Информационная беззащитность

Тип работы:
Реферат
Предмет:
Народное образование. Педагогика


Узнать стоимость

Детальная информация о работе

Выдержка из работы

N96(18)2008
В.В. Артюхин
Информационная беззащитность
Информационная безопасность — это состояние защищенности информационной среды, обеспечивающее ее формирование, использование и развитие в организации, предприятии. Соответственно защита информации — это процесс, направленный на достижение безопасного состояния информационной среды. В качестве стандартной модели безопасности часто приводят модель из трех категорий: конфиденциальность (confidentiality), целостность (integrity), доступность (availability).
Введение
Под конфиденциальностью понимается доступность информации только определенному кругу лиц, под целостностью — гарантия существования информации в исходном виде, под доступностью — возможность получения информации авторизованным пользователем в нужное для него время [5].
Информационная безопасность — это состояние защищенности информационной среды, обеспечивающее ее формирование, использование и развитие в организации, предприятии.
На самом деле определений понятия «информационная безопасность» множество, и приведенное ничем не хуже других. Тем более что у каждого пользователя независимо от его компетенций существует некое собственное интуитивное, неполное, но в целом верное представление о ней.
В октябре 2008 года Европейское агентство по безопасности сетей и информационной безопасности (ЕМБА) выпустило документ под названием «Руководство для 1Т-специалистов по обоснованию необходимости расходов на безопасность» [2].
В своем комментарии к нему автор данной статьи отметил, что организациям и компаниям наряду с заботой о работе 1Т-специалистов стоило бы уделять более пристальное внимание пропаганде и обучению рядовых пользователей компьютеров 32 ?
(которые составляют подавляющее большинство всех пользователей вообще) в области информационной безопасности [6]. Самим же пользователям было рекомендовано почитать что-нибудь публицистическое на эту тему — например, одну из книг Кевина Митника.
Не прошло и двух недель как ЕМБА выпустило еще один документ- «Социальная инженерия: эксплуатация наиболее слабого звена», включающий, помимо прочего, интервью с упомянутым выше Митни-ком [3].
Термин «социальная инженерия» определяет технику использования человеческих слабостей и манипулирования людьми с целью заставить их нарушить принятые процедуры, связанные с информационной безопасностью. Рассмотрим это определение подробнее:
• Фрагмент «…использования человеческих слабостей и манипулирования людьми…» однозначно предполагает наличие злого умысла, однако многие «неправильные» вещи очень часто делаются или случаются при его отсутствии: по недосмотру, забывчивости, рассеянности или по какой-нибудь другой схожей причине.
• Сочетание слов «…нарушить. процедуры.» должно означать, что в обычных обстоятельствах эти процедуры неукоснительно соблюдаются, но это не так, и даже наоборот — с течением времени

