Czy warto szkolić i podnosić świadomość w dziedzinie bezpieczeństwa IT. Czy firmy i przedsiębiorstwa powinny wydawać pieniądze na kształcenie świadomości z dziedziny bezpieczeństwa swoich pracowników?

To temat debaty, która miała miejsce pod koniec marca tego roku. Wywołał ją  Bruce Schneier artykułem na swoim blogu gdzie napisał min.:

„ Ja osobiście uważam, że kształcenie użytkowników w zakresie bezpieczeństwa jest ogólnie stratą czasu i że pieniądze, które idą na ten cel, mogą być wykorzystane lepiej gdzie indziej. Co więcej, uważam że skupianie się przemysłu na kształceniu, przesłania większe uchybienia w zakresie projektowania zabezpieczeń.

Być może jest to pogląd czasami spotykany ale gdy wypowiada go jeden z guru w dziedzinie bezpieczeństwa IT nie można przejść wobec tego obojętnie.

W opozycji do tych słów Schneiera stanął Ira Winkler. Oto jakie argumenty padły w dyskusji pomiędzy tymi tak znaczącymi nazwiskami w dziedzinie bezpieczeństwa teleinformatycznego.

Brus Schneier użył kilku przykładów aby przybliżyć swoje argumenty i żeby stały się one łatwiejsze do zrozumienia. Jego argumenty:

Ludzie słabo radzą sobie z wyłączeniem natychmiastowego zaspokojenia pragnień na korzyść długoterminowej pracy nad czymś, pracy która nawet może zakończyć się powodzeniem, przynieść korzyść ale nie teraz lecz za jakiś czas.

I tu przykład od lat ludzie zachęcani są przez specjalistów do prowadzenia zdrowego stylu życia, lepszego odżywiania, czy ćwiczeń fizycznych. Ignorują to jednak a jednym z podstawowych powodów jest psychologia. Ludzie generalnie słabo radzą sobie z wyłączeniem natychmiastowego zaspokojenia wszystkich pragnień na korzyść długoterminowej pracy nad czymś. Kończy się to siedzeniem całymi popołudniami przed telewizorem z super posiłkiem z McDonalda – jest dobrze – teraz.

Podobnie jest z bezpieczeństwem komputerowym to jest abstrakcyjna korzyść, która ma na przeszkodzie cieszyć się Internetem. Dobre praktyki mogą chronić od teoretycznego ataku w pewnym momencie w przyszłości, ale to mi przeszkadza teraz, a ja teraz mam więcej fajnych rzeczy. Tę samą sztuczkę – mówi Schneier -wykorzystuje Facebook, wykorzystuje ludzi do „dzielenia się“ swoją prywatnością. Nikt nie czyta nowej polityki prywatności, znacznie łatwiej jest po prostu nacisnąć “OK” i zacząć rozmawiać, czatować z przyjaciółmi – już. W skrócie: Bezpieczeństwo nigdy nie jest najistotniejsze.

Kolejny pogląd jaki przedstawił Schneier mówi, o tym że powinno się przestać próbować posiąść wiedzę a skupić się na kilku prostych zasadach czy zabezpieczeniach i uczyć ludzi podejmowania decyzji przy użyciu tych paru prostych zasad.

Schneier twierdzi, że trudno nam ludziom połączyć zachowania z korzyściami, wyjaśnił to na kolejnym przykładzie: np. połączenie zachowań ludzkich i korzyści ze zdrowiem jest abstrakcyjne. Jeśli jesteś chory, to co jest tego przyczyną? To mogło być coś, co zrobiłeś lub czego nie zrobiłeś rok temu. Mogło to być jedną z tych kilkunastu rzeczy, które zrobiłeś raz i nie wykonujesz już od miesięcy. Albo przyczyną choroby mogą być geny, po prostu tak się stało. Z bezpieczeństwem informatycznym jest bardzo podobnie mówi Schneier.

