Temat bezpieczeństwa informacji, a w dzisiejszych czasach w szczególności informacji istniejącej w formie cyfrowej, nie cichnie. Praktycznie codziennie prasa donosi o kolejnych incydentach związanych z wyciekiem informacji, spowodowanych przez nielojalnych pracowników, szpiegującą nieuczciwą konkurencję lub cyberprzestępców. Praktycznie codziennie dochodzi do kompromitacji systemu zabezpieczeń jakiegoś znanego podmmiotu, od instytucji państwowych, przez uczelnie wyższe, po międzynarodowe przedsiębiorstwa (często zajmujace się właśnie bezpieczeństwem IT). Temat jest poruszany w prasie i na wszelkiego rodzaju konferencjach, szkoleniach itp. (i turdno się dziwić, ponieważ problem jest poważny). W związku z czym powstaje pytanie, czy istnieje skuteczny sposób zabezpieczenia się przed zaistnieniem incydentu związanego z bezpieczeństwem informacji?

Asus, Twitter, Symantec, Telvent, australijski rząd, Adobe, Biały Dom, Princeton, Harvard, Cambridge – to podmioty, które padały ofiarą ataku hakerów tylko w ostatnich dwóch tygodniach, zgdonie z informacjami publikowanymi przez portal Seqrity.pl.

Skala zjawiska jest ogromna. Patrząc na to jakie firmy (z jak wielkimi budżetami na bezpieczeństwo) padają ofiarą cyberprzestępców można dojąć do wniosku, że nie ma sposobu na skuteczne zabezpieczenie się  przed wyciekiem informacji, a cyberprzestępcy zawsze będą jeden krok przed specjalistami z zakresu bezpieczeństwa. Jedni główkują bowiem nad skutecznymi sposobami na ominięcie istniejących zabezpieczeń, drudzy nad skutecznymi zabezpieczeniami przed nieistniejącymi (potencjalnymi) zagrożeniami. 

Należy również pamiętać, że to dopiero jedna strona medalu. Wiadomo, najciemniej pod latarnią i starą prawdą jest, że najsłabszym ogniwem w każdym systemie bezpieczeństwa wdrożonym w jakimkolwiek przedsiębiorstwie stanowi człowiek wewnątrz (świadomie, bądz nieświadomie – często z głupoty) – pracownik, albo mający dostęp do wewnątrz.

Zapewnienie absolutnego bezpieczeństwa nie jest zatem możliwe, a zaistnienie tego rodzaju incydentów jest nieuniknione. W związku z czym należaloby się bardziej skupić nad systemem reagowania na powstanie tego rodzaju niepożądanych zdarzeń, który pozwoli na zminimalizowanie szkód. W tą stronę zdaje się iść praktyka.

Oczywiście nikt nie zadowoli się jedynie systemem reagowania na incydenty przy rezygnacji z jakiegoś rodzaju systemem zabezpieczeń. Ten pierwszy po prostu nie wydoli przy ogromnej ilości zdarzeń. Oba systemy powinny zatem iść w parze. To znów oznacza, że mimo świadomości braku możliwości stworzenia i wdrożenia w pełni skutecznego systemu zabezpieczeń i tak nadal będziemy go udoskonalać.

Niektórzy idą jednak krok dalej niż inni i biorąc sobie do serca dewizę, że „najlepszą obroną jest atak” opracowują agresywne systemy obrony. Czy jednak aby nie przesadzają?

Facebook był chyba jednym z pierwszych, który przeprowadził kontratak na rosyjskich hakerów, którzy bawili się robakiem „Koobface”. Inne firmy równiez nie próżnują. Działania takie jak specjalne oznaczanie danych, które potem informują o tym, że znalazły się w niepowołanym miejscu, albo zbierają dowody obciążające „złodzieja”, czy nawet infekujące jego system w bardzo destrukcyjny sposób, stają się faktem.

Problem jednak w tym, że zarówno prawo polskie, jak i większości państw, zabrania ingerowania w systemy informatyczne kogokolwiek, bez uzyskania jego zgody. Zaatakowana firma decydując się zatem na kontratak sama staje się napastnikiem i ryzykuje odpowiedzialnością prawną. W końcu haker też człowiek 🙂 i nie można mu psuć systemu, ani sprzętu. 

No cóż… wszyscy chyba widzimy, że coś tu nie gra. Ale dopóki system prawny nie przewidzi jakiegoś rodzaju przyzwolenia na tego rodzaju „aktywną obronę”, działania takie mogą zostać potraktowane jako hakerstwo w czystej postaci, gdzie pierwotny napastnik stanie się ofiarą.

W mojej ocenie coś z tym należaloby zrobić. Oczywiście nie można doprowadzić do skrajności w drugą stronę i przyzwolenia na „internetowe samosądy”, ale w jakimś zakresie chyba warto.

A może jednak takie działania są dozwolone na podstawie istniejących przepisów? Obrona konieczna? Samopomoc?