И96(18)2008
при работе без происшествий наблюдается тенденция к снижению бдительности пользователей (ведь если на ваш почтовый ящик полгода не приходило ни одного спам-письма, вы будете более доверчивы к почте, чем в случае, если вас ежедневно штурмуют письма со ссылками на зараженные файлы, чьи-то частные фотосессии и страницы компаний, обещающих перевезти вашу мебель).
• Наконец, выражение «принятые процедуры» наводит на мысль о том, что такие процедуры существуют, и они «приняты», хотя во многих компаниях никто понятия не имеет о значении термина «политика информационной безопасности», если она существует, то часто как бы отдельно от пользователей, а с паролями наподобие «123 456» даже в крупных организациях приходится сталкиваться на практике значительно чаще, чем с паролями, включающими сложную последовательность букв и цифр (такие пароли значительно надежнее).
Защититься от злоумышленника, безусловно, важно. Однако если пользователь не знает, в чем заключаются упомянутые выше процедуры, связанные с защитой информации, то он даже не узнает, не поймет и не запомнит, когда и где совершил прокол.
Не менее важны и технические средства защиты, но они значительно менее полезны, если пользователь не подозревает, от чего они его защищают, а от чего — нет. В таком случае они дают ложное чувство уверенности в абсолютной защищенности «от всего».
Наиболее важно на сегодняшний день хотя бы ознакомить пользователя с тем, чего ему вообще следует опасаться в стране битов и байтов (впрочем, сегодня это уже гигабайты и терабайты).
В Общественной палате РФ на пленарном заседании первых слушаний по вопросам развития информационного общества проблемы, связанные с информационной безопасностью, затрагивались лишь вскользь, что вызвало некоторое удивле-
ние. Однако иначе и быть не могло — зада- Л чей Общественной палаты является доне- g сение социальных заказов до власти, а социального заказа на обеспечение информационной безопасности в ее широком, общественном смысле нет, потому что в самом обществе нет достаточно ясного понимания ее назначения и связанных с ее нарушением угроз.
Вести с фронтов
Рассмотрим небольшую подборку последних (на момент написания статьи) мировых событий в области информационной безопасности (по данным ACM TechNews):
25. 08. 2008 — исследователи из Университета Карнеги Меллон создали очередную систему, призванную обеспечить веб-безопасность, под названием «Perspectives». В частности, система способна оградить пользователя от атак типа «человек посередине» (man-in-the-middle, или MitM), а также позволяет защитить компьютер пользователя от уязвимости системы доменных имен (Domain Name System, или DNS), о которой уже очень много говорилось в 2008 году.
26. 08. 2008 — крупные корпорации и правительство США пытаются тщетно договориться о том, кто должен «починить» Интернет. Диалог резко обострился после очередной порции крупных инцидентов с кражами десятков миллионов номеров кредитных карт, которые стали возможны благодаря все той же уязвимости DNS.
27. 08. 2008 — в США было признано, что ИТ-проект ценой 500 млн долларов, который, как ожидалось, позволит находить связи между подозреваемыми в терроризме и помогать в предотвращении будущих террористических актов, закончился провалом и не способен обрабатывать даже простые логические выражения.
27. 08. 2008 — исследователи Лаборатории Линкольна Массачусетсского Технологического университета разработали Архи-

