2012 m. birželio 8 d.

Griaunant mitus: apsaugos signalizacijos vertė

Klausantis „commonsensų“ (tai tokie tinklaraštininkai, sveiku protu bandantys įveikti visokio plauko apribojimus) pranešimo „LOGIN“ konferencijoje, kilo labai ryškios asociacijos tarp mitų, kuriuos jie paneiginėjo šnekėdami apie IT inovacijas ir tų įsitikinimų, kurie sklando apie apsaugos sistemas.
Populiariausias mitas saugos srityje – moderni apsaugos / vaizdo stebėjimo sistema pati savaime didina saugumą.
Keli pavyzdžiai  „iš gyvenimo“:
„ - Man reikia geros signalizacijos su pranešimais į mobiliaką.  Dzin, kad mano name vitrininiai langai į visas puses ir tik graži gyvatvorė juosia sklypą. Duok gerą signalizaciją, nes plėvelė ant langų stiklų – negražu ir nemadinga, o saugos tarnyba – brangu ir nepadės...
<...>
 - Ką darysiu gavęs sms...? - Gal kaimynui paskambinsiu...“
Arba:
„Mes norime vaizdo kamerų, kad saugotų nuo prekių vagysčių iš sandėlio. Nors mes tik spėjam, kad vagia sandėlyje, tačiau geriau prekių judėjimo tvarkos nekeisim, apskaitos kontrolės netobulinsim, tiesiog naujas kameras įrengsim – gal padės.“
Dar vienas:
„Po pastarosios vagystės įdiegėme apsaugos sistemą, apdraudėme turtą, bet vis tiek iš vitrinos kompiuteriai vėl „išėjo“...“
Visais šiais atvejais siekiama „įdarbinti“ modernias elektronines technologijas, perkeliat joms atsakomybę už savo turtą. Tai populiaru, madinga, tačiau išvardintose situacijose mažai naudinga. Pirmuoju ir trečiuoju atvejais efektyviau būtų apsunkinti prieinamumą ir pasiekiamumą, o antruoju – diegti naują apskaitos tvarką arba paprastinti, skaidrinti ir optimizuoti esamą.
Saugos procese vienas svarbiausių principų - nuoseklumas.
Pradžioje, tyrimų, analizės ar, tiesiog, sveiko proto metodu turite nuspręsti ką norite saugoti. Tada suskaičiuoti saugomo objekto vertę ir įvertinti riziką (procentais ar 0-1 intervalo skaičiumi), kad objektas bus dalinai ar visiškai atskleistas, pavogtas ar sunaikintas. Objekto vertė suprantama ir kaip fizinis praradimas, ir kaip veiklos apribojimas netekus daikto ar paslaugos. 
Tada šiek tiek matematikos:
objekto vertė x rizika = galima žala.
Saugomo objekto vertės Jūs, dažniausiai, negalite niekaip įtakoti, todėl visas saugos procesas sukasi aplink vieną užduotį – rizikos mažinimą.
Rinkdamiesi bet kokią saugos procedūrą ar technologiją turite nuolat lyginti du skaičius: diegiamo įrankio kainą ir prognozuojamą rizikos, tuo pačiu ir tikėtinos žalos sumažėjimą. Suprantama, jei išleisite daugiau nei apsaugosite – apsaugos įrankis netinkamas. 
Jūsų rizikos valdymo arsenale iš viso yra trys esminės saugos įrankių grupės:
  • organizaciniai-informaciniai,
  • fiziniai ir
  • elektroniniai įrankiai.
Organizacinių-informacinių priemonių vertė saugai yra panaši į buhalterinės apskaitos vertę finansų sričiai. Šiais įrankiais Jūs nustatote taisykles, kurių laikantis vyks bet kokie veiksmai ir operacijos su saugomais objektais ir aplink juos.
Keli šių priemonių aspektai:
Kritiškai įvertinkite kuri informacija yra konfidenciali ir kritinė Jūsų saugomam objektui. Paruoškite procedūras personalui: kaip, kam ir kokiais būdais ši informacija gali būti atskleista, kokia grės atsakomybė už žalą, atsiradusią nesilaikant šių procedūrų.
Jei saugote kintančias, mobilias vertybes, sukurkite ar pakeiskite apskaitos tvarką taip, kad turėtume pakankamą ir aktualią informaciją apie saugomo objekto kiekį, būklę ir vietą. Labai svarbu, kad kiekviename objekto judėjimo taške už jį būtų atsakingi konkretūs asmenys, būtų tiksli ir atsekama atsakomybės perdavimo tvarka.
Kritinėms paslaugoms numatykite rezervinius šaltinius, kas juos prižiūrės ir valdys bei kaip bus atliekamas perėjimas į avarinį bei grįžimas į normalų darbo režimus.
Mūsų krašte mažai populiarūs, tačiau efektyvūs įrankiai yra saugos mokymai, vykdomi modeliuojant ir simuliuojant saugumo pažeidimo incidentus.
Apie organizacinių-informacinių įrankių įvairovę ir galimybes, galbūt, gims atskiras įrašas, o dabar noriu pabrėžti, kad ši grupė teikia didžiausią naudą už mažiausią kainą, ji yra visapusiškiausia, todėl be jos tiek fiziniai, tiek elektroniniai įrankiai praranda didžiąją dalį savo galios arba dar blogiau – tik sukelia didesnį chaosą.
Fiziniai saugos įrankiai – tai užkardos, greičio ribojimo kalneliai, durys, užraktai, grotos, žaliuzės ir pan. Šie įrankiai iš esmės yra skirti sumažinti saugomo objekto patrauklumą neteisėtiems veiksmams, apribojant ir apsunkinant jo pasiekiamumą pašaliniams asmenims. Ribojančios priemonės ilgina laiko trukmę, reikalingą objektui pasiekti, o sunkinančios pasiekiamumą – reikalauja iš įsibrovėlio papildomų fizinių, techninių irba finansinių resursų.
Fiziniai įrankiai skirti labai siaurai, bet tuo pačiu svarbiai rizikos sričiai valdyti.

