Siedzę właśnie na konferencji CompTIA dotyczącej  “Cyber Security” i jestem w mega szoku. To jest działka informatyki, którą znamy jedynie z filmów i książek, a ona dzieje się naprawdę wokół nas. Nawet nasza ulubiona korporacja ma niezłe osiągnięcia na froncie (dosłownie) obrony przed cyber zorganizowaną przestępczością. Pierwsza prezentacja należała do Estońskiej Minister Obrony (kolejny raz Estonia pokazuje, że informatycznie jest lata świetlne przed nami), po niej gość z US Secret Services opowiadający o milionach dolarów nakładów, setkach biur na całym świecie i dziesiątakach aresztowań za przechwycenie milionów tożsamości (takie amerykańskie liczby). I kolejno dwóch gości z polskiego MSu opowiadający o tym na jakich obszarach działa MS i jak Francuski policjant napisał list do Gates’a, po czym ruszył program do walki z pedofilami. … Teraz przerwa kawowa … po kawie chyba będzie James Bond ;) 

 

… już po …
Skąd w ogóle to moje zaskoczenie. Siedząc w takim miejscu do człowieka zaczyna docierać kilka faktów. Po pierwsze HELLLOOO jest rok 2009! To jest mniej więcej ten rok, w którym na filmach z naszego dzieciństwa nie było już nic …. albo było wszystko tylko lepsze. Mało kto poważnie myślał o czymś takim jak wojny cyfrowe między państwami a to na przykładzie Estonii okazało się faktem (Estonia przeżyła zmasowany atak DoS w 2007 roku). Niestety dotyka nas to w czasach, gdy o bezpieczeństwie IT ma pojęcie kilka osób w firmie. Członkowie zarządu często są tzw. “main security hole” “… co mi pan tu będzie zabierał uprawnienia … ja tu mam móc wszystko … i bez tych żadnych głupich kodów…” Ciężko uzasadnić wdrożenie skutecznych (drogich) systemów zabezpieczeń, a szkolenia pracowników z zakresu bezpieczeństwa danych są nieefektywne … lub nawet bez sensu ze względu na opór materii.
Co możemy zrobić? …. Walczyć z ignorancją, tępotą ,i robić dalej swoje. Ewangelizować i naprawiać błędy innych. Walczyć ze złośliwcami i potępiać tych, co wandalizują systemy IT dla własnej zabawy, satysfakcji itp. …
Pojechałem trochę poważnie … ale okazuje się, że mamy w łapkach poważne systemy …
CISCO, Microsoft, IBM i inni próbują szkolić, zakładają akademie
… oczywiście że też dla kasy … ale jednak np.. MS chyba z 80% zysku czerpie z Office’a wiec pole “Security” mogło by oddać innym … krótko mówiąc próbują uświadamiać zagrożenia ….to nadal ponad 30% włamań (kradzieży) jest wynikiem niezamierzonej winy człowieka. Tego, że ktoś zapomniał ustawić hasła … że zapomniał zamknąć portu … że nie wiedział, że jak zostawi laptopa w pociągu, to ktoś może przeczytać jego dane ….. Dodatkowo, jak powiedział gość z Msa, nadal UE woli dawać kase na szkolenia dla fryzjerek … bo są tańsze i mniej złożone więc wygrywają we wszystkich zestawieniach. Na podnoszenie świadomości IT dla ludu kasy nie ma.
Pozostawiam do przemyślenia … a kiedyś to jeszcze rozwinę.

Spread the love

Comments (7)

  1. kojn

    Odpowiedz

    Sie ładnie przedstawił ;) Więcej ni emogę powiedzieć, bo bedą musieli mnie “kilim”.

