Příběh ztracených pevných disků

Los Alamos, město v Novém Mexiku, se stalo světově proslulým díky svému jadernému výzkumu v National Laboratory.
Zásluhou přísného utajení a vojenských projektů, na kterých se podílí, existuje snaha, aby toto zařízení co nejméně poutalo pozornost a neobjevovalo se na stránkách médií. Nicméně toto se mu v poslední době nedaří. Naposledy se tak stalo poté, co byly 6. července 2004 postrádány dva přenosné počítačové disky CREM (zkratka z anglického Classified Removable Electronic Media) s tajnými informacemi, které měly být (a nebyly) uložené v trezoru oddělení Weapon Physics (fyzika zbraní).
Rozběhla se zběsilá pátrací akce, protože nešlo pouze o ztrátu disků s tajnými daty z práce na blíže nespecifikovaném projektu, ale také o možnost, že se v prostorách laboratoře nachází "škodná". Ať tak či onak, tajná data jsou zkrátka jednou tajná a jako s takovými je s nimi nutné nakládat. Ředitel laboratoří Peter Nanos ihned nařídil zastavit práce na všech probíhajících projektech (tím mohl třeba ohrozit start meziplanetární sondy k Plutu, který NASA připravuje na leden 2006 a jejíž jaderný generátor musí Los Alamos připravit do poloviny roku 2005).
"Lidé ve Washingtonu prostě nemohou pochopit, jak skupina tak významných a tak inteligentních lidí může být tak pošetilá," nebral si Nanos servítky. Vzápětí upřesnil, že nevylučuje pouhou krádež disků, ale jedním dechem dodal, že je vysoce nepravděpodobné, že by se k diskům dostal terorista nebo někdo zvenčí. V daném kontextu mínil osobu spolupracující s tajnými službami cizích států. Obvinil také vědce, kteří sami sebe považují za příliš zaměstnané a důležité na to, aby se snižovali k něčemu tak přízemnímu jako respektování bezpečnostních předpisů.
Los Alamos se samozřejmě stalo vítaným terčem kritiky amerických médií. Komentáře uštěpačně konstatovaly, že "každá druhá veřejná knihovna má pravděpodobně lépe fungující systém kontroly pohybu CD a videokazet".
Pro laboratoř to byl totiž v oblasti informační bezpečnosti už třetí incident během osmi měsíců. A to navzdory pětileté snaze výrazně zvýšit bezpečnost, od doby, kdy byl fyzik Wen Ho Lee přistižen při stahování tajných dat, k nimž neměl mít vůbec přístup. Tehdy byl kromě jiného zaveden systém identifikace
přenosných pevných disků pomocí čárových kódů a ke každému trezoru byly umístěny příslušné čtečky. Kromě toho došlo ke snížení počtu přenosných disků z devadesáti na čtyřicet tisíc.
Historie počítačových průšvihů v Los Alamos je přitom dlouhá a pestrá. V roce 2000 se ztratily v jednom přísně střeženém oddělení (jeho jméno či funkce nebyly zveřejněny) dva disky s citlivými daty. O měsíc později se za podivných okolností našly: zapadlé (nebo zastrčené) za kopírkou. Každopádně nikdy se s touto ztrátou nepodařilo spojit žádnou konkrétní osobu.
V prosinci téhož roku pak beze stopy zmizela desítka disků, určených k fyzické likvidaci. Jedenáctý zmizel v květnu 2001. Nikdy se je nepodařilo nalézt. Oficiální verze tvrdí, že nejspíše byly opravdu podle předpokladů fyzicky zničeny, ale pouze nebyly administrativně odepsány.
Vraťme se ale zpět k nejnovějšímu případu ztracené dvojice disků z loňského července. Práce v laboratořích byly sice zastaveny, ale to neznamená, že by si dvanáct tisíc zaměstnanců dalo nohy na stůl. Namísto nicnedělání je čekala školení a testy v oblasti bezpečnosti: nejen informační, ale i fyzické.
A jak celý příběh dopadl? Dvě nezávislá šetření (vedl je U.S. Energy Department i FBI) potvrdila přímo neuvěřitelnou skutečnost: oba disky, kvůli nímž se spustilo tolik povyku a kvůli nimž přerušilo jedno z nejutajovanějších amerických zařízení svoji činnost, totiž nikdy NEEXISTOVALY. Vznikly pro ně sice čárové kódy, ale disky k nim nikdy nebyly přiřazeny. Takže při rutinní kontrole samozřejmě chyběly.
Tento incident měl tvrdý dopad na University of California, pod níž laboratoře v Los Alamos na základě kontraktu od amerického Ministerstva energetiky spadají. Za rok 2004 došlo ke snížení manažerských odměn o dvě třetiny z 8,7 mil. USD na 2,9 mil. USD. To byla mimochodem největší redukce odměn v historii jakékoliv americké národní laboratoře. Čtyři pracovníci Los Alamos byli na hodinu propuštěni, pátý podal výpověď. Dalších osmnáct bylo přeloženo na jiné místo, přišlo o funkci nebo bylo jinak personálně postiženo. Jeden z nich je dodnes na nucené dovolené z důvodu pokračujícího vyšetřování. Při hloubkové kontrole v laboratořích totiž byla odhalena i celá řada dalších nedostatků: mnozí zaměstnanci fyzicky neprováděli svoji práci a vykazovali ji pouze na papíře, automaticky podepisovali kontroly apod.
Ačkoliv by se na první pohled mohlo zdát, že se vlastně nic nestalo, opak je pravdou. Tento případ odhalil několik problémů. Především nedodržování stanovených bezpečnostních předpisů, a to na různých úrovních. Dále odhalil nedostatky ve vlastních bezpečnostních předpisech: pokud je možné, aby se něco podobného stalo, nejsou tato pravidla stoprocentní. Slabiny v kontrole utajovaných materiálů jsou zkrátka absolutně nepřípustné.
Příběh ze vzdálené Ameriky, z laboratoří věnujících se vývoji jaderných technologií by nám mohl připadat velmi odtažitý. Ale ukazuje na problémy, s nimiž se setkávají i uživatelé a správci malých i velkých sítí také u nás.
Prvním poučením by mělo být, že každý
systém selže, pokud selže tzv. lidský faktor.
Bohužel tato skutečnost je často opomíjena a zanedbávána. Zatímco do nákupu bezpečnostního hardwaru či softwaru jdou nemalé částky, investice do vzdělávání či kontroly zaměstnanců jsou ve srovnání s nimi zanedbatelné. A často se v nich jako v prvních škrtá.
Druhým poučením je konstatování, že bezpečnostní opatření není třeba pouze zavádět, ale i průběžně kontrolovat. Spoléhat se na to, že jsme od počátku vytvořili dokonalý a bezchybný systém, je příliš optimistické. Systém se přiblíží k dokonalosti a bezchybnosti (ale nikdy jich nedosáhne!) pouze soustavnou kontrolou a prověřováním.
Na závěr si připomeňme starou dobrou poučku: každý systém je tak silný, jak silný je jeho nejslabší článek. A ten se většinou nachází mezi židlí a klávesnicí.