Η κολοκυθιά της ασφάλειας
Κάποιες απορίες από τη συνέντευξη Βουλγαράκη στη σημερινή “Κυριακάτικη”, και μερικές συμβουλές για την ασφάλεια από έναν ειδικό (προφανώς, όχι εμένα!)…
Το μόνο κατά κάποιον τρόπο νέο μέτρο, στο βαθμό που θα υλοποιηθεί, είναι η διατήρηση των δεδομένων των τηλεφωνικών επικοινωνιών για περίπου ένα χρόνο. Και με τον όρο αυτό δεν εννοείται το περιεχόμενο των συνδιαλέξεων, αλλά η κίνηση των λογαριασμών. Δηλαδή εισερχόμενες και εξερχόμενες κλήσεις.
Μπαρδόν; Τι εννοείτε “κατά κάποιον τρόπο”, κύριε υπουργέ; Δηλαδή, το μέτρο ίσχυε ανεπίσημα, μέχρι τώρα;
- Αν απαιτηθεί η τροποποίηση της νομοθεσίας, θα γίνει;
- Στο βαθμό που οι εμπειρογνώμονες καταλήξουν ότι αυτή η δυνατότητα πρέπει να υπάρχει σε επίπεδο Ευρωπαϊκής Ενωσης, η νομική ερμηνεία που θα δοθεί στην Ελλάδα πρέπει να λάβει υπόψη της τα νέα δεδομένα.
Ποιοί εμπειρογνώμονες; Αυτοί των οποίων η γνώμη δεν ελήφθη υπ’ όψη πριν συμφωνηθούν τα νέα μέτρα; Εφόσον δεν έχει ακόμα εγκριθεί ευρωπαϊκή Οδηγία για την κατακράτηση τηλεπικοινωνιακών δεδομένων, γιατί θα πρέπει η Ελλάδα να ευθυγραμμιστεί νομοθετικά με την απόφαση του έκτακτου συμβουλίου των υπουργών; Συζητήθηκαν μήπως στην σύσκεψη και κυρώσεις για τις χώρες που δεν θα προχωρήσουν στην εφαρμογή των μέτρων μέχρι το τέλος του τρέχοντος έτους;
Τελικά, είμαστε “ασφαλής χώρα” ή όχι; Θα αναλάβει επιτέλους κάποιος το πολιτικό κόστος να ζητήσει από τους πολίτες την περιστολή των ελευθεριών τους στο όνομα της ασφάλειας; (you know the drill: “my fellow Greeks[..] God bless you all” κλπ.)
Ο υπουργός λέει στην αρχή της συνέντευξης:
Οποιος παρακολουθεί τη διεθνή σκηνή, εύκολα μπορεί να καταλάβει ότι τα πάντα σήμερα κινούνται γύρω από την ασφάλεια. Δημιουργήθηκαν οργανισμοί και υπουργεία Εσωτερικής Ασφάλειας εκεί που δεν υπήρχαν, εντάθηκε το πλέγμα ανταλλαγής πληροφοριών ανάμεσα στις διάφορες υπηρεσίες, ψηφίστηκαν εκατοντάδες νόμοι -βιομετρικά στοιχεία, ειδικοί έλεγχοι στην κίνηση κεφαλαίων- και ο κατάλογος αυτός δεν έχει τέλος. Αυτό που έγινε στις Βρυξέλλες, ήταν ένας ακόμα κρίκος σ’ αυτή την αλυσίδα.
Αυτό ακριβώς είναι το πρόβλημα. Η επικέντρωση στη διαδικασία και όχι στην ουσία. Η αλυσίδα που πλέκεται γύρω μας, κρίκο κρίκο, χωρίς ορθολογικό σχεδιασμό, δημόσια αιτιολόγηση, παρουσίαση αποτελεσμάτων ή ανάληψη ευθύνης. Παραδόξως, θα μπορούσε κανείς να πει ότι το modus operandi των γερακιών της ασφάλειας μοιάζει μ’ εκείνο των “γκαζάκηδων”.
