Μετάφραση άρθρου του Bruce Schneier από το blog του.
Δεν υφίσταται σκέτη ασφάλεια. Η ασφάλεια μπορεί να οριστεί μόνο σε σχέση με κάτι άλλο. Είσαι ασφαλής από κάτι ή εναντίον κάποιου. Στα επόμενα 10 χρόνια, ο παραδοσιακός ορισμός της ασφάλειας ΤΠΕ –που σας προστατεύει από τους χάκερς, τους εγκληματίες και τους άλλους κακοποιούς– θα υποστεί ριζική μεταβολή. Αντί να σας προστατεύει από τους κακοποιούς, θα προστατεύει ολοένα και περισσότερο τις επιχειρήσεις και τα επιχειρηματικά μοντέλα από εσάς.
Πριν δέκα χρόνια, η μεγάλη ιδέα στην ασφάλεια ΤΠΕ ήταν η αποπεριμετροποίηση (deperimeterization). Α ομαδοποίηση 18 γραμμάτων σαν λέξη με πρόθεμα και επίθεμα, πρέπει να ήταν η ασχημότερη λέξη που εφηύρε η βιομηχανία μας. Όμως η ιδέα –η διάλυση των αυστηρών ορίων μεταξύ του εσωτερικού και εξωτερικού δικτύου– ήταν και πραγματική και σημαντική.
Σήμερα υπάρχει περισσότερη αποπεριμετροποίηση από όση υπήρξε ποτέ. Πρόσβαση των πελατών και των συνεργατών, πρόσβαση των επισκεπτών, outsourced e-mail, VPNs· ακόμη και αν θεωρήσουμε ότι υπάρχει ένα δικτυακό όριο στον οργανισμό, είναι τόσο τρύπιο που είναι ευκολότερο να προσποιηθούμε ότι δεν υπάρχει. Η πιο σημαντική αλλαγή όμως είναι εννοιολογική. Σκεφτόμασταν το δίκτυο σαν φρούριο με τους καλούς μέσα και τους κακούς απ’ έξω και τείχη, πόρτες και φρουρούς που εξασφάλιζαν ότι οι μόνο οι καλοί έμπαιναν μέσα. Τα μοντέρνα δίκτυα μοιάζουν περισσότερο με πόλεις, με δυναμικές και πολύπλοκες οντότητες με πολλά διαφορετικά όρια. Οι σχέσεις πρόσβασης, πιστοποίησης και εμπιστοσύνης είναι ακόμη πιο πολύπλοκες.
Σήμερα έχουν σημασία δύο άλλες εννοιολογικές αλλαγές. Η πρώτη είναι η καταναλωτοποίηση (consumerization). Άλλη μία περισπούδαστη λέξη που εφηύραμε. Είναι η ιδέα ότι οι καταναλωτές παίρνουν τα νέα cool gadgets πρώτοι και απαιτούν να κάνουν τη δουλειά τους με αυτά. Οι υπάλληλοι έχουν τους φορητούς υπολογιστές τους ήδη παραμετροποιημένους όπως θέλουν και δεν θέλουν άλλον ένα (υπολογιστή) μόνο για να μπαίνουν στο VPN της εταιρίας. Διαβάζουν ήδη τα email τους στα Blackberrys και στα iPads. Έχουν ήδη υπολογιστή στο σπίτι που είναι πιο cool από το μηχάνημα που δίνει το τμήμα ΤΠΕ (της εταιρίας). Οι διαχειριστές δικτύου χάνουν όλο και περισσότερο τον έλεγχο των πελατών.
Αυτή η τάση μόνο θα αυξάνει. Οι συσκευές αυτές θα γίνονται όλο και πιο τρέντυ, πιο φτηνές και πιο ολοκληρωμένες· οι νεότεροι έχουν ήδη συνηθίζει να χρησιμοποιούν τις δικές τους συσκευές στα σχολικά δίκτυα. Είναι ανακεφαλαίωση της επανάστασης του Προσωπικού Υπολογιστή (PC). Τότε η ιδέα του (κεντρικοποιημένου) κέντρου δεδομένων σείστηκε από ανθρώπους που αγόραζαν Προσωπικούς Υπολογιστές για να τρέξουν το VisiCalc· τώρα είναι iPads και έξυπνα τηλέφωνα με Android.