Porównuje szkolenie z dziedziny bezpieczeństwa IT do szkolenia z dziedziny farmakologii. Uważa, że szkolenia w obydwu przypadkach nie są skuteczne. Oczekujemy od ludzi różnego rodzaju decyzji medycznych np.: w sklepie, w którym sprzedawane są środki farmaceutyczna (bez recepty) kobieta w sklepie spożywczym, gdzie często przy kasach sprzedawane są takie środki od bólu czy przeziębienia po prostu się na tym nie zna. Trudno jest uczyć ludzi takiej wiedzy mimo faktu, że nie ma wątpliwości, że byłaby to wiedza przydatna. Nie możemy również oczekiwać, że każda matka, będzie posiadała wiedzę medyczną czy farmaceutyczną a już na pewno nie można od niej oczekiwać, żeby stała się ekspertem.

Bezpieczeństwo związane z żywnością – kolejny przykład Schneiera. W tym temacie mamy kilka prostych zasad np.: – temperatury gotowania mięs, albo daty ważności przetrzymywania towarów w chłodni, to wszystko w większości jest racją, a mimo to jest często ignorowane. Jeśli nie możemy zmusić ludzi do postępowania według tych reguł, a jest to naprawdę proste i dotyczy każdego z nas, to co dopiero mówić o szkoleniu z bezpieczeństwa komputerowego.

Jeżeli miałbym przytoczyć jakiś przykład „na tak” to przychodzi mi na myśl, (pozostając w obszarze zdrowotnym) gdzie możemy mówić o sukcesie szkolenie jak  zapobiegać HIV. HIV jest bardzo skomplikowaną chorobą, ale przepisy o zapobieganiu są dość proste. Czyli wrócę tu do kwestii, że powinno się przestać próbować uczyć wiedzy a skupić się na kilku prostych zasadach a ludzie podejmowaliby decyzje sami korzystając z takich zasad.

Podsumowując swoje przemyślenia B. Schneier stwierdził, że szkolenie użytkowników z bezpieczeństwa nie jest dobrym pomysłem ponieważ oni nie są ekspertami, a my nie możemy oczekiwać od nich by się nimi stali. Zagrożenia ciągle się zmieniają, a ludziom trudno zrozumieć, jak połączyć ich zachowanie z ewentualnymi wynikami/korzyściami. Efekt jest taki, że użytkownicy szukają prostych środków zaradczych, które tak naprawdę często nie usuwają zagrożeń.

Dalej Schneier stwierdził, że nawet gdybyśmy mogli wynaleźć skuteczny program szkoleniowy z bezpieczeństwa komputerowego, jest wtedy jeszcze jeden ostatni problem. Zastosował tu znowu porównanie by łatwiej zobrazować myśl, szkolenie zapobiegania HIV działa bo ma na to wpływ decyzja i działanie każdego przeciętnego człowieka. Nawet jeśli tylko połowa populacji uprawia bezpieczny seks, działania te znacznie ograniczą rozprzestrzenianie się wirusa HIV. Z bezpieczeństwem komputera jest niestety gorzej, jest tak mocne, jak najsłabsze ogniwo. Jeśli 4/5 pracowników firmy nauczą się używać mocnych haseł i nie klikania w podejrzane linki a 1/5 będzie robiła to źle – cyberprzestępcy są na pozycji wygranej! Nie będzie łatwo o bezpieczeństwo tak długo jak długo, istnieją systemy, sieć zależności i tak długo jak wystarczać będzie znalezienie tylko jednego słabego punktu aby dostać się do celu.

