Dažnai girdime nuomonę, kad informacijos saugumo užtikrinimas – tai ilgas bei sudėtingas procesas, kurio rezultatas bus sudėtinga ir nepatogi vartotojui terpė. Daugelyje knygų yra kalbama apie tai, kad norint sukurti gerą informacijos saugumo sistemą įmonėje, reikia ieškoti balanso tarp naudojimosi patogumo ir saugumo lygio.
Dažnai girdime nuomonę, kad informacijos saugumo užtikrinimas – tai ilgas bei sudėtingas procesas, kurio rezultatas bus sudėtinga ir nepatogi vartotojui terpė. Daugelyje knygų yra kalbama apie tai, kad norint sukurti gerą informacijos saugumo sistemą įmonėje, reikia ieškoti balanso tarp naudojimosi patogumo ir saugumo lygio. Galime tik sutikti, nes kol kas niekas nesukūrė kieto ir saugaus vikšrinio tanko, kuris skraidytų kaip naujos kartos sportinis automobilis.
Žinome, kad negalima apsaugoti savo būsto nepastačius tvirtų sienų, langų ar kai kuriais atvejais ir grotų ant jų. Taip, tai trukdo grožėtis aplinkiniais gamtos vaizdais ir netgi tokiu atveju mes vis dar nesame saugūs, kadangi lieka spynos kokybės problema ar galų gale žmogiškasis faktorius. Lygiai taip pat negalime leisti visiems norintiems laisvai eiti į mūsų biurą, vaikštinėti po vadovybės kabinetus ir panašiai. Bet kompromiso ieškoti reikia – juolab, kad šiuolaikinės technologijos leidžia palengvinti mūsų gyvenimą ir papildomai verta pastebėti, kad saugumo priemonės savaime nėra galutinis tikslas (nors daugelis informacijos saugumo specialistų giliai širdyje galvoja būtent taip). Saugumas iš tikrųjų yra tik papildomas antros ar trečios eilės tikslas, tačiau visgi tai neužgesina jo svarbos.
Prieš 30 metų, dar 1975-aisiais mokslininkai Jerome Saltzer ir Michael Schroeder savo darbe „The Protection of Information in Computer Systems“ nustatė „psichologinį priimtinumą“ (psichological acceptability) kaip vieną iš 8 pagrindinių saugių sistemų kūrimo principų. Skamba šis principas taip: „Labai svarbu, kad vartotojo sąsaja būtų patogi naudoti tam, kad vartotojas paprastai ir „automatiškai“ naudotų saugos mechanizmus tinkamu būdu. Jeigu apsaugos supratimas vartotojo sąmonėje atitiks tuos principus, kuriuos jis naudoja kasdien praktiškai, tuomet klaidų tikimybė bus minimizuota. Tačiau jeigu vartotojui tenka jam pateiktą mechanizmą versti į kitą „kalbą“, jis būtinai darys klaidas.“ Šio principo esme labai paprasta – saugumo mechanizmas neturi pasunkinti priėjimo prie norimo resurso.
Deja, praktikoje šio principo nėra laikomasi – daugelio saugumo sistemų vartotojo sąsajos nors ir yra reklamuojamos kaip „intuityviai suprantamos“, bet jos yra projektuojamos neįvertinant ergonomikos, praktiškumo ir naudojimo paprastumo kriterijų. O tai kartais netgi svarbiau nei šifravimo stiprumas, dviejų faktorių autentifikacijos naudojimas ar euristinių mechanizmų panaudojimas! Informacinės sistemos šiandien tampa vis sudėtingesnės ir kompleksiškesnės, o tai reiškia, kad auga tikimybė padaryti klaidą ir neteisingai naudotis ar konfigūruoti bei netinkamai prižiūrėti saugomą sistemą. Dėl to saugumo lygis natūraliai mažėja.
