В една или друга степен информационните технологии, са част от ежедневието на всеки от нас. Едни прекарват половината (или дори целия) си живот, онлайн в социалните мрежи, докато други използват компютър само при нужда. Но дори животът на вторите, е значително повлиян от ИТ, тъй като много от техните лични данни се съхраняват на редица места: в банки, застрахователни компании, търговски вериги, медицински институции и т.н. Ние смятаме че защитата ни е гарантирана, и че не е възможно неупълномощени лица да получат достъп до личните ни данни, банковата ни информация или личната ни кореспонденция.

Тази защита обаче, всъщност има две страни. От едната страна са потребителите, които надяваме се, съзнателно се стараят, да развиват собствена защита, взимайки прости предпазни мерки - например да не записват никъде ПИН кодовете си, да не използват тривиални пароли и т.н. От другата страна са организациите, грижещи се за информационната сигурност, от които с основание потребителите очакват, да правят всичко възможно, за да създават и поддържат необходимото ниво на защита.

Въпреки това, потребителите имат малко информация за нивата на тази защита, може би дори по-малко отколкото пациентите имат за знанията и опита на техните лекари. В същност, до голяма степен, ние се доверяваме на докторите, просто защото имат медицински дипломи и носят бели престилки.

Повечето хора считат, че естествен интерес на всяка компания е да направи всичко по силите си да защити данните които съхранява. Въпросът обаче е: ако компаниите наистина правят всичко по силите си, как е възможно да ставаме свидетели на инциденти със сигурността, с такива мащаби като този претърпян от SONY? В периода 17 – 19 април 2011 г., хакери получиха достъп до личните данни (имена, рожденни дати, адреси, идентификационни номера (ЕГН), пароли и кредитни карти) на 77 милиона потребители от плейстейшън мрежата на SONY (SONY Playstation Network-SPN). Няколко дни по късно, хакери получиха достъп до личната информация на други, около 25 милиона клиенти на портала SONY Online Entertainment.

SONY спряха SPN услугата си на 20 април и направиха изявление, че в базата данни, таблицата която съхранява информацията за кредитните карти на потребителите е била криптирана. След това обаче, направиха корекция на 2 май, като обявиха, че информацията за кредитните карти всъщност не е била криптирана.  

Тази серия от атаки е най-голямата позната до сега. 

В индустрията на Информационната сигурност, промените в кибер атаките, се обсъждат от доста време. Мнозина приемат атаките, като новина за катастрофа в другия край на света по време на късната емисия. Отначало са ужасени, но след това напълно се облекчават от факта, че живеят толкова далеч, че въобще не са застрашени. Въпреки това, както Джордж Карлин (бел.ред. американски комик, актьор и писател, известен с черния си хумор) веднъж каза: „Ако построиш къщата си до вулкан, не би трябвало да се чудиш защо има лава в хола ти”. А що се отнася до Информационните технологии и сигурността, ние всички „строим домовете си върху вулкан”.

В информационна сигурност, няма заложен минимум на възвръщаемост на инвестициите, нито минимално необходимо ниво на сигурност. В някой области, като финансовия сектор, има както законови изисквания така и стандарти касаещи самата индустрията, и все пак рискът от несъответствие с тях е минимален. Всичко е въпрос на решение, например няма особен смисъл да се въвеждат регулации, когато има няколко начина за интерпретиране на заложените в тях изисквания, или изпълнителният орган, който трябва да ги прилага, разполага с ограничени ресурси, или просто когато несъответствието със законовите разпоредби, води само до незначителни санкции. И не на последно място, когато мислим за регулации, не трябва да забравяме, че в света на информационната сигурност, уязвимостите се променят бързо.

Последните две години показаха, че кибер атаките стават все по-сложни и целенасочени. Десетилетие назад, атаките бяха насочени към експлоатирането на точно определена слабост (обикновено само една) във възможно най-много мрежи. Сега, атаките целят похищаване на конкретна, предварително набелязана мишена, което е свързано с педантично проектиране на атаките необходими за постигане на целта.

Получаването на личните данни на 77 милиона души, не изглежда като плод на случайна идея. Нито пък е случайно, обединяването на група хора за създаването на вирус способен да възпрепятства дейността на ядрено съоръжение.

За сега, хората могат само да гадаят какви са били мотивите за атаката над SONY и кои са хакерите стоящи зад това. Едно от предположенията е, че деянието е свързано с процеса срещу хакер, обвинен в нарушаване на правата за защита срещу копиране на Playstation 3 на SONY. Обезпокояващо е също, че инцидент касаещ сигурността, и то в такъв голям мащаб е бил допуснат и е останал незабелязан толкова дълго време.

По същия начин например, доста по сериозни последици биха създали атаките върху жизнено важна инфраструктура, системи за здравеопазване, комуникационните системи на изпълнителната власт, системи за контрол на въздушния трафик и т.н. В интерес на истината, съществуват десетки информационни системи във всяка страна, където дори минимално смущение би могло да доведе до сериозни проблеми.

Международната Стратегия за киберпространството, издадена от Белия дом, е първият документ за справяне с кибер атаките, който ги третира не по-малко сериозно от традиционните заплахи с оръжие. В този документ е подчертана важността на последните изменения  в мащаба на заплахите. Посланието на документа, разбира се, не е че САЩ ще отговори с война на заплахата от хакерски атаки, а по-скоро да се обърне внимание на увеличената опасност от кибер атаки и свързаните с това последици.

Въпреки всичко, ние несъмнено ще ставаме свидетели на все повече и повече целенасочени хакерски атаки в бъдеще, чийто цели биха могли да бъдат както единични индивиди, така и цели организации, корпорации и дори правителства. При войната в Информационните технологии, дори само аспекта свързан със сигурността, за който говорихме, вече е част от всекидневния живот на човек.

Оригиналът на статията е публикуван в унгарското издание Világgazdaság, 27 May 2011.