33
N96(18)2008
тектуру планирования сетевой безопасности (Network Security Planning Architecture, или NetSPA). Это программное обеспечение способно определять наиболее уязвимые точки в сетевой архитектуре.
27. 08. 2008 — специалисты NASA все еще пытаются выяснить, каким образом лаптопы, «завезенные» на Международную космическую станцию в июле, оказались заражены компьютерным вирусом Gammima. AG.
01. 09. 2008 — Ричард Клейтон из Университета Кембриджа обнародовал свое исследование, в котором огласил список латинских букв, которые, являясь первыми в e-mail адресе, «притягивают» спам.
01. 09. 2008 — ученые из Греции и Сингапура совместно создали Facebot — вредоносную программу, призванную на примере продемонстрировать опасности, связанные с приложениями социальных интернет-сетей. Разработанный ими продукт предлагается для скачивания всеми желающими под названием «Фото дня». На компьютере скачавшего каждый раз при запуске он отображает свежую фотографию из журнала National Geographic, однако одновременно он посылает на сайт жертвы множество запросов. С ростом числа «пользователей» Facebot растет и число запросов, что в итоге приводит к «отказу в обслуживании» со стороны сайта-жертвы.
09. 09. 2008 — профессор и студент-дипломник из Университета Тель-Авива разработали «Корсет» — open source антивирус для серверов на базе Linux. .о 11. 09. 2008 — ожидается, что Отчет по § глобальным трендам до 2025 года (Global I Trends 2025 report), подготавливаемый аме-U риканскими разведывательными службами, & lt-3 будет помимо прочего включать список из «к шести трендов в развитии технологий, по! тенциально угрожающих мощи США. Пред-§ положительно на шестом месте окажется J повсеместное распространение Интерне-¦Ц та, с которым будут связаны такие объекты sa повседневной деятельности, как дверные
ручки, хозяйственные сумки, бумажные до-34 /-
кументы и др., что, в свою очередь, приведет к удешевлению производства и рабочей силы.
12. 09. 2008 — Европейская организация по атомным исследованиям сообщила, что ее специалисты воскресили сайт Большого адронного коллайдера, страницы которого были замещены посредством ха-керской атаки (defaced) на некое сообщение, содержание которого имело отношение к появлению черных дыр и безопасности масштабных физических экспериментов.
13. 09. 2008 — бывший президент Общества американских архивариусов Ричард Пирс-Мозес обозначил проблему, связанную с тем, что служащие всех уровней и специальностей сохраняют далеко не все документы, с которыми работают, что в широкой перспективе приводит к потере целых кусков истории и затрудняет восстановление процессов принятия решений, если таковая необходимость возникает.
15. 09. 2008 — сэр Тим Бернерс-Ли принимает участие в создании новой организации, предназначением которой должна стать оценка степени доверия к тому или иному веб-сайту.
18. 09. 2008 — по сообщениям из информированных американских источников, «дров в костер» финансового кризиса подбросили компьютерные финансовые модели и люди, их использующие. Модели в общей массе программировались по слишком оптимистичным алгоритмам расчета рисков, в то время как данные в них закладывались в слишком упрощенном виде. В результате модели не выполняли своей функции — в существовавшем виде они были не в состоянии предсказывать угрозы.
19. 09. 2008 — эксперт по кибербезопас-ности Пол Куртц заявляет, что разведывательные службы США не в состоянии обмениваться информацией о кибератаках на американские компании извне из-за риска «засветить» источники и методы сбора этой информации.
19. 09. 2008 — исследователи Университета Корнелла продемонстрировали, что сигналы системы GPS могут быть подменены таким образом, что GPS-приемники будут принимать их за настоящие (такая подмена называется spoofing).
22. 09. 2008 — ученые из Университета Северной Каролины обнародовали свое исследование, связанное с опасностью всплывающих окон (popup) в Интернете. По их данным, 63% участников эксперимента действовали небезопасным образом, что в реальной ситуации могло привести к установке на компьютер пользователя злокачественных программ.
29. 09. 2008 — в Университете Мичигана разработана система, которая позволяет микропроцессорам работать в обход функциональных жучков, включая те, что будут обнаружены в будущем.
30. 09. 2008 — ученые NASA объявили, что блок форматирования и контроля данных на телескопе Хаббл полностью «рухнул», в результате чего телескоп не передает данные на Землю.
30. 09. 2008 — в университетах Вашингтона и Калифорнии создана программа Adeona, позволяющая отслеживать путь перемещения украденных лаптопов и передавать информацию на центральный сервер в зашифрованном виде.
02. 10. 2008 — исследователи из двух британских университетов работают над электрическими системами, которые смогут диагностировать и чинить себя по аналогии с человеком и его иммунитетом.
03. 10. 2008 — профессор Кевин Фу из Массачусетса разрабатывает криптографические протоколы для имплантируемых устройств (в частности, для кардиостимуляторов).
07. 10. 2008 — исследователи из Дании опубликовали криптографический алгоритм и исходный код, которые можно использовать для создания дубликатов smart-карт, используемых несколькими крупными транзитными системами.
№& gt-6(18)2008
07. 10. 2008 — ученые Университета Кар- Л неги Меллон Алисия Макдональд и Лори g Фейт Кранор докладывают о том, что политики конфиденциальности, размещаемые компаниями на сайтах, непонятны, слишком длинны, не служат интересам рационального принятия решений пользователями и зачастую не читаются вообще.
14. 10. 2008 — онлайн-головоломки, используемые для защиты от спама, подвергаются атакам ученых, работающих над программами, способными их решить. Так, программа Джеффа Яна из Университета Ньюкасла способна правильно решать головоломки типа CAPTCHAs, состоящие из последовательности искаженных букв и цифр, в 60% случаев. В частности, был продемонстрирован «взлом» головоломок, защищавших Microsoft'-s Hotmail, MSN и Windows Live.
14. 10. 2008 — ученый Чарли Бачман заявляет, что при любых изменениях, создании и удалении информации из баз данных должен фиксироваться пользователь, совершивший операцию. Это должно помочь контролю за незаконными и неавторизованными изменениями.
14. 10. 2008 — в Мадриде разработана многоагентная система, позволяющая обнаруживать компьютерное вторжение и автономно выбирать наилучшую стратегию поведения.
15. 10. 2008 — исследователи компании Georgia Tech предрекают, что вскоре хакеры начнут создавать сети из «зомбированных» (т.е. контролируемых извне) мобильных телефонов.
21. 10. 2008 — швейцарские докторанты создали аппаратно-программный комплекс, позволяющий перехватывать и восстанавливать пользовательский ввод без подключения к компьютеру с расстояния до 20 метров путем улавливания электромагнитных сигналов, возникающих при нажатии на любую клавишу [1].
В свете сказанного можно сделать несколько важных выводов:
ч 35
N96(18)2008
1. В области информационной безопасности каждый день что-то происходит: совершаются ошибки, обнаруживаются новые угрозы, создаются средства противодействия им. Это живой мир, в котором есть свои хищники и свои жертвы.
2. СМИ и интернет-сайты в зависимости от ситуации в позитивном или негативном ключе освещают глобальные и/или технические прорывы или промахи в этой области, не скупясь на специфические термины. Поскольку информационные технологии сегодня «в моде», любое происшествие способно стать событием глобального масштаба, и, как обычно, негатив «раскручивается» более интенсивно.
3. Главное. Для менеджера среднего звена, столяра, стилиста, преподавателя или другого профессионала, идущего на работу в 8 утра и не имеющего образования в области ИТ, все это абсолютно не интересно. Он даже не подозревает, что где-то ради НЕГО проводят исследования, что где-то кто-то за НЕГО борется, а кое-кто в то же время «охотится» на НЕГО и его технику.
Большая часть пользователей компьютеров часто не подозревает, а зачастую недооценивает степень связи между термином «информационная безопасность» и собственной персоной.
Знаменитая фраза, приписываемая американскому философу Йоги Берра, гласит: «В теории нет разницы между теорией и практикой, на практике — есть». Если предположить, что, с точки зрения боль-.о шинства простых пользователей, весь при-§ веденный список — чистая, но весьма дале-| кая от них теория (хотя это далеко не так), Ц что же мы имеем на практике? Рассмотрим & lt-3 еще один список — список событий, дейст-& lt-1 вий и ситуаций, с которыми довелось столк-| нуться за последние годы лично автору § и которые идут вразрез с элементарными канонами защиты информации.
О
§
1. На туристической базе вблизи Черного моря проходила крупная конференция.
36 у
Несмотря на то что на базе были вроде бы только «свои» (т.е. приглашенные и зарегистрированные ученые), один из участников в первый же вечер лишился ноутбука, оставленного у окна домика.
2. Один из крупных вузов Москвы трижды охватывала массовая компьютерная эпидемия, вызванная запуском программ типа «троянский конь» (или просто «троянец», «троян»). Для оперативного обмена сообщениями сотрудники вуза использовали ICQ. Программа распространялась путем отсылки с компьютера-носителя сообщения с гиперссылкой всем потенциальным жертвам (т. е. всему контакт-листу). Проходя по ссылке, сотрудник заражал свой компьютер, «троянец» перехватывал управление ICQ, менял пароль, и цикл выходил на новый виток. Самое интересное, что половина сотрудников считала, что их номер ICQ «взломали», и отдельные индивиды почти гордились этим, как будто хакерам по всему миру одновременно стало нечего делать, и они взялись вскрывать 9-значные номера именно сотрудников этого вуза, причем с молниеносным успехом. Человеческой натуре, в общем, свойственно винить кого угодно, но не себя. Подвергнуться кибернасилию тоже неприятно и унизительно, но все же менее неприятно и унизительно, чем потерять бдительность и напортачить самостоятельно. Многие удивлялись, когда узнавали, что они сами, по сути, «взломали» свои машины, причем сделали это с подачи сообщений, посланных с зараженных компьютеров своих руководителей.
3. Администратор создал для автора учетную запись в корпоративной информационной системе. При первом же входе пароль, естественно, был сменен. Администратор позвонил и поинтересовался, каков новый пароль. Вероятно, он хотел убедиться в том, что пароль действительно изменен, но вопрос был поставлен неверно.
4. Автор работы приобрел новую флэш-ку. Предыдущую иногда он забывал на ра-

