UKC Ljubljana naj bi uvajal dodatne omejitve: blokado zasebne e-pošte, zunanjih AI orodij in različnih spletnih storitev na službenih računalnikih. Nekako logično za kritično infrastrukturo. A to ne reši dileme, ali prepovedi lahko odpravijo tveganja, ali jih zgolj preselijo nekam izven nadzora.
Danes sem na LinkedInu prebral zapis, ki to dilemo odpre premišljeno in brez ideološkega naboja. Avtorica pozdravlja logiko informacijske varnosti v kritični infrastrukturi, a opozarja na temeljno napetost: prepovedi praviloma ne odpravijo tveganja, temveč ga preselijo iz nadzorovanega okolja na zasebne naprave — kjer organizacija nad njim nima več nobenega vpliva.
Poleg tega v taki odločitvi ne vidi le varnostnega, ampak razvojno sporočilo: organizacije, ki danes ne iščejo načinov za varno uporabo AI, si zapirajo vrata za dolgoročno konkurenčnost.
Njeno sklepanje: zrela informacijska varnost ni v prepovedih, ampak v pravilih in upravljanju — in tu se po njenem pokaže ključna razlika med pristopom zasledovanja skladnosti in pristopom zmanjševanja tveganj.
. . .
Tu bi bilo smiselno stopiti še korak dlje — zdi se mi, da je za prepovedmi pogosto skrita odločitev, ki ni tehnična. Da gre bolj za odločitev, kdo v organizaciji sploh sme postaviti vprašanje ‘zakaj‘.
Ko zid postane past
Ob branju sem se spomnil ene tistih zgodb, ki se zdijo oddaljene, pa so bližje, kot bi želeli.
Prijateljica je pred leti sodelovala v neki mednarodni delovni skupini, ki se je ukvarjala z izzivom somalijskih priseljencev v Dubaju — ogromne kulturne razlike, napetosti, brez enostavnih odgovorov.
Filozofija skupine je bila preprosta, a radikalna: bolje je priseljence sprejeti in jih usmerjati pri vključevanju in prilagajanju, kot pa postaviti zid in ga braniti. Zid namreč — ko pritisk postane dovolj velik — slej ko prej popusti.
Tisti, ki ga podrejo, pa praviloma pridejo z noži, ne z namenom, da se prilagodijo.
Ob tem velja sicer omeniti zanimivo podrobnost: ko želiš drugam, ker je tam bolje, najbrž ni najbolje, da njih siliš na svoj nivo. Ker po navadi ravno zato tam stvari delujejo drugače. Kdor s seboj prinese navade in življenje, pred katerim beži, prav s tem sili v enako stanje, kot ga je zapustil.
In kaj ima to skupnega z blokadami na službenih računalnikih? Več, kot se zdi na prvi pogled.
Prepoved je zid. In zidovi imajo eno skupno lastnost: ne rešijo problema, ampak ga samo prestavijo. Zaposleni, ki je vajen uporabljati GPT-ja, ga s prepovedjo ne bo nehal uporabljati. Bo pač vzel telefon ali svoj osebni računalnik in s tem poskusil rešiti “svoj (službeni) problem”.
Se tveganje s tem zmanjša? Ne — je zgolj prestavljeno iz vidnega polja — organizacije, ne pa napadalcev.
Tu lahko v širši razmislek dodam še en vidik, ki ga pogosto spregledamo.
Obstaja zanimiva študija iz področja prometne varnosti — eden tistih primerov, ki sprva deluje neintuitivno.
V študiji so ugotovili, da je prometna varnost v nekontroliranih križiščih — brez semaforjev, tabel in znakov — znatno višja kot v visoko reguliranih. Razlog? Ko se nam na semaforju prižge zelena luč, skorajda nihče več ne pogleda levo in desno.
Semafor nam tako daje lažen občutek varnosti. Ta občutek varnosti pa nas naredi manj pozorne. Varno kontrolirano okolje torej ne ustvari razsodnih ljudi — ampak odvisnih od kontrol.
Enako logiko vidim pri organizacijah, ki izziv prisotnosti zaposlenih na internih izobraževanjih rešijo tako, da to vpišejo v sistemizacijo delovnih mest. Zaposleni pridejo — njihova prisotnost številčno višja, miselno pa skoraj praviloma nižja.
