Jak (ne)přijít o notebook

Mnoho organizací v současnosti umožňuje svým zaměstnancům brát si pracovní notebooky domů a používat je i k soukromým účelům. Z pohledu produktivity práce je uvedené řešení jednoznačně přínosné, nese však s sebou i zvýšené riziko odcizení citlivých organizačních dat. 

Zejména v letních měsících se poměrně vysoký počet lidí při cestě domů z práce zastavuje za účelem odpočinku a občerstvení na nějakém příjemném, slunném místě. V Praze je jednou z tradičních lokalit pro tento účel Náplavka na Rašínově nábřeží. Abychom vyzkoušeli, nakolik nebezpečné může být odložit na takto frekventovaném místě brašnu s notebookem, pokud není jejímu hlídání věnována odpovídající pozornost, rozhodli jsme se v této tradiční odpočinkové zóně provést praktický experiment.

Pro experiment byly připraveny 4 různé brašny pro notebooky (laskavě věnované kolegy z Alefu, kterým tímto děkujeme) z nichž 2 obsahovaly staré, odepsané notebooky s vyjmutými pevnými disky, a 2 zbývající pak závaží tvarově i váhově notebookům přibližně odpovídající. Na místo pevných disků byly v noteboocích vloženy vizitky, umožňující kontaktovat nás v případě, že by došlo k odcizení brašen, v nichž byly uloženy.

Záměrem bylo, jak je uvedeno výše, zjistit, jak nebezpečné může být ponechat s minimálním dozorem notebook s firemními daty na vysoce frekventovaném místě. Lze pokládat za vysoce pravděpodobné, že určitou roli v bezpečnosti brašny s notebookem, resp. libovolného odloženého předmětu, má osoba vlastníka – mezi nejpodstatnější faktory v této oblasti se jednoznačně řadí pohlaví a vzhled daného člověka. Přestože výsledky našeho experimentu rozhodně nemohly být považovány za jakkoli reprezentativní a jejich hodnota měla být čistě informativní, pokusili jsme se v zájmu otestování maximální možné šíře reakcí okolí uvedené faktory zohlednit. Členy týmu, který se testování účastnil, tak byli společensky oblečený muž, dvě společensky oděné ženy a muž a žena v neformálním oděvu.

S ohledem na uvedený záměr postihnout co největší šíři situací a reakcí okolí, bylo stanoveno pět testovacích scénářů, které měly být postupně vyzkoušeny všemi členy týmu. Přestože scénáře se v různých bodech více či méně lišily (např. počtem účastníků určité interakce, vzdáleností „vlastníka“ od odložené brašny, specifiky prostředí, apod.), všechny měly simulovat situaci, kdy odloženému notebooku s citlivými daty není věnována odpovídající pozornost a bylo by jej tak možné bez povšimnutí majitele odcizit. Pro ilustraci lze zmínit bližší popis alespoň dvou z realizovaných scénářů. V rámci jednoho měl například člen testovacího týmu odložit brašnu na zem nebo na lavičku a ve vzdálenosti okolo 5 až 10 metrů, postavený zády k ní, přibližně 10 minut předstírat, že se věnuje telefonnímu rozhovoru. Další scénář pak měl simulovat přibližně 10 minutovou konverzaci dvou osob, s brašnou odloženou ve vzdálenosti přibližně jeden až dva metry od nich.

Zmíněný plán vyzkoušet všechny scénáře za účasti všech členů týmu nakonec nebyl plně realizován. Očekávali jsme totiž, že v průběhu testování budou odložené brašny terčem určitého malého zájmu ze strany kolemjdoucích (a většího zájmu ze strany určité jejich podmnožiny) a celkem by v rámci celého experimentu mohlo dojít k odcizení dvou až tří brašen. Uvedené předpoklady se však velmi rychle ukázaly jako nesprávné.

 Testování proběhlo ve středu 20. 7. po skončení běžné pracovní doby (od cca 17:30). Souběžně bylo vždy realizováno několik scénářů. Členové týmu, kteří se v určitou chvíli testování neúčastnili, se věnovali pozorování odložených brašen pouze částečně a reakce kolemjdoucích tak nebyly v průběhu testů sledovány kontinuálně. Závěry z pozorování, která však realizována byla, i výsledky prvních vyzkoušených scénářů, byly poměrně překvapivé.

Kolemjdoucí totiž až na výjimky nejevili o brašny zájem žádný a pouze ve výjimečných případech jim věnovali druhý pohled. Za přibližně první hodinu a půl testovacího času došlo k jediné fyzické interakci s odloženou brašnou, když procházející muž – na první pohled bez domova – začal po delším rozhlížení se do brašny nevěřícně strkat prstem. Člen týmu, který uvedený test prováděl, jej v danou chvíli pohledem ubezpečil, že brašna ve skutečnosti není opuštěná a k jejímu odnesení tak nedošlo. S výjimkou popsaného incidentu byl zájem o odložené brašny s notebooky po celou dobu testu minimální. Vzhledem k tomu, že situace se zdála neměnná, po zmíněných přibližně 90 minutách jsme se tak rozhodli experiment ukončit, aniž bychom vyzkoušeli všechny připravené scénáře.

S ohledem na povahu provedeného experimentu není možné na jeho základě formulovat jakékoli obecně platné závěry, získané výsledky se však přesto jeví jako přinejmenším zajímavé. Většina lidí by pravděpodobně považovala za extrémně nebezpečné a nemoudré odložit předmět tak hodnotný, jako notebook, na veřejném prostranství v centru Prahy, aniž by byl hlídán. Převládající reakcí, s níž jsme se při předkládání uvedené situace jako hypotetického scénáře setkali, bylo očekávání, že v horizontu několika minut dojde k odcizení odloženého notebooku. Jak je popsáno výše, reálné testy tato očekávání ani v nejmenším nepotvrdily. Přestože tedy v žádném případě nedoporučujeme odkládat na veřejných místech cenné předměty, zejména pak notebooky nebo datová média s citlivými osobními nebo organizačními daty, a ponechávat je bez dozoru (resp. před tímto nakládáním s nimi velmi důrazně varujeme), výše popsané zkušenosti ukazují, že takové jednání nemusí vždy končit tak, jak bychom možná očekávali…tedy alespoň ne na pražské Náplavce.

Jan Kopřiva

CSIRT Coordinator