Homo Homini Lupus est, tak brzmi sławna sentencja, czyli człowiek człowiekowi wilkiem. Wszystko wina tych bezczelnych hakerów. Jakieś dwa tygodnie temu na Linkedin bardzo dużym echem odbiła się historia pewnego człowieka, który Prawie Stracił Wszystkie Pieniądze (link). Można by pomyśleć, że historia jak każda inna, ktoś metodą na Bank, Wnuczka czy Policjanta próbuje wyłudzić nasze pieniądze. Czemu zatem ta historia stała się tak popularna? Moim zdaniem są dwa powody:
Raz – opowiada o niej młody człowiek - ofiara.
Dwa – opowiada o wykorzystaniu technologii do złych zamiarów a to wiemy sprzedaje się najlepiej.
Niestety.
Coraz częściej przeglądając wiadomości można się natknąć na informacje, że technologia zrobiła komuś krzywdę. Jeden z najbardziej chwytliwych tytułów jaki ostatnio znalazłem to, że ChatGPT namówił kogoś do samobójstwa. Szkoda tylko, że nikt nie wspomniał o fakcie, że AI pozwoliło już uratować życie kilku jak nie kilkudziesięciu tysięcy osób dzięki identyfikacji wczesnego stadium nowotworów złośliwych. Jak już wcześniej wspominałem to tylko narzędzie, sposób w jaki go wykorzystamy zależy całkowicie od nas. No i tu powracamy do pytania „Czyja wina?”
Historia z Linkedin jest właśnie takim przykładem, ktoś wykorzystuje narzędzia pt. Bramka SMS do wysyłania wiadomości przez podszywających się, w tym przypadku pod bank PKO, przestępców. Jeśli pamiętacie, bramki SMS były bardzo popularne jakieś 20 lat temu, bo pozwalały bez kosztowo wysłać do kogoś wiadomość, gdy np. nasz limit na SMS-y się już skończył. Dziś ta sama technologia, która miała nam uławiać życie, działa przeciwko nam. I tu chyba trzeba się zwrócić do wytwórców technologii, aby w końcu wzięli odpowiedzialność za swoje narzędzia, i oczywiście nie chodzi mi o fakt, że ktoś niewłaściwie używa tych narzędzi, tylko o to, że producenci świadomie lub nieświadomie (już nie wiem co gorsze) nie budują mechanizmów zabezpieczających przed niewłaściwym wykorzystaniem.
W 2016 roku hakerzy wykorzystując urządzenia podpięte do Internetu takie jak kamery IP, nagrywarki video czy zwykłe routery domowe, przeprowadzili największy w historii atak DDoS (Distributed Denial of Service) blokując całkowicie dostęp do takich serwisów jak Netflix, Spotify czy Twitter. Skoro taki atak był możliwy już 7 lat temu, to boje się pomyśleć jaki atak można by było przeprowadzić dzisiaj z 22 miliardami urządzeń, typu odkurzacz czy inteligentny robot kuchenny, podpiętymi do Internetu. Ciekaw jestem, ile z was zmieniło domyślne hasło do waszego routera, o ile w ogóle macie taką możliwość, bo korzystacie z urządzeń dostarczonych przez waszych operatorów.
I tu dochodzimy do punktu bez odwrotu. My jako użytkownicy, w większości musimy zaufać naszym dostawcom, pytanie tylko czy oni robią wszystko co w ich mocy, aby zapewnić nam bezpieczeństwo skoro tak łatwo jest przejąć takie właśnie urządzenia. Co gorsza, coraz ciężej dostać urządzenia nie podłączone do Internetu. Zapewne większość ludzi na świecie nie ma takich narzędzi ani zdolności, aby przeprowadzić podstawowy skan podatności urządzeń podłączonych do naszych sieci, a co dopiero przeprowadzić analizy kodu oprogramowania używanego do sterowania tych wszystkich urządzeń.
