Virusi, phishing, spyware, spam, atacuri DOS, botnets… Probabil ca ati mai auzit aceste notiuni, poate ca ati suferit de pe urma a ceea ce semnifica, indiferent daca stiti sau nu ce inseamna. As vrea sa propun o cale simpla de abordare (nu si de rezolvare) a acestor probleme de securitate, o cale care nu presupune un acord intre toate guvernele (sau intre toti oamenii) pe marginea definirii unei infractiuni si cu atat mai putin implica vreo politie globala sau tratate globale opozabile. Daca reusim sa sporim securitatea in general, guvernele se pot concentra asupra adevaratilor infractori.
O abordare mai corecta este sa plecam de la ideea ca securitatea informatica este o problema de sanatate publica sau de economie – oamenii se pot proteja pe sine, dar trebuie sa plateasca pentru costurile la care ii obliga pe altii. Trebuie sa le dam oamenilor posibilitatea de a se apara impotriva altora; sa prevenim ca oameni nevinovati, de buna-credinta, sa se infecteze si sa-i contamineze pe altii; trebuie sa reducem capacitatea celor rau-intentionati de a face rau si sa le diminuam motivatia.
Suna ca un lung sir de provocari diferite. Dar exista abordari eficiente pentru fiecare dintre ele, fara a fi nevoie sa-i urmaresti pe toti in spatiul virtual sau sa ceri date de identificare pentru fiecare interactiune. Daca urmarim datele de identificare ale utilizatorilor, nu vom putea opri sau prinde infractorii; in plus, vom face internetul impracticabil. Nu putem salva cyberspatiul prin a-i distruge caracterul deschis.
Pentru a introduce un grad eficient de securitate, entitatile cel mai bine echipate sa faca acest lucru trebuie sa preia initiativa – operatorii de servicii internet sunt acele organizatii cu competente tehnologice, care pot sa protejeze (mai mult sau putin) utilizatorii si sa detecteze abuzurile; ei au o relatie directa (desi impersonala) cu utilizatorii lor; si tot ei se afla intr-o competitie pentru atragerea clientilor, astel incat, altfel decat guvernele, vor suferi daca si performanta lor sufera.
Operatorii (mai mult decat guvernele) ar trebui sa ofere un nivel de baza de securitate – antivirus, antiphishing, antispam si alte asemenea servicii – ca parte a pachetului standard pentru consumatori. Nu e greu de realizat. Mai multe companii care produc solutii antivirus concureaza pentru a le oferi consumatorilor servicii de securitate; fiecare ISP ar putea selecta una dintre ele sau ar putea oferi clientilor trei dintre solutii la alegere. Trucul este de a-i face pe consumatori sa foloseasca aceste instrumente – ceea ce implica o campanie de constientizare in stilul mesajelor din campaniile de sanatate publica. Rezultatul ar trebui sa fie ceva mai apropiat de spalatul universal pe maini decat de un sistem de spitale de urgenta.
In ceea ce priveste spamul, operatorii (inclusiv cei de servicii de email) ar putea limita utilizatorii la, sa spunem, 100 de mesaje electronice pe zi; pentru depasire s-ar putea plati o suprataxa, depune o cautiune sau trece un test de buna-credinta. In acelasi timp, toti operatorii ar trebui sa implementeze un sistem de identificare a mesajelor electronice (exista doua standarde bune, numite Domain Keys si SPF), nu pentru a urmari comunicarea tuturor, ci pentru a preveni ca baietii rai sa profite de cei buni.
Operatorii ar putea gatui traficul altor operatori care nu intra in comunitatea de securitate, iar foarte repede clientii acestora din urma se vor plange, fortandu-i fie sa adere la sistem, fie sa se trezeasca aruncati in zona interlopa, de unde insa ar fi dificil de lansat atacuri pentru ca nimeni nu le-ar accepta traficul. si pentru ca operatorii ar raspunde doar unii fata de ceilalti, nu si fata de guverne, disidentii si cei care trag semnale de alarma si-ar putea pastra anonimitatea.
Cat priveste antiphishingul si prevenirea descarcarii de malware, exista un numar de servicii care depisteaza site-urile "otravite" si avertizeaza utilizatorii. Acestia pot naviga unde doresc, dar macar exista indicatoare care ii avertizeaza ca intra in ape tulburi.
Google face asta in rezultatele sale de cautare si lucreaza cu StopBadware.org (eu sunt membru consultant in consiliul lor), iar programele de navigare Mozilla Firefox si Microsoft Internet Explorer ofera o protectie similara. In toate cazurile, utilizatorii cu spirit de aventura sau profesionistii pot depasi paternalismul, dar numai dupa ce platesc ceea ce implica asigurarea de risc, avand in vedere ca pun in pericol sistemul.
Problema este sa cream stimulente economice pentru a reduce infractionalitatea informatica. Adevaratii infractori nu vor fi descurajati, dar un asemenea sistem ar preveni ca restul dintre noi sa fim atrasi in complicitate sau sa devenim victime. Cu mai putine victime, infractiunile nu vor mai fi atat de rentabile.
Exista mai multe motive pentru care toate acestea nu s-au intamplat inca. Primul dintre ele este inertia, combinata cu (sau mascata in) idealism – ideea eronata ca internetul trebuie sa fie nu doar liber, ci si gratuit. Dar mentinerea unei infrastructuri care ofera siguranta oamenilor costa. Costurile reprezinta deci – atat pentru utilizatori, cat si pentru operatori – al doilea obstacol. Provocarea consta in a constientiza costurile (asa cum se intampla acum cu poluarea) si in a imparti aceste costuri la oamenii care pot – la nevoie, constransi – sa plateasca. Una peste alta, cu totii acceptam costul fortelor de politie si de ocrotire a sanatatii, incluzand aici nu doar spitalele, ci si siguranta alimentara si a apei potabile etc.
Cum punem asadar lucrurile in miscare? Operatorii de servicii internet trebuie sa translateze costurile catre consumatori. Dar nu o vor face, pentru ca ei se concureaza, mai ales, pe frontul preturilor. Ca atare, consumatorii trebuie sa ceara mai multa securitate ca parte din pachetul de servicii, iar operatorii sa-si ostracizeze omologii care nu se conformeaza.
Pentru a facilita procesul, cineva ar trebui sa declanseze o actiune in instanta – nu mai multe! – impotriva operatorilor care tolereaza comportamentul incorect. Tinta ar trebui sa fie acei operatori care servesc cu buna stiinta clienti infractori si refuza sa dea curs unor reclamatii, nemaiputand invoca ignoranta ca scuza legitima.
Dar costurile de partea operatorilor includ si avertizarea oamenilor in legatura cu site-uri riscante – pentru asta e nevoie de un sistem de proceduri prin care proprietarii site-urilor compromise sa fie atentionati in vederea punerii la punct a site-urilor sau in vederea constientizarii faptului ca au fost depistati. Un asemenea sistem este destul de scump de gestionat, dar tot e mai ieftin decat a nu-l avea deloc.
Aceste schimbari nu vor crea vreun sistem nervos digital cu un creier central care poate rezolva toate problemele. In schimb, ar aparea ceva ca un sistem imunitar format din operatori concurenti si servicii de securitate locale si omniprezente, aflate in continua evolutie. Situatia generala a securitatii informatice s-ar imbunatati extraordinar: oamenii normali s-ar simti in siguranta, iar oamenii legii si specialistii s-ar putea concentra pe marile amenintari.
Copyright: Project Syndicate, 2009.
www.project-syndicate.org
