Konec hry se surfováním na pornostránkách

Jude zastavuje skenovací program zjišťující surfování po pornografických stránkách. Právní oddělení jeho firmy t...


Jude zastavuje skenovací program zjišťující surfování po pornografických
stránkách. Právní oddělení jeho firmy totiž tvrdí: O čem nevíte, to vás nemůže
poškodit.
Tak, mám tu pro vás jedno skvělé řešení všech problémů strčte hlavu do písku a
křičte: "Nevidím žádný problém!" tak dlouho, dokud nezmizí. Připadá vám to
dětinské? Neefektivní? Neprofesionální? Mně také. Ale zdá se, že je to silně
doporučováno naším právním oddělením. Jak je našim pravidelným čtenářům známo,
před nějakým časem jsme měli problémy se zaměstnanci surfujícími z práce po
pornografických webových stránkách. Na některých místech to může být problém
produktivity, ale v zemi, kde pracuji já, je to skutečně nelegální. Nestarám se
o etiku této situace. Nemohl bych vykřikovat o snižování produktivity to je
problém managementu. Ale starám se o to, že lidé porušují zákon od svých
pracovních stolů. Dali jsme dohromady jednoduchý skript na skenování logů z
webové proxy a oznamování jakéhokoli spojení na společnosti inzerující
pornografii a "služby pro dospělé". To může vypadat jako výstřední způsob, ale
zatímco pornografické stránky se objevují a zanikají, zdá se, že přidružené
služby jako inzerce a analýzy provozu zůstávají na místě. To znamená, že je
snazší sledovat tyto služby než sledovat stránky samotné. V každém případě jsme
začali spouštět náš skript pravidelně a hledat stálé porno-surfaře. Racionální
úvahy
Tento týden jsem dostal urgentní nařízení od našeho oddělení lidských zdrojů,
jehož kopie šla i několika osobám vysoko v mé manažerské linii. Skenování logů
musí přestat. Bylo mi řečeno, že tím myslí ihned. Zdá se, že toto nařízení
pochází z právního oddělení. Pokusím se shrnout argumenty, ale sám je skutečně
nechápu. Původní ospravedlnění skenování logů znělo nějak takto: Když si
náhodný zaměstnanec prohlíží porno z firemního počítače, stahuje si obscénní
HTML soubory a ukládá je na firemní disky. Tak může vzniknout "atmosféra
obtěžování", která by se mohla dotýkat ženské části zaměstnanců. Sledování
takového materiálu může také být v rozporu s našimi místními zákony proti
obscénnosti: Nejsem si v tom jist, protože jsem se jednou snažil pochopit
legislativu, ale rychle jsem se ztratil v právnickém žargonu. Nicméně jsem si
dost jistý, že je proti našim zákonům publikovat pornografii, a ukládáním
souborů pro zaměstnance (na jeho pevném disku) a jejich zpřístupněním na
vyžádání může být společnost brána jako ten, kdo ji publikuje. Takže společnost
má povinnost nedopustit, aby se to stalo. Když můžeme ukázat, že podnikáme
rozumné kroky k zabránění zmíněné činnosti, mohli bychom mít platné
ospravedlnění, pokud bychom pro to někdy byli stíháni. Také to musíme udělat
přiměřeně dobře: Když uděláme neurčitý, polovičatý pokus o zastavení těchto
aktivit, ale zanecháme toho hned, jakmile se věci poněkud zkomplikují, potom by
nám naše obhajoba nebyla nijak platná. Dosud to všechno zní rozumně. Stalo se
to ale bizarním, protože naše oddělení lidských zdrojů věří, že nemůžete být
zodpovědní za publikování, když nevíte, že se tak děje. To mi zní poněkud
divně, ale já nejsem žádný právní expert. Takže jsou dvě možnosti: Něco s tím
dělat a udělat to přiměřeně dobře, nebo tvrdit, že jste nikdy nevěděli, že se
něco takového děje. Samozřejmě nemůžete skutečně tvrdit, že o tom nevíte, když
vám nějaký horlivý IT zaměstnanec týdně posílá statistiky. Proto tedy ten
příkaz: Okamžitě zastavte skenování! Samozřejmě dál vím, že se tak stále děje
mohu tedy být pohnán k zodpovědnosti já? Zlodějské nájezdy
Naprosto nesouvisející téma před několika týdny jsme byli zasaženi zloději.
Byli to vysoce profesionální zloději přesně věděli, jaké kusy hardwaru tady
jsou, kde jsou a jak se k nim dostat. Hardware, o který šlo, byly procesorové
desky a paměťové čipy, které jsou mnohem cennější než jejich váha ve zlatě.
Zloději pronikli na naše pracoviště zajišťující zotavení systémů po havárii,
ukradli hardware a zmizeli. Byli to dva lidé máme je na kameře. Zesílili jsme
bezpečnostní opatření u tohoto pracoviště, ale oni se vrátili následující týden
a pronikli do naší hlavní kanceláře. Zesílili jsme bezpečnost naší hlavní
kanceláře, ale oni se vrátili následující týden tentokrát vyzbrojení a ve
velkém počtu pronikli znovu na pracoviště zajišťující zotavení systémů po
havárii a udělali to všechno znovu. Jsem obzvláště rád, že nejsem zodpovědný za
fyzickou bezpečnost. Co mě zajímá, je to, že policie věděla o útocích všechno.
Nebyli jsme sami: V rozsahu několika mil od nás došlo během několika uplynulých
měsíců k více než 20 útokům, všechny kvůli stejným typům hardwaru. Dokonce nám
řekli, mimo záznam samozřejmě, jména několika dalších společností, které to
postihlo. Znám bezpečnostní manažery těchto firem, ale nikdo z nich nebude
mluvit. Můj vlastní management se zdá zvláště neochotný veřejně tyto otázky
diskutovat. Policie rozesílá firmám stručné varování, ale nejsou tu žádné
podrobnosti, takže nikoho k ochraně příliš nemotivuje. Posléze jsem hovořil s
jedním z těch ostatních bezpečnostních manažerů. Byli zasaženi jednou;
doufejme, že by jim naše zkušenosti mohly pomoci připravit se pro případ, že by
se zloději pokusili udeřit tam znovu. Ostatní ale stále mlčí. Jeden z mých
kolegů u jiné společnosti předvádí organizacím prezentace nedávných útoků na IT
bezpečnost. Mnoho z jeho materiálů je "ozdravěno", takže zde není žádné
nebezpečí prozrazení nějakých citlivých informací o jeho společnosti, a je to
zajímavé a pomáhá to přesně vidět, co se děje na jiných místech. Neexistuje
žádný nedostatek konzultantů, kteří by vám řekli, že takovéto věci se budou
dít, ale konzultanti se obvykle snaží prodat své služby, které tento problém
řeší. Tento kolega ospravedlňuje své prezentace argumenty, že když nám
informace pomohou chytit někoho, kdo se pokouší prolomit do našeho sídla, pak
existuje o jednu osobu méně na vlámání se do jeho sídla. Protiargument je, že
všichni spolu bojujeme: Proč bychom měli sdílet informace? Dobrá, bylo mi
řečeno, že když jste vyhozeni z jednoho kasina v Las Vegas pro podvádění, vaše
fotografie je uložena do jejich systému pro rozpoznávání tváří, takže budete
okamžitě vypátráni, když se pokusíte přijít zpátky jiný den. Aby to ještě
ztížila, všechna kasina sdílejí data ze svých systémů pro rozpoznávání tváří
navzájem. Když budete vyhozeni z jednoho kasina a půjdete do jiného, budou na
vás připraveni. Kasina v Las Vegas spolu bojují silně. Když ona mohou sdílet
bezpečnostní informace tak dobře, proč je to tak těžké pro zbytek z nás?