Ostatnio zgłębiając tematykę odpowiedzialności społecznej (CSR – Corporate Social Responsibility) chciałem się dowiedzieć jakie wartości wpisują firmy technologiczne, i czy w ogóle są jakieś wzmianki o bezpieczeństwie.
Microsoft
Wierzymy, że wzrost gospodarczy powinien sprzyjać włączeniu społecznemu — dla każdej osoby, organizacji, społeczności i kraju. Zaczyna się to od zwiększania dostępu do umiejętności i możliwości cyfrowych, a kończy na zlikwidowaniu przepaści danych i wspieraniu zdrowia publicznego.
Jednoznacznie wspieramy podstawowe prawa człowieka, od obrony demokracji i ochrony praw człowieka, przez zwalczanie niesprawiedliwości i nierówności rasowej, po zapewnienie dostępu do łączy szerokopasmowych i dostępnych technologii — bez których ludzie nie mają dostępu do edukacji, pracy, opieki zdrowotnej i nie tylko.
Zmiana klimatu jest kwestią definiującą nasze pokolenie, a rozwiązanie jej wymaga szybkich, wspólnych działań i innowacji technicznych. Nakreśliliśmy ambitne zobowiązania i szczegółowe plany ich realizacji, a także pomagamy innym w ustalaniu i osiąganiu własnych celów klimatycznych.
W firmie Microsoft jesteśmy optymistycznie nastawieni do korzyści płynących z technologii, ale jasno określamy wyzwania. Aby wywrzeć pozytywny wpływ na technologię, ludzie muszą mieć zaufanie do technologii, z których korzystają firmy za nimi.
Apple
Od 2020 roku jesteśmy neutralni pod względem emisji dwutlenku węgla w naszej działalności korporacyjnej. Opierając się na tym osiągnięciu, postawiliśmy sobie ambitny i pilny cel, aby do 2030 r. wytwarzać produkty neutralne pod względem emisji dwutlenku węgla. A nasza zielona chemia i innowacje w zakresie recyklingu zbliżają nas bardziej niż kiedykolwiek do dnia, w którym nasze produkty będą wytwarzane bez zabierania ziemi.
W Apple każdego dnia pracujemy nad tym, aby ludzie byli na pierwszym miejscu — wyposażając ich w dostępną technologię, działając na rzecz równości i możliwości, tworząc integracyjne i zróżnicowane środowisko pracy oraz szanując prawa człowieka wszystkich osób, których życia dotykamy.
Osadzamy przejrzystość i odpowiedzialność na każdym poziomie naszej firmy. Zarząd i struktura zarządcza Apple pomagają wspierać pryncypialne działania, świadome i skuteczne podejmowanie decyzji oraz odpowiednie monitorowanie naszej zgodności i wyników.
Google
Dekarbonizujemy nasze zużycie energii, abyśmy do 2030 roku mogli korzystać z energii bez emisyjnej wszędzie, 24 godziny na dobę, 7 dni w tygodniu.
Naszą ambicją jest maksymalizacja ponownego wykorzystania ograniczonych zasobów w naszych operacjach, produktach i łańcuchach dostaw oraz umożliwienie innym robienia tego samego.
Do 2030 roku uzupełnimy 120% zużywanej przez nas wody i aktywnie wspieramy bezpieczeństwo wodne i ekosystemy tam, gdzie działamy.
