Môže si používateľ naozaj za prienik len sám?

Dnes som narazil na veľmi zaujímavú esej od môjho obľúbeného autora Bruca Schneiera. Zamýšľa sa nad tým, či je naozaj správne hádzať vinu za všemožné zavírenia počítačov, krádeže osobných údajov, či naletenia na rôzne online podvody len na plecia koncových používateľov. Veď to počúvame zo všetkých strán - jedno nepozorné kliknutie na linku v podivnom emaily a váš počítač a údaje v ňom majú veľký problém. A čo na to odborná verejnosť? Môžete si za to sami - veď ste si mali dávať väčší pozor na čo klikáte. Poprípade ste mali slabé heslo, nemenili ste ho už rok, neprečítali ste si to upozornenie čo na vás blikalo na červeno...

Brucov článok však poukazuje na druhú stranu mince. Prečo by mali ľudia venovať enormné množstvo času budovaním a zdokonaľovaním svojho bezpečnostného povedomia? Prečo nie sú systémy dizajnované a vytvorené tak, aby ste to vy ako posledný článok reťaze nemuseli riešiť? Obzvlášť keď dnes už vieme, že ľudia sú viac-menej nepoučiteľní, na čo poukazoval aj môj nedávny blog. Bruce sám hovorí: "Nemôžete ľudí naučiť neklikať na (podozrivé) linky keď ste ich posledných 20 rokov učili, že linky sú to na to aby ste ich použili." Mne osobne sa tiež veľmi páčil opis toho ako vnímajú bežní používatelia rôzne bezpečnostné upozornenia - oni nevidia "Expirovaný certifikát - ste si istí že chcete pokračovať na túto web stránku? Oni vidia "Ja som nejaká otravná správa a zdržujem ťa od návštevy tejto stránky. Klikni sem ak sa ma chceš zbaviť." Vo svetle týchto všeobecne známych faktov je asi naozaj nemiestne hádzať všetku vinu na koncového používateľa. Článok doslova vyzýva na to, aby sme sa od takéhoto myslenia oslobodili a začali sa viac sústrediť na dizajn a vývoj. Miestami som mal dokonca pocit, že zachádza až príliš ďaleko v miere bezbrehého optimizmu, keďže ja osobne neverím, že sme schopní tvoriť systémy ktoré by boli z hľadiska bezpečnosti naozaj nepriestrelné bez ohľadu na ľudský faktor.

Každopádne toto celé stojí za zamyslenie a budem len rád keď uvidím viac a viac blbuvzdorné systémy. Zanevrieť však na budovanie bezpečnostného povedomia rozhodne nie je dobrý nápad.