Väčšia konkurencia núti organizácie zlepšovať úroveň ochrany osobných údajov svojich klientov. Znie to pekne, logicky … nedávna analýza reálnych údajov však ukázala, že to je len zbožné želanie, ktoré neplatí – prinajmenšom nie pre nemocnice v USA. Škody spôsobené počítačovou kriminalitou médiá vyjadrujú obrovskými číslami s ktorými sa následne narába ako s faktami (hoci zmienené čísla vychádzajú len z prieskumov, ktoré zachytávajú subjektívne odhady, naviac bez jasnej metodiky pre ich tvorbu). Výsledky medzinárodného kolektívu pod vedením profesora Rossa Andersona uvádzajú čosi iné – jasne sformulovaná a odôvodnená metodika plus vyhodnotenie reálnych údajov zo známych vierohodných zdrojov ukázali, že napríklad „cena na občana“ je v prípade podvodov v rozmedzí niekoľko stoviek až niekoľko desiatok euro na rok, v závislosti od charakteristiky podvodu (nepriame náklady a náklady na ochranu sú zhruba o rád vyššie)… Nie, nejde o útok na disciplínu informačnej bezpečnosti – tieto i ďalšie podobné výsledky sú len prejavom snahy o to, aby „… disciplína informačnej bezpečnosti dostala solídne vedecké základy, a nebola len viacmenej náhodným zoskupením pocitov, tvrdení a dogiem“, ako som v súvislosti s tzv. Novou školou informačnej bezpečnosti písal pred viac ako tromi rokmi.
Spomenuté výsledky nie sú jediné, ktoré boli prezentované na workshope o ekonómii informačnej bezpečnosti, ktorého som sa nedávno zúčastnil. Dôkladne premyslený a pripravený experiment ukázal, že vhodným návrhom webového formulára možno ovplyvniť ľudí aby ochotnejšie, resp. menej ochotne poskytli svoje osobné údaje – napríklad, ak vyplnenie jednej či dvoch koloniek bolo povinné, pokleslo poskytnutie ostatných nepovinných údajov; ak naopak bolo poskytnutie údajov v jednej či dvoch kolonkách vhodne „honorované“, zvýšila sa ochota poskytnúť odpovede aj na ostatné otázky. Alebo – aký má zmysel analyzovať údaje o žalobách pre ujmu spôsobenú stratou alebo odcudzením osobných údajov? Nuž, napríklad sa z toho dá čo-to usúdiť o tom, ktoré okolnosti či charakteristiky prípadu dávajú väčšiu šancu na úspech (zatiaľ iba v USA, iné údaje neboli skúmané). Prednáška na túto tému priniesla aj zaujímavý „by-product“ v podobe informácie, že priemerná suma, ktorú poškodený dostal z vysúdeného odškodnenia, bola len pár sto až tisíc dolárov, pričom sumy ktoré získali jeho právnici boli zhruba niekoľkosto až tisíckrát vyššie. A tak ďalej … celý program, jednotlivé príspevky do zborníka i niektoré prezentácie sú dostupné na webe workshopu.
Zaujímavé však boli nielen prednášky, ale aj diskusie (či už k prednáškam, ale aj trebárs panelová diskusia) – zažiť ako spolu diskutujú špecialisti na informačnú bezpečnosť, behaviorálnu ekonómiu, ochranu súkromia či podobných disciplín stojí za to! Pred asi polrokom som na tomto mieste písal o zmenách v informačnej bezpečnosti … okrem tam spomenutých zmien sa však mení aj postoj samotných špecialistov k tejto disciplíne – v zmysle väčšieho dôrazu na pochopenie podstaty problémov či príčin, pre ktoré doterajšie riešenia zlyhávajú. Teda aspoň vo svete, nie je mi známe že by sa niečo podobné aktívne prejavovalo aj u nás či v blízkom okolí. Snáď sa ešte dožijem toho, že za takými prednáškami a diskusiami nebude nutné cestovať do zahraničia…