Ας το δούμε συστημικά το πράγμα: οι ειδικοί λένε ότι η ασφάλεια δεν μπορεί να είναι πρόσθετη ιδιότητα ενός συστήματος, αλλά θα πρέπει να ενυπάρχει στις δομές και στις διαδικασίες του. Η ασφάλεια και η λειτουργικότητα (ή, η ευχρηστία) είναι αντίρροπες ιδιότητες’ αυξανοντας δηλαδή τη μία, μειώνεται η άλλη. H ασφάλεια είναι σχετική ιδιότητα’ δεν υπάρχουν έτοιμες απαντήσεις, μόνο καλές ερωτήσεις. Δεν υπάρχουν ασφαλή συστήματα, μόνο συστήματα που δεν έχουν ακόμα δεχτεί επίθεση. Αυτό που έχει σημασία για τους χρήστες, είναι το σύστημα να “αποτυγχάνει κομψά” και προβλέψιμα, να μη συμπαρασύρει μαζί του και άλλες υποδομές και η αποτυχία να μην προκαλεί δυσανάλογες απώλειες. Αυτό συνεπάγεται ότι θα πρέπει να υπάρχουν σε κάθε βαθμίδα του συστήματος άνθρωποι εκπαιδευμένοι στο να μπορούν να αντεπεξέλθουν στην κατάρρευσή του και να εξυπηρετήσουν τα θύματα και τους χρήστες (όλους εμάς, δηλαδή). Γιατί όλοι τελικά είμαστε χρήστες (ή, πελάτες όπως το θέτουν κάποιοι) της ασφάλειας: το μέγεθος της αποτυχίας ενός συστήματος εξαρτάται από την κοινωνική μας παιδεία, περισσότερο ακόμα κι από το βαθμό ετοιμότητας στον οποίο βρισκόμαστε.
Ας ακούσουμε όμως και τους ίδιους τους ειδικούς’ η συνέντευξη του Bruce Schneier στο ITConversations είναι πολύ διαφωτιστική. Παραθέτω επιγραμματικά παρακάτω κάποια απ’ τα κεντρικά σημεία (ζητώ συγγνώμη για το μέγεθος της παράθεσης, αλλά πρόκειται για κρίσιμες επισημάνσεις, και δυστυχώς δεν υπάρχει απομαγνητοφώνηση):
- “We’re seeing so much nonsense after 9/11, and so many people are saying things about security, about terrorism that just makes no sense.”
- “Homeland security measures are an enormous waste of money.”
- “One of the things I’m always struck with is how good we are at defending against what the terrorists did last year.[..]Money that we spend that simply causes the bad guys to change their tactics is money wasted.”
- “The system didn’t fail in the way the designers expected.”
- “Attackers exploit the rarity of failures.”
- “Systems that are non-linear and tightly coupled will tend to fail worse”
- “Terrorism hardly ever happens;[..] terrorist attacks are very, very rare.[..] We tend to focus on spectacular and rare.[..] More people are killed every year by pigs than by sharks, which shows you how good we are at evaluating risk.[..] News hardly ever happens.”
- “I think we need to spend money at either end of the spectrum. The money we spend on intelligence, investigation, going after the terrorists will work, regardless of what their next plan is.[..]So I’m very much in favor of those sorts of things: hiring linguists at the FBI, getting investigative teams in place, tracking terrorist funding, interdicting communications[..]. And then, I also advocate stuff at the backend: emergency response, first response; whether it’s police, fire, medical… Spending money there helps us, again, regardless of what the terrorists’ plans are.”
- “By definition, you can’t anticipate [the terrorists' plans]“
- “Generally, all of the budget IT systems [are] a complete waste of money; I think fingerprinting foreigners at the border[..] makes absolutely zero sense. My complaints are largely for the big ticket items: TIA[..], the face scanning at the airports, this kind of stuff tends to be very, very expensive and doesn’t produce useful results.”
- “The most amazing thing to me about airline security, in the months after 9/11 were the enormous lines. Here we are trying to make our airports safe, yet we bunch people in these huge crowds, before Security, making them essentially targets.”
- “…people make bad security trade-offs when they’re scared.[..] The reason we’re spending money on terrorism, that killed nobody in the past 2 1/2 years, and we’re not spending money on automobile crashes, that killed 40.000 people in the past dozen or so years each is because we’re emotionally scared, it worries us more.[..]Security is a reality and a feeling.”
- “I view myself as a consumer of security.[..] We’re spending $200.000.000.000 [..] to invade Iraq. Are we $200.000.000.000 because of it? That’s the real question to ask[..] As security consumers, did we get our money’s worth? And I want to look at malnutrition, automobile safety, at spouse abuse the same way. How many lives can I save, how many lives can I improve, how much can I better society for the money? ‘Cause, in the end, I only have so much money. I am a consumer, I have to make buying decisions.”
- “When the U.S. Government says that security against terrorism is worth curtailing individual civil liberties, it’s because the cost of that decision is not borne by those making it.[..] Security is multifaceted;[..] right now, we’re focusing on the terrorist threat and ignoring other threats[..] Security is a tradeoff[..] When you see a lot of these intrusive government systems, it’s because the people making the decisions aren’t the ones intruded upon. They’re the ones doing the intruding. So, their tradeoff is inherently different than yours or [mine] might be.”