Η δεύτερη εννοιολογική αλλαγή έρχεται από το cloud computing: η αυξανόμενη τάση να αποθηκεύουμε τα δεδομένα μας αλλού. Ας το ονομάσουμε αποκεντροποίηση (decentralization): το email μας, οι φωτογραφίες, τα βιβλία, η μουσική και τα κείμενά μας είναι αποθηκευμένα αλλού και προσπελάσιμα μέσα των συσκευών μας. Όσο νεότερος είσαι, τόσο περισσότερο περιμένεις να δεις τα ψηφιακά σου δεδομένα στην πλησιέστερη οθόνη. Αυτή είναι μια σημαντική τάση γιατί σηματοδοτεί το τέλος των μαχών υλικού και λειτουργικών συστημάτων που ζήσαμε. Windows εναντίον Mac δεν έχουν σημασία όταν το μόνο που χρειάζεσαι είναι ένας browser. Οι υπολογιστές γίνονται προσωρινοί· το backup των χρηστών γίνεται άσχετο. Όλα είναι κάπου έξω — και οι χρήστες χάνουν όλο και περισσότερο τον έλεγχο των δεδομένων τους.
Μέσα στα επόμενα δέκα χρόνια θα αναδυθούν τρεις νέες εννοιολογικές αλλαγές, δύο από τις οποίες μπορούμε ήδη να δούμε. Την πρώτη θα την ονομάσω αποσυγκέντρωση (deconcentration). Ο υπολογιστής γενικού σκοπού πεθαίνει και αντικαθίσταται από συσκευές ειδικού σκοπού. Μερικές από αυτές, όπως το iPhone, μοιάζουν γενικού σκοπού αλλά ελέγχονται αυστηρά από τους παρόχους. Άλλες όπως οι παιχνιδομηχανές ή οι ψηφιακές κάμερες είναι όντως ειδικού σκοπού. Σε 10 χρόνια οι περισσότεροι υπολογιστές θα είναι μικροί, εξειδικευμένοι και πανταχού παρόντες (ubiquitous).
Ακόμη και στους υπολογιστές φαινομενικά γενικού σκοπού βλέπουμε ολοένα και περισσότερο εξειδικευμένες εφαρμογές. Βεβαίως και μπορείς να δεις το web site των New York Times χρησιμοποιώντας τον browser του iPhone, αλλά είναι πολύ ευκολότερο να χρησιμοποιήσεις την ειδική εφαρμογή NYT app. Όσο οι υπολογιστές γίνονται μικρότεροι, αυτή η τάση θα συνεχιστεί. Θα είναι ευκολότερο να χρησιμοποιούμε υλικό και λογισμικό ειδικού σκοπού. Και οι εταιρίες, που θέλουν περισσότερο έλεγχο στην εμπειρία των χρηστών τους, θα πιέσουν προς αυτή την κατεύθυνση.
Η δεύτερη (αλλαγή) είναι η αποπελατοποίηση (decustomerization) –τώρα εφευρίσκω πραγματικά άσχημες λέξεις– η ιδέα ότι παίρνουμε περισσότερα από τη λειτουργικότητα ΤΠΕ χωρίς καμία επιχειρηματική σχέση. Είμαστε όλοι μέρος αυτής της τάσης. Κάθε μηχανή αναζήτησης προσφέρει δωρεάν τις υπηρεσίες της με αντάλλαγμα τη δυνατότητα να διαφημίζει. Δεν είναι μόνο η Google και η Bing. Οι περισσότερα ιστοσελίδες webmail και κοινωνικής δικτύωσης προσφέρουν δωρεάν τη βασική υπηρεσία με αντάλλαγμα τις διαφημίσεις, πιθανά και την ολοκληρωμένη υπηρεσία αντί χρημάτων. Οι περισσότερες ιστοσελίδες, ακόμη και χρήσιμες που αντικαθιστούν το λογισμικό στον υπολογιστή μας, είναι δωρεάν, είτε αλτρουιστικά είτε με διαφημίσεις.