Tiems, kas turėjo kantrybės perskaityti iki šios vietos - dabar pasiekėme tą hiperbolizuotą elektroninę saugą.
Organizacinės-informacinės priemonės skirtos neteisėtų veiksmų prevencijai, fiziniai įrankiai - tų veiksmų ribojimui, o elektroninės priemonės tik informuoja apie nesankcionuotą veiklą. Ir nieko daugiau.
Be to, lyginant su aukščiau išvardintomis, elektroninėms priemonėms būtini didesni žmogiškieji resursai, kurie šias technologijas valdys, prižiūrės ir reaguos į jų suveikimus.
Apibendrinant, elektronikos priemonių arsenalo teikiama nauda viena mažiausių, o kaina bene didžiausia. 
Jokiu būdu neišsižadu judesio jutiklių, vaizdo kamerų ir elektroninių perimetro barjerų. Jie reikalingi. Tačiau tai tik pagalbiniai įrankiai. Jie stiprina ir efektyvina kontrolę, didina informacijos pasiekiamumo ir apdorojimo greitį, dažnai taupo laiką, iš kai kurių procesų pašalina žmogiškąjį faktorių, teikia komfortą, tačiau vis tiek lieka garbingoje trečioje mūsų turimo saugos priemonių arsenalo vietoje.
Būkite nuoseklūs. Įveikus visus etapus iki elektroninių priemonių diegimo, kiekvienas instaliuotas jutiklis bei kiekviena vaizdo kamera turės aiškią ir konkrečią užduotį, kuri nebus maskuojama po populiariais žodžiais: „saugoti“ ir „stebėti“.
Pabaigai priminsiu: - naudokite saugos priemones atsakingai, kad jos netaptų nauju Jūsų verslo ar gyvenimo apribojimu. Sauga ir efektyvumas vienas kitam neprieštarauja :)

2012 m. vasario 1 d.

