Dvom ni slabost. Je edina obramba, ki je hekerji ne morejo zaobiti.
V kibernetsko varnost se trenutno vlaga največ denarja. Škoda kibernetske kriminalitete pa kljub temu vsako leto doseže nov rekord.
Ti dve dejstvi nista v nasprotju. in nikoli nista bili.
Napadalec ne išče luknje v sistemu. Išče luknjo v razumevanju. In to najde, ne ustvari.
Ustvarimo jo sami — s siljenjem razvoja in izvedbe, s poslovnimi zahtevami in cilji. Z vsakim pravilnikom, ki ga sprejmemo brez branja.
Z vsakim “obveznim” usposabljanjem, kjer večina slušateljev zdolgočaseno čačka po telefonu. Z vsakim “neprebojnim” firewallom, za katerim se počutimo varne, brez da bi se vprašali, kaj je zunaj pred njim.
Problem ni v tem, da ne vemo, ampak bolj, da ne vemo, da ne vemo.
Organizacija, ki pozna svoje ranljivosti, te lahko naslavlja. Organizacija, ki jih ne pozna — in ne ve, da jih ne pozna — nima niti izhodišča za obrambo. Njen model sveta je popoln.
In popoln model sveta je najnevarnejša stvar.
Pri pogovorih z vodstvi evropskih startup inkubatorjev sem dobil uvid, ki je bil neprijeten natanko toliko, kolikor je bil predvidljiv. Mentorji z MBA ozadjem — ljudje, ki vodijo mlade podjetnike skozi najpomembnejše odločitve začetnih faz — so informacijsko varnost konsistentno označevali kot nepomembno.
Ne iz malomarnosti, temveč iz prepričanja.
Varnost so razumeli kot tehnični strošek. Drago, kompleksno, in predvsem preuranjeno pretiravanje. In ker praktično skoraj noben startup ob zagonu nima sredstev za sofisticirano tehnično opremo — so zaključili, da to nima nobenega smisla.
Če bi bila varnost = tehnologija, potem bi bil zaključek pravilen. Ampak je glavna napaka prav v tem enačaju.
Startup nikoli ne bo videl informacijske varnosti kot prioriteto — dokler ne dobi klofute. In klofuta pride. Vedno.
Zastonj kosilo ne obstaja. Vsak dobi lekcijo, jakost te pa je sorazmerna s stopnjo razumevanja oziroma zanemarjanja. Ampak ta lekcija prihaja z zamudo — in mentorji bi vsaj zavlačevanje in zamudo lahko povezali z obrestmi.
Po resnem incidentu organizacije, ki so bile napadene, pogosto beležijo dvig zaupanja javnosti. Ne zato, ker so bile žrtve — ampak ker so prestale pravi test. Neizkušenost ni nedolžnost. Je samo še nerazkrita ranljivost.
Ampak ta dvig ni avtomatičen. Ne pripada tistim, ki rečejo: “Hekerji so krivi,” ali “nevešči uporabniki so povzročili luknjo,” ali celo “Informacijska varnost pri nas ni tako pomembna.” Pripada tistim, ki ob incidentu pokažejo, da so lekcijo vzeli resno — da namesto iskanja krivca zunaj sebe naredijo vse, da pomagajo prizadetim in se sami v tem procesu izboljšajo.
Ta kapital zaupanja pa je na voljo samo enkrat. In samo tistim, ki preživijo.
Prepričanje je najdražja slepa pega. Ne zato, ker bi bilo slabo ali zmotno — ampak ker onemogoči vprašanje, katerega bi moralo sprožiti.
Dvom ni slabost. Je epistemološko superiorna pozicija — edina, ki ostane odprta za signal, ki ga je prepričanje že zdavnaj utišalo. In v informacijski varnosti je dvom edina obramba, ki je hekerji ne morejo zaobiti. Če se seveda potrudimo razumeti — ne samo dvomiti.
Dvom ni nezaupanje v sistem. Je zaupanje v lastno kritičnost in presojo. In to je tisto, česar socialni inženiring ne more ponarediti.
Napadalec ve, da je sistem, ki ga ne razumemo, zelo slaba obramba. Je zgolj krinka in bližnjica za napad. Najhuje pa ni, da ga ne razumemo — ampak, da se niti ne potrudimo razumeti.
Hekerji ne iščejo organizacij brez tehnologije. Pogosto iščejo ravno nasprotno — organizacije s sofisticirano tehnologijo, ker ta skoraj zagotovo nakazuje na znižanje previdnosti. Enako kot semafor vozniku: ko se prižge zelena, nihče več ne pogleda levo in desno.
Vprašanje torej ni: Ali imamo dovolj dobro tehnično opremo?
Vprašanje je: Česa (še) ne vemo? In ali nas to, kar mislimo, da vemo, lahko ovira?
Borut Kmetič

vCISO in neodvisni raziskovalec presečišč epistemologije, organizacijske kulture in informacijske varnosti.
Borut@SmartAssets.it
Borut@Medium
The post Prepričanje je nadražja slepa pega appeared first on Savus.

2 hours ago
16






English (US)