Přesně do takového pokusu se výzkumníci pustili. Na základě infrastruktury Amazonu se uskutečnil projekt, v jehož rámci si účastníci měli stahovat a instalovat „experimentální software", konkrétně tzv. Distributed Computing Client. Návštěvníci webu projektu byli instruováni, že se stanou součástí výzkumného programu CMU Distributed Computing Project.
Ochota stahovat a spouštět neznámé programy závisela logicky na slíbené odměně, nicméně už při nabídce 1 dolaru se zapojilo 40 % návštěvníků webu (cena se počítala za jednu hodinu provozu programu, každý počítač se směl zúčastnit pouze jednou). Pro peníze si necháme i koleno vrtat. Lidé byli ochotni program spouštět i ručně a výslovně povolovat jeho běh, když se jim zobrazovaly varovné zprávy (např. od komponenty Řízení uživatelských účtů - UAC). Samozřejmě stále věřili, že jde o seriózní projekt, nikoliv zjevný podvod.
Výzkumníci uvádějí, že účastníci experimentu vesměs dobře věděli, že riskují a dělají něco, co se jim může vymstít. Závěr pro správce IT a vedení firem z toho je, že uživatele nestačí o rizicích vzdělávat – i s příslušnými znalostmi se lidé dají koupit a s vidinou byť i minimální odměny veškerá pravidla poruší, jindy zase bezpečnostní zásady nebudou dodržovat z pohodlnosti. Bezpečnost by proto měla být maximálně vynucena technickými prostředky a neponechána na lidech.
Zajímavé přitom je, že v rámci experimentu byl na řadě zapojených počítačů objeven malware. Drtivá většina strojů měla spuštěný antivirus a další obdobné nástroje, oproti zbytku strojů však právě zabezpečené systémy byly malwarem infikovány pravděpodobněji (!). Jak vyložit toto krajně překvapivé zjištění? Připadali si lidé s antivirem bezpečněji, a proto se chovali riskantněji? Výsledky asi nejsou dány tím, že by se na systémech bez antiviru provozovaly nějaké minimální konfigurace, kdy třeba whitelist zabrání spustit cokoliv – experimentální program zde totiž spustit šel...
PŘEDPLATNÉ
ČLÁNKY DO MAILU