Niebezpieczne przy każdym użyciu
Upowszechniające się nowe technologie zazwyczaj fascynują. Ich dostawcy podkreślają coraz to nowe ich możliwości – „możesz więcej, możesz wygodniej, możesz szybciej”. Dziś prawie każdy korzysta ze smartfona – podczas spaceru, jazdy rowerem lub na hulajnodze, w autobusie lub w tramwaju, na ławce w parku itp. Instalowane są coraz to nowe „apki”, udostępniane są nowe usługi. Jednym słowem „fajnie jest”. Od czasu do czasu pojawiają się ostrzeżenia przed związanymi z tym zagrożeniami, jednak są one kierowane przede wszystkim do użytkowników. Dostępne jest wiele dodatków mających zwiększyć bezpieczeństwo użytkowania urządzeń przenośnych i stacjonarnych – jednak ich wykorzystywanie pozostawia się do decyzji użytkownika. W sieci działa wiele portali informujących o zagrożeniach (choćby niebezpiecznik.pl), są na ogół one przeznaczone dla osób obeznanych z podstawami działania technologii IT lub wręcz dla specjalistów. Producenci lub dostawcy usług (w tym np. banki) ograniczają się do ostrzegania oraz zabezpieczają przed atakami własne zasoby i usługi – jednak bezpieczeństwo urządzeń osobistych pozostawiają do decyzji użytkownika, który wszak niekoniecznie posiada odpowiednią wiedzę. Ostatnio mieliśmy sporo przykładów publikacji prywatnej korespondencji ważnych osób, co potwierdza tezę braku dbałości o odpowiedni poziom zabezpieczeń i o zachowanie prywatności.
W moim przekonaniu czas już najwyższy na podjęcie prób przekonania użytkowników, że korzystanie z nowoczesnych urządzeń IT może być niebezpieczne przy każdym ich użyciu! Podobna sytuacja miała już miejsce w przemyśle samochodowym. Może więc warto pójść tym śladem?
W 1965 roku ukazała się książka „Unsafe at Any Speed” autorstwa adwokata Ralpha Nadera poświęcona bezpieczeństwu samochodów osobowych produkowanych w USA. Spotkała się ona z ogromnym zainteresowaniem i w konsekwencji w USA powstało specjalne ministerstwo (United States Department of Transportation - DOT) oraz nieco później specjalizowana agencja rządowa National Highway Traffic Safety Administration (NHTSA).
Warto podkreślić, że na przełomie lat 1950/1960 w USA wybuchła ponownie fascynacja samochodami. Standard życia w USA po wojnie zdecydowanie się podniósł, budowano suburbia, które w większości przypadków były pozbawione komunikacji publicznej, a sam samochód stał się (także w wyniku wojny) oczywistym przedmiotem powszechnego użytku. Wymuszony wysiłkiem wojennym rozwój technologii otwierał nowe możliwości i w przemyśle motoryzacyjnym nastąpiło szereg zmian. Były one zarówno ilościowe (USA w 1950 r. wyprodukowały 2/3 całej światowej produkcji samochodów osobowych), jak i jakościowe – wystarczy porównać wygląd amerykańskich samochodów wyprodukowanych przed i po 1950 rokiem. Wygląd samochodu, wielkość i moc silnika podnosiły prestiż właściciela, czemu starali się sprostać producenci wprowadzając co roku nowe i większe modele. Symbolem i wzorcem stał się różowy Cadillac Fleetwood (1955) Elvisa Presleya. Do akcji wkroczyli specjaliści od reklamy obsługujący różne „grupy docelowe” od młodych mężczyzn pragnących podkreślić swoją pozycję poprzez Panie domu po nastolatków. Samochody nie tylko miały przyciągać wyglądem - zarówno zewnętrznym (wielkość, agresywne chromowane ozdoby) jak i wystrojem wnętrza lecz również prostotą obsługi (automatyczne skrzynie biegów, układy wspomagania itp.). Samochodów kupowano więc coraz więcej – w 1950 r. w USA zarejestrowano 40 milionów samochodów, w 1955 – ponad 51 milionów, a w 1960 – 61 milionów!