- “Did you ever wonder why tweezers were confiscated at security checkpoints, but matches and cigarette lighters–actual combustible materials–were not?…If the tweezers lobby had more power, I’m sure they would have been allowed on board as well.[..] The government wanted to ban laptops, but airliners said “no, you can’t do that; our business travellers would leave us”.Security decisions, as a general rule, are subservient to other decisions; and I think that’s as it should be.[..] Security is rarely a driver.”
- “I personally feel that 9/11 was, more than anything else, a very horrible coincidence; that things just ..failed in exactly the right way, and there were many opportunities for things to go right. And if they did, we’d have patted ourselves in the back and said it was a success; even though the exact same stuff was in place. It’s important to realise that neither success nor failure nesseccarily shows the systemic problems. That it’s just a singular event.”
Η προσωπική μου γνώμη για τον υπουργό δεν έχει σημασία, αλλά την καταθέτω εδώ για να μην υπάρξουν παρανοήσεις: τον θεωρώ ευπροσήγορο, νηφάλιο και ικανό άνθρωπο, αλλά κυρίως ανοιχτόμυαλο και με διάθεση κατανόησης για τα θέματα με το χειρισμό των οποίων έχει επιφορτιστεί. Αυτό όμως δεν επαρκεί για να προστατευτεί η ελληνική κοινωνία από το διαγραφόμενο -κακήν κακώς- ξεπατίκωμα των μετά την 11η Σεπτεμβρίου αμερικάνικων νοοτροπιών και διαδικασιών. Η αναδόμηση των ελληνικών αρχών ασφαλείας, πρώτα κατά την προσπάθεια εξάρθρωσης της 17Ν και μετά με την οργάνωση και υλοποίηση των μέτρων προστασίας των Αγώνων, έγινε με ξένα (αμερικάνικα, κυρίως) κόλυβα. Τώρα, η ελληνική κυβέρνηση θα πρέπει να βασιστεί στις εγχώριες δυνατότητες, ανθρώπους και υλικό, και κυρίως να συνεκτιμήσει σωστά τις ιδιαίτερες συνθήκες της κοινωνίας μας πριν βάλει το ακουστικό στο αυτί και το δάκτυλο στο πλήκτρο. Ελπίζω να μην ξεθάψουν τις τακτικές Τόμπρα και Κρυστάλλη’ κάποιοι εφιάλτες δεν γυρνάνε στο κλουβί, άπαξ και τους αμολήσεις.
Congressman Sam Albert [On TV]: “We knew that we had to monitor our enemies. We’ve also come to realise that we need to monitor the people who are monitoring them…”
Carla Dean: “Well who’s gonna monitor the monitors of the monitors?”
– Enemy of the State (1998)
ΥΓ: Επειδή είναι δύσκολο να μαζεύεις τα καλύτερα post της μπλογκόσφαιρας κάθε λίγο και λιγάκι, και δεν έχει και νόημα, λέω στο τέλος κάθε εγγραφής να προτείνω ένα αξιόλογο post κάποιου άλλου blogger για τη συνέχεια. Διαβάστε λοιπόν το Second Sight του Rakasha (οι ιδιαιτερότητες της ελληνικής κοινωνίας, που λέγαμε).
Ανανέωση (22:00): Flash.gr: “το γερμανικό συνταγματικό δικαστήριο [έκρινε] αντισυνταγματικό τον νόμο της ΕΕ για το ευρωπαϊκό ένταλμα σύλληψης”. Καλά ξεκίνησαν, αν ούτε τα μέτρα που συμφωνήθηκαν πέρυσι δε μπορούν να εφαρμόσουν.
Ανανέωση (19/7 17:00): Η άποψη του Schneier για την απόφαση των αρχών να μπλοκάρουν τα κινητά τηλέφωνα στα τούνελ της Νέας Υόρκης:
This is as idiotic as it gets. It’s a perfect example of what I call “movie plot security”: imagining a particular scenario rather than focusing on the broad threats. It’s completely useless if a terrorist uses something other than a cell phone: a kitchen timer, for example. Even worse, it harms security in the general case. Have people forgotten how cell phones saved lives on 9/11? Communications benefits the defenders far more than it benefits the attackers.
Είπαμε, έλλειψη φαντασίας, αλλά αυτοί πήγανε στο άλλο άκρο. Κοινή λογική και ψυχραιμία χρειάζεται πάνω απ’ όλα, παιδιά.
