Komentarze: 0
Historia Rifkina jest dowodem na to, jak złudne może być nasze poczucie bezpieczeństwa. Podobne incydenty — może nie dotyczące 10 milionów dolarów, niemniej jednak szkodliwe — zdarzają się codziennie. Być może w tym momencie tracisz swoje pieniądze lub ktoś kradnie Twoje plany nowego produktu i nawet o tym nie wiesz. Jeżeli coś takiego nie wydarzyło się jeszcze w Twojej firmie, pytanie nie brzmi, czy się wydarzy, ale kiedy. Instytut Bezpieczeństwa Komputerowego w swoich badaniach z 2001 roku, dotyczących przestępstw komputerowych, stwierdził, że w ciągu roku 85% ankietowanych organizacji odnotowało naruszenie systemów bezpieczeństwa komputerowego. Jest to zdumiewający odsetek: tylko piętnaście z każdych stu firm mogło powiedzieć, że nie miało z tym kłopotów. Równie szokująca jest ilość organizacji, która zgłosiła doznanie strat z powodu włamań komputerowych — 64%. Ponad połowa badanych firm poniosła straty finansowe w ciągu jednego roku. Moje własne doświadczenia każą mi sądzić, że liczby w tego typu raportach są przesadzone. Mam podejrzenia co do trybu przeprowadzania badań, nie świadczy to jednak o tym, że straty nie są w rzeczywistości wielkie. Nie przewidując tego typu sytuacji, skazujemy się z góry na przegraną. Dostępne na rynku i stosowane w większości firm produkty poprawiające bezpieczeństwo służą głównie do ochrony przed atakami ze strony amatorów, np. dzieciaków zwanych script kiddies, które wcielają się w hakerów, używając programów dostępnych w sieci, i w większości są jedynie utrapieniem. Największe straty i realne zagrożenie płynie ze strony bardziej wyrafinowanych hakerów, którzy mają jasno określone zadania, działają z chęci zysku i koncentrują się podczas danego ataku na wybranym celu, zamiast infiltrować tyle systemów, ile się da, jak to zwykle robią amatorzy. Przeciętni włamywacze zwykle są nastawieni na ilość, podczas gdy profesjonaliści są zorientowani na informacje istotne i wartościowe. Technologie takie jak uwierzytelnianie (sprawdzanie tożsamości), kontrola dostępu (zarządzanie dostępem do plików i zasobów systemowych) i systemy detekcji intruzów (elektroniczny odpowiednik alarmów przeciwwłamaniowych) są nieodzownym elementem programu ochrony danych firmy. Typowa firma wydaje dziś jednak więcej na kawę niż na środki zabezpieczające przed atakami na systemy bezpieczeństwa. Podobnie jak umysł kleptomana nie może oprzeć się pokusie, tak umysł hakera jest owładnięty żądzą obejścia systemów zabezpieczających. Hakerzy potwierdzają w ten sposób swój intelektualny kapitał.
Kto stanowi największe zagrożenie bezpieczeństwa kapitału firmy? Odpowiedź jest prosta: socjotechnik — pozbawiony skrupułów magik, który, gdy patrzysz na jego lewą rękę, prawą kradnie Twoje tajemnice. Do tego często bywa tak miły, elokwentny i uprzejmy, iż naprawdę cieszysz się, że go spotkałeś. Spójrzmy na przykład zastosowania socjotechniki. Niewielu dziś pamięta jeszcze młodego człowieka, który nazywał się Stanley Mark Rifkin, i jego przygodę z nieistniejącym już Security Pacific National Bank w Los Angeles. Sprawozdania z jego eskapady różnią się między sobą, a sam Rifkin (podobnie jak ja) nigdy nie opowiedział swojej wersji tej historii, dlatego zawarty tu opis opiera się na opublikowanych informacjach. Któregoś dnia roku 1978 Rifkinowi udało się dostać do przeznaczonego tylko dla personelu pokoju kontrolnego przelewów elektronicznych banku Security Pacific, z którego pracownicy wysyłali i odbierali