Računalniki, informacije in varnost v času inflacije pojmov

Avtor: dr. Anže Mihelič, doktor računalniških znanosti, Fakulteta za varnostne vede Univerze v Mariboru

Digitalna varnost, kibernetska varnost, informacijska varnost, IT-varnost, spletna varnost. Vsi zvenijo pomembno, sodobno in nujno. A ko se za trenutek ustavimo in vprašamo, kaj pravzaprav varujejo in zakaj, se pojavi neprijetno vprašanje: ali res govorimo o različnih stvareh ali pa zgolj o istem problemu z vedno novimi (trendovskimi) imeni?

Kaj in zakaj pravzaprav varujemo?

Začnimo pri osnovi. Varnost nima smisla sama po sebi. Računalnikov ne ščitimo zato, ker bi imeli računalniki pravico do zaščite. Ščitimo jih zato, ker imajo vrednost za ljudi: hranijo informacije, podpirajo procese, služijo ljudem – včasih celo zgolj zato, ker je njihova vrednost simbolna. Če računalnik nima nobene neposredne ali posredne vrednosti za kogarkoli, potem ga ni treba varovati. Varnost obstaja zato, ker obstajajo dobrine, ki jih nekdo želi zaščititi. In ta nekdo je vedno človek. Dobrine se torej ne varujejo samo zato, ker bi bilo to prav, temveč zato, ker njihova izguba boli.

Informacijska varnost je to razumela že zelo zgodaj. Njeno temeljno izhodišče – zaupnost, celovitost in razpoložljivost informacij – nikoli ni govorilo o tehnologiji kot taki, temveč o interesih lastnika informacije. Informacija se lahko nahaja na papirju, računalniku ali v človeškem spominu; koncept ostaja enak. Informacijska varnost je visokonivojska, tehnološko nevtralna in konceptualno čista. Njena slabost pa je, da je za večino ljudi preprosto preveč abstraktna.

In v družbi, kjer je skoraj vsaka informacija digitalna, se zdi govoriti o ‘informacijski’ varnosti skoraj odveč. Računalniška varnost je že zdavnaj postala preozka, kibernetska varnost pa je medtem zrasla v jezik omrežij, kritične infrastrukture in obrambnih strategij, kjer varnost zveni bolj kot doktrina kot pa vsakdanja skrb. V tej terminološki eskalaciji se zato zdi skoraj neizogibno vprašanje: zakaj se sploh še oklepamo pojma informacijske varnosti? Zakaj vsega tega ne bi preprosto poimenovali digitalna varnost in šli naprej? A s tem, ko opustimo pojem informacije, opustimo tudi raven abstrakcije, ki nam omogoča razmišljanje onkraj trenutne tehnologije. Digitalno je danes vse; jutri bo morda kvantno – a tista dobrina, ki jo želimo varovati, bo še vedno informacija.

Izvirnik in prevodi

Pogost argument v prid digitalni varnosti je, da v ospredje postavlja uporabnika. A tu velja biti natančen. Uporabnik ni bil nikoli odsoten. Informacijska varnost ga ni ignorirala; zgolj ni ga izrecno imenovala. Uporabnik je bil ves čas prisoten kot lastnik informacije, kot nosilec interesa, kot subjekt tveganja. Digitalna varnost ga ni odkrila – le izpostavila ga je v jeziku, ki ga lažje razumejo tudi tisti, ki se z varnostjo ne ukvarjajo poklicno. Digitalna varnost v resnici ne prinaša novega varnostnega cilja. Ne uvaja nove triade. Ne redefinira vrednote ali dobrine, ki jo varujemo. Če je poštena, se mora vedno znova nasloniti na ‘staro’ bistvo informacijske varnosti.

To pomeni, da razlika med informacijsko in digitalno varnostjo ni ontološka, temveč retorična. Ena govori v jeziku formalnih konceptov in pravil, druga v jeziku vsakdanjega življenja. Ena je temelj, druga prevod. Težava nastane, ko prevod začne nastopati kot izvirnik.