B. Schneier na koniec ponownie powrócił do tezy, że kształcenie użytkowników w zakresie bezpieczeństwa jest ogólnie stratą czasu. Podkreślił, że cała koncepcja szkoleniowa w zakresie świadomości ochrony bezpieczeństwa pokazuje, jak przemysł komputerowy jest w błędzie. Uważa także, że powinno się projektować systemy, które nie pozwolą użytkownikom wybierać słabych haseł i nie miałoby wielkiego znaczenia, to w jakie linki użytkownik kliknie i co się później stanie. Eksperci z branży IT powinni opracowywać systemy, które są przystosowane do myślenia przeciętnego człowieka, działania intuicyjnego a nie zmuszania ludzi do ciągłej nauki nowości technologicznych. Np. Microsoft ma świetną regułę standardowych wiadomości systemowych, które wymagają od użytkownika podjęcia decyzji. NEAT: Necessary, Explained, Actionable, Tested (niezbędne, wyjaśnione, wymagające działania i przetestowane) http://www.microsoft.com/en-us/download/details.aspx?id=34958. Tak właśnie powinno się projektować interfejsy bezpieczeństwa i wydawać pieniądze na szkolenia w zakresie bezpieczeństwa dla programistów. To są ludzie którzy mogą być uczeni wiedzy specjalistycznej w środowisku szybko zmieniającym się, i jest to sytuacja, w której podniesienie średniego zachowanie zwiększa bezpieczeństwo całego systemu – podkreśla Schneier. Jeśli inżynierowie bezpieczeństwa będą robić swoją pracę dobrze, wówczas użytkownicy będą dostawać szkolenie w zakresie świadomości nieformalnie i organicznie od znajomych i przyjaciół. Ludzie poznają poprawne modele zabezpieczeń i będą zdolni używać ich i podejmować własne decyzje. Wtedy organizacja/firma może spędzić godzinę raz na rok przypominając swoim pracownikom, co oznacza dobre zabezpieczenie tej organizacji. To wydaje się mieć wiele więcej sensu.

Argumenty przeciwko świadomości bezpieczeństwa są krótkowzroczne uważa natomiast Ira Winkler.

Uważa On, że Stwierdzenie Bruce’a Schneier‘a zasadniczo utrzymujące, że popularyzowanie świadomości bezpieczeństwa jest marnotrawstwem czasu, ma ogólnie błędne przekonanie o podstawowym pojęciu w zakresie świadomości ochrony, które faktycznie są bardzo istotne dla tej dyscypliny, świadomości i bezpieczeństwa jako całości. To błędne przekonanie faktycznie podkreśla dlaczego wiele programów w zakresie świadomości ochrony jest złe.

Winkler zwraca uwagę na termin jakiego użył B. Schneier “szkolenie w zakresie świadomości bezpieczeństwa.” Uważa, że jest bardzo wyraźna różnica między “świadomością bezpieczeństwa” i “szkoleniem w zakresie bezpieczeństwa.” http://csrc.nist.gov/publications/nistpubs/800-50/NIST-SP800-50.pdf

Szkolenie w zakresie bezpieczeństwa kojarzy się użytkownikom zwykle jako zestaw skończonej wiedzy z wynikami testów. Szkolenie z kompletem skończonej wiedzy. Raz w roku pracodawcy organizują „szkolenie“ – np. pokaz 10-minutowych filmów, które traktowane są nie jako pomoc dydaktyczną, ale jako skończony zbiór wiedzy i zatwierdzony jest jako program dotyczący bezpieczeństwa. Takie szkolenie jest po prostu “zaznaczeniem” problemu. O takim szkoleniu chyba faktycznie można powiedzieć, że jest stratą czasu i rozwija lekceważenie w świadomości przeciętnego użytkownika w sprawach ochrony i bezpieczeństwa komputerowego.

Ponadto I. Winkler mówi o tym, że programy świadomości bezpieczeństwa dążą do zmiany zachowania personalnego, co z kolei wzmacnia kulturę bezpieczeństwa. Nie chodzi o to by powiedzieć ludziom o zagrożeniach i później będą się bali sprawdzić swoje wiadomości e-mail. Świadomość jest procesem ciągłym. Nie jest to program. Ta dyscyplina wymaga odrębnego zbioru wiedzy, umiejętności i zdolności.