przelewy na łączną sumę miliarda dolarów dziennie. Pracował wtedy dla firmy, która podpisała z bankiem kontrakt na stworzenie systemu kopii zapasowych w pokoju przelewów na wypadek awarii głównego komputera. To umożliwiło mu dostęp do procedur transferowych, łącznie z tymi, które określały, w jaki sposób były one zlecane przez pracowników banku. Dowiedział się, że osoby upoważnione do zlecania przelewów otrzymywały każdego ranka pilnie strzeżony kod używany podczas dzwonienia do pokoju przelewów. Urzędnikom z pokoju przelewów nie chciało się zapamiętywać codziennych kodów, zapisywali więc obowiązujący kod na kartce papieru i umieszczali ją w widocznym dla nich miejscu. Tego listopadowego dnia Rifkin miał szczególny powód do odwiedzin pomieszczenia. Chciał rzucić okiem na tę kartkę. Po pojawieniu się w pokoju zwrócił uwagę na procedury operacyjne, prawdopodobnie w celu upewnienia się, że system kopii zapasowych będzie poprawnie współpracował z podstawowym systemem, jednocześnie ukradkiem odczytując kod bezpieczeństwa z kartki papieru i zapamiętując go. Po kilku minutach wyszedł. Jak później powiedział, czuł się, jakby właśnie wygrał na loterii. Po wyjściu z pokoju, około godziny 15:00, udał się prosto do automatu telefonicznego w marmurowym holu budynku, wrzucił monetę i wykręcił numer pokoju przelewów. Ze Stanleya Rifkina, współpracownika banku, zmienił się w Mike’a Hansena — pracownika Wydziału Międzynarodowego banku. Według jednego ze źródeł rozmowa przebiegała następująco: — Dzień dobry, mówi Mike Hansen z międzynarodowego — powiedział do młodej pracownicy, która odebrała telefon. Dziewczyna zapytała o numer jego biura. Była to standardowa procedura, na którą był przygotowany. — 286 — odrzekł. — Proszę podać kod — powiedziała wówczas pracownica. Rifkin stwierdził później, że w tym momencie udało mu się opanować łomot napędzanego adrenaliną serca. — 4789 — odpowiedział płynnie. Potem zaczął podawać szczegóły przelewu: dziesięć milionów dwieście tysięcy dolarów z Irving Trust Company w Nowym Jorku do Wozchod Handels Bank of Zurich w Szwajcarii, gdzie wcześniej założył konto. — Przyjęłam. Teraz proszę podać kod międzybiurowy. Rifkin oblał się potem. Było to pytanie, którego nie przewidział, coś, co umknęło mu w trakcie poszukiwań. Zachował jednak spokój, udając, że nic się nie stało, i odpowiedział na poczekaniu, nie robiąc nawet najmniejszej pauzy: „Muszę sprawdzić. Zadzwonię za chwilę”. Od razu zadzwonił do innego wydziału banku, tym razem podając się za pracownika pokoju przelewów. Otrzymał kod międzybiurowy i zadzwonił z powrotem do dziewczyny w pokoju przelewów. Zapytała o kod i powiedziała: „Dziękuję” (biorąc pod uwagę okoliczności, jej podziękowanie można by odebrać jako ironię).Kilka dni później Rifkin poleciał do Szwajcarii, pobrał gotówkę i wyłożył ponad 8 milionów dolarów na diamenty z rosyjskiej agencji. Potem wrócił do Stanów, trzymając w czasie kontroli celnej diamenty w pasku na pieniądze. Przeprowadził największy skok na bank w historii, nie używając ani pistoletu, ani komputera. Jego przypadek w końcu dostał się do Księgi Rekordów Guinessa w kategorii „największe oszustwo komputerowe”. Stanley Rifkin użył sztuki manipulacji — umiejętności i technik, które dziś nazywa się socjotechniką. Wymagało to tylko dokładnego planu i daru wymowy. O tym właśnie jest ta książka — o metodach socjotechnicznych (w których sam jestem biegły) i o sposobach, jakimi jednostki i organizacje mogą się przed nimi bronić.