Niestety, wraz ze wzrostem ilości samochodów rosła też liczba wypadków oraz ich ofiar śmiertelnych. Powszechna stała się ostra jazda szybkimi samochodami i wyścigi „od świateł do świateł”. Ameryką wstrząsnęła śmierć w wypadku drogowym Jamesa Deana (1955 r.). Samochody wówczas nie posiadały żadnych rozwiązań podnoszących bezpieczeństwo – nie było stref kontrolowanego zgniotu, stosowano sztywne kolumny kierownicy, instalowano szereg wystających ozdób we wnętrzach i na zewnątrz, brak było pasów bezpieczeństwa itp. Nie przeprowadzano badań zderzeniowych i innych testów bezpieczeństwa. Szansa na przeżycie lub uniknięcie poważnych obrażeń w wyniku nawet stosunkowo niegroźnego wypadku była wówczas niewielka.
Producenci samochodów kierowali się zasadą „bezpieczeństwo się nie sprzedaje”, a wypadki powodują przecież kierowcy, a nie samochody!
Książka „Unsafe at Any Speed” zmieniła prawie wszystko. Jej autor poddał bezlitosnej i krytycznej analizie postawę producentów samochodów i całkowite lekceważenie problemów związanych z bezpieczeństwem. Szybko nastąpiła reakcja czołowych producentów mająca na celu zdyskredytowanie kompetencji Ralpha Nadera. Producenci (w szczególności General Motors) uciekali się do różnych metod (śledzenie, podsłuchy, prowokacje seksualne…). Prezes GM musiał się z tego tłumaczyć w 1966 r. przed komisją Senatu USA, a następnie przegrał proces w 1970 r. i GM musiała zapłacić Ralphowi Naderowi odszkodowanie w wysokości 425 000 USD, które wykorzystano do założenia Centrum Bezpieczeństwa Samochodowego (działa aktywnie do dziś – https://autosafety.org ). Na szczęście reakcja opinii publicznej oraz w konsekwencji jej reprezentantów była inna, powołano odpowiednie agencje rządowe i rozpoczęto (choć z opóźnieniem) wprowadzać wymagania związane z bezpieczeństwem produkowanych samochodów. Dziś sytuacja jest inna – bezpieczeństwo stało się dla przemysłu argumentem marketingowym.
Poświęciłem sporo uwagi tej książce i jej konsekwencjom, pokazała bowiem ona jak ważna jest rzetelna ocena produktów przez naprawdę niezależnych recenzentów reprezentujących interesy klientów wielkich korporacji. Co więcej, skutki tej (i podobnych) publikacji odczuwamy również obecnie. Przy konstruowaniu samochodów producenci biorą pod uwagę względy bezpieczeństwa, starają się minimalizować skutki ewentualnych wypadków, samochody są wyposażane w układy bezpieczeństwa czynnego i biernego, instalowane są różne systemy wspomagania kierowcy, który jest ostrzegany o obecności innych pojazdów lub pieszych, zmianie pasa ruchu oraz informowany o mijanych znakach drogowych itp. Pod uwagę brana jest czystość spalin (choć producenci ostatnio posunęli się w tym zakresie do oszustwa!) - w cytowanej przeze mnie książce z 1965 roku poświęcono temu problemowi cały rozdział! Co więcej – rozwiązania bezpieczeństwa zaczęły „sprzedawać samochody” i marketingowcy chętnie je wymieniają w materiałach reklamowych wpływając tym samym na świadomość kupujących.
Dziś powszechnie korzystamy z rozwiązań IT. Dotyczy to zwłaszcza urządzeń i rozwiązań mobilnych – wszelkiego rodzaju komputerów przenośnych oraz smartfonów i wykorzystywanych usług sieciowych. Polityka ich dostawców przypomina jednak sytuację stosowaną przez producentów samochodów z lat 1960 i wcześniejszych. Trwa wyścig na efektowne właściwości. Producentów jedynie marginalnie interesuje bezpieczeństwo użytkowników. Oczywiście nikt raczej nie zginie w wyniku korzystania ze smartfona, ale już utrata oszczędności zgromadzonych na kontach bankowych czy ujawnienie zawartości prywatnej skrzynki pocztowej zdarzają się dość często. Producenci sprzętu i oprogramowania oraz dostawcy usług starają się wówczas najczęściej przypisać użytkownikowi.
Moim zdaniem specjalistom od bezpieczeństwa systemów IT należy postawić poważne pytanie:
„Twierdzicie, że najsłabszym ogniwem w łańcuchu bezpieczeństwa systemu IT jest człowiek, czyli jego użytkownik.
A więc - jeśli o tym wiecie, to dlaczego nic z tym nie zrobicie?”
Licencja Tomasz Barbaszewski ( Tomasz.Barbaszewski(at)gmail.com ) - Creative Commons, Uznanie Autorstwa