  2. Odpowiedz

    pozornie paradoxalne jest to, ze robienie systemow, ktore coraz bezpieczniejsze out-of-the-box obniza oglone bezpieczenstwo. a jest tak, poniewaz wszyscy uwazaja, ze wszystko jest bezpieczne out-of-the-box i nic w tym kierunq robic nie trzeba, bo wszyskto-sie-samo. i tak to wlasnie bedzie – wszystko faktycznie musi byc oob coraz bezpieczniejsze, bo spoleczenstwo – w najlepszym przypadq – nie bedzie madrzejsze niz jest teraz.
    tak swoja droga kilqkrtonie w ramach ‘przemyslen w srodkach komunikacji miejskiej’ zastnawialem sie, czy homo sapiens XX-XXI wieq rozni sie od dziqsa ze sredniowiecza. imho wiekszosc sie nie rozni – bo nauczyc korzystac z pilota telewizycjnego da sie niemal kazdego [podkreslam niemal], ale ile osob jest w stanie wytlumacz on dziala? latwiej? jak dziala radio? silnik spalinowy – oj, o komputer nawet nie probuje pytac – przyznam, ze pomimo zajec z architektury komputerow nie bylbym w stanie komus wytlumaczyc. no jakies podstawy, ogolnie idee, komponenty co po co, schemat von neumana … ale z maszyna turinga musialbym juz chwile posiedziec. i to od strony technologicznej. a mentalnej? czyz nadal wszyscy nie kiwaja sie przed posazkami mitycznych postaci, opowiadajac historie o tym jak to ktos machnieciem reki spowodowal ze morze sie rozstapilo?
    wiec nawiazujac do przemyslen o security… jak dalekim i abstrakcyjnym wymaganiem jest “swiadomosc bezpieczenstwa w IT” skoro generalnie ludzie nie maja pojecia o tym, co ich otacza na codzien?

  3. kojn

    Odpowiedz

    No i się zgadzam… co do ..”homo sapiens XX-XXI wieq rozni sie od dziqsa ze sredniowiecza..” to mnie wpienia do białości … jak przez dziesiątki lat ludzie nie przyswoili wiedzy z poziomu np. obsługi windy …. qrwa amć tam są dwa przyciski … chcę do góry … chcę na dół … nie da się (chyba) prościej, jednak ZA KAZDYM razem w centrach handlowych i innych miejscach publicznych napotykam na ludzi, którzy albo naciskają dwa na raz … albo tylko niewłaściwy. Jeżeli ten interface jest nei do przeskoczenia … to niestety nie ma już ratunku i koleś z IT zawsze będzie tylm co te moża rozsuwa …

  4. mwd

    Odpowiedz

    Jak chcecie jeszcze więcej “future shock” to polecam Michała ‘lcamtufa’ Zalewskiego “Ciszę w Sieci” – doskonała książka która bezpieczeństwo opisuje od całkiem ciekawej strony.

    Trochę chaotycznie będzie. A co do świadomości tłumu – ‘tłum jest głupi’ jak ktoś kiedyś powiedział, a do tego cholernie leniwy i robi się coraz gorzej, bo nie ma komu mysleć. Problemem jest to, że ludzie nadal traktują komputery jako magię na której muszą polegać i “ma działać”. Wszyscy narzekamy na spam – a ilu z nas myślało nad tym jak olbrzymia infrastruktura za tym stoi? A już najbardziej mnie wkurza jak goście co dopiero liznęli ‘security’ biorą się za architekturę systemów, i dla funkcjonalności ‘select * from table where id=cośtam’ przez kwartał klepana jest aplikacja na JBossie z SOAPem z WS-Security dostępnym tylko przez SSL z pełnym PKI – uwielbiam sztuczne mnożenie punktów wejścia do systemu… I już się nie dziwię, że jak ktoś robi na odpierdol takie rzeczy, to można na cały kraj DDoS puścić. “Bo przecież dodaliśmy [tu wstaw kilka niekompatybilnych buzzwordów].” – oh, puh-leeeze! I jak mamy dojść w takim gronie do singularity? “Luddits, luddits everywhere…”

  5. Odpowiedz
  6. mwd

    Odpowiedz

    ‘buzzwordów’ Subieta nagminnie używał w PJcie, i od groma tego w sieci: SaaS, SOA, WS, Cloud, Mashup, etc. Luddyci to z historii rewolucji przemysłowej – http://en.wikipedia.org/wiki/Industrial_Revolution#Luddites. Obecnie mamy takiego potworka: http://en.wikipedia.org/wiki/Neo-Luddism. Ludzie boją się tego, czego nie rozumieją; a technologia jest coraz bardziej skomplikowana, że nawet my się w tym gubimy. Jedni widzą, że to jest przyszłość, że trzeba cały czas być na bieżąco, ale inni są zbyt leniwi, i do tego napędzani strachem przed zmianami. Niektórzy starają się w tym znaleźć, ale wybierają ścieżkę ignoranctwa – właśnie używając słów, których nie rozumieją. A jak taki typ ma władzę decyzyjną, to powstają technologiczne potworki, które są znakomitym prezentem dla różnych grup (spamerzy, złodzieje danych, itp). Przykład: http://geekandpoke.typepad.com/geekandpoke/2009/03/selling-software-is-a-hard-job.html

    Jedyne, co można robić, to chyba tylko robić swoje i starać się edukować innych przy okazji.

Zostaw komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

Time limit is exhausted. Please reload CAPTCHA.