Žemiau pateiktas tekstas yra paimtas iš Tomo Beinaravičiaus įrašo Facebook'e. Tomas jau seniai dirba IT rizikų specialistu viename iš didžiųjų Lietuvos bankų, yra gerbiamas kolegų ir pažįstamų. Publikuojame su autoriaus sutikimu. Visų pirma trumpas atsakomybės apribojimas: priklausymas šiai grupei (
Internetiniam balsavimui - NE) -- nereiškia, kad aš remiu vieną ar
kitą pusę. Kalbant apie balsavimą internetu pasitelkiama pakankamai daug
demagogijos iš vienos ir kitos pusės ir pasakant A, pamirštama pasakyti
B. Šiuo atveju aš norėčiau pasisakyti tik dėl vieno mažo aspekto. Kai
kalbama apie balsavimą internetu, jis puolamas lyginti su elektronine
komercija, tačiau tas palyginimas, mano manymu yra ne visai
korektiškas.Pabandysiu paaiškinti kodėl.
Saugumas, deja,
turi tokią fundamentalią savybę -- jo neįmanoma įrodyti, t.y. visada
bus ginčų, diskutuojančių apie tai, saugi sistema ar nesaugi, ir jei
saugi, tai ar pakankamai. Jei pažiūrėti į EAL sertifikatus (sistema,
žyminti kaip pilnai įsitikinta sistemos saugumu, http://en.wikipedia.org/wiki/Evaluation_Assurance_Level)
turinčią įrangą, tai aukščiausią sertifikavimo lygį -- EAL7 (Formally
Verified Design and Tested) turi vienas produktas, ir tas pats nelabai
sudėtingas. Priežasčių tam yra kelios, svarbiausios -- brangiai
kainuojantis įrangos kūrimas ir sertifikavimas, kurie komerciškai
neatsiperka. Taigi turim daugiau ar mažiau neapibrėžtą situaciją, kur
žalos tikimybė ir žalos dydis yra atvirkščiai proporcingi. Pats santykis
čia nėra svarbus -- svarbu tai, kad didesnė žala gali atsitikti rečiau
-- mažos vagystės pasitaiko dažniau, o didelės -- kokį kartą per 100
metų. Ką tuo klausimu sako rizikos valdymo teorija?
Pirmiausia
galbūt reikia pažiūrėti kaip organizacijos bando suvaldyti veiklos
riziką e-komercijos atveju. Atskiras e-komercijos vartotojas, sakykim
toks, kuris naudojasi kredito kortele batams pirkti, yra apribotas tam
tikra pinigų suma, kurią jis gali prarasti, jei jo kortelės duomenimis
pasinaudos piktavalis. Vieniems ta suma yra didesnė, kitiems -- mažesnė,
bet ji iš principo yra ribota. Naudojantis kredito kortele kliento
nuostolis nėra didesnis nei 150 EUR (žr. ES direktyvą Nr...) --
finansinė institucija prisiima bet jau dalį kliento nuostolių. Turint
pakankamai daug klientų tas nuostolis gali išaugti iki pakankamai
didelės sumos. Tam, kad to neatsitiktų, finansinės įstaigos įveda
transakcijų sumos limitus (pvz. 4000 Lt per dieną) -- pastebėjus
sukčiavimą ir laiku ėmusis priemonių, nuostolis būtų riboto dydžio.
Tačiau ir tada gali būti nenumatytų aplinkybių, dėl kurių įstaiga
patirtų žalą. Tokiems nenumatytiems ir nekontroliuojamiems atsitikimams
kontroliuoti, pvz. kelių šimtų milijonų žala, rizikos valdymo teorija
siūlo rizikos perkėlimo metodą -- rizika perkeliama kitam subjektui.
Klasikiniu atveju tai -- savo rizikos užkrovimas draudikui. Taigi,
finansinė institucija stengiasi apriboti savo nuostolius laike, o jei
jie viršija tam tikrą sumą -- kreipiasi į draudimo kompaniją
kompensacijos.
Kur link aš suku? Kalbant apie internetinį
balsavimą, geriausiu atveju mes turime situaciją "mes žinome, ko mes
nežinome", prastesniu -- "mes nežinome, ko nežinome" (9/11 buvo
klasikinis to pavyzdys). E-komercijos atveju kiekviena protinga
organizacija stengtųsi perkelti dalį rizikos trečiosioms šalims, tačiau
man nevisai aišku, kaip reiktų elgtis internetinio balsavimo atveju.
Galbūt geriau pagalvojus ir galima būtų sukurti kokį veiksmų planą,
pavyzdžiui paskelbti rinkimus negaliojančiais, tačiau apie tai turėtų
būti kalbama. Dėl šios konkrečios priemonės aš irgi turėčiau abejonių,
nes akivaizdu kokį spaudimą patirtų VRK norėdama panaikinti rinkimų
rezultatus. Manau apskritai reikia pakreipti diskusiją kitu kampu -- ką
darytume, jeigu visdėlto nutiktų kažkas blogo -- t.y. planas B. Be jo,
t.y. pasakyti "mes žinome kaip tai padaryti ir viskas bus gerai", mes
tiesiog prisiimame riziką, kurios dydžio mes nežinome, o iš čia manau ir
kyla daugiausia nesusipratimų.