Bezpečnostní knihovnička
Dnes vám nabízím tip na jednu knihu (sice v angličtině, ale její kvalita tento
"nedostatek" jistě ospravedlňuje) a několik linků z oblasti bezpečnosti.
Secrets & Lies: Digital Security in a Networked World, od Bruce Schneiera (John
Wiley & Sons, 2000). Schneierova raná kniha, Applied Cryptography, je
nejpopulárnější učebnicí šifrování, jakou jsem viděl, a právem. Tato kniha
pokračuje v tradici být mimořádně čtivá a dobře argumentující. Secrets & Lies
se zaměřují na bezpečnost z mnohem vyšší úrovně než Schneierova předchozí kniha
a dává dobré vysvětlení mnoha strategických rozhodnutí, která musí udělat každý
bezpečnostní manažer. Doporučuji ji každému, kdo se zajímá o bezpečnost.
Linky
Následující linky ukazují na Weby s užitečnými informacemi o fyzické
bezpečnosti. Mnohé z informací se nicméně zaměřují na úvahy na vysoké úrovni.
Na adrese http://www.ncsa.uiuc.edu/people/ncsairst/ najdete informace o
bezpečnostní politice od National Center for Supercomputing Applications, která
zahrnuje doporučené restrikce fyzické bezpečnosti. White Paper na adrese
http://www.microsoft.com/technet/security/datavail.asp ze služby Technet od
Microsoftu popisuje praktické základy fyzické bezpečnosti. Stránky na
http://www.boran.com/security/ od švýcarské konzultační firmy obsahují mj.
seznam požadavků na fyzickou bezpečnost.
1 0028 / pen









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.