Dyskusja wokół Snowdena pokazuje, jak wielkim wyzwaniem jest kwestia zaufania w organizacji.
Problem jest stosunkowo prosty: organizacje potrzebują zaufanych ludzi, ale nie zawsze wiedzą, komu można powierzyć informacje. Nowi pracownicy są niezbędni dla funkcjonowania organizacji, ale mogą też okazać się zdrajcami.
W jaki więc sposób organizacje mogą zabezpieczać? W swojej książce „Beyond Fear” opisałem trzy podstawowe mechanizmy zabezpieczenia dotyczące tego zagadnienia.
Pierwszym z nich jest szufladkowanie. Zaufanie nie musi być albo bezgraniczne albo żadne. Rozsądnie jest powierzać pracownikom tylko te dostępy, zasoby i informacje, których potrzebują do wykonywania swoich zadań. W armii nawet sprawdzone osoby, z nieskazitelną przeszłością, wiedzą tylko tyle, ile muszą wiedzieć. Naturalną koleją rzeczy jest wprowadzenie tej polityki w firmach.
Nie chodzi tylko o powierzanie większego zaufania bardziej wysłużonym pracownikom. Bankomat, na przykład, może być otwierany tylko przez pracowników z opancerzonym samochodem, specjalnie uprawnionych do tego, aby wymieniać w nim pieniądze. Nawet dyrektor banku nie mógłby tego zrobić. O pracownikach należy myśleć jak o osobach działających w konkretnych „strefach zaufania” – wyposażonych w zestaw narzędzi i obowiązków, do których mają dostęp. Organizacje działają w swoim dobrze pojętym interesie, jeśli owa strefa zaufania jest możliwie najmniejsza.
Ograniczanie szkód
Zgodnie z tą ideą, nawet jeśli pracownik okaże się niegodny zaufania, wyrządzi tylko ograniczone szkody. Na tym właśnie polegał błąd NSA w sprawie Snowdena. Jako administrator systemu dysponował on dostępem do wielu komputerów w obrębie agencji, a także wszelkich plików na nich przechowywanych. Dzięki temu mógł kopiować dokumenty, których nie powinien był nawet przeglądać.
>>> Czytaj też: Edward Snowden ma jeszcze dużo danych, aby poważnie zaszkodzić USA
Drugim mechanizmem zabezpieczenia jest tzw. obrona w głąb. Należy się upewnić, że jedna osoba nie będzie w stanie skompromitować całego systemu. Dowodzący NSA generał Keith Alexander deklaruje, że zastosował tę zasadą, wprowadzając tak zwaną zasadę kontroli dwóch osób. Polega ona na tym, że nad jednym zadaniem administracyjnym przy ważnych dla firmy komputerach zawsze pracują dwie osoby jednocześnie.
Obrona w głąb minimalizuje ryzyko zdradzenia organizacji przez jedną osobę. Gdyby ten mechanizm zastosowano wcześniej w NSA i zwierzchnik Snowdena byłby informowany za każdym razem, gdy ten ściąga jakiś plik, Snowden zostałby schwytany na długo przed próbą ucieczki do Hong Kongu.
Trzecim mechanizmem jest próba upewnienia się, czy zaufani ludzie są faktycznie tego godni. NSA stara się wykorzystać ten mechanizm, prześwietlając swoich pracowników. Pracownicy wysokiego szczebla badani są wykrywaczem kłamstw (nawet jeśli ta metoda tak naprawdę nie działa). Prowadzi się również śledztwa badające przeszłość osób. Wiele organizacji przy zatrudnianiu nowych pracowników polega na opiniach wystawionych przez innych pracodawców, historii kredytowej i testach na obecność narkotyków. Firmy mogą odmówić zatrudniania ludzi, którzy dopuścili się przestępstwa i obcokrajowców. Mogą też zatrudniać tylko ludzi posiadających odpowiednie certyfikaty, bądź należących do określonych organizacji branżowych.
Niektóre z tych mierników nie są zbyt efektywne. Portret osobowościowy potencjalnego pracownika nie przynosi żadnej pożytecznej wiedzy. Generalnym założeniem jest jednak weryfikacja, uwierzytelnienie i sprawdzenie danej jednostki w celu zwiększenia prawdopodobieństwa, że będzie ona godna zaufania.
Koszty przeprowadzania takich procedur są wysokie. Rząd USA wydaje 4 tys. USD za wystawienie poświadczenia bezpieczeństwa jednemu pracownikowi. Nawet w korporacjach kosztuje to sporo, a cały proces znacząco wydłuża czas rekrutacji nowego personelu.
Poza tym, powierzenie pracownikowi ograniczonego dostępu informacji może zmniejszyć elastyczność jego pracy w organizacji, której potrzeby nieustannie się zmieniają. Audyty bezpieczeństwa są kosztowne, ale jeszcze bardziej kontrola oparta na zatrudnianiu dwóch pracowników przy jednym zadaniu. Ta zasada może nawet podwoić koszty zatrudnienia. Tym samym zawsze wahamy się pomiędzy wydajnością firmy a jej bezpieczeństwem.
Najlepsze metody obrony
Najlepszą obroną jest zminimalizowanie liczby zaufanych osób, których potrzebuje organizacja. Alexander próbuje to zrobić (mimo, że za późno) w NSA, redukując liczbę administratorów systemu o 90 proc. To ledwie maleńka część problemu. Aż 4 miliony pracowników rządowych w USA dysponuje poświadczeniem bezpieczeństwa wysokiego bądź najwyższego szczebla. To zdecydowanie za dużo.
Fakt, że Snowdenowi udało się zbiec z ważnymi dokumentami, nie jest tak bardzo zaskakujący jak to, że takich osób nie było znacznie więcej. Wyjątkowość tego zdarzenia – jak również to, że Snowden miał tak mało poprzedników, a przypadki złodziei informacji są rzadkie – świadczy o tym, że dobrze radzimy sobie z budowaniem bezpieczeństwa wokół zaufanych osób.
Na koniec jeszcze jedna porada. Coraz trudniej zachować coś w tajemnicy w dzisiejszych czasach. W erze internetu, „whistleblowing” (informowanie świata o utajnionych zjawiskach i praktykach, potencjalnie uznanych za nadużycia, tak jak w przypadku Snowdena – przyp. tłum.) staje się wyrazem obywatelskiego nieposłuszeństwa. Najlepszą obroną, jaką mogą przyjąć publiczne lub prywatne organizacje, jest zaniechanie praktyk, o których potem nie chciałyby czytać na pierwszych stronach gazet.
To może być szok dla systemu, w którym moralnie wątpliwe praktyki są aprobowane dopóki są legalne, a nielegalne praktyki - tak długo, jak potrafimy się nich wywinąć.
Żadna organizacja, czy to bank będący w posiadaniu osobistych danych swoich klientów, zorganizowana grupa przestępcza, czy rządowa agencja podsłuchująca własnych obywateli, nie chce ujawnienia swoich tajemnic. W erze informacji może to być jednak nieuniknione.
Bruce Schneier jest specjalistą z zakresu bezpieczeństwa teleinformatycznego i autorem wielu książek na ten temat.
