Galántai Zoltán
Zéró tolerancia az interneten
"A drakóni törvények értelmében halálbüntetéssel sújtották a legcsekélyebb bűncselekményeket is. Így a munkakerülők, a zöldség- és gyümölcstolvajok ugyanolyan büntetést szenvedtek el, mint a templomrablók és gyilkosok. Később sokszor idézték Démadész bírálatát, hogy Drakón nem tintával, hanem vérrel írta törvényeit. Mikor megkérdezték tőle, miért sújtott halálbüntetéssel oly sok vétséget, Drakón állítólag azt felelte, hogy szerinte a kis bűnök is megérdemlik a halálbüntetést, a nagyobbakra pedig nem talált súlyosabbat."
(Plutarkhosz: Szolón)

 

 

 

 

 

IQ-rasszizmus
A zéró tolerancia elmélete attól a Charles Murray nevű amerikai politológustól származik, aki szerint mindennek az IQ a kulcsa. Szerinte kizárólag ettől függ, hogy ki fogja elvégezni az egyetemet (és ki nem); hogy ki válik milliomossá (és ki hajléktalanná); hogy mennyire "jól" neveljük fel a gyerekeinket - sőt, még az is, hogy ki fog a házasság "szent kötelékében" élni. "A törvénytelen viszonyok - melyek léte korunk egyik legnagyobb szociális problémája (sic!) - erősen függenek az intelligenciaszinttől" - állítja Murray. Mintha tehát az összes társadalmi probléma kizárólag biológiai okokra lenne visszavezethető - miközben egyetlen felmérés sem mutatta ki, hogy a házasságtörőknek alacsonyabb lenne az intelligenciahányadosuk, mint a monogám párkapcsolatban élőknek, és ami azt illeti, nincs is okunk feltételezni, hogy létezne ilyen összefüggés. Murray viszont meg van róla győződve, hogy "az intelligencia kifejezhető egyetlen számként, az intelligencia alapján az emberek rangsorolhatók, az intelligencia genetikai alapú és gyakorlatilag megváltoztathatatlan" - írja Stephen Jay Gould evolúcióbiológus.
Az azonban, hogy az embereket IQ-teszt alapján lehet-e rangsorolni, nem csupán az adott mérési módszer megbízhatóságától (vagy inkább megbízhatatlanságától) függ, hanem attól is, hogy elfogadjuk-e, hogy - bőrszíntől, nemtől, életkortól és intelligenciától függetlenül - egyenlők vagyunk.
Ha nem, úgy gyorsan arra a következtetésre juthatunk, hogy "nem azért lesz valakiből bűnöző, mert egyenlőtlen társadalomban él, és ott az anyagi javak hiányától szenved (deprived), hanem mert mentálisan és erkölcsileg romlott (depraved)" - jegyzi meg Loic Wacoquant a zéró tolerencia ellen érvelő könyvében. Vagyis arra a következtetésre, hogy a bűnözők azért bűnözők, mert a biológia erre determinálja őket (és így igazából nem is egyenlők a többiekkel), és mivel az állam úgysem tud ezen változtatni, mindössze egyetlen dolgot tehet: azt, hogy az egészségesek nevében keményen fellép ellenük. Az pedig - elvégre Murray tagadja, hogy a környezeti hatásoknak is lenne szerepük - szóba sem jöhet, hogy a körülmények megváltoztatásával (például megfelelő szociális intézkedésekkel) próbáljuk megváltoztatni a helyzetet.
Mindent egybevetve tehát mindenki kizárólag maga felelős a sorsáért. Murray szerint "Az igazságszolgáltatásnak nem szükséges azokkal az okokkal foglalkoznia, amelyek valakit bűn elkövetésére indítanak. Az igazságszolgáltatás arra való, hogy megbüntesse a bűnösöket, kárpótolja az ártatlanokat, és megvédje a törvénytisztelő állampolgárok érdekeit."
Ez a lényegében IQ-rasszizmuson alapuló érvelés tehát ürügyet szolgáltat az államnak ahhoz, hogy minél inkább kivonuljon a "gazdasági küzdőtérről", lehetőleg mindenért áthárítsa a felelősséget az állampolgárra (a bűnelkövetőre), és - elsősorban a közép- és felsőosztály érdekeit "védve" - minél szigorúbban fellépjen a "bűnözés" ellen, ahelyett hogy az okozatot életre hívó okot keresné, és azon akarna változtatni. George Kelling, a konzervatív kriminológia pápája egészen odáig elmegy, hogy azt állítsa: nagyon is igaz az a mondás, amely szerint "aki hazudik, az csal, aki pedig csal, az lop is", és ennek megfelelően a súlyosabb bűncselekményeket a mindennapi, apró rendbontások (ittasság, koldulás, szemérem elleni vétség stb.) kíméletlen megtorlásával lehet visszaszorítani.