№ 6(18)2008
боте в компьютере, поэтому было принято решение повесить новую на брелок с ключами от квартиры. Это было сделано в предположении, что такой маневр не позволит ее забыть. Флэш-диск вместе с ключами был оставлен на работе всего через неделю. Теперь флэшка и ключи хранятся и транспортируются по отдельности.
5. Родственники обратились к автору с просьбой продиктовать место работы и должность, которые им было нужно внести в какую-то анкету отдела кадров. В результате возникло непонимание с обеих сторон: они не понимали, почему получали отказ, а автор данной статьи не понимал, с какой целью и по какому праву на его счет неизвестно у кого возник подобный интерес.
Сравнивая масштаб того, что перечислено в первом и во втором списках, не сразу можно сообразить, что все это — части одного целого. Но это так! Воспользовавшись аналогией из физики, можно ответить, что и ядро, и бумажный самолетик падают на землю вследствие существования одного и того же явления — гравитации, хотя имеют разные размер и массу. В идеале требования информационной безопасности должны стать чем-то вроде гравитации в мире компьютеров: все ее признают, на всех она действует одинаково, и преодолеть ее очень сложно. К сожалению, до этого пока далеко.
Повторюсь: выше перечислены абсолютно реальные случаи из жизни. Кстати, последствия этих событий могли бы быть и иными. Например:
1. Украденный ноутбук мог принадлежать кому угодно (в том числе и автору).
2. То же касается компьютерной эпидемии.
3. Если бы пароль был выдан администратору, а он оказался бы нечист на руку, то все его действия в корпоративной инфор-
§
мационной системе были бы списаны на счет автора.
4. На флэшке хранятся все важные документы, включая резюме и анкеты, содер- ^ жащие адрес, и в качестве «бонуса» ключи
от квартиры находились на том же брелке. Самый плохой сценарий развития событий представить несложно.
5. Эта тема подробнее рассматривается дальше, поскольку ей стоит уделить особое внимание.
Вытягивание информации личного характера всеми способами из пользователей/клиентов за последние 5 лет приобрело чудовищные масштабы. Мы заполняем безумные анкеты для получения дисконтной карты, множество полей формы, чтобы зарегистрироваться на сайте- отвечаем на десятки вопросов, участвуя в социологических исследованиях и телефонных опросах. С какой целью собирается и куда идет вся информация, помимо той, которая действительно необходима для совершения той или иной операции и решения того или иного вопроса, мы зачастую не знаем. Это знает только «агент» (т.е. инициатор передачи данных). И здесь под агентом не подразумевается лицо, задающее вопросы по телефону, продавец или сотрудник, выдавший анкету, или разработчик сайта — они тоже могут быть не в курсе происходящего. Назначение собранных сведений известно (и то, если известно) только их руководителям. Бывает, что и им это неизвестно, т. е. сведения собираются «про запас».
Парадокс ситуации заключается в том, что выуживание личных сведений, а не только объективно необходимых, на самом-то деле не выгодно НИКОМУ. Многие клиенты отказываются от получения дисконтных или накопительных карт именно по причине необходимости заполнения длиннющей анкеты с сомнительными вопросами. И это вполне логично, поскольку клиенты «подписывались» на поход в магазин за покупками, а не на конкурс по пра-

