13.2.08

Školski primjer socijalnog inžinjeringa

Još uvijek se nije stišala polemika vezana za slučaj intervjua virtualnog Sanadera u Jutarnjem listu. Nemam namjeru opredijeliti se oko toga je li posrijedi pomno planirana namještaljka ili profesionalni previd, no s obzirom da je izvedba samog scenarija povezana s primjenom informacijskih tehnologija (tj. elektroničke pošte) uz sve elemente socijalnog inžinjeringa, iznosim svoj pogled na taj slučaj.

Dakle, ostavimo po strani teorije zavjera i konkretna imena. Analizirajmo slučaj prema slijedećem modelu u kojem postoje dvije glavne komponente: s jedne strane imamo medije, koje ćemo za potrebe analize reducirati na Novine, a s druge strane imamo Javnost - korisnika sadržaja kojeg generiraju Novine. Odnos Javnosti i Novina postoji nekoliko stoljeća i podrazumijeva se da Novine nastupaju kao objektivni posrednik događaja, a da Javnost vjeruje novinama. Taj odnos je baziran na principu povjerenja Javnosti i odgovornom ponašanju Novina (elektronički mediji, uključujući i Internet, veoma će teško dosegnuti razinu povjerenje koja je tradicionalno označavala odnos Javnosti i Novina). Opisati ću ovaj odnos na još apstraktnijoj razini: Novine možemo predstaviti kao informacijski sustav a Javnost je korisnik ovog informacijskog sustava. Štoviše, Javnost je "vlasnik" podataka koje generira informacijski sustav Novine. Pri tome smatram da je princip javnog interesa za podatke koji se opisuju u Novinama jači od eventualnog tržišnog karaktera Novina i interesa njihovih vlasnika. Naravno, Novine mogu imati i određene sadržaje koji nisu u funkciji informiranja javnosti i za koje je vlasništvo definirano na drugi način, no u ovom slučaju nas ne zanima takav aspekt. Dakle, slučaj virtualnog premijera možemo protumačiti kao testiranje informacijskog sustava Novina. Vlasnik podataka - Javnost - odlučio je provjeriti postoje li manjkavosti informacijskog sustava Novine, a predmet provjere je način prikupljanja informacija.

Scenarij testiranja slijedi. Javnosti je poznata je praksa da Novine rade intervjue korištenjem elektroničke pošte. Elektronička pošta je poznata kao jedan od najmanje sigurnih načina komunikacije, kako zbog mogućnosti lažne identifikacije korisnika tako i zbog mogućnosti modifikacije sadržaja. Dobra praksa informacijske sigurnosti preporuča korisnicima da e-mail ne koriste za izmjenu povjerljivih informacija ili sadržaja. Javnost je napravila jednu vrstu penetracijskog testa (dobro, ne baš klasični tehnički penetracijski test, nego onaj u kojem se provjerava mogućnost socijalnog inžinjeringa) kako bi provjerila hoće li Novine objaviti informaciju iz neautentičnog izvora. Test je pomno pripremljen, a naglasak je bio na modifikaciji izvora poruke, a ne na falsificiranju sadržaja (da je kojim slučajem ponuđen senzacionalistički ili neuvjerljiv sadržaj, Novine bi, vjerujem, provjerile njihovu vjerodostojnost čime test ne bi uspio). Rezultat smo vidjeli. Novine su povjerovale elektroničkom mailu i objavili nevjerodostojnu informaciju (to što je svima zvučila uvjerljivo, druga je priča). Informacijski sustav Novine mora, dakle, proraditi na vlastitim sigurnosnim mjerama.

Je li javnost imala pravo na takav test? Ako prihvatimo da je Javnost "vlasnik" podataka koje Novine objavljuju, onda ima pravo na takav test. Pored toga, moramo znati da Novine često objavljuju pogrešne informacije, da Javnost nema mogućnosti ispravka takvih informacija na proporcionalan način, te da Javnost često ima i direktne materijalne posljedice zbog objave pogrešnih informacija.

Ovo je, naravno, jedan pozitivan pogled na cijeli slučaj bez namjere glorifikacije pokretača ovog scenarija i bez namjere omalovažavanja novinara koji je nasjeo ovim scenariju. Moje simpatije za ovaj slučaj biti će znatno umanjene ako se pokaže da je cijeli scenarij rezultat nečije zavjere - konkurencije, tajnih službi, zlobnih kolega, ili možda, vlasnika restorana kojeg je Davor Butković negativno ocjenio.

Nema komentara: