Przestańcie zwalać winę na użytkowników. Ekspertka mówi, dlaczego to producenci odpowiadają za ataki w sieci

Trzeba szybko wyciągnąć kieliszki z szafek i przekąski z lodówki, bo za pięć minut przychodzą goście. Dziecko dopiero co zasnęło, więc nową elektroniczną niańkę trzeba uruchomić. Na szczęście producent ułatwia zadanie - kilka chwil i można się cieszyć monitoringiem dziecięcej kołyski, rozmawiając (wreszcie!) z dorosłymi. 

Nie ma co liczyć na to, że szczęśliwy posiadacz nowej elektrycznej niani zmieni ustawione przez producenta sprzętu domyślne hasło, bo w instrukcji obsługi przeczytał, że inaczej jego sprzęt nie jest zabezpieczony przed cyberatakami. On tej instrukcji nawet nie wyjmie z pudełka. A jeśli ją wyjmie, to tylko po to, żeby wyciągnąć leżący pod nią kabel. 

Od lat jak mantrę powtarza się hasło mówiące, że najsłabszym ogniwem systemów bezpieczeństwa są ludzie. Być może to prawda, ale czy tak musi być? Christine Bejerasco CISO (Chief Information Security Office, czyli szefowa bezpieczeństwa informacji) w firmie WithSecure twierdzi, że twórcy nowych rozwiązań powinni krytycznie przyjrzeć się zaszytym w swoich produktach rozwiązaniom, zanim zaczną obrażać się na to, że ludzie… są ludźmi. 

A to nie jedyny kontrowersyjny pogląd Bejeresco. Ekspertka uważa też, że obowiązek zapewnienia użytkownikowi bezpieczeństwa, w tym cyberbezpieczeństwa, należy  wymusić na firmach przepisami. Chwali RODO i z niecierpliwością czeka na AI act. Jak przekonuje, nasze życie toczy się tak samo w świecie wirtualnym, jak i realnym, a państwo ma obowiązek chronić obywatela wszędzie, gdzie ten się znajduje. 

Więcej tekstów na temat bezpieczeństwa znajdzie na Spider's Web:

Jesteś orędownikiem stwierdzenia, które bardzo mi się podoba: "Przestańmy obwiniać ludzi za nasze źle zaprojektowane systemy bezpieczeństwa".

Też uwielbiam to hasło! Od ponad dekady słyszę, że to ludzie są najsłabszym ogniwem w systemach bezpieczeństwa. Za każdym razem, kiedy ktoś z branży jeszcze raz to powtarza, pytam, czy zaprojektował swoją technologię lub oprogramowanie tak, żeby skutecznie współpracowała z ludźmi, brała pod uwagę, jak ludzie działają i uwzględniała podstawy psychologii.

Zgadnę, że odpowiedź jest zwykle przecząca.

Pozwól mi cofnąć się do etapu projektowania technologii. Większość technologii, nawet w cyberbezpieczeństwie, jest projektowana przez inżynierów. My nie myślimy o psychologii człowieka, kiedy coś budujemy. Myślimy w kategoriach - to jest problem, to jest rozwiązanie. Wdrażamy więc po prostu rozwiązanie i wypuszczamy na rynek produkt, który trafia do ludzi.

A potem jesteśmy wściekli i powtarzamy RTFM! (akronim od słów read the fucking manual, czyli przeczytaj tę pieprzoną instrukcję - przyp. red). Ale w życiu codziennym nie chodzi o czytanie pieprzonej instrukcji. Apple to zrozumiało i dlatego, kiedy dostajesz swojego iPhone'a, konfigurujesz go, a potem nie musisz czytać żadnej instrukcji.

Pomyślmy o tych urządzeniach IoT, które gdy tylko je skonfigurujesz, mają już ustawione domyślne hasło. To oznacza, że osoby, które nie będą chciały poświęcać dużo czasu na konfigurację sprzętu, po prostu podłączą go i będą używać w swoim domu. To prowadzi do takich ataków jak w 2016 roku, gdy złośliwe oprogramowanie Mirai wykorzystywało używane przez producentów sprzętów IoT domyślne hasła i nazwy użytkowników do przejmowania kontroli nad urządzeniami.

Ale gdyby ludzie, podłączając swoje inteligentne urządzenia, byli zmuszeni do zmiany od razu hasła, i urządzenia nie działałyby, dopóki użytkownik nie wprowadzi własnej nazwy i hasła, to wtedy byłoby to projektowanie z uwzględnieniem podstawowej psychologii człowieka. Ludzie chcą, żeby to, co właśnie kupili, działało, więc będą przechodzić przez kroki konfiguracji, dopóki nie osiągną sukcesu.

Brzmi jak bardzo proste rozwiązanie.

Wiem! Próbuję przekonywać, że gdybyśmy poświęcili trochę więcej czasu na myślenie, jak naprawdę działają ludzie, jak współdziałają z technologią, jak wykonują swoją pracę na co dzień, być może projektowalibyśmy bezpieczniejsze technologie, zamiast obwiniać ludzi i mówić, że powinni czytać instrukcje i zmieniać hasła.

Działy marketingu często robią testy przed wprowadzeniem na rynek produktu. Mają pomóc im dopracować różne rozwiązania, wybrać najlepsze opakowania, etc. Nie istnieją podobne badania robione z użytkownikami, ale dotyczące bezpieczeństwa?

Szczerze mówiąc, jeszcze nie widziałem takich badań, ale na pewno musi istnieć coś takiego, bo o projektowaniu z myślą o bezpieczeństwie (secure by design) mówi się od dawna. W naszych projektach taką rolę pełnią konsultanci współpracujący blisko z klientem i mający z nimi regularnie kontakt. To przede wszystkim programiści zajmujący się bezpieczeństwem, ale tacy, którzy mogą na własne oczy zobaczyć, jak ludzie pracują z technologią, którą im dostarczamy, i iterować razem z nimi, jeśli coś nie działa w praktyce.

Czym dokładnie są zasady projektowania z myślą o bezpieczeństwie?

W skrócie chodzi o budowanie technologii, która jest łatwa w użyciu i trudna do nadużycia w kontekście cyberbezpieczeństwa. Technologie projektowane z myślą o bezpieczeństwie są zwykle testowane i projektowane przez osoby, które wiedzą, jak myślą atakujący.

Według mnie takie myślenie powinno jednak wykraczać poza samą technologię. Projektowanie z myślą o bezpieczeństwie powinno być zasadą, według której projektujemy również nasze procesy i budujemy nasze organizacje.

Jeśli projektujemy proces fakturowania, powinniśmy od razu zastanowić się, jak wpleść zasady projektowania z myślą o bezpieczeństwie w ten proces. Kiedy myślimy o naszym łańcuchu dostaw, dbamy o to, żeby mieć prawo do audytu naszych dostawców i żeby nasze umowy obejmowały konkretne wymagania dotyczące cyberbezpieczeństwa. Wprowadzamy więc bezpieczeństwo cybernetyczne do naszych procesów zakupowych i zarządzania dostawcami i  współpracujemy tylko z tymi, którzy faktycznie dbają o cyberbezpieczeństwo. Kiedy myślimy od razu o cyberbezpieczeństwie, nie musimy potem dodawać szeregu technologii, które nas dodatkowo zabezpieczają.

Mam nadzieję, że takie myślenie nabierze rozpędu. My, jako firma, nie mamy tak dużego wpływu na rynek, ale na szczęście pomagają nam niektóre regulacje, które wymuszają myślenie o zabezpieczeniach, na przykład RODO.

Ale dążenie do bezpieczeństwa to nie jest uniwersalna tendencja. Weźmy na przykład najpopularniejszą technologię ostatnich miesięcy - Chata GPT. On raczej nie jest zaprojektowany przede wszystkim z myślą o bezpieczeństwie.

Nie, zdecydowanie nie. Szczerze mówiąc, większość technologii, które zbudowaliśmy w ciągu ostatnich 20 lat, nie została zaprojektowana z myślą o bezpieczeństwie. Ludzie skupiają się na funkcjach. Projektujemy funkcje, testujemy funkcje, wypuszczamy funkcje na rynek. A potem organizujemy programy bug bounty, bo gdzieś odkryto podatność, naprawiamy luki, wdrażamy poprawki. To marnotrawstwo, któremu można zapobiec już na etapie projektowania. 