Firma może dokonać zakupu najlepszych i najdroższych technologii bezpieczeństwa, wyszkolić personel tak, aby każda poufna informacja była trzymana w zamknięciu, wynająć najlepszą firmę chroniącą obiekty i wciąż pozostać niezabezpieczoną. Osoby prywatne mogą niewolniczo trzymać się wszystkich najlepszych zasad zalecanych przez ekspertów, zainstalować wszystkie najnowsze produkty poprawiające bezpieczeństwo i skonfigurować odpowiednio system, uruchamiając wszelkie jego usprawnienia i wciąż pozostawać niezabezpieczonymi. Zeznając nie tak dawno temu przed Kongresem, wyjaśniłem, że często uzyskiwałem hasła i inne poufne informacje od firm, podając się za kogoś innego i po prostu o nie prosząc. Tęsknota za poczuciem absolutnego bezpieczeństwa jest naturalna, ale prowadzi wielu ludzi do fałszywego poczucia braku zagrożenia. Weźmy za przykład człowieka odpowiedzialnego i kochającego, który zainstalował w drzwiach wejściowych Medico (zamek bębnowy słynący z tego, że nie można go otworzyć wytrychem), aby ochronić swoją żonę, dzieci i swój dom. Po założeniu zamka poczuł się lepiej, ponieważ jego rodzina stała się bardziej bezpieczna. Ale co będzie, jeżeli napastnik wybije szybę w oknie lub złamie kod otwierający bramę garażu? Niezależnie od kosztownych zamków, domownicy wciąż nie są bezpieczni. A co w sytuacji, gdy zainstalujemy kompleksowy system ochrony? Już lepiej, ale wciąż nie będzie gwarancji bezpieczeństwa. Dlaczego? Ponieważ to czynnik ludzki jest piętą achillesową systemów bezpieczeństwa. Bezpieczeństwo staje się zbyt często iluzją. Jeżeli do tego dodamy łatwowierność, naiwność i ignorancję, sytuacja dodatkowo się pogarsza. Najbardziej poważany naukowiec XX wieku, Albert Einstein, podobno powiedział: „Tylko dwie rzeczy są nieskończone: wszechświat i ludzka głupota, chociaż co do pierwszego nie mam pewności”. W rezultacie atak socjotechnika udaje się, bo ludzie bywają głupi. Częściej jednak ataki takie są skuteczne, ponieważ ludzie nie rozumieją sprawdzonych zasad bezpieczeństwa. Mając podobne podejście jak uświadomiony w sprawach bezpieczeństwa pan domu, wielu zawodowców z branży IT ma błędne mniemanie, że w dużym stopniu uodpornili swoje firmy na ataki poprzez zastosowanie standardowych produktów typu firewall, systemów detekcji intruzów i zaawansowanych rozwiązań uwierzytelniających, takich jak kody zależne od czasu lub karty biometryczne. Każdy, kto uważa, że same produkty zabezpieczające zapewniają realne bezpieczeństwo, tworzy jego iluzję. To klasyczny przypadek życia w świecie fantazji: osoby takie mogą prędzej czy później stać się ofiarami ataku. Jak ujmuje to znany konsultant ds. bezpieczeństwa, Bruce Schneider: „Bezpieczeństwo to nie produkt — to proces”. Rozwińmy tę myśl: bezpieczeństwo nie jest problemem technologicznym, tylko problemem związanym z ludźmi i zarządzaniem. W miarę wymyślania coraz to nowych technologii zabezpieczających, utrudniających znalezienie technicznych luk w systemie, napastnicy będą zwracać się w stronę ludzkich słabości. Złamanie „ludzkiej” bariery jest o wiele prostsze i często wymaga jedynie inwestycji rzędu kosztu rozmowy telefonicznej, nie mówiąc już o mniejszym ryzyku.
