0

Imunitní soustava internetu

NEW YORK - Viry, phishing, spyware, spam, DoS útoky, botnety… Tyto termíny jste už zřejmě zachytili, a možná že jste dokonce utrpěli tím, co označují, ať už o tom víte či nikoli.

Ráda bych navrhla jednoduchou cestu k řešení (ne vyřešení) těchto bezpečnostních problémů, která nevyžaduje dohodu mezi všemi vládami (ani lidmi) ohledně toho, co skutečně zakládá zločin, natož nějaký celosvětový policejní orgán či nevymahatelné globální úmluvy. Podaří-li se nám zvýšit celkovou bezpečnost, vlády se budou moci zaměřit na opravdové zločince.

Erdogan

Whither Turkey?

Sinan Ülgen engages the views of Carl Bildt, Dani Rodrik, Marietje Schaake, and others on the future of one of the world’s most strategically important countries in the aftermath of July’s failed coup.

Lepším přístupem je pohlížet na počítačovou bezpečnost jako na otázku zdravotnictví a ekonomiky, kde se lidé mohou chránit sami, ale musí hradit výdaje, které způsobí ostatním. Je zapotřebí dát lidem možnost, aby se sami bránili, chránit nevinné lidi s dobrými úmysly před nákazou či újmou způsobenou ostatními a omezit negativní pobídky a možnosti zlomyslníků působit škody.

To zní jako řada různých úkolů. Ke každému z nich ale existují účinné přístupy, které nevyžadují sledování každého, kdo vstoupí na internet, ani identifikační označování každé transakce. Sledování identit uživatelů nám neumožní přistihnout a zastavit delikventy a přitom to promění internet v nepoužitelnou věc. Nemůžeme kyberprostor zachránit tím, že zničíme jeho otevřenost.

Abychom zavedli účinnou bezpečnost, je třeba, aby se do čela snah postavily subjekty, které jsou k tomu nejlépe vybavené, tedy poskytovatelé internetových služeb (ISP). Jde o organizace, které jsou odborně na výši a (víceméně) dokážou chránit uživatele a odhalovat delikventy, mají přímý (ač neosobní) vztah se svými uživateli a soupeří o práci pro uživatele, takže na rozdíl od vlád utrpí, budou-li si vést špatně.

Právě ISP (nikoli vlády) by měli zajistit základní bezpečnost – ochranu před viry, phishingem, spamem a podobně – coby regulérní součást spotřebitelských internetových služeb. Není těžké to dokázat. S nabídkou služeb zajišťujících bezpečnost uživatelů si konkuruje řada antivirových společností; každý ISP by si měl jednu zvolit anebo dát svým zákazníkům na vybranou třeba ze tří. Finta je v tom, že je potřeba spotřebitele přimět k používání těchto nástrojů – což si vyžádá osvětovou kampaň, podobnou zdravotnické osvětě. Výsledkem by mělo být cosi, co se bude podobat spíše všeobecnému návyku mýt si ruce než soustavě nemocnic pro naléhavé případy.

Co se týče spamu, ISP (včetně poskytovatelů emailových služeb) by mohli své uživatele omezit řekněme na 100 emailů denně, a kdo by chtěl posílat víc zpráv, musel by si připlatit či alespoň složit bezpečnostní záruku anebo podstoupit test dobrého chování. Zároveň by všichni ISP měli zavést systém identifikace emailů (existují dva dobré standardy nazvané Domain Keys a SPF). Ten neslouží ke sledování elektronické pošty všech uživatelů, ale podvodníkům znemožní vydávat se za slušné lidi.

Poskytovatelé internetových služeb by přiškrtili data přicházející od ISP, kteří se do zabezpečeného okruhu nepřidali. Zákazníci omezovaných ISP by si zakrátko stěžovali a buď by je přiměli ke vstupu, anebo by se ocitli uvrženi do podsvětí, odkud by bylo těžké provádět útoky, protože toky jejich dat by nikdo nepřijímal. A poněvadž informace by si nevyměňovaly vlády, nýbrž ISP, disidenti a odvážní informátoři by si mohli zachovat anonymitu.

Co se týče ochrany před phishingem a stahováním zákeřného softwaru, existuje řada služeb, které evidují „zlé“ webové stránky a uživatele před nimi varují. Uživatelé přesto mohou vkročit, kam chtějí, ale existují alespoň výstražná návěští upozorňující, že vstupují na nebezpečné území.

Google tohle dělá u svých výsledků hledání, ve spolupráci se StopBadware.org (kde jsem členkou poradního sboru), a obdobnou ochranu nabízí jak Mozilla Firefox, tak Internet Explorer od Microsoftu. Ve všech případech hazardéři či profesionálové mohou tento paternalismus obejít, ale jen za cenu, která se rovná pojištění odpovědnosti za rizika, jež způsobují systému.

Vtip je v tom, že je třeba vytvořit ekonomické pobídky k omezování kybernetické kriminality. Opravdové zločince takový systém neodradí, ale zabránil by tomu, abychom my ostatní byli do porušování zákonů zatahováni nebo se stávali oběťmi. Bude-li méně obětí, zločinnost nebude tak výnosná.

Existuje několik důvodů, proč se to ještě neuskutečnilo. Prvním je netečnost kombinovaná s idealismem (nebo jím maskovaná) – jde o mylnou představu, že internet by měl být nejen místem svobody projevu, ale také bezplatným prostorem. Jenže údržba infrastruktury, která má lidi ochránit, něco stojí.

Právě cena – jak pro uživatele, tak pro ISP – je druhou překážkou. Náročným úkolem je náklady si přiznat (jak už to dnes činíme u znečišťování životního prostředí) a přenést je na ty, kdo je mohou hradit – a koho k tomu lze přimět. Ostatně uznáváme přece náklady na policejní síly a zdravotní péči, a to nejen nemocnice, ale i pitnou vodu, nezávadné potraviny atd.

Co tedy dělat, aby se to prosadilo? Je třeba, aby ISP přesunuli tyto náklady na své zákazníky. To však neudělají, protože si konkurují hlavně cenou. Takže zákazníci budou muset požadovat bezpečnost jakou součást služby, přičemž poskytovatelé se musí stranit těm ISP, kteří se nepřizpůsobí.

Aby se věci napomohlo, někdo by měl podat žalobu – ale ne příliš mnoho! – na ISP, již tolerují přečiny. Cílem by se měli stát ISP, kteří záměrně slouží kriminálním zákazníkům a odmítají se vypořádat se stížnostmi na to, že neznalost už není legitimní omluvou.

Support Project Syndicate’s mission

Project Syndicate needs your help to provide readers everywhere equal access to the ideas and debates shaping their lives.

Learn more

K nákladům ISP ovšem patří také to, aby uživatele varovali před nebezpečnými stránkami, což vyžaduje ověřovací systém, který na rizikové weby upozorní jejich majitele, aby je mohli dát do pořádku nebo aby si uvědomili, že jsou nechráněné. Provoz takového systému je relativně nákladný, ale mít ho vyjde levněji než ho nemít.

Tyto změny by nestvořily žádnou digitální nervovou soustavu s centrálním mozkem, který by dokázal řešit všechny problémy. Vyústily by spíš v něco jako imunitní systém soupeřících ISP a rozvíjejících se bezpečnostních služeb, lokálních i všudypřítomných. To by celkovou situaci v oblasti bezpečnosti počítačů nesmírně zlepšilo: Obyčejní lidé by se cítili bezpečně a vymahači práva a bezpečnostní specialisté by se mohli zaměřit na větší hrozby.