Hakerstwo inspiracją dla menedżerów

Przeczytaj także: Skuteczne wdrażanie strategii

Nie trzeba pokonywać systemu – wystarczy go obejść

Hakerzy mają świadomość, że popularne technologie determinują wiele ludzkich zachowań: jedne umożliwiają, inne ograniczają, a jeszcze inne całkowicie eliminują. Determinizmowi temu przeciwstawiają się poprzez tak zwane interwencje. Interwencje te mogą polegać na kompromitowaniu dominujących rozwiązań przez wykazywanie istniejących w nich luk, słabości i zagrożeń dla bezpieczeństwa użytkowników. Hakerzy nie są rewolucjonistami, nie walczą otwarcie, rzucając rewolucyjne wyzwanie i wchodząc na barykady. Hack to interwencja partyzancka – nie zmienia istoty systemu, a modyfikuje jego zewnętrzne efekty. Techniczna zmiana w systemie, jeśli w ogóle zachodzi, występuje lokalnie i nie jest łatwa do wykrycia standardowymi procedurami np. haker instaluje w jednej budce telefonicznej rozwiązanie dzięki któremu dzwoni za darmo. W dodatku hack może zmienić istniejący wpływ technologii na ludzi – nawet jeśli zostanie wykryty i zlikwidowany, to wiedza o nim pozostaje w społeczności osób zainteresowanych.

Etyczny jak haker?

Jeśli przyjąć hakerstwo za przejaw nowego podejścia do filozofii biznesu, a hakerów za reprezentantów nowej etyki pracy, to jakie wartości tworzą sukces tego podejścia? Siedem wartości jest kluczowych: pasja (zaangażowanie i chęć sukcesu), wolność (wybór projektów do realizacji), wartość społeczna (wynikające z organizacyjnej misji ulepszanie świata), otwartość (chęć do nauki, przyjmowanie krytyki, współpraca z innymi), aktywność (skupienie na wytwarzaniu efektów zamiast na przesadzonym planowaniu i nic nie wnoszących spotkaniach), troska (lojalność względem własnej grupy, gotowość pomocy) i kreatywność (która jest największą wartością – ustawiczne pokonywanie barier użyteczności, przyzwyczajeń i celów uznawanych za możliwe do realizacji).

Najsłabszym ogniwem bezpieczeństwa technologii są ludzie

Jeden z rodzajów hakerskiej interwencji polega na wykorzystaniu faktu, że systemy technologiczne nieustannie wchodzą w interakcje z ludźmi. Interwencja ta nosi nazwę „inżynierii społecznej”, a jej odmiany są znane od dawna: „kantowanie”, „oszustwo”, „naciąganie”, stosowanie wybiegów, odwrócenia uwagi, podstępu w celu skłonienia człowieka do przekazania informacji. Kryje się za tym następująca logika: po co trudzić się przeprowadzaniem skomplikowanego ataku SQL, kiedy można do kogoś zadzwonić, podać się za rozwiązującego krytyczny problem informatyka i skłonić osobę po drugiej stronie linii do przekazania ważnej nazwy użytkownika i hasła? Istnieje wiele takich ataków inżynierii społecznej na przykład podglądanie „kątem oka” (shouldersurfing) i zapamiętywanie szczegółów w miarę ich wpisywania. Innym przykładem jest podawanie się za obsługę techniczną, kiedy kraker wykorzystuje swoją wiedzę techniczną, by przekonać pracownika firmy, że on sam również dla niej pracuje.

Pracownicy muszą więc dokładnie wiedzieć jakie dane mogą podać, a jakich nie. Które odzywki są manipulacją i socjotechnicznym wybiegiem, a które nie są. Nie można złożyć tego na karb „rozsądku dorosłego człowieka” – bo ludzie dorośli biorą pożyczki których nie są w stanie spłacić i jeżdżą samochodem po alkoholu. Na pracodawcy spoczywa obowiązek, aby wyszkolić pracowników w tym zakresie, a potem traktować ich z szacunkiem żeby nie mieli wymówek do popełniania błędów.




Inspiracją tekstu jest książka „Hakerstwo” Tima Jordana (Wydawnictwo Naukowe PWN, 2011).