Σε λίγο θα είναι το υλικό. Το 1999, η εταιρία freePC δοκίμασε να βγάλει χρήματα δίνοντας δωρεάν υπολογιστές με αντάλλαγμα τη δυνατότητα να παρακολουθούν τις αγοραστικές και συνήθειες surfing των χρηστών. Η εταιρία απέτυχε όμως οι υπολογιστές έχουν φτηνύνει από τότε. Δε θα αργήσει ο καιρός που τα δωρεάν netbooks με αντάλλαγμα τις διαφημίσεις θα είναι ένα βιώσιμο επιχειρηματικό μοντέλο. Ή δωρεάν ψηφιακές κάμερες. Υπάρχουν ήδη εταιρίες που προσφέρουν δωρεάν υπεραστικές κλήσεις σε αντάλλαγμα διαφημίσεις. Τα δωρεάν κινητά δεν είναι μακριά. Βεβαίως, δε θα είναι όλο το υλικό ΤΠΕ δωρεάν. Κάποιο από το cool νέο υλικό θα κοστίζει αρκετά για να είναι δωρεάν και θα υπάρχει πάντα η ανάγκη για υπολογιστική ισχύ κοντά στον χρήστη –οι παιχνιδομηχανές είναι ένα προφανές παράδειγμα– αλλά αυτό θα είναι η εξαίρεση(ΣτΜ: Όχι κατ’ανάγκη, βλ. www.onlive.com για παράδειγμα cloud gaming). Όπου το κόστος του υλικού θα είναι μεγάλο για να το δώσεις δωρεάν, θα δούμε δωρεάν υλικό σε αντάλλαγμα με κλειδωμένη υπηρεσία, όπως πωλούνται τα κινητά τηλέφωνα.
Αυτό είναι σημαντικό γιατί καταστρέφει ότι έχει απομείνει από τη φυσιολογική σχέση μεταξύ των εταιριών ΤΠΕ και των χρηστών τους. Δεν είμαστε οι πελάτες της Google, είμαστε τα προϊόντα που πουλάει στους πελάτες της. Είναι μια τριμερής σχέση: εμείς, ο πάροχος υπηρεσιών ΤΠΕ και ο διαφημιστής ή αγοραστής δεδομένων. Και όσο αυτές οι μη-πελατιακές σχέσεις ΤΠΕ πληθύνονται, θα βλέπουμε περισσότερες εταιρίες να μας συμπεριφέρονται ως προϊόντα. Αν αγοράσω έναν υπολογιστή Dell, τότε είμαι προφανώς ένας πελάτης της Dell. Αν όμως πάρω έναν υπολογιστή της Dell δωρεάν με αντάλλαγμα την πρόσβαση στη ζωή μου, τότε είναι λιγότερο προφανές με ποιον συνάπτω επιχειρηματική σχέση. Η συνεχής μείωση της ιδιωτικότητας των χρηστών του Facebook προκειμένου να ικανοποιήσει τους πραγματικούς πελάτες του –τους διαφημιστές– και να βελτιώσει τα κέρδη του είναι μια νύξη του τι πρόκειται να συμβεί.
Την τρίτη εννοιολογική αλλαγή την ορίζω ως αποπροσωποίηση (depersonization): υπολογιστές που αφαιρούν τον χρήστη εν μέρει ή ολοκληρωτικά. Να περιμένετε να δείτε περισσότερους αντιπροσώπους (agents): προγράμματα που κάνουν πράγματα για λογαριασμό σας, όπως να προτεραιοποιούν τα email με βάση τις παρατηρηθείσες επιλογές σας ή να σας στέλνουν προσωποποιημένες ανακοινώσεις πωλήσεων βασισμένες στην παρελθοντική σας συμπεριφορά. Η ατάκα “στα άτομα που άρεσε αυτό επίσης άρεσε” σε πολλές ιστοσελίδες καταστημάτων είναι μόνο η αρχή. Μια ιστοσελίδα που σε ειδοποιεί όταν το αεροπορικό εισιτήριο για το αγαπημένο σου μέρος έπεσε κάτω από μια τιμή είναι ένα απλοϊκή αλλά χρήσιμη και ήδη μερικές ιστοσελίδες ήδη προσφέρουν αυτή τη λειτουργικότητα. Δέκα χρόνια δεν είναι αρκετός χρόνος για να λυθούν τα σημαντικά προβλήματα τεχνητής νοημοσύνης που χρειάζονται οι νοήμονες αντιπρόσωποι (intelligent agents), αλλά οι τότε αντιπρόσωποι θα είναι παντού και εξελιγμένοι και θα χρειάζονται λιγότερη παρέμβαση από εσένα.
