O nic více než apokalyptické hrozby spojené s problémem roku 2000: je to více strach z neznámého než hrozba postavená na dobře prokázaných faktech.
Už jenom počítačoví pamětníci si vzpomenou na hrozbu, které se říkalo Y2K čili „Problém roku 2000“. Nejen masová, ale dokonce i odborná média líčila, jaké hrůzy mohou nastat: programy budou dělat chyby, zhroutí se, banky vám popletou platby na účty, letadla nebudou létat, přestane téct voda a pravděpodobnost, že prvního ledna nevyjde ráno slunce, je vyšší než jindy. Lidé si kupovali zásoby na zimu a rezervovali si obydlí daleko od civilizace.
Prakticky nic z toho se nestalo – kromě toho, že firmy utratily těžké miliardy na upgrade svých systémů, většinou podstatně dříve, než by proběhlo jejich morální i fyzické zastarání. Počítačovým dodavatelům se podařilo úspěšně přesvědčit svět k upgrade pod záminkou právě tak průhlednou jako účinnou: „Dost možná, že žádné nebezpečí nehrozí. Ale chcete být zodpovědní za to, že se něco stane, přičemž nemůžete říci, že jste nebyli varováni?“. Žádný manažer si nevezme na sebe zodpovědnost za škodu, před kterou byl varován: před svými majiteli se ještě vymluví z toho, že se stalo něco, o čem nevěděl a netušil, ale nikdy ne z toho, že ignoroval problém, o kterém věděl.
(Mimochodem, je dosti možné, že tato mazanost počítačových dodavatelů se prokázala jako dosti krátkozraká. Poté, co se ukázalo, že hrozba Y2K byla silně přehnaná, zákazníci uzavřeli své peněženky na dva západy a po několik let neupgradovali, i když měli. Výsledná krize IT průmyslu, trvající čtyři roky, poškodila dodavatele tak, že jim to více než vyvážilo zisky z krátkodobého vyrýžování na problému Y2K).
Dnes se opět hovoří o hrozbách s možnými katastrofickými následky: cyber-terorismus, cyber-warfare („kybernetické zbraně“) a vůbec vše, co je spojeno s bezpečností propojených systémů je jedním z nejčastěji zmiňovaných témat dneška. I když se jedná o problém zcela jiného druhu než Y2K, některé podobnosti jsou významné:
- stejně jako u Y2K je velice nevděčné tento problém bagatelizovat. Pokud kdokoli (například novinář v článku) napíše, že hrozba není velká, následuje okamžitě napadení, že věci nerozumí. (Totéž platí o jiných hrozbách podobného typu, jako je např. globální oteplování, hrozba jaderných elektráren atd.).
- stejně jako u Y2K lze používat „apokalyptickou“ argumentaci, zejména v souvislosti s útokem s teroristickým pozadím, kterou není možné jednoznačně vyvrátit. I tehdy, pokud nejsou použity bulvární hrozby planetárních katastrof, lze argumentovat hrozbami vyúsťujícími v smrt nebo zranění osob; to je přesně ten typ hrozby, který si žádný manažer nevezme na svou zodpovědnost, i kdyby byla hrozba sebemenší a její řešení sebedražší
- stejně jako u Y2K ti, kteří mají přirozený, nezpochybnitelný a autoritativní „mandát“ na poskytování kvalitních odborných informací o problému, jsou stejné firmy, které budou těžit z komerčních zakázek zaměřených na řešení problému
- stejně jako u Y2K si velmi kvalitní řešení problému vyžádá obrovské peníze, a stejně jako u Y2K lze provést alespoň určitý alibistický postup, např. jednoduchý bezpečnostní audit – alespoň na něj lze většinu zákazníků nalákat.
To jsou však jen určitá vnější podobenství, která o míře hrozby mnoho nevypovídají. Asi se shodneme v tom, že počítačové firmy budou problém zveličovat, protože chtějí vydělávat, ovšem tak tomu je vždy – ostatně lidé jsou nezodpovědní (firmy rovněž) a troška zveličení rizika jim neuškodí, jinak by neudělali vůbec nic. Proč se ale domníváme, že útok s obrovskými, destrukčními následky nenastane?
Část odpovědi nalezneme už v architektuře internetu – v gigantické, různorodé a pestře strukturované síti bez centrálního neuralgického bodu. Mnoho simulovaných i skutečných výpadků prokázalo, že odolnost internetové sítě proti zhroucení je mimořádná, možná větší, než si kdysi vojáci v DARPA představovali, když malovali na tabuli něco, co odolá masivnímu jadernému útoku na USA. Síť je konstruovaná nesmírně „pestře“; ani omylem jí neodpovídá jednoduchá mapka několika tlustých a tenčích čar mezi kontinenty a uzlovými body, kterou máme možná ještě dobře před očima (a kterou na různých „zanedbaných“ webech stále najdeme jako tzv. „schéma internetu“). Stejně tak různorodá jsou zařízení řídící provoz na Síti – i kdyby ten nejčastěji se vyskytující router měl zásadní bezpečnostní díru a ta byla využita, internet nezkolabuje.
Internet dnes dále již nyní tvoří vrstevnatou strukturu s odlišnými úrovněmi zabezpečení; a typické citlivé sub-sítě (armáda, policie, dopravní a energetická infrastruktura atd.) podléhají velmi přísnému zabezpečení. Jedná se většinou o sítě, které jsou od obecného internetu, ze kterého s očekává útok, dobře odstíněny a někdy i stoprocentně izolovány (neexistuje žádné propojení). Ve scénáři, kde nějaký Usáma sedí v poušti s laptopem a hackuje síť raketové obrany USA, chybí opravdu už jen James Bond.
Rozsah hrozeb je dále poměrně slušně zmapován a poznán. Typy útoků, které se v posledních letech odehrávaly, jsou pro bezpečnostní odborníky „staré známé“; nic pronikavě nového se už dlouho neobjevilo a zřejmě ani neobjeví. Dobře poznané jsou i bezpečnostní díry, či spíše slabiny systémů, kam patří nejen notoricky známé díry Windows, ale podobně slabá místa serverových systémů nebo třeba i hardwarové infrastruktury od Cisca. Pro bezpečnostní odborníky to není ani tak strach z neznámého, jako obavy z dobře známého – například z toho, že po zalátání jednoho exploitu ve Windows se objeví další.
Internet je náchylný k útokům a jiným zločinům stejně tak jako reálný svět – to znamená, že náchylný nepochybně je, ale stejně tak jak je vysoce nepravděpodobný teroristický útok s celoplanetárním následkem (či pád meteoritu přímo na vaši hlavu). Spíše je vše daleko prozaičtější. Namísto krkolomných „matrixovských“ konstrukcí banalita – nezaheslovaný počítač a nezamčené auto, nezaplátované Windows a dům bez alarmu. Namísto kontinentálních katastrof pár smazaných souborů a ukradené číslo kreditky. Namísto potřeby gigantických investic do počítačové bezpečnosti základní vzdělávání– například jak má a jak nemá vypadat adminovské heslo.