Autótolvajok a hálózaton
Méghozzá nem csupán a hétköznapi életben, de az interneten is, ahol hivatkozási alapul az szolgál, hogy a helyzet biztonságtechnikai szempontból kezd egyszerűen katasztrofálissá válni. Tehát az internetes zéró tolerancia (túlnyomó többségben lévő) hívei szerint az eddigieknél sokkal szigorúbb törvényekre van szükség - méghozzá olyanokra, amelyek teljes mértékben áthárítják a felelősséget a számítógépezőkre. Amikor a talán legismertebb magyar számítógépes biztonságtechnikai szakértő, Kürti Sándor azt nyilatkozza, hogy "a felhasználóknak is be kellene tartania a legalapvetőbb etikai szabályokat", és ez alatt azt érti, hogy mindenkinek vírusirtókat meg tűzfalakat kellene használnia (ez utóbbit a cracker-támadások kivédésére), akkor csupán egy túlságosan is elterjedt érvet ismétel meg.
A Business Week nemrégiben például úgy fogalmazott, hogy minden internetezőt kötelezni kell az antivírus-szoftverek és a firewall-ok használatára, hiszen aki nem védi a komputerét, az úgy viselkedik, mintha nem zárná be az autóját, miközben tudja, hogy a városban részeg autótolvajok garázdálkodnak, és egy lopott kocsival bármikor belehajthatnak a tömegbe. Elvégre a crackerek egy idegen rendszerbe behatolva tovább tudnak lépni; és megfelelő védelem híján a vírusok is könnyedén továbbterjedhetnek.
Az utóbbi állításban mintha még lenne is valami. Amikor Fred Cohen 1983-ban megírta az első számítógépes vírust, akkor arra a következtetésre jutott, hogy "ennek terjedése nem különbözik a biológiai fertőzések terjedésétől", és ettől kezdve lehetett arra hivatkozni, hogy ha a számítógépes vírus az "igazihoz" hasonlóan viselkedik, akkor ugyanúgy is kell védekezni ellene. Azaz mint ahogy a köznapi életben, ha a népesség 30 százalékát beoltjuk, akkor gyakorlatilag megszűnik a járvány terjedése, ugyanez lenne a helyzet az interneten is, amennyiben a felhasználóknak legalább az egyharmada hajlandó lenne védekezni. És itt már nem nehéz azt a következtetést levonni, hogy ha továbbra is terjednek a vírusok és szaporodnak a számítógépes betörések, akkor erről a felhasználók tehetnek - és már át is hárítottuk a felelősséget az internetezőkre.
Ahelyett, hogy mondjuk az internetszolgáltatókat köteleznénk arra, hogy használjanak megbízható szoftvereket, és szűrjék ki az ártó szándékú programokat az e-mail-ek továbbítása során.
Gary McGraw számítógépes biztonságtechnikai szakértő szerint ez a jelenlegi helyzet azzal magyarázható, hogy a szoftvergyártók arra törekszenek, hogy egyfelől minél gyorsabban, másfelől pedig minél több új funkcióval rendelkező programokat dobjanak piacra, és ez persze a biztonságtechnikai szempontok háttérbeszorulását eredményezi (elvégre a mai szoftverek több millió sorból állnak, és egyszerűen túlságosan komplexek ahhoz, hogy ne maradjanak bennük tátongó biztonsági rések, ha nem foglalkozunk velük külön).
Tehát marad az a "védelem", amit a törvény lenne hivatott biztosítani - ám ez önmagában (még ha szükséges is), nem elég: egy bank sem alapozhat kizárólag arra, hogy a bankrablás törvénybe ütközik. És persze nem is a számlatulajdonosnak kell a védelemről gondoskodnia...
Persze a dolog logikátlansága ellenére is bevezethetünk mind szigorúbb és szigorúbb törvényeket, és minden jel arra mutat, hogy nem csak az amerikai törvényhozók között akad, aki hajlik erre. A magyar büntető törvénykönyv most életbe lépett módosításai szerint a számítástechnikai rendszerbe való jogosulatlan belépés akkor is (börtönbüntetéssel) büntetendő, ha az elkövető nem okoz kárt, hanem csak bejut.
Amire még mindig mondhatnánk azt, hogy végső soron rendjén van a dolog, elvégre valahogyan meg kell védeni a számítógépes rendszereket - ám eközben a másik oldal, a szoftvergyártó, a rendszergazda felelősségéről mintha végképp elfeledkeznénk. Ez a törvény - szerintem - arra szolgál, hogy ne csupán helyettesítse a biztonságos megoldásokat, hanem (az erősebb fél pozícióját kihasználva) ugyanúgy minden felelősséget áthárítson a számítógép-felhasználókra, mint ahogy a zéró tolerancia elvét valló állam is áthárít minden felelősséget a lemaradókra. Magyarországon ma ad absurdum akár az is elképzelhető, hogy valaki véletlenül betéved egy rendszerbe, és aztán a rács mögött találja magát, mert védelem ugyan nem volt, de neki sem lett volna joga behatolni... Mintha semmi nem jelölné, hogy magánterület, mégis pert indítanának ellenünk.
Pedig lehetséges más megközelítés is. Az amerikai National Academy of Sciences (NAS) komputer- és telekommunikációs szekciója pontosan négy hónappal a szeptember 11-i terrortámadás után tett közzé egy tanulmányt, amely szerint "A döntéshozóknak foglalkozniuk kellene azzal, hogy milyen jogi eszközökkel lehet a piacot a biztonsági problémákra való helyes reagálásra ösztönözni", és "a lehetséges lépések között szerepel az is, hogy növeljük a szoftver- és rendszergyártók, valamint a rendszergazdák felelősségét a rendszerek feltörhetőségével kapcsolatban." Azaz: legyenek felelősségre vonhatóak ők is.
A számítógépes ipar persze kézzel-lábbal tiltakozik: a Predictive Systems Inc. cyberjogi szakértője, Mark Rasch például azt a meglehetősen költői kérdést tette fel, hogy "Miért büntetnénk valakit egy nem kellőképpen biztonságos termék előállításáért, amikor a vásárlóknak nincs igényük megbízhatóakra?" Túlságosan is nyilvánvaló az áthárítás ahhoz, hogy hosszasan kelljen magyarázni.
Herbert Lin (NAS) viszont úgy gondolja, hogy a biztonságos internet megteremtéséhez az iparnak nem igazán kellene megerőltetnie magát, hiszen még különösebb fejlesztésekre sem lenne szükség: már akkor is "Sokkal biztonságosabbá válna a számítástechnika, ha mindenki alkalmazná a rendelkezésre álló technológiákat". Az egyik Microsoft-szoftver hibáját kihasználó ártó szándékú programocska, a Nimda mintegy 2 milliárd dolláros kárt okozott az amerikai üzleti életnek - noha a támadást meggátló hibajavítást (patch) már hónapokkal korábban közzé tették. Csak éppen mint ahogy a gyártó nem volt érdekelt a megbízható program elkészítésében, ugyanígy a számítógépes rendszerek karbantartói sem voltak érdekeltek a biztonsági hiba befoltozásában.