Psichologinio priimtinumo principus įgyvendinti nėra taip paprasta: saugumo sistemos gyvenimo cikle dalyvauja labai daug žmonių pradedant programuotoju ir baigiant galutiniu produkto vartotoju. Saugumo produktai yra kuriami tam, kad užtikrintų informacijos apsaugą, tačiau ne visuomet galutinis vartotojas net ir turėdamas gerą produktą sugebės tinkamai apsisaugoti. Tarkime ugniasienė praneša, jog blokuoja procesą SVCHOST.EXE, esantį My Documents aplanke. Ką tai sako vartotojui? Dažniausiai nieko, bet labiau pasikaustęs vartotojas žino, kad SVCHOST.EXE yra kažkoks sistemos komponentas (nes matau jį kasdien task manageryje), todėl jį reikia praleisti. Greičiausiai šis sprendimas nėra teisingas, bet kalba ne apie tai, kad priimtas blogas sprendimas, o apie tai, kad iš tikrųjų vartotojas neturėtų priiminėti tokio sprendimo: gera asmeninė ugniasienė turėtų pati priimti šį sprendimą prieš tai pasitardama su naudojama antivirusine programa bei „paklaususi“ viso interneto (t. y. kitų vartotojų, cloud computing‘o ar kitais būdais) ar jos sprendimas yra geras ar ne. Tas pats liečia ir kitus produktus – jungiantis per VPN vartotojui neturi rūpėti ar ten geras sertifikatas ar jo kompiuteris neatneš kokio užkrato į tinklą ir panašiai. Lygiai taip pat yra ir su programinės įrangos atnaujinimais – saugumo atnaujinimai turėtų ateiti nepastebimai ir nepriklausomai ar nori to vartotojas ar ne (Kai nežinai gyvent lengviau. Aišku, kartais atnaujinimai atneša naujų klaidų, dėl to sistemos ar programinė įranga ima nebeveikti, bet taip atsitinka labai retai ir yra sprendžiama įdiegiant senesnę programos versiją ar kažkokį pataisymo pataisymą. Be abejo, serveriuose tokia praktika netinka, nes ten yra kita programinės įrangos stabilumo kaina, tačiau įvertinkime ir tai, kad atitinkamus sprendimus priima sistemų administratorius – žmogus turintis didesnę kvalifikaciją nei vidutinis vartotojas. Bet net ir jam sprendimai turėtų būti palengvinami – naujai diegiama programinė įranga turėtų būti sukonfigūruota maksimaliai saugiai ir joje neturėtų būti mygtuko „disable all security features“. Deja, dažnai net ir esant geroms konfigūravimo galimybėms galioja Merfio dėsnis informacijos saugumui: „Saugumo ekspertu kaip ir krepšinio žinovu save laiko kas antras vartotojas“.
Kaip ir geras automobilis, saugumo sistemos mus turi perspėti dar prieš įvykstant blogam įvykiui – kitaip jos bus tiesiog bevertės: vargu ar mums labai reikalinga apsauga nuo slydimo tada, kai jau slystame artimiausio medžio link, teisinga saugumo sistema automobilyje mums tiesiog neduotų nuslysti. Visgi atsakomybės nukėlimas nuo vartotojo nėra vienintelis patogumo kriterijus projektuojant informacijos saugos sistemas. Pavyzdžiui, daugelis organizacijų naudojasi slaptažodžiais kaip pagrindine autentifikacijos priemone. Lygiai taip pat daugelis organizacijų turi ir elektronines praėjimo kontrolės sistemas, kuriose naudojamos ar magnetinės ar dažniau bekontaktės kortelės. Slaptažodžius be abejo esame priversti užsirašyti, nes jų yra daug ir jie sudėtingi. Dabar pas mus į ofisą ateina saugumo konsultantas ir sako, kad panaudojus elektroninį tokian tipo įrenginuką mums reikės prisiminti tik įrenginio slaptažodį, o visi kiti slaptažodžiai bus įrenginyje: taip laimima tikrai daug – slaptažodžiai yra talpinami saugioje vietoje, atsiranda antras autentifikacijos faktorius bei iš esmės sumažėja pagrindinio slaptažodžio