Wprowadzenie


Dydaktyka cyberbezpieczeństwa jest zagadnieniem interesującym z kilku powodów. Przede wszystkim t.zw. "czynnik ludzki" (pod którym to pojęciem rozumie się przypadkowe bądź celowe, niewłaściwe z punktu widzenia bezpieczeństwa, działania dysponentów informacji i użytkowników systemów infomacyjnych i informatycznych), jest identyfikowany bardzo często jako główna przyczyna problemów i naruszeń. Naturalne jest więc, że z punktu widzenia organizacji powinno się szukać sposobów na podniesienie jakości działania owego "czynnika", co związane jest ze wzrostem kultury (świadomości) bezpieczeństwa (ang. security awareness), czyli odpowiedniej wiedzy i utrwalonych dobrych praktyk działania.

Po wtóre ogromna złożoność współczesnych systemów informatycznych, w zestawieniu z wybitnie niską jakością stanowionego prawa, prowadzi wielokrotnie do sytuacji nieświadomego czy mimowolnego przekroczenia przepisów, za co grożą czasami bardzo poważne konsekwencje prawne. W interesie samych użytkowników technik informatycznych jest więc rozwijanie swojej wiedzy, tak aby uniknąć potencjalnych skutków tego rodzaju działań.

Po trzecie niewłaściwe działanie w trakcie - oraz po zakończeniu - incydentu bezpieczeństwa może prowadzić do zwielokrotnienia jego skutków (zatarcia śladów prowadzącego do niemożliwości znalezienia sprawcy ataku, uszkodzenia nośnika uniemożliwiającego odtworzenie danych itd.). Z punktu widzenia zarówno informatyków śledczych, jak i organizacji, której system informatyczny stał się miejscem incydentu bezpieczeństwa, gotowość śledcza (ang. forensic readiness) jest czynnikiem mogącym mieć krytyczne znaczenie dla powodzenia działań podejmowanych w ramach reakcji na incydent bezpieczeństwa. Jednym zaś z kluczowych czynników w zakresie tej gotowości jest odpowiednie zachowanie użytkowników systemów infomacyjnych w warunkach stresu spowodowanego wystąpieniem incydentu (w szczególności podczas ataku, którego celem się stali, czy awarii krytycznej, której uległ system informatyczny). Zaś umiejętność właściwego zachowania się również oczywiście zależy od odpowiedniego wyszkolenia.

Po czwarte wreszcie, pojęcie bezpieczeństwa bywa nadużywane jako pretekst w celu narzucenia kontroli, czy wymuszenia zachowań korzystnych - być może - z punktu widzenia realizacji takich, czy innych partykularnych celów (politycznych, ekonomicznych, czy osobistych), ale nie mających z rzeczywistym bezpieczeństwem nic wspólnego (nie jest to zresztą nic niezwykłego: o konflikcie pomiędzy securitas i liberas pisał już Tacyt). Nie ma powodu aby przypuszczać, że bezpieczeństwo informacji takim pretekstem stać się nie może. Z drugiej strony - leceważenie potrzeb z zakresu bezpieczeństwa może prowadzić do utraty stabilności systemów informatycznych czy utraty ważnych danych. Wiedza z zakresu cyberbezpieczeństwa może być więc w tym zakresie (świadomości własnych realnych potrzeb związanych z bezpieczeństwem i efektywnych metod ich zaspokajania) elementem wpływającym pozytywnie na rozwój społeczeństwa obywatelskiego.

Zagadnienia: kogo, w jaki sposób, w jakim zakresie i jak często szkolić odnośnie do zagadnień związanych z bezpieczeństwem informacji i cyberbezpieczeństwem, mają więc ważki wymiar praktyczny, są też oczywiście interesujące z dydaktycznego punktu widzenia.

Niniejsze strony są moją osobistą próbą zebrania materiałów i odsyłaczy, które wydają mi się być intresujące i mogą być pomocne dla osób zamujących się nauczaniem o bezpieczeństwie informacji. Będę zobowiązany za sugestie wszelkich zmian i uzupełenień oraz uwagi krytyczne.