ACTA (Anti-Counterfeiting Trade Agreement) – kokia šio susitarimo įtaka?


Internete kyla bangos dėl naujo prekybos susitarimo kovai su klastojimu.
Ruošiau įrašą šia tema, tačiau mano planuotą išdėstyti požiūrį radau teisingumo ministro „Remigijaus Šimašiaus bloge“, todėl nesikartosiu :)
Oficiali susitarimo dokumento versija lietuvių kalba yra čia (.pdf). Prašau neišsigąsti 52 lapų dokumento apimties – įkėlus į teksto redaktorių standartiniu šriftu lieka nepilni 17 lapų :)
Asmeniškai tikiuosi, kad abejojančių ir nepritariančių balsų Europos parlamente pakaks, kad šis nedemokratiškai ir uždarai ruoštas dokumentas neįsigaliotų.
Dar vienas pastebėjimas: jeigu šis susitarimas vis dėlto įsigaliotų, labai svarbu mums visiems įdėmiai sekti Lietuvoje naujai priimamus ar koreguojamus teisės aktus, kuriais bus realizuojamos šio dokumento nuostatos. Labiausiai nuo mūsų šalies institucijų priklauso, kokį galutinį rezultatą turėsime.

2012 m. sausio 28 d.

Tapatybės patvirtinimas: biometrija

Yra daug situacijų, kuriose susiduriame su savo tapatybės patvirtinimu. Tam naudojame pasus, elektromagnetines bei lustines korteles su PIN kodais ar be jų. Pasirašinėjame dokumentus tiek rašikliu, tiek elektroninėmis priemonėmis. Naršyklės lange įvedinėjame slaptažodžius. Anonimiškai „pasirašome“ raktu rakindami savo būsto, garažo ar darbovietės duris.
Taip kiekviename žingsnyje įrodinėjame, kad mes tikrai esame mes. Apsikrauname visokiais aksesuarais, mintyse stengiamės sugaudyti kodų ir slaptažodžių debesį, tad, turbūt, kiekvienam bent kartą kilo klausimas: - Gal galima be jų?
Galima. Yra tokie tapatybės patvirtinimo būdai, kuriuos naudojant mūsų kūnas tampa raktu. Tai pirštų antspaudų ar akies rainelės skaitytuvai, balso ir net DNR sekos analizatoriai, vaizdo stebėjimas su veido atpažinimo programomis, o štai japonai paskutiniu metu pasigyrė sukūrę technologiją, identifikuojančią mus pagal... sėdmėnų antspaudą :). Visi išvardinti būdai matuoja visokius mūsų kūno fizinius parametrus. Tai ir vadinama biometrija. 
Taigi, technologijų yra, tad kodėl raktai, kortelės bei žetonai vis dar su mumis?
Priežasčių daug, tačiau kaip vieną svarbiausių įvardinčiau, kad mes esame komplikuoti raktai. Skirtingai nuo tradicinių raktų ar slaptažodžių, mūsų kūnas nuolat kinta, todėl skaitytuvai gali lyginti tik mūsų panašumą su atvaizdu duomenų bazėje. Būtent panašumą. Įprastoje spynoje, kortelių skaitytuve ar slaptažodžio langelyje panašumo nepakanka. Ten raktas turi visiškai atitikti spyną ar slaptažodis išsaugotą kodą, todėl galimi tik du rezultatai: „taip“ arba „ne“.
Biometrijoje vietoje „taip“ arba „ne“ yra vienintelis „gal“, dažniausiai apibrėžiamas dviem procentinėmis reikšmėmis: klaidingai teigiamų atpažinimų (false positive - FP) ir klaidingai neigiamų atpažinimų (false negative – FN) santykiais su visu skenavimų skaičiumi.
FP įvyksta, kai pašalinio asmens atvaizdas, dėl panašumo į esantį duomenų bazėje, klaidingai atpažįstamas, suteikiant tam pašaliniam asmeniui prieigą.
FN įvyksta priešingu atveju – kai asmuo, kurio atvaizdas yra leidžiamų asmenų duomenų bazėje, yra neatpažįstamas – jam prieiga nesuteikiama.
