A felhasználók biztonsága

Az utóbbi időben számos tanulmány jelent meg az Internet (és általában az IT szektor) javasolt jövőbeli stratégáját illetően. A több (tíz)ezer sornyi anyagban a biztonságról gyakorlatilag nem esik szó, holott a potenciális ügyfelek bizalmán (tehát a szervereken tárolt információk és a hálózati kommunikáció biztonságán) áll vagy bukik az, hogy

• valóban biztonságosan használható-e lesz az Internet,
• és valóban olyan nagy jövő előtt áll-e az Internetes kereskedelem (és általában az e-business).

Ezt a bizalmat megszerezni nem a problémák elhallgatásával kellene, hanem azzal, hogy megtanítjuk az Internet felhasználóit a különböző szolgáltatások biztonságos alkalmazására, és felhívjuk a figyelmüket a hálózat használata során felmerülő veszélyekre.

Hitelkártyás vásárlás

Ezen a területen is a bizalom hiánya legfőbb hátráltató tényező: számtalan esetről hallani, amelyekben Internetes vásárlásaik során megkárosították egyeseket, mert - mint utólag kiderült - egy szélhámosnak adták meg hitelkártyájuk adatait. Az eddig megismert eseteket megvizsgálva megállapítható, hogy szinte valamennyi ilyen esetben egyértelműen előre látható lett volna, hogy szélhámos áll a háttérben (minimális ismeretek birtokában).

Meg kell magyarázni az embereknek, hogy mely jelek utalnak kétes hátterű cégre, szélhámosságra, esetleg kevésbé biztonságos tranzakcióra.

Meg kell értetni velük, hogy mindazon cégek, akik a hosszú távon szeretnének hitelkártyás kereskedelmet folytatni, nem engedhetik meg maguknak, hogy ügyfeleik adatait ne kezeljék a lehető legnagyobb biztonsággal.

Ki kell dolgozni egy ajánlást az ilyen jellegű adatkezeléssel és adattárolással kapcsolatban a kereskedők, a weblapok készítői és a tranzakciókkal foglakozó bankok számára (ne fordulhasson elő nálunk az, ami külföldön már többször, hogy számítógépes bűnözők ezresével jutottak hitelkártya adatokhoz).

Digitális aláírás

Valamennyi érdekelt tisztában van azzal, hogy a digitális aláírás jelenleg nem, vagy legalábbis iszonyatosan nehezen hamisítható. Azt azonban kevesen tudják, hogy léteznek módszerek, amelyek segítségével - bizonyos feltételek mellett - megkerülhető a rendszer, illetve rá lehet venni a felhasználó számítógépét arra, hogy egy távolból érkező parancsra végrehajtsa az aláírási procedúrát (a tulajdonos számára észrevétlenül).

Ha ezek a feltételek hiányoznak, akkor valóban biztonságban lehet használni a digitális aláírást.

E-MAIL - klasszikus levelezés

Ma már elérhetők olyan vírusfigyelő/irtó rendszerek, amelyek lehetővé teszik, hogy egy-egy levelező szerver segítségével ne lehessen vírust tartalmazó email-t elküldeni. Támogatni kell azokat az e-mail szolgáltatókat, akik korszerű vírusvédelmi rendszert telepítenek a levelezést végző szerverükre. A támogatottak számára kötelező legyen a vírus-adatbázis rendszeres frissítése.

Szabályozni (korlátozni) kellene azon email-be építhető trükköket, amelyek lehetővé teszik

• a címzett észrevétlen azonosítását,
• a címzettről a tudta nélkül végzett információgyűjtést,
• a címzett számítógépére új alkalmazások észrevétlen telepítését szolgálhatják,
• a számítógépben tárolt adatok biztonságát veszélyeztethetik,
• egyéb, a levél olvasója által észrevétlen (tudatos jóváhagyás nélküli) tevékenységet szolgálnak.

Mindenki megteheti, hogy egy olyan e-mail klienst választ, pl. Thunderbird-et ami nagymértékben korlátozza ezeket a lehetőségeket.

Nagy mennyiségben küldött levelek (spam) + e-mail cím gyűjtés

Ha nem tiltjuk meg (tehát engedélyezzük) a tömeges (spam jellegű pl. kereskedelmi célú) levelezést, úgy szigorúan szabályozni kellene azt, hogy melyek azok a módszerek, amelyekkel hozzá lehet jutni egy-egy e-mail címhez.

Ahol ilyen céllal kérnek valakitől címet, vagy a kért címet ilyen célra is fel kívánják használni, ott kötelező legyen feltüntetni ezt az információt.

Az e-mail címek és címlisták kereskedelme (adás-vétele) ne legyen megengedett.

Bárkinek - ha megkérdi, hogy hogyan jutottak az e-mail címéhez - pontos, valódi, és leellenőrizhető információkkal kell szolgálni (minimum a cím megadásának pontos helye és időpontja).

Ha az e-mail cím tulajdonosa meggondolná magát - minden listáról legyen leiratkozási lehetőség (unsubscribe), és fokozottan ügyelni kell arra, hogy a címre ezután valóban ne érkezzen kéretlen levél.

A fenti feltételek megszegői kártérítési felelősséggel kellene tartozzanak. Egy érdekes lehetőség, aminek a bevezetése a közeljövőben megtörténhet, egy szimbolikus ár bevezetése minden elküldött e-mailra. Bármilyen kicsi összeg komoly akadályt jelenthet a manapság oly nagy teret kapott tömeges szemétlevelek - a spam - további burjánzása számára.

Összegzés:

Az embereket meg kell ismertetni a várható veszélyekkel, és el kell magyarázni, hogy mely feltételek azok, amikor nagy biztonsággal böngészhet, levelezhet, használhatja hitelkártyáját, pénzt utalhat vagy értékpapírokkal kereskedhet, stb.

Mivel nem lehet mindenki számítástechnikus és tűzfalszakértő, a védelmi feladatokat nem lehet kizárólag a (jobbára gyakorlatlan) Internet felhasználókra hárítani.

Az Internet biztonságos használatához szükséges oktatás az állam feladatvállalása, határozott fellépése. a védelem technikai feladatait a különböző Internet szolgáltatóknak és az alhálózatok tulajdonosainak kell ellátnia (különböző védelmi rendszerek kiépítése és üzemeltetése), szükség esetén állami támogatással (például vírusfigyelővel ellátott ingyenes e-mail szolgáltatások támogatása).

Az oktatási rendszerek egyik nagy hibája, hogy ezt elhanyagolják. például az embereknek már gyerekkorban elmagyarázzák, hogy "nézz körül, mielőtt átszaladsz az úton", "ne állj szóba gyanús idegennel", de senki sem mondta el nekik, hogy "figyeld a lakatot a böngésződ alján" vagy "ne kattints rá minden csatolt állományra" esetleg "ne tölts le programot gyanús helyről" - pedig ezek is feltételei annak, hogy "életben maradjunk" a virtuális világban.