Ομοίως, η σύνδεση αντικειμένων στο Internet θα είναι σύντομα αρκετά φτηνή ώστε να είναι βιώσιμη. Γίνεται ήδη σημαντική έρευνα στις Internet-enabled ιατρικές συσκευές, έξυπνα δίκτυα ρεύματος που επικοινωνούν με έξυπνα τηλέφωνα και δικτυωμένα αυτοκίνητα. Τα αθλητικά Nike μπορούν ήδη να επικοινωνήσουν με το iPhone σου. Το τηλέφωνό σου ήδη λέει στο δίκτυό σου που είσαι. Συσκευές Internet-enabled χρησιμοποιούνται ήδη περιορισμένα, αλλά σύντομα θα είναι ο κανόνας. Οι επιχειρήσεις θα αποκτήσουν έξυπνα συστήματα κλιματισμού/εξαερισμού, έξυπνα ασανσέρ και έξυπνα ευρετήρια. Και όσο οι επικοινωνίες μικρής ακτίνας –όπως Bluetooth και RFID– γίνονται φτηνότερες, όλα θα γίνουν έξυπνα.
Το “Internet των πραγμάτων” (Internet of things) δεν θα απαιτεί από σένα να επικοινωνείς. Οι έξυπνες συσκευές στο έξυπνο σπίτι σου θα μιλάνε απευθείας με την εταιρία ρεύματος. Το έξυπνο αυτοκίνητο θα μιλάει στους σένσορες του δρόμου και εν τέλει σε άλλα αυτοκίνητα. Τα ρούχα σου θα μιλάνε με το καθαριστήριο. Το τηλέφωνό σου θα μιλάει με τους αυτόματους πωλητές· ήδη γίνεται σε μερικές χώρες. Είναι δύσκολο να φανταστούμε τις επιπτώσεις. Είναι πιθανό να είναι πιο περίεργο και λιγότερο κανονικό από αυτό που περιγράφει ο σύγχρονος τύπος. Όμως αυτό που είναι βέβαιο είναι ότι έξυπνα αντικείμενα θα μιλάνε για σένα και πιθανότατα δεν θα έχεις πολύ έλεγχο στο τι λένε.
Μια παλιά τάση: αποπεριμετροποίηση. Δύο τρέχουσες τάσεις: πελατοποίηση και αποκεντροποίηση. Τρεις μελλοντικές τάσεις: αποσυγκέντρωση, αποπελατοποίηση και αποπροσωποίηση. Αυτές είναι οι ΤΠΕ το 2020 –δεν είναι στον έλεγχό σου, κάνει πράγματα χωρίς να το γνωρίζεις και χωρίς τη συγκατάθεσή σου και δεν δρα κατ’ανάγκη προς το συμφέρον σου. Και έτσι θα είναι τα πράγματα όταν δουλεύουν όπως προβλέπεται να δουλεύουν. Δεν έχω αρχίσει να μιλάω ακόμα για τους κακοποιούς.