Aukščiau minėtais santykiais išreikšta identifikavimo kokybė biometriniuose prietaisuose labai priklauso nuo skenavimo / matavimo instrumentų tikslumo, matuojamų parametrų kiekio, atvaizdų lyginimo algoritmų, gebėjimo apdoroti didelius informacijos kiekius ir kainos, kuri dažniausiai yra ženkliai didesnė už panašaus patikimumo įprastus užraktus bei kortelių ar žetonų skaitytuvus. Šią kainą dar didina žmogiškųjų resursų, reikalingų aptarnauti biometrines sistemas, sąnaudos.
Tuo pačiu, net itin tikslūs biometrinio atpažinimo prietaisai, naudojami profesionalų, neužtikrina absoliutaus identifikavimo patikimumo.
Štai, po Madrido geležinkelyje 2004 metais nugriaudėjusių teroristų sprogdinimų, federalinis tyrimų biuras, padėdamas ispanams, sulaikė amerikietį advokatą, kurio piršto antspaudas, to paties FTB teigimu, 100% sutapo su daliniu antspaudu, rastu ant vieno iš bombų korpusų. Tačiau, kai patys ispanai, baigę tyrimą, kaltininku nustatė Alžyro nacionalistą, amerikietis buvo paleistas, išmokant 2 mln. $ kompensaciją už klaidingą areštą. Analogiškų klaidingų atpažinimų teisėsaugoje jau yra įvykę ir naudojant tokias technologijas, kaip DNR sekų lyginimas.
Apskritai, vienoje iš išvadų, atskleistų penkis metus trukusiame tyrime Nacionaliniame tyrimų centre Vašingtone, teigiama, kad ir kokios puikios bei tobulos būtų naudojamos technologijos, galutinis rezultatas labiausiai priklauso nuo proceso valdymo procedūrų, t.y., nuo žmonių, kurie tas technologijas naudoja. 
Kitas svarbus biometrinių raktų trūkumas – didelę dalį jų mes „mėtome“ kur papuola. Štai tuos pačius savo pirštų antspaudus palikinėjame ant daugumos paviršių tiesiog prisiliesdami. Tai suteikia galimybę pagaminti mūsų antspaudo kloną ir panaudoti jį neteisėtais tikslais. Dar blogesnė situacija su veido ar galvos geometrijos, ausų formos (yra ir tokių technologijų:) ) atpažinimo programomis – mes kaip raktai galime būti panaudoti mums net neprisiartinus – užtenka su kokybiška technika mus nufotografuoti iš toli. 
Nepaisant trūkumų, mūsų kaip rakto vaidmuo šiuolaikinėse technologijose auga, tuo pačiu niekur nesitraukiant ir įprastoms identifikavimo priemonėms. Ypač svarbiose srityse atpažinimas vykdomas keliomis technologijomis lygiagrečiai, pavyzdžiui pirštų antspaudų skeneris derinamas su įeigos kortele ar PIN kodu.
Tradiciškai biometrinės atpažinimo technologijos siejamos su ypač saugiais, tačiau brangiais sprendimais. Taip pat labiau įprasta, kad pirštų antspaudai, veido bei profilio fotografijos dažniau naudojamos teisėsaugos institucijose nusikaltusių asmenų duomenų bazei kaupti. Tačiau šiuo metu pirštų antspaudai įrašinėjami į naujai gaminamų pasų atminties lustus, jų skaitytuvai integruojami į paprastus nešiojamus kompiuterius, o, tuo pačiu metu, veido atpažinimo technologijos žengia septynmyliais žingsniais. Pastarąsias šiuo metu ima naudoti ir FTB, asmens paieškų duomenų bazėse pagreitinimui.
Vienos technologijos vienareikšmiškai didina mūsų saugumą, tačiau kai kurios iš jų labiau ima panašėti ne į saugos, bet į visuotinės kontrolės priemones.