Nowe realia nie są właściwie takie nowe. Koncepcje które tutaj przedstawiłem to tylko jeden aspekt całej „wiedzy życia" od tysięcy lat tkwiącej w świadomości człowieka. Nie ogranicza jej ani czas, ani przestrzeń. W Indiach skupia się wokół niej żywa tradycja znana jako Ayurveda. Nazwa ta wywodzi się z sanskrytu, z rdzeni dwóch wyrazów, ayus - „życie" i veda - „wiedza." Podstawowe zasady Ayurvedy już omówiłem. Oto one: a) natura jest inteligentna, b) człowiek jest częścią natury i dlatego c) oboje przenika ta sama inteligencja. Przyjmując tych kilka zasad za fakty oczywiste, Ayurveda rozwija całe bogactwo terapii dla zachowania zdrowia nie tylko w człowieku, ale we wszystkich aspektach natury, wszędzie tam, gdzie natura dzieli się swą nieskończoną inteligencją. Techniki Ayurvedy służą utrzymaniu równowagi. Gdy równowaga natury jest zachwiana, części jej niszczeją i całość jest zagrożona. Aby zachować zdrowie, wszystko, co żyje, musi współdziałać z naturą poprzez otwarte, utrzymane w równowadze przepływy inteligencji. Wartość zmiany, czyli dynamizm, musi być równoważony przez niezmienność, czyli stabilność. Określamy to terminem homeostaza, który oznacza koordynację funkcji utrzymujących mechanizmy fizjologiczne żywego organizmu w równowadze. Wiedza o homeostazie, jaką medycyna zdobyła w ostatnim półwieczu, daje się w pełni pogodzić z Ayurvedą. Trzeba tylko zbudować pomost między tymi dwoma poglądami na świat. Ogólnie mówiąc, to właśnie jest celem niniejszej książki. Całe tomy Ayurvedy poświęcone są zależności między żywieniem, zachowaniem, rytmami biologicznymi, środowiskiem a myślami i wszystko to rozpatrywane jest w odniesieniu do całości. A ponieważ człowiek i natura są w systemie Ayurvedy ściśle z sobą związani, lekarz znający Ayurvedę ma do dyspozycji bogaty zasób ziół oraz terapii oczyszczających i odmładzających organizm; łagodzą one dolegliwości i umożliwiają długowieczność w sposób najbardziej naturalny. Stosowana właściwie Ayurveda nie wywołuje skutków ubocznych; działa z poziomu inteligencji wspólnego dla człowieka i przyrody. Doprawdy, Ayurveda widzi w człowieku ni mniej ni więcej tylko uosobienie wszystkich sił w naturze; człowiek, tak jak one, jest w pełni nieskończony. Jeden ze słynnych aforyzmów z tekstów Ayurvedy głosi, że „Ayurveda wiedzie do nieśmiertelności". Potencjał ludzki sięga szczytu. Opisem znakomitych, prostych i nietrudnych technik Ayurvedy zajmę się w przyszłości. Tutaj powiem tylko, że wszystkie one wywodzą się ze świadomości; dlatego opisałem proces transcendowania, najskuteczniejszą terapię, jaką zna wiedza życia. W ostatniej części tej publikacji położyłem nacisk na świadomość w postaci pola. Ponieważ nie można go oddzielić od pola uniwersalnego, z którego początek bierze rzeczywistość, nasze pole świadomości mieści w sobie wszystkie możliwości. Przyszłość, jak sądzę, tę prawdę ujawni. Pole świadomości otwiera wszystkie drogi do pełnego zdrowia i szczęścia, jest w samym centrum kształtowania się nowej rzeczywistości. Przewiduję, iż nasza wspólna przyszłość będzie się wyraźnie rozwijać w taki oto sposób: 1. Coraz więcej ludzi będzie w stanie zrozumieć, czym jest pole świadomości. 2. Wzrost świadomości sprawi, że stale zmniejszać się będzie liczba zgonów z powodu najpospolitszych dzisiaj chorób - nowotworów, udaru mózgu, nadciśnienia, chorób serca - i mniej będzie wszelkiego rodzaju wypadków. 3. Będziemy żyć dłużej i zdrowiej. Wyzwolimy się od alkoholu, papierosów i środków stymulujących. Zaznaczy się postęp w nauce, wspieranej subiektywnym zrozumieniem prawdziwej natury człowieka. Działanie spontanicznie właściwe stanie się powszechne, będzie cechą normalną. 4. Grupy ludzi, którzy opanowali proces transcendowania, będą aktywizować pole świadomości coraz głębiej i z coraz większą dla siebie korzyścią. Wyłonią się jednostki wysoce rozwinięte, ludzie, którzy w pełni rozumieją samoświadomość i jej doznają. Najwyższe doznania nie będą już przypadkowe. Ci wybitni ludzie będą tworzyć idealne zdrowie — będą stale utrzymywać się na szczycie. 5. Gdy głębiej zbadamy dynamikę świadomości zbiorowej, pozwoli ona z powodzeniem rozwiązywać problemy społeczne w jak najszerszym zakresie. Przestępczość wyraźnie spadnie i mniej będzie odchyleń od norm społecznych. Równie wyraźnie zaznaczy się postęp i dobrobyt. Pokój na świecie będzie osiągalny, przestanie być tylko nadzieją. Umysł człowieka znajdzie siłę, by osiągać to, co zamierzy. Każda tradycja mądrości mówi, że nasz zasięg działania jest nieograniczony. Pole ludzkiego życia jest polem nieskończonych możliwości. W każdym człowieku tkwi w zarodku bóg. Ma on tylko jedno pragnienie. Chce się narodzić.