Naši dávni predkovia ovládali najrôznejšie magické praktiky, ktoré mali zabezpečiť ochranu pred zlými silami a nešťastiami. Mnohé z nich sa už dávno nepoužívajú (ktože sa už dnes spoľahne na to, že požiar vynechá dom, ktorý má pod prahom zakopanú lebku koňa?) a málokto ich aj pozná. Netreba však zúfať, ľudová mágia ešte úplne nevymrela, len sa prispôsobila novej situácii.
Podobne ako pri ľudovej mágii, aj v praxi informačnej bezpečnosti sa možno stretnúť s príkazmi, o ktorých nikto presne nevie povedať, prečo by mali zabezpečiť ochranu, ale napriek tomu sa deklaruje nutnosť ich použitia. Krásnym príkladom sú prístupové heslá a zásady ich používania. Zatiaľ som napríklad ešte nepočul presvedčivý argument, prečo treba heslo meniť práve po 30 dňoch, čo sa tak často vyžaduje. Ako sa zhorší bezpečnosť, keď sa heslá budú meniť nie po 30, ale po 93 dňoch, alebo viac-menej náhodne, zhruba raz ročne? Podobne systém prihlasovania sa má vraj byť nastavený tak, že po troch neúspešných pokusoch zadať heslo sa príslušný účet zablokuje. To má svoju logiku, ale z čoho sa odvodilo to číslo 3 a o čo je lepšie ako 2, 4 či 7?
Dnešná doba celkom praje podobnému bezmyšlienkovitému hlásaniu rôznych bezpečnostných zásad. Keď sa konečne objavili oficiálne štandardy pre bezpečnosť, pre niektorých ľudí sa stali akýmsi fetišom. Mal som napríklad možnosť vidieť dokument nazvaný Analýza rizík podľa štandardu XY (ktorý, mimochodom, nie je štandardom pre analýzu rizík): pozostával z výberu formulácií štandardu a v súlade s ním končil odporučením klientovi, aby si dal vypracovať - neuhádnete - analýzu rizík. Videl som aj bezpečnostný dokument, v ktorom "odborník" klientovi doslovným zopakovaním formulácií štandardu naliehavo odporúčal prijať opatrenia pre prípad havárie, vyvolanej okrem iného lavínami a zosuvmi pôdy (šlo o organizáciu sídliacu v centre Bratislavy).
Štandard je skrátka štandard a jeho obsah je svätý a záväzný, bez ohľadu na to, či je zmysluplný. Slovko "štandard" má pre mnohých ľudí takú magickú silu, že akákoľvek logika musí ustúpiť.
Keďže ľudia preferujú jednoduché riešenia, možno sa časom dočkáme aj ďalších podobných postupov a príkazov. Už sa teším na odporúčania, že ochranu servera zabezpečí magický kruh, ktorý okolo neho o polnoci urobí nahá správkyňa systému. Na rozdiel od predchádzajúcich príkladov sa toto opatrenie dá dokonca logicky zdôvodniť. Rôzne firemné rituály upevňujú "ducha" organizácie, ako to uvádza každá lepšia učebnica manažmentu, z hľadiska nákladov je to lacnejšie ako vypracovať a realizovať bezpečnostný projekt, a navyše by takéto opatrenie medzi zamestnancami konečne zvýšilo záujem o aktívnu účasť na procedúrach ochrany počítačov organizácie.
(Autor je expertom na bezpečnosť informačných systémov.)
Autor: Jozef Vyskoč