Zahteva lahko ustvari telo na stolu, ne pa radovednosti v glavi.
In tu pridemo do dveh vprašanj, ki se ju organizacije nerade vprašajo, sploh na glas.
Kaj je danes največji vektor informacijsko-varnostnih napadov?
Ne ranljivost v sistemu, ne zastarela programska oprema. Človek, phishing, socialni inženiring – klik na napačno povezavo, geslo, ki ga zaposleni deli s kolegom, ker ‘saj ne bo nič narobe’, priložnostni pogovor v dvigalu, ki razkrije več, kot bi smel.
In drugo: koliko sredstev organizacije namenjajo temu ‘informacijskemu viru‘ — torej ljudem — v primerjavi z ostalimi tehničnimi rešitvami?
Odgovor je v večini organizacij znan; in neprijeten.
Tehnične rešitve so otipljive. Imajo ceno, dobavitelja, račun. Varnostno kopiranje, firewall, MDM sistem — investicije, ki jih je mogoče pokazati na tabli.
Ozaveščanje, kultura, motivacija zaposlenih — so pa ‘mehke veščine’, ki jih še danes mnogo vodstev ne upošteva. Pa še težko merljive, brez znanega donosa.
Pa ravno te mehke veščine odločajo, ali bo naslednji napad uspel ali ne. Navsezadnje je tudi pri napadih na tehnična sredstva skoraj vedno (vsaj posredno kriv) človeški faktor.
Avtorica ima prav: razlika med pristopom zasledovanja skladnosti in pristopom zmanjševanja tveganj je strateška, ne samo tehnična. Samo, jaz bi šel tu še korak dlje.
Preden se organizacija vpraša, katera orodja so dovoljena, bi se morala vprašati: ali naši zaposleni razumejo, zakaj so nekatera tvegana? Ne zato, ker tako piše v pravilniku. Ampak zato, ker jim je to nekdo razložil na način, ki jim je bil smiseln in razumljiv.
Zaposlene je — podobno kot male otroke — mogoče motivirati ali pa krotiti. Razlika med obema pristopoma je dolgoročna. Ukročeni zaposlen bo spoštoval pravila, dokler ga bo nekdo nadziral. Motivirani pa bo razmišljal in razumel — tudi takrat, ko nadzora ni.
Motivacija ne pride prek prepovedi. Pride prek zgodb, ki gradijo razumevanje in ustvarijo vtis, ki ga možgani shranijo kot izkušnjo.
. . .
Trajnejši odgovor torej ni prepoved, ampak strukturirano ozaveščanje za razumevanje: ocena tveganj, jasna pravila uporabe, tehnični varnostni mehanizmi tam, kjer so smiselni. In zelo pomembno — odločitev vodstva, kdo v organizaciji sme postaviti vprašanje “zakaj?”
Za primer: takrat prebojno tehnologijo digitalne fotografije je iznašel eden od zaposlenih v Kodaku. Organizacija pa se je odločila, da bo vprašanje ‘zakaj ne?’ raje preslišala; ker bi ogrozilo obstoječi red.
To ni bila tehnična odločitev. Ampak odločitev vodstva, kdo v organizaciji sme spraševati — in s tem odločitev o tem, kam organizacija gleda. Kodak so ta in podobne odločitve 37 let kasneje pripeljale do stečaja.
Borut Kmetič
Poklicno se ukvarjam s področjem informacijske varnosti — od načrtovanja in uvedbe sistemov varovanja informacij do presojanja skladnosti z mednarodnimi standardi.
Kot zunanji svetovalec organizacijam pomagam, da varnost ni le obveznost, ampak del zrele poslovne kulture.
Zasebno pa se posvečam vprašanju, ki me zanima enako globoko: kako živeti bolje. Biohacking, sistemsko razmišljanje, eksponentne organizacije, prebojne ideje in tehnologije, ki oblikujejo prihodnost. Prepričan sem, da dobro življenje ni naključje — ampak sad zavestnih odločitev in poguma, da jih tudi živiš.
Borut@SmartAssets.it
Borut@Medium
