále intervenujú do biznis modelov fungovania spoločností ako Facebook, Google dožadujúc sa nadštandardnej ochrany súkromia pre ich používateľov. Ak niekto používa Facebook alebo Google, tak jednoducho explicitne akceptoval ich podmienky používania a teda fakt, že uvedené spoločnosti poskytnuté osobné informácie používajú na cielený (alebo iný) marketing. Ak sa to komukoľvek nepáči, tak môže začať používať alternatívy (v prípade Facebooku napríklad Diasporu, v prípade Google napríklad vyhľadávač duckduckgo.com). Nie som žiadny nadšenec špehovacích techník Facebooku, Google, či iných Internetových korporácií, ale uvedené spoločnosti na to jednoducho majú právo a každý, kto s tým má problém a je nespokojný, môže použiť iné alternatívy (ktoré reálne existujú a je ich veľa). Intervenovať do pravidiel týchto spoločností za peniaze daňových poplatníkov EU mi príde minimálne nemorálne voči tým, ktorí uvedené služby nepoužívajú, či svoje súkromie si chránia.

Myslím si preto, že najprirodzenejší stav nastane vtedy, keď budú existovať Internetové spoločnosti s rôznym stupňom ochrany osobných informácií svojich klientov – od úplne paranoidných a maximálne diskrétnych, kde bude možné sa registrovať úplne anonymne (a klienti si za túto diskrétnosť normálne zaplatia) až po spoločností, ktoré explicitne nebudú poskytovať žiadne súkromie pre svojich klientov a ich biznis model bude postavený na marketingu a predaji osobných informácií (ich služby budú ale zadarmo). A bežný používateľ Internetu sa môže dobrovoľne rozhodnúť nakoľko si cení svoje súkromie a či namiesto neho preferuje lacné alebo úplne zadarmo služby zarábajúcich na cielenej reklame alebo naopak chce maximálnu ochranu svojich osobných informácií a priplatí si za to.

Posilňovanie regulácii a legislatívy upevní bezpečnosť a ochranu súkromia občanov
Voči tomuto tvrdeniu som veľký skeptik, nakoľko sme bohužiaľ v súčasnej dobe svedkami úplného opaku, je to práve štát a štátne inštitúcie, ktoré občanov natrvalo zbavujú súkromia svojimi drakonickými zákonmi. Ako príklad uveďme “data retention law”, zákon, ktorý celoplošne vynucuje, aby hlavičky akejkoľvek mobilnej alebo internetovej komunikácie všetkých občanov (!) (kto s kým komunikuje a kedy) boli archivované po dobu jedného roka mobilnými a internetovými poskytovateľmi. Podotýkam, že podobné znenie zákona bolo vyhlásené v Čechách, či v Nemecku za protiústavné, nakoľko celoplošnou aplikáciou na všetkých občanov potiera prezumpciu neviny. Uvedený zákon bol schválený ako podporný prostriedok na boj proti terorizmu a organizovanému zločinu. Som presvedčený o tom, že pravdepodobnosť zneužitia takto zbieraných a centralizovaných informácii o celej komunikácii občanov (napríklad skúseným hackerom alebo korupciou) je podstatne vyššia ako to, že budú reálne použité na boj proti terorizmu, či organizovanému zločinu (minimálne v Čechách a Nemecku to pomohlo úplne zanedbateľne).

O to viac absurdnejšie sú pokuty za únik osobných informácií, ktoré hrozia ako štátnej inštitúcii, tak súkromnej spoločnosti – v prípade štátnej inštitúcie je táto pokuta prirodzene zaplatená zo štátneho rozpočtu, takže na to priamo doplácajú daňoví poplatníci. Pred pár rokmi zverejnil štátny kataster rodné čísla všetkých majiteľov nehnuteľností (viac informácií tu), ak by aj čelil reálnej pokute za únik osobných informácií, táto pokuta je v konečnom dôsledku zaplatená z vreciek daňových poplatníkov a teda paradoxne aj tých, ktorých osobné informácie unikli!
Ďalší spôsob posilňovania legislatívy vedúce k výraznej strate súkromia občanov sú napríklad biometrické pasy vyžadujúce odtlačok prsta vďaka čomu si štát vytvára centrálnu databázu odtlačkov prstov všetkých svojich občanov, či zavedenie maximálnych hotovostných limitov (5000 € v prípade právnickej osoby a 15000 € v prípade fyzickej osoby). V tomto prípade sú všetci občania nútení používať centrálny bankový systém a svoje súkromie týkajúce sa ich osobných preferencií, či nakupovacích návykov kompletne a nedobrovoľne odovzdajú svojej finančnej inštitúcii a sekundárne na štát, ktorý na požiadanie / súdny príkaz ma k týmto platobným informáciám plný prístup. A dochádza k ďalšej vynucovanej strate súkromia.

Je nevyhnutné zaviesť také technické opatrenia a regulácie, ktoré zvýšia trestno-právnu zodpovednosť na Internete
Vďaka anonymizačným sieťam (Tor, I2P, FreeNET, apod), či kryptomenám (Bitcoin, Litecoin apod) je technicky veľmi ťažké zabezpečiť trestno-právnu zodpovednosť na Internete. A keďže uvedené technológie sa neustále vyvíjajú a zlepšujú, v budúcnosti to bude ešte ťažšie, ak nie úplne nemožné.

Je dôležité podotknúť, že akékoľvek technické opatrenia zo strany štátu, ktoré sa o toto budú snažiť na súčasnom anonymnom a šifrovanom Internete, veľmi výrazne a celoplošne degradujú súkromie všetkých občanov – technicky je totiž nutné terminovať alebo úplne zakázať šifrované spojenia, anonymizéry apod. Ak by k uvedeným drakonickým opatreniam zo strany štátov reálne došlo, už teraz existujú rôzne spôsoby (napríklad využitím steganografie) ako šifrovanú komunikáciu šikovne vložiť do “normálne” vyzerajúcej komunikácie.

Preto si myslím, že naša digitálna a informačná spoločnosť stojí pred ultimátnym rozhodnutím – buď akceptovať liberalizačný trend internetových technológií a technickú nemožnosť riešiť a kriminalizovať niektoré prejavy cyberzločinu alebo radikálne obmedziť celoplošne digitálne súkromie všetkých občanov (zavedením cenzúry Internetu, zakázaním šifrovaných a anonymných spojení apod.) a teda zabezpečiť účinnú trestno-právnu zodpovednosť všetkých ľudí na Internete, čo povedie k informačnej diktatúre.

A obávam sa, že žiadna stredná cesta neexistuje.