Winkler podkreśla że ważniejsze jest to, że bezpieczeństwo ogranicza ryzyko zagrożenia. Nie ma czegoś takiego jak idealne przeciwdziałania bezpieczeństwa i nigdy nie będzie. Każda technologia lub system zabezpieczeń będzie, a przynajmniej może być pominięta. Dlatego specjaliści ds. bezpieczeństwa są gorliwymi propagatorami edukacji, wiedząc, że nie można powoływać się na jakiekolwiek pojedyncze działania. Program ochrony jest składową, jest to program całościowy środków zaradczych mających na celu ochronę, wykrywanie i reagowanie na incydenty.

Można zadać pytanie, czy świadomość bezpieczeństwa jest opłacalnym środkiem zapobiegawczym, który oszczędza więcej pieniędzy niż kosztuje? Odpowiedź na to pytanie jest trudne, ponieważ jak wszystkie środki zaradcze bezpieczeństwa są trudne do zmierzenia.

Oczywiście są programy, które miał na myśli B. Schneier, które niekoniecznie powinny być wdrażane. Istnieje jednak wiele programów dot. świadomości bezpieczeństwa, które okazały się sukcesem i Winkler odniósł się do strony http://www.mitre.org/work/cybersecurity/pdf/uninvited_guest.pdf . Podobnie, każdy czytający ten artykuł na pewno słyszał o przypadkach z innych dziedzin życia, kiedy można było uniknąć złego zdarzenia ze względu na zapewnienie zachowania bezpieczeństwa.

Winkler zgodził się jednak z argumentem Bruce’a Schneier’a, że nawet jeśli 4/5 przypadków będzie ochronionych, cyberprzestępcy jeszcze w dalszym ciągu mają możliwość dostania się do środka systemu. Ale to znaczy, że argument w zasadzie mówi, że jeśli cyberprzestępca jest w stanie dostać się do systemu, mamy porzucić środki zaradcze? I wszystkie środki zaradcze bezpieczeństwa są nieistotne? I czy w takim wypadku powinniśmy porzucić zabezpieczenie i wszystkie środki zaradcze firmy czy przedsiębiorstwa jako całości?

Winkler zwrócił się do Schneiera – Bruce dopóki nie ma sposobu na zapewnienie doskonałej ochrony, musisz zaimplementować programy ochrony, które przewidują, np.: awarie i które będą potrafiły określić najbardziej opłacalne strategie ograniczenia strat: zapobieganie, wykrywanie i reakcję. Świadomość bezpieczeństwa jest kluczowym elementem tej strategii dla większości organizacji, zwłaszcza tych, które mają najwięcej do stracenia.

Ponadto Winkler przedstawił kilka innych kwestii, których argumenty Bruce’a nie dotyczą. Wracając jeszcze do sytuacji gdzie 4/5 zabezpieczonej firmy nie gwarantuje bezpieczeństwa całej firmy. W rzeczywistości, największe straty związane z bezpieczeństwem to wynik czynnika ludzkiego. (Insiders doing things maliciously, and more often innocently, create the most significant losses.) Tylko świadomość zatrzyma pracownika od podejmowania działań, które mogą być szkodliwe dla firmy, często bez uzasadnionych celów biznesowych a ze zwykłej nieświadomości.

Argumenty Schneiera dotyczą wyłącznie bezpieczeństwa komputera to argumenty oparte na technologii. Zapomniał o zagrożeniach niekomputerowych i ryzyku związanym ze środowiskiem biurowym. Niekomputerowe straty to m.in. dokumenty komputerowe pozostawione bez nadzoru, źle usunięte materiały itd., nie mogą być zatrzymane przez lepiej wyedukowanych programistów.

