„Guglove“ skrivene i moćne podrazumevane bezbednosne postavke

Prošle nedelje, kompanija „Gugl“ je objavila da planira da sve svoje korisnike automatski obuhvati dvofaktorskom autentifikacijom da bi unapredila bezbednost naloga. Ta promena Guglovih podrazumevanih bezbednosnih postavki, koja dovodi do radikalnih promena, ali istovremeno značajno kasni, predstavlja potvrdu svega onoga o čemu stručnjaci za sajber-bezbednost već godinama govore. Svi oni smatraju da su lozinke najveća pretnja po bezbednost na mreži, jer ih je lako ukrasti, teško ih je zapamtiti, a upravljanje lozinkama za mnogobrojne naloge je prilično zamoran posao. Verovatno će od spomenute promene najviše koristi imati kompanije na tlu Amerike pošto godišnje gube više od 1 milijarde dolara zbog podrazumevanih bezbednosnih postavki softvera koje koriste. Softverske kompanije odlučuju koje će bezbednosne opcije uključiti i, što je još važnije, koje od njih će biti isključene. Na taj način, te postavke postaju podrazumevane, odnosno, unapred određene sve dok ne odlučimo da ih promenimo. Bezbednosne mere su nam uglavnom zamorne i dosadne, naročito ako moramo da unesemo kôd sa telefona svaki put kad se prijavljujemo na nalog. To nam predstavlja smetnju koju moramo da prihvatimo, jer nam ona povećava bezbednost poslovanja i – sada u slučaju kompanije „Gugl“ – jer drugačiji metod ne postoji. Ne moramo ni da vam napominjemo da nam povećane mere bezbednosti uvek stvaraju veću neudobnost pri prijavljivanju na nalog.

Korisnici ne vole kad im bezbednosne mere stvaraju određene prepreke jer im je zbog njih narušeno korisničko iskustvo. Dakle, da bi softverske kompanije održale korisničko iskustvo na visokom nivou, veoma često i svesno svode podrazumevane bezbednosne postavke na najmanju moguću meru iako znaju da tako korisnike izlažu sajber-napadima i katastrofalnim finansijskim gubicima. Podrazumevane postavke su same po sebi moćne, jer morate nešto da preduzmete da biste ih promenili. Korisnici, uglavnom, menjaju podrazumevane postavke onda kad su prednosti promene veće od neprijatnosti koje izaziva njihova promena. Prednosti podrazumevanih postavki proučavane su tokom dve protekle decenije i u svakom slučaju je otkriveno da, kada nam se ponudi izbor, uvek biramo put kojim se lakše ide i koji ima manje prepreka. S obzirom na moć koju podrazumevane postavke imaju, na njima leži i ogromna odgovornost. Smatramo da podrazumevane postavke postoje da bismo mi imali koristi od njih, posebno onda kada ih preporučuju najpoznatije i najcenjenije softverske kompanije. Naravno, korisnici su uvek sumnjičavi, ali i pored toga ne mogu da poveruju da bi softverske kompanije namerno napravile proizvod tako da nas dovedu u opasnost. Međutim, to se dešava.

Jedan od najuočljivijih problema u tom smislu su sajber-napadi koji obuhvataju pravila za prosleđivanje e-pošte. Napadači uglavnom koriste pravila za prosleđivanje e-pošte u okviru usluge da bi automatski prosledili poruke na spoljnu adresu kojom oni upravljaju. Pošto je taktika postala prilično rasprostranjena, privukla je pažnju FBI-a. Procenjuje se da su američke kompanije izgubile 220 miliona dolara u napadima povezanim sa prosleđivanjem e-pošte u 2020. godini. Takva vrsta napada ne zahteva neko posebno znanje i zbog toga ih je lako sprečiti jednostavnim rekonfigurisanjem podrazumevanog pravila protoka pošte. U stvari, kao što nam je kompanija „Gugl“ pokazala, klijenti e-pošte već imaju ugrađene bezbednosne kontrole protiv većine vrsta-sajber napada: dvofaktorsku autentifikaciju da bi se sprečilo preuzimanje naloga i zloupotreba akreditiva; kontrolu filtriranja priloga u slučaju da se zlonamerni softver krije u dokumentima, prezentacijama ili tabelama; kontrolu filtriranja veza ka zlonamernim veb-stranicama koje će zaraziti vaš pregledač, pa čak i kontrolu „nemogućeg putovanja“ koja sprečava korisnike da se prijave sa lokacije koja je mnogo udaljena od lokacije sa koje su se prethodno prijavili (mnogo udaljena, znači da korisnik nikako nije mogao toliko brzo da stigne sa jednog mesta na drugo). Sve te kontrole su već prilično dugo podrazumevano isključene, mada ima nade da je promena na putu.

Softverske kompanije ne isključuju bezbednosne kontrole namerno da bi sajber-kriminalcima olakšale posao. One daju prednost korisničkom iskustvu nad merama bezbednosti, jer je to najbolja odluka koja štiti njihove, a ne korisničke interese pošto je uvek lakše prodati proizvod koji je jednostavniji za upotrebu. Međutim, retko kad smo upoznati sa tim kompromisima, jer softverske kompanije nemaju obavezu da ih otkriju. Kad zbog toga neizbežno pretrpimo sajber-napad, softverske kompanije ne snose odgovornost. To znači da mi sami moramo da promenimo podrazumevane vrednosti koje nas u prvom redu čine ranjivim. Slepo poverenje koje poklanjamo softverskim kompanijama godinama izlaže američka preduzeća riziku. (Najava o dvofaktorskoj autentifikaciji kompanije „Gugl“ korak je u dobrom smeru, ali nije jedina kompanija koja bi trebalo da preispita svoju bezbednosnu praksu.) Kompanije ne samo da ne snose odgovornost, već se ne naslućuje ni pojava bilo kakve regulative u tom smislu.

Softverske kompanije moraju da prestanu da sistematski prenose odgovornost za proizvod na korisnike i počnu da podrazumevano omogućavaju jake mere bezbednosti, čak i ako to dovodi do neudobnosti pri korišćenju proizvoda. Kompanija „Gugl“ je prva napravila pravi korak u pravom smeru. S druge strane, mi, korisnici, moramo da zahtevamo veću transparentnost od softverskih kompanija i postavimo im više standarde koje moraju da dostignu. Do tada, naš zadatak je da vredno radimo i preispitujemo svaku pretpostavku o postavkama softvera i podrazumevanim bezbednosnim postavkama. Od toga zavisi dobrobit našeg preduzeća.

6397-guglove-skrivene-i-mocne-podrazumevane-bezbednosne-postavke