kompleksiškumas. Iš saugumo pusės viskas yra gerai – saugumas padidėjo, patogumas irgi – įkišai įrenginį, paspaudei mygtuką, suvedei pin‘ą ir tu sistemoje. Bet ar tikrai mums pasidarė patogiau? Nes autentifikacijos priemonių iš esmės tai padaugėjo: turėjome praėjimo kontrolės kortelę, knygutę su slaptažodžiais, gal kelis slaptažodžius galvoje. Dabar turime praėjimo kontrolės kortelę, elektroninio prisijungimo token‘ą, knygutę su slaptažodžiais toms sistemoms kur negalimas prisijungimas su token‘u ir token‘o slaptažodį galvoje. Aišku šis pavyzdys šiek tiek dirbtinis, kadangi šiuolaikiniai autentifikacijos token raktai turi priemones, leidžiančias prisijungti prie sistemų kur jie nėra tiesiogiai palaikomi, bet mano tikslas buvo tiesiog pailiustruoti problemą – juk dažnai yra susigundoma integruoti dar kažkokią papildomą nesuderinamą technologiją, pvz. kažkoks atskiras one time pad įrenginys kokiai svarbiai sistemai, kuri atsirado organizacijoje dėl, pvz., kompanijų susijungimo ir vientisos IT plėtros politikos nebuvimo (plius, pvz., buhalteris turės atskirą generatorių priėjimui prie banko ir jo dėl objektyvių priežasčių negalima integruoti į bendrą katilą, kas sukelia nepatogumų). Akivaizdus patogumo klausimo sprendimas būtų ieškoti priemonių kurios integruotų tiek slaptažodžių klausimą tiek ir praėjimo kontrolės klausimą į vieną bendrą sistemą arba judėti link progresyvesnių technologijų, kokia pavyzdžiui yra biometrija, faktiškai leidžianti spręsti visas autentifikacijos problemas prie skenerio pridedant vis kitą kūno dalį.
Baigiant pamąstymą, norėtųsi pasakyti, kad pro atviras duris visuomet lengviau praeiti, dėl to šiuolaikinis pasaulis diktuoja mums savo sąlygas – be informacijos saugumo negalime apsieiti. Ir čia mes turime du kelius – palikti viską kaip yra arba mėginti realizuoti psichologinio priimtinumo principą, tam, kad mūsų sistemos būtų ne tik saugios, bet ir patogios naudoti, juk informacijos saugumas yra glaudžiai susijęs su žmogiškuoju faktoriumi. Netgi geriausios informacijos saugumo politikos ar apsaugos metodai gali būti pramušti ar apeiti jeigu vartotojas nuspręs, kad jų taikymas trukdo jo darbui, atnešančiam pinigus ir t. t. Todėl prieš renkantis, o juo labiau realizuojant konkretų saugumo mechanizmą reikia įsitikinti ar pritaikius šią priemonę bus išlaikomas tam tikras balansas tarp informacijos saugumo ir patogumo naudotis, plius reikia žiūrėti ir šiek tiek į ateitį – juk galime nuspėti kokios technologijos bus integruojamos už kelių metų ir ar nebus taip, kad vartotojas liks apkabinėtas visokiomis saugumo priemonėmis ir didelį savo darbo laiko procentą skirs autentifikacijai, virusų blokavimui, ugniasienių derinimui ir saugumo pranešimų skaitymui iš dar kažkokios įvykių monitoringo sistemos. Plius į viską visada galima pažiūrėti pro kaštus – dažnai racionalu rinktis technologiją, kuri bus aktuali ir po 5–10 metų, tačiau investicijos šiam momentui bus sąlyginai didelės ir išsitiesins per ilgą laiką, o ne paslaptis, kad būna taip, jog problemą reikia išspręsti greitai ir tai tenka padaryti labiau trumpalaikėmis priemonėmis, be didelių investicijų, tačiau rezultate ta sistema bus prasčiau integruojama ar mažiau patogi. Lieka tikėtis, kad laikui bėgant tiek saugumo sprendimų kūrėjai tiek ir mes patys daugiau dėmesio skirsim ne tik naujausiems saugumo metodams, bet ir tokiems „elementariems“ dalykams – patogumui ir praktiškumui.
