Tegoroczna konferencja Semafor zaczęła się wykładem Iry Winklera, który opowiadał o tym jak za pomocą inżynierii społecznej okręcał sobie wokół palca dobrodusznych Amerykanów w firmach, które wynajmowały go do testowania własnego bezpieczeństwa.

Siedzący obok Wojtek Dworakowski z Securingu scenicznym szeptem skomentował to szyderczo, że w Polsce to nie przejdzie bo wszyscy są podejrzliwi i nieufni.

Coś w tym jest, ale teorii o korelacji tej nieufności z bezpieczeństwem przeczyły kolejne wykłady kolegów opisujących straszliwie dziurawe wdrożenia systemów biznesowych czy różnego rodzaju polityk bezpieczeństwa.

Moja prywatna obserwacja jest taka, że polski problem z wzajemną nieufnością nie skutkuje wcale większym poziomem bezpieczeństwa. Cała para idzie w pierwszym rzędzie w budowanie wielopoziomowych "systemów klasy CYA" zwanych swojsko d..chronami.

Nie mamy bowiem za grosz zdolności do oceny własnego, rzeczywistego poziomu bezpieczeństwa i braków, wymagających naprawy. Odnotowanie każdego niedostatku w procedurze bądź praktyce jest odbierane natychmiast jako atak osobisty. Żeby nikogo nie urazić tworzy się więc fikcyjne potiomkinowskie "oceny", a wiedza na temat rzeczywistych niedostatków służy głównie budowaniu miękkiego lądowania zamiast ich naprawieniu.

Po drugie, chorujemy na monumentalizm. W pojęciu wielu dyrektorów polityka bezpieczeństwa po prostu nie może mieć pół strony, choćby w większości małych i średnich firm wystarczyło to z okładem do odzwierciedlenia ich rzeczywistych zagrożeń i wskazywało proste do wdrożenia środki naprawcze.

Wszyscy wiedzą przecież, że polityka musi mieć 100 stron, których nikt nie przeczyta ale kwit będzie. Kopiują więc małe firmy znalezione w sieci modelowe polityki napisane dla ogromnych bankowych ośmiornic, a postawione przed zadaniem wdrożenia setek kosztownych zabezpieczeń nie wiedzą od czego zacząć... i ostatecznie nie robią nic.

Nie bójmy się zatem naprawiać rzeczy małych i dążyć do pożądanego stanu drobnymi krokami, ale robić to solidnie a nie fasadowo. Do tego jednak potrzebna jest rzetelna samoocena. Nie maskujmy oczywistych braków w obawie, że wypadniemy słabo na tle innych firm. Prawdopodobnie sytuacja w nich wygląda tak samo lub gorzej.