Trzech gigantów - ani jeden nie wspomniał chociaż raz o tym, aby ludzie czuli się bezpiecznie korzystając z ich produktów. Najbliżej jest Microsoft, który chce, aby ich klienci mogli ufać technologii. Drugi w kolejce jest Apple, który na swojej stronie poniżej swoich kluczowych wartości wskazuje na prywatność. Google niestety za nic ma nasze bezpieczeństwo. Oczywiście wszystkie 3 firmy inwestują niesamowite pieniądze w cyberbezpieczeństwo. Z drugiej strony wszystkie trzy firmy produkują najbardziej dziurawe produkty:
Microsoft - 24242 wykrytych podatności
Apple - 12341 wykrytych podatności
Google - 7773 wykrytych podatności
Aż strach pomyśleć jak dziurawe są inteligentne lodówki Samsunga czy odkurzacze Roomba. Można by rzec, że w kwestiach cyberbezpieczeństwa, jesteśmy zdani na łaskę producentów technologii. Trochę smutny obraz przyszłości nam się kreuje. Czy firmy technologiczne zasługują na krytykę? Osobiście myślę, że tak. Czy naprawdę potrzebujemy co roku nowego modelu iPhone ’a? Microsoft obecnie na swojej roadmapie posiada prawie 600 nowych produktów i funkcjonalności. Cykl życia produktów technologii jest zjawiskowo krótki. Przewidywalna żywotność smartfonów to maximum trzy lata. Dobrze zachowany laptop powinien przetrwać raptem pięć lat. Zapewne sami się zderzyliście ze stwierdzeniem, że AGD to działa przez okres gwarancji, bo dzień po wygaśnięciu gwarancji się psuje, tak jakby producenci technologii specjalnie programowali żywotność swoich produktów, aby tylko napędzić sprzedaż nowych produktów. Przy tym tempie wprowadzania nowych produktów na rynek nic dziwnego, że cyberbezpieczeństwo jest na szarym końcu, bo najważniejsza jest funkcjonalność. Co ciekawe, jeśli wczytacie się we wcześniej wspomniane strategie CSR, jest bardzo duży nacisk na bycie Eco. No tak, ale skoro producenci są Eco, to czy to oznacza, że ich produkty też są Eco? No, przy tak krótkiej żywotności produktów technologicznych jest to bardzo wątpliwe.
Czy zatem jesteśmy skazani na życie w cyberniebezpiecznym świecie, skoro postęp technologiczny jest napędzany wszechobecnym konsumpcjonizmem? Jak ciemny byłby ten tunel to jednak jest jakieś światełko na jego końcu i nie chodzi mi tu o lokomotywę. Jako klienci mamy dość mały wpływ na to jak funkcjonują firmy, no bo jak tu nie korzystać ze zdobyczy technologii. Mamy za to dość duży wpływ na inne aspekty życia w tym kluczowa edukacja. Na prestiżowym kierunku informatyka na Polsko-Japońskiej Akademii Technik Komputerowych jest uwaga 30 godzin wykładów i 30 godzin ćwiczeń o bezpieczeństwie informatycznym na 4 letnich studiach stacjonarnych. W całej Europie jest zaledwie kilkanaście uczelni, gdzie można wybrać jako kierunek studiów cyberbezpieczeństwo. Może zatem warto wprowadzić więcej elementów bezpieczeństwa na takich właśnie kierunkach. Wiedza o cybersecurity nie jest niczym tajemnym i warto ją wprowadzać już na początku edukacji.
Nasuwa mi się pewne porównanie. Zapewne kojarzycie testy zderzeniowe i ranking NCAP. Zobaczcie, że w przypadku samochodów to człowiek jest w centrum bezpieczeństwa nie produkt. Produkt jakim jest samochód ma chronić kierowcę, pasażerów, a w tej chwili nawet i otoczenie. Czemu zatem technologia podłączana do Internetu nie może być podobnie testowana? Skoro wszystkie produkty technologiczne przechodzą bardzo rygorystyczne testy jakościowe, aby były dopuszczone do sprzedaży to czemu ich zawartość nie jest – czytaj czemu produkt nie zostanie przetestowany pod kątem cyberbezpieczeństwa zanim zostanie dopuszczony do obrotu? Może wtedy faktycznie produkty technologiczne będą człowieko-centryczne?
Jeśli podoba Ci się ten tekst nie zapomnij się zapisać