Winkler odpowiedział też Schneierowi na jego przykłady „medyczne”. Otóż przestawił przykład przeciwstawny: przeciętny człowiek nie jest profesjonalistą w dziedzinie medycyny, ale posiada podstawową wiedzę z zakresu pierwszej pomocy. Ludzie wiedzą, że kiedy się skaleczą powinni przemyć ranę i zalepić ranę plastrem. Wiedzą, że kiedy boli ich głowa, mogą wziąć lek przeciwbólowy. W takich przypadkach nie jest konieczne korzystanie z pomocy specjalisty. Podobnie, przeciętny użytkownik komputera jest zdolny do zadbania o zwykłe podstawowe problemy z zakresu bezpieczeństwa, jeśli jest uświadomiony z podstaw zachowań bezpieczeństwa teleinformatycznego.

Winkler odniósł się także do zagadnienia poruszonego przez Schneiera dotyczącego  szkolenia programistów tak by projektowali systemy, które są bezpieczne dla użytkownika. Uważa on z kolei, że programiści owszem powinni pisać programy, które zabezpieczają (najlepiej jak można) przeciwko technicznym atakom. Ale to kompletnie nierealne, żeby spodziewać się od programistów, aby pisali programy które są również bezpieczne patrząc pod kątem ataków nietechnicznych. I tu padło porównanie „to tak jakby wymagać od producentów samochodów zaprzestania wydawania pieniędzy na instalowanie pasów bezpieczeństwa a oczekiwać od nich produkcji samochodu super bezpiecznego”.

Oprogramowanie, które ograniczy szkody potencjalnych użytkowników, byłoby cenne, jednak nie można zredukować podstawowych czynności ochronnych, zaliczanych do świadomości bezpieczeństwa: antywirus, software, skanowanie itd..

Wreszcie, najważniejszą kwestią według Winklera jest to, że świadomość bezpieczeństwa nie jest opcją dla większości organizacji. Badania w tym zakresie wyraźnie pokazują, że znaczna część strat firm pochodzi ze słabości pracowników. Być może wiele programów jest słabych i warto dążyć do ich poprawienia, jednakże porady Bruce’a Schneier’a nie są dobrą opcją uważa Winkler.

To co jest potrzebne specjalistom ds. bezpieczeństwa, to zrozumienie, że dyscyplina świadomości ochrony wymaga własnej wiedzy, zdolności i umiejętności. Osoba kompetentna, a nawet ekspert nie jest kompetentny co do świadomości bezpieczeństwa od razu, intuicyjnie, bez szkolenia. Organizacje muszą szukać ludzi, trenować ich, aby ci mogli wdrażać skuteczne programy uświadamiające i zdać sobie sprawę z niektórych najważniejszych zysków z inwestycji w bezpieczeństwo.

Winkler przyznał, że wiele programów w zakresie świadomości bezpieczeństwa jest złych ale że istnieje także dużo bardzo skutecznych. I z drugiej strony nawet najlepsze programy uświadamiające będą miały swoje błędy, tak jak każde inne zabezpieczenia zaradcze. Być może utrzymywanie świadomości z zakresu bezpieczeństwa informatycznego na poziomie wyższym, niż standard, nie jest konieczne tak jak jest w przypadku każdego innego przeciwdziałania zabezpieczającego, zwłaszcza, gdy dobry program posiada taką świadomość, stosunkowo niski koszt i alternatywne zalecenia sprowadzają się do fantazji.

Nie ma wątpliwości co do tego co mówi Ira Winkler, że rozróżniamy dwa pojęcia: programy świadomości bezpieczeństwa i szkolenia bezpieczeństwa.

Często mylenie tych dwóch pojęć wynika po prostu z lenistwa. Łatwiej jest znaleźć “szkolenia w zakresie świadomości bezpieczeństwa”.

Zakres świadomości bezpieczeństwa IT może być zwiększony o szkolenia, ale to nie to samo co szkolenie w zakresie bezpieczeństwa IT.

Źródło: http://www.welivesecurity.com/2013/03/27/schneier-winkler-and-the-great-security-awareness-training-debate/