W dyskusji pomińmy przypadki trollowania oraz masowego rozpowszechniania fałszywych wiadomości tekstowych, fotograficznych, dźwiękowych oraz wideo, które mają wzbudzić kontrowersje i emocje, podburzyć opinię publiczną czy zmienić czyjeś zdanie na taki czy inny temat. Szczególnie klipy, w których występują osoby publiczne z podłożonymi im fałszywymi wypowiedziami są trudne do rozszyfrowania dla mniej zorientowanego odbiorcy. Pomińmy też na razie kwestię możliwości tworzenia tysięcy botów wzmacniających zasięg tych zatrutych informacji. W tej dyskusji pomińmy nawet problem ataków DDoS, chociaż nas informatyków powinno niepokoić, jak łatwo jest uruchomić zmasowany atak z wielu zawłaszczonych w tym celu komputerów. Wrócimy do tego później.

Zatrzymajmy się chwilę na problemie przechwytywania danych osobowych oraz loginów i haseł, pozwalających wykonywać w imieniu ich prawdziwych właścicieli transakcje, przeważnie prowadzące do kradzieży pieniędzy lub danych wrażliwych. Jest dla mnie porażką informatyczną sam fakt istnienia tak przecież skomplikowanej struktury loginów, PIN-ów, alfanumerycznych haseł, dwupoziomowych (a już mówi się o trójpoziomowych) uwierzytelnień dostępu, cyfrowych podpisów i biometrycznych identyfikacji, które jednak nie gwarantują 100-procentowego bezpieczeństwa danych przynależnych danej osobie lub firmie. A często, z racji skomplikowania zabezpieczeń i ich masowości nawet w przypadku mało istotnych aplikacji, poważnie utrudniają one wielu osobom, szczególnie starszym czy mniej sprawnym, posługiwanie się systemami informatycznymi.

My, informatycy, chcielibyśmy tutaj zrzucić winę na użytkowników, że nie są dość uważni i przezorni (hasła trzymają zapisane pod klawiaturą), a także są mniej sprawni w zapamiętywaniu „zaledwie” tych kilkunastu PIN-ów i haseł. Ja jednak wierzę, że może z pomocą sztucznej inteligencji da się wzmocnić ochronę dostępu przez nieupoważnionych, a jednocześnie będzie ona bardziej przyjazna dla zwykłych użytkowników, na czym zyska bezpieczeństwo tych systemów.

Główną przyczyną braku bezpieczeństwa systemów teleinformatycznych są istniejące w nich błędy, które umożliwiają, poprzez eksplojty, niekontrolowane wejście do systemu i uzyskanie kontroli nad jego zasobami. Prawdopodobnie obecnie nie ma systemu, który byłby całkowicie pozbawiony takich błędów, a tym samym byłby odporny na wszelkie cyberataki.

Obecnie działania służb cyberbezpieczeństwa przypominają mi Linię Maginota, rzekomo nie do zdobycia, którą wojska niemieckie obeszły bokiem i zdobyły od drugiej strony. Bo też te służby, obserwując ruch internetowy oraz działanie systemów, mogą jedynie zauważyć oznaki ataku i wyłączając system z sieci (oraz prądu) zatrzymać taki atak i dopiero wtedy określić jego rodzaj i ewentualnie namierzyć sprawcę. Następnie mogą wykryć, jaki to błąd w systemie umożliwił atak. Niestety, często jest to już w ramach sprzątania po poważnych szkodach.

Zapewne wielu z nas zadaje sobie pytanie, dlaczego twórcy systemów nie unikają błędów, które ktoś wykorzystuje? I w zasadzie potrafimy odpowiedzieć na to pytanie. Większość błędów to efekt niewystarczającego procesu testowania i za to powinni odpowiadać producenci oprogramowania. Nie powinni się przed tym bronić prawnymi zapisami w licencjach. Dlatego kolejne pytanie powinno brzmieć: dlaczego użytkownicy oprogramowania zgadzają się na takie zapisy? Nie słyszałem, aby któryś z producentów został oskarżony o błąd i zmuszony do wypłacenia odszkodowania. Może warto użytkować oprogramowanie, które jest wprawdzie mniej rozbudowane, ale za to dokładniej przetestowane. Po co komu większość zwykle  niepotrzebnych funkcji Windowsa bądź iOS-a. Każdy z nas byłby w stanie zrezygnować z wielu z nich. A jeżeli czasem niektóre z nich miałyby być potrzebne, to mogłyby być instalowane jedynie na czas ich użytkowania, a po wykorzystaniu usuwane. Przecież nawet kolejny update systemu wymienia w nim kilka megabajtów kodu (pytanie, z iloma nowymi błędami…). A wszyscy, szczególnie zaatakowani, płacimy za błędy ogromną cenę.