Az AIDS kis világai
Pedig előbb-utóbb úgysem lesz más megoldás: ugyanúgy, mint ahogyan a zéró tolerancia hatástalan a bűnözéssel szemben (mivel nem oldja meg a bűnözéshez vezető problémákat, és csak a börtönök válnak zsúfoltabbá), az interneten sem megyünk semmire, ha a felhasználókra hárítjuk a felelősséget.
Ott van persze az a közkeletű meggyőződés, amely szerint az internet középpontok nélküli, redundáns hálózat, és ezért nem is tehetünk mást, mint hogy az egymástól független internetezőket noszogatjuk - csak éppen ez nem így van. Amikor Paul Baran az 1960-as évek végén nekiállt megtervezni a későbbi internetet, akkor persze az volt a célja, hogy egy olyan, redundáns hálózatot hozzon létre, aminek nincs középpontja, és így még atombombával is roppant nehéz megsemmisíteni - és egészen 1998-ig mindenki meg is volt róla győződve, hogy sikerült elérni a célt.
Aztán Bill Chesswick és Hal Birch elkészítették az internet "térképét" (ami a hálózatba kötött számítógépek egymással való kapcsolatait ábrázolta), és kiderült, hogy a valóság egészen más.
Hogy az internet hálózatnak hálózat ugyan, de emellett úgynevezett small world is: "kis világ", amiben olykor egymástól távoli pontok vannak véletlenszerűen összekötve, és ennek köszönhetően pillanatok alatt eljuthatunk az egyik helyről a másikra (két komputer egymástól nem több tízezer vagy millió lépésnyire van, hanem néhányra csupán). Ráadásul nem Baran-féle, hanem úgynevezett "arisztokratikus network", ahol egyes pontokhoz rengeteg más pont kapcsolódik - másokhoz viszont egy vagy legfeljebb néhány, és ezért elég a "kapcsolatgazdag" helyeket lerombolni, hogy az internet máris "egymástól független, kicsiny szigetek" halmazává essen szét.
Miközben gyakorlatilag mindegy, hogy mi történik egy magányos felhasználó gépével, egy nagygép kiesése katasztrofális következményekkel járhat.
Jobban belegondolva ez nem is olyan meglepő: nemzetbiztonsági szempontból persze roppant hasznos a redundancia, kereskedelmi szempontból viszont roppant drága, és ezért ha megjelent egy új internetszolgáltató, akkor ahelyett, hogy ő is újra kiépítette volna az egész infrastruktúrát, inkább megpróbált a már létezőhöz kapcsolódni, és a mai Magyarországon is elég lenne csupán néhány kábelt átvágni ahhoz, hogy az országon belül ugyan küldözgethessünk egymásnak e-mail-t, de külföldre már ne.
Ami azért érdekes a számunkra, mert egy arisztokratikus network-ben egészen máshogy terjednek a fertőzések, mint egy redundánsban. Cohen a biológiai fertőzések és számítógépes vírusok hasonlóságáról szóló gondolatot azzal folytatja, hogy "ha meg akarsz fertőzni egy csomó embert, akkor a legjobb olyasvalakivel kezdeni, mint mondjuk egy Las Vegas-i prostituált", és amikor két fizikus: Alessandro Vespigniani és Romauldo Pastor-Satorras az AIDS terjedését tanulmányoztak, ők is ugyanerre a következtetésre jutottak. Mármint arra, hogy az emberi szexualitás kis világában is vannak "csomópontok" (vagyis olyanok, akiknek lényegesen több partnerük van, mint az átlagnak), és így az AIDS is afféle arisztokratikus network-ön keresztül fertőz. És mivel az ilyen hálózatok esetében nincs küszöbérték (például a megfertőzött emberek számát tekintve), amit egy új ragálynak át kellene lépnie ahhoz, hogy sikeres legyen, ezért a csomópontok létének köszönhetően mindenképpen (!) el fog terjedni. Az AIDS-nél tehát "ironikus módon nem a tömeges orvosi kezelés (például védőoltás) és a felvilágosítás jelenti a megoldást", hanem az, ha sikerül megtalálnunk azt a néhány embert, aki szexuális csomópontként működik, állapítja meg Mark Buchanan a kis világokról szóló könyvében - és pontosan ugyanez a helyzet az internetes vírusok, férgek stb. esetében is. Hiába oltjuk be az emberek 30 vagy akárhány százalékát, ha a fertőzés a kapcsolatgazdag csomópontokon keresztül közben a világ minden részébe eljut.
Ezért nem csupán reménytelen vállalkozás minden számítógépezőt arra kötelezni, hogy állandóan antivírus-szoftvert használjon (és azt állandóan naprakészen frissítse), hanem felesleges is. Éppen elég lenne az is, ha a kapcsolatgazdag csomópontok (például a nagy internetszolgáltatók és szerverek), akiken úgyis keresztülhalad a teljes e-mail-forgalom, kiszűrnék az ártó szándékú programokat, és közben megfelelően védenék magukat a támadásoktól. Mert lehet ugyan, hogy egy cracker bejut a számítógépemre (és az legyen az én bajom, ha nem teszek ellene semmit), de ebből még nem következik, hogy felelős lennék azért, ha a nagy rendszerek nem veszik a fáradságot saját maguk megvédésére.
A zéró tolerancia elvének alkalmazása ugyanúgy nem hatékony az interneten sem, mint a mindennapi életben, ahol a börtönök ugyan tele lesznek kisstílű bűnözőkkel, de a társadalmi problémák majd úgyis kitermelik az utánpótlást.

A szerző a cikk megírása idején az OTKA F030551 számú ösztöndíjában részesült.