Ko digitalno varnost začnemo obravnavati kot samostojen koncept, tveganje ni zgolj terminološko, temveč tudi vsebinsko. Izgubimo zmožnost razlikovanja med tem, kar je temeljno, in tem, kar je trenutno ‘in’. Varnost začnemo vezati na okolje namesto na vrednoto, na tehnologijo namesto na pomen. In ko se okolje spremeni – kar se v življenjskem ciklu tehnologije vedno zgodi – ostanemo brez stabilnega referenčnega okvira.

To ni pamflet. V družbi, ki je tako kompleksna kot današnja, je pošteno priznati, da informacija ni edina (morda niti ne osrednja) stvar, ki jo v digitalnem okolju zaznavamo kot ogroženo. Tam vsekakor niso ogrožene zgolj informacije, temveč tudi odnosi, identitete, procesi odločanja in razmerja moči. Ko nekdo manipulira z algoritmičnim priporočanjem, ne posega samo v informacijo, temveč tudi v pozornost; ko je onemogočen dostop do digitalnih storitev, ni prizadeta zgolj razpoložljivost podatkov, temveč tudi zmožnost (so)delovanja v družbi.

Toda takšni primeri ne kažejo nujno na novo varovano dobrino, temveč na nove družbene posledice kompromitirane informacije. Varnostni koncepti se ukvarjajo z zaščito dobrin, ne z vsemi možnimi učinki njihove zlorabe. Če bi vsako družbeno posledico razglasili za novo varnostno jedro, bi varnost izgubila analitično ostrino.

Od vrednot k operativni logiki

Kibernetska varnost v to razmerje vstopa drugače. Ne začne pri informaciji, temveč pri prostoru, v katerem ta kroži: omrežjih, sistemih in infrastrukturi. Njeno izhodišče niso vrednote, temveč konkretne grožnje; njen jezik niso lastniki in interesi, temveč incidenti, akterji in vektorji napada. Ne zato, ker bi zanemarjala vrednote, temveč zato, ker deluje tam, kjer se varnost prvič sooči z napadalcem in ne ostane več abstrakten pojem. Kibernetska varnost je tako nujna tam, kjer so informacije dejansko izpostavljene.

Težava pa nastane takrat, ko operativna logika začne nadomeščati temeljno vprašanje, kaj sploh varujemo in zakaj. In prav tu se skriva tudi skušnjava. Ko varnost postane predvsem zgodba o incidentih, akterjih in vektorjih napada, se hitro začne meriti v številu zaznanih groženj, odpravljenih ranljivosti in obvladanih napadih. Varnost se preseli v operativno ‘gasilsko’ logiko, kjer je vidno predvsem tisto, kar gori, manj pa tisto, kar daje smisel temu, da sploh gasimo: vrednost informacije in posledice za ljudi.

Kibernetska varnost tako deluje najbolje, kadar ostaja zasidrana v širšem okviru informacijske varnosti, ki ji daje merilo in smisel; brez tega se zlahka spremeni v samo sebi namenjeno obrambo pred vedno novimi grožnjami. Informacijska in kibernetska varnost zato ne stojita v hierarhičnem razmerju, temveč sta komplementarni. Če si dovolim malo poenostaviti: prva pove, kaj in zakaj varujemo, druga pa, kje in kako se to varovanje dejansko izvaja.

Kompas, nalepke in nevarnost pozabe bistva

In prav zato je v času inflacije pojmov dobro ločiti med kompasom in nalepkami. Nalepke se lepijo na trenutni tehnološki svet: danes zvenijo samoumevno, jutri lahko postanejo nerodne, preozke. Tehnologija menja kulise hitreje, kot menja besedišče – zato se lahko besedišče hitro postara. Kar se ne postara, je orientacija: varnost kot vrednota, informacija kot dobrina, sistemi kot okolje, uporabniki kot razlog varovanja. Različni izrazi lahko poudarjajo posamezne dele tega razmerja, ampak le dokler se zavedamo, da nobeden od njih ne stoji povsem sam zase.

Tehnologija se bo spreminjala, poudarki varovanja se bodo selili, nalepke pa množile. Razlogi za varovanje informacij in njihovih derivatov bodo medtem ostajali presenetljivo preprosti. Če jih v hrupu pojmov izgubimo, problem ne bo v tem, da smo izbrali napačno besedo – temveč v tem, da smo pozabili, kaj sploh varujemo.