Αυτό συμβαίνει γιατί η ασφάλεια ΤΠΕ το 2020 θα είναι λιγότερο για να σε προστατεύει από τους παραδοσιακούς κακοποιούς και περισσότερο να προστατεύει τα επιχειρηματικά μοντέλα από εσένα. Η αποπεριμετροποίηση υποθέτει ότι όλοι είναι αναξιόπιστοι (untrusted) μέχρι αποδείξεως του εναντίου. Η πελατοποίηση απαιτεί τα δίκτυα να υποθέτουν ότι όλες οι συσκευές είναι αναξιόπιστες (untrustworthy) μέχρι αποδείξεως του εναντίου. Η αποκεκτροποίηση και η αποσυγκέντρωση δεν θα δουλέψουν αν μπορείς να χακέψεις τις συσκευές ώστε να εκτελούν λογισμικό χωρίς εξουσιοδότηση (unauthorized software) ή να προσπελαύνουν δεδομένα χωρίς εξουσιοδότηση (unauthorized data). Η αποπελατοποίηση δεν θα είναι βιώσιμη εκτός και είσαι ανήμπορος να παρακάμψεις τις διαφημίσεις ή ό,τι χρησιμοποιεί ο πωλητής για σε εξαργυρώνει. Και η αποπροσωποίηση απαιτεί από τις αυτόνομες συσκευές να είναι … αυτόνομες.
Το 2020 –σε 10 χρόνια από τώρα– ο νόμος του Moore προβλέπει ότι οι υπολογιστές θα είναι 100 φορές που ισχυροί. Αυτό θα αλλάξει τα πράγματα με τρόπους που δεν γνωρίζουμε, όμως γνωρίζουμε ότι η ανθρώπινη φύση δεν αλλάζει ποτέ. Ο Cory Doctorow ορθώς παρατήρησε ότι όλα τα σύνθετα οικοσυστήματα έχουν παράσιτα. Τα παράσιτα της παραδοσιακής κοινωνίας είναι οι εγκληματίες, όμως εδώ έχει νόημα ένας ευρύτερος ορισμός. Όσο εμείς οι χρήστες χάνουμε τον έλεγχο αυτών των συστημάτων και οι πάροχοι ΤΠΕ κερδίζουν τον έλεγχο για δικούς τους λόγους, τότε ο ορισμός του “παράσιτου” θα μετατοπιστεί. Είτε πρόκειται για εγκληματίες που προσπαθούν να αδειάσουν τον τραπεζικό σου λογαριασμό, είτε για παρακολουθητές ταινιών που προσπαθούν να παρακάμψουν την προστασία αντιγραφής που χρησιμοποιούν τα στούντιο για να προστατέψουν τα κέρδη τους, είτε για χρήστες του Facebook που προσπαθούν να χρησιμοποιήσουν την υπηρεσία χωρίς να παρατήσουν την ιδιωτικότητά τους ή να αναγκαστούν να βλέπουν διαφημίσεις, τα παράσιτα θα συνεχίσουν να προσπαθούν να επωφεληθούν από τα συστήματα ΤΠΕ. Θα υπάρχουν όπως υπήρχαν πάντα και –όπως σήμερα– η ασφάλεια θα έχει δύσκολο έργο να συμβαδίζει μαζί τους.
Καλωσορίσατε στο μέλλον. Οι εταιρίες θα χρησιμοποιούν τεχνικά μέτρα ασφάλειας, που θα υποστηρίζονται από νομικά μέτρα ασφάλειας, προκειμένου να προστατέψουν τα επιχειρηματικά τους μοντέλα. Και εκτός αν είσαι ο χρήστης μοντέλο, τότε θα είσαι το παράσιτο.
Αυτή η έκθεση γράφτηκε αρχικά σαν πρόλογος στο βιβλίο “Security 2020″ των Doug Howard και Kevin Prince.
Κάποιες μεταφρασμένες λέξεις:
conceptual changes: εννοιολογικές αλλαγές
deperimeterization: αποπεριμετροποίηση
consumerization: καταναλωτοποίηση ή καταναλοποίηση
decentralization: αποκεντροποίηση ή αποκέντρωση
deconcentration: αποσυγκέντρωση
decustomerization: αποπελατοποίηση
depersonization: αποπροσωποίηση
IT, δηλ. Information Technology: ΤΠΕ, δηλ. Τεχνολογίες Πληροφορικής και Επικοινωνιών
