Naujienos‎ > ‎

Lietuvos IT rizikų specialisto pamąstymai apie internetinį balsavimą

Emilis Dambauskas paskelbė 2010-10-13 05:55
Žemiau pateiktas tekstas yra paimtas iš Tomo Beinaravičiaus įrašo Facebook'e. Tomas jau seniai dirba IT rizikų specialistu viename iš didžiųjų Lietuvos bankų, yra gerbiamas kolegų ir pažįstamų. Publikuojame su autoriaus sutikimu.

Visų pirma trumpas atsakomybės apribojimas: priklausymas šiai grupei (Internetiniam balsavimui - NE) -- nereiškia, kad aš remiu vieną ar kitą pusę. Kalbant apie balsavimą internetu pasitelkiama pakankamai daug demagogijos iš vienos ir kitos pusės ir pasakant A, pamirštama pasakyti B. Šiuo atveju aš norėčiau pasisakyti tik dėl vieno mažo aspekto. Kai kalbama apie balsavimą internetu, jis puolamas lyginti su elektronine komercija, tačiau tas palyginimas, mano manymu yra ne visai korektiškas.Pabandysiu paaiškinti kodėl.

 Saugumas, deja, turi tokią fundamentalią savybę --  jo neįmanoma įrodyti, t.y. visada bus ginčų, diskutuojančių apie tai,  saugi sistema ar nesaugi, ir jei saugi, tai ar pakankamai. Jei pažiūrėti į EAL sertifikatus (sistema, žyminti kaip pilnai įsitikinta sistemos saugumu, http://en.wikipedia.org/wiki/Evaluation_Assurance_Level) turinčią įrangą, tai aukščiausią sertifikavimo lygį -- EAL7 (Formally Verified Design and Tested) turi vienas produktas, ir tas pats nelabai sudėtingas. Priežasčių tam yra kelios, svarbiausios -- brangiai kainuojantis įrangos kūrimas ir sertifikavimas, kurie komerciškai neatsiperka. Taigi turim daugiau ar mažiau neapibrėžtą situaciją, kur žalos tikimybė ir žalos dydis yra atvirkščiai proporcingi. Pats santykis čia nėra svarbus -- svarbu tai, kad didesnė žala gali atsitikti rečiau -- mažos vagystės pasitaiko dažniau, o didelės -- kokį kartą per 100 metų. Ką tuo klausimu sako rizikos valdymo teorija?

 Pirmiausia galbūt reikia pažiūrėti kaip organizacijos bando suvaldyti veiklos riziką e-komercijos atveju. Atskiras e-komercijos vartotojas, sakykim toks, kuris naudojasi kredito kortele batams pirkti, yra apribotas tam tikra pinigų suma, kurią jis gali prarasti, jei jo kortelės duomenimis pasinaudos piktavalis. Vieniems ta suma yra didesnė, kitiems -- mažesnė, bet ji iš principo yra ribota. Naudojantis kredito kortele kliento nuostolis nėra didesnis nei 150 EUR (žr. ES direktyvą Nr...) -- finansinė institucija prisiima bet jau dalį kliento nuostolių. Turint pakankamai daug klientų tas nuostolis gali išaugti iki pakankamai didelės sumos. Tam, kad to neatsitiktų, finansinės įstaigos įveda transakcijų sumos limitus (pvz. 4000 Lt per dieną) -- pastebėjus sukčiavimą ir laiku ėmusis priemonių, nuostolis būtų riboto dydžio. Tačiau ir tada gali būti nenumatytų aplinkybių, dėl kurių įstaiga patirtų žalą. Tokiems nenumatytiems ir nekontroliuojamiems atsitikimams kontroliuoti, pvz. kelių šimtų milijonų žala, rizikos valdymo teorija siūlo rizikos perkėlimo metodą -- rizika perkeliama kitam subjektui. Klasikiniu atveju tai -- savo rizikos užkrovimas draudikui. Taigi, finansinė institucija stengiasi apriboti savo nuostolius laike, o jei jie viršija tam tikrą sumą -- kreipiasi į draudimo kompaniją kompensacijos.

 Kur link aš suku? Kalbant apie internetinį balsavimą, geriausiu atveju mes turime situaciją "mes žinome, ko mes nežinome", prastesniu -- "mes nežinome, ko nežinome" (9/11 buvo klasikinis to pavyzdys). E-komercijos atveju kiekviena protinga organizacija stengtųsi perkelti dalį rizikos trečiosioms šalims, tačiau man nevisai aišku, kaip reiktų elgtis internetinio balsavimo atveju. Galbūt geriau pagalvojus ir galima būtų sukurti kokį veiksmų planą, pavyzdžiui paskelbti rinkimus negaliojančiais, tačiau apie tai turėtų būti kalbama. Dėl šios konkrečios priemonės aš irgi turėčiau abejonių, nes akivaizdu kokį spaudimą patirtų VRK norėdama panaikinti rinkimų rezultatus. Manau apskritai reikia pakreipti diskusiją kitu kampu -- ką darytume, jeigu visdėlto nutiktų kažkas blogo -- t.y. planas B. Be jo, t.y. pasakyti "mes žinome kaip tai padaryti ir viskas bus gerai", mes tiesiog prisiimame riziką, kurios dydžio mes nežinome, o iš čia manau ir kyla daugiausia nesusipratimų.

Comments