Mimo to niektóre firmy dochodzą do wniosku, że bardziej im się opłaca podążanie ścieżką, którą opisujesz. Zostańmy przy Chacie GPT - Open AI wypuściło swój produkt na rynek wcześniej, niż planowało, i zostało za to sowicie nagrodzone darmową reklamą w mediach. To ogromna zachęta do myślenia w kategoriach "chrzanić bezpieczeństwo, chcemy być pierwsi na rynku".

A OpenAI nie jest wyjątkiem, większość branży IoT miało podejście "chrzanić bezpieczeństwo, chcemy mieć pierwsi tego smart misia". Pytanie, jak długo potem na rynku zostaniesz. Microsoft i jego system operacyjny są dowodem na to, że nie można zostawić czegoś, co jest super popularne i pełne dziur bez naprawiania. W końcu za nie i tak zapłacisz. Teraz Windows jest znacznie bezpieczniejszy, ale dojście do tego to był bardzo długi proces. I bardzo kosztowny.

Firmy wdrażające nowe technologie mają wiele przykładów, na których mogłyby się uczyć lepszego podejścia do bezpieczeństwa, ale wiele z nich woli odwlekać inwestowanie w nie. I w tym miejscu widzę przestrzeń dla regulacji i rządów. Od około 20 lat mówimy o potrzebie położenia większego nacisku na cyberbezpieczeństwo, ale coś naprawdę zaczęło się dziać w tym kierunku i w kierunku zwiększenia prywatności użytkowników, dopiero kiedy wprowadzono w życie RODO.

Ludzie zaczęli myśleć o tym, co robią, zostali choćby zmuszeni do zdefiniowania odpowiednio wszystkich plików cookies z różnych miejsc. Te regulacje są naprawdę skuteczne. Sektor prywatny nie jest w stanie narzucić takich standardów i egzekwować ich przestrzegania, dlatego rząd ma tu tak dużą rolę do odegrania. Teraz czekamy na AI Act.

Czyli nie jesteś z tych przekonanych, że branża sama się ureguluje?

Początkowo myślałem, że tak będzie, że przecież wspólnie budujemy nasze społeczeństwo cyfrowe i chcemy dla niego jak najlepiej. Ale teraz szczególnie przy tym nacisku na szybkie wyniki, w erze startupów, kiedy zawsze musisz być pierwszy, musisz się wyróżnić, musisz działać szybko. To są priorytety, a nie jakieś wydatki na cyberbezpieczeństwo.

Ostatecznie uważam, że rola rządu w ochronie obywateli musi się zwiększyć. Zarówno w świecie fizycznym jak i cyfrowym. Rozumiem, że samym rządom trudno zapewnić ochronę bez partnerstwa z sektorem prywatnym, ale motywacja do ochrony obywateli musi pochodzić z sektora publicznego.

Jednym z najpopularniejszych sposobów ochrony przed dezinformacją było sprawdzanie źródeł. ChatGPT nie podaje źródeł. Jak się przed tym chronić?

Jeśli na przykład ChatGPT jest zatruty i zestawy treningowe zostały wykorzystane w kampanii dezinformacyjnej, a ta dezinformacja się rozprzestrzenia, może to być naprawdę niebezpieczne. Jeśli ludzie mu ufają od samego początku…

A ufają.

Teraz tak, ale to się może zmienić. Kiedy e-mail był nowy i wysyłano kampanie marketingowe, miały 90% wskaźnik kliknięć. Teraz ten wskaźnik wynosi około jeden procent. Kiedy jest nowa technologia, ludzie myślą: "Wierzę w to, to jest prawda", ale te rzeczy zmieniają się z czasem.

Ludzie będą w stanie wyczuć, że coś wygląda podejrzanie i w to nie uwierzą. Ale będziemy musieli ewoluować razem z ChatemGPT i tym jak się rozwija. Więc na początku będzie raczej niebezpiecznie. ChatGPT to bajarz - jeśli czegoś nie wie, to zmyśla. Może w przyszłości będziemy właśnie tak o tym myśleć, jak o maszynie do opowiadania historii. Wtedy nie będziemy myśleć o nim jako o źródle prawdy.