37
N96(18)2008
вописанию или изложению своей биографии. Что же касается электронного сбора данных, то по этому поводу весьма емко выразился консультант по юзабилити-тести-рованию и дизайну интерфейсов Стив Круг в своей книге «Веб-дизайн, или Не заставляйте меня думать!». Вот фрагмент из этой книги:
«Любой, кто имеет дело с Интернетом, сталкивался с этим много раз. Допустим, вы хотите подписаться на бюллетень (или запрашиваете бесплатный образец товара, или регистрируете продукт, или создаете учетную запись). В общем, вступаете с кем-то в такие отношения, когда сначала вы должны сообщить данные о себе, чтобы потом получить что-то взамен.
Вы нажимаете кнопку & quot-Subscribe"- (& quot-Подписаться"-), и появляется форма. Она длиннее, чем вы ожидали, и вы быстро обнаруживаете почему. Без особых уважительных причин вас просят указать ваш электронный адрес. И номер вашего телефона. И род занятий. Простое дело неожиданно превратилось в целый проект.
У профессионалов в области юзабилити для этого есть специальный термин. Именно это мы называем «чрезвычайно неудачной идеей».
Понятно, что попытка получить столько персональных данных, сколько представится возможным, заманчива (особенно если учесть количество способов приме-.о нения этих данных). Но дело в том, что § пользователи, заполняющие в Интернете | любую форму, всегда задают себе вопрос: Ц & quot-А зачем они спрашивают меня об этом? & lt-3 Необходимо ли им знать это, чтобы дать мне то, что прошу?& quot- Если же ответ на эти I вопросы отрицательный, то возникает сле-§ дующий вопрос: & quot-Для чего им надо это J знать?& quot-
¦Ц В большинстве случаев для этого можно ss придумать всего два объяснения: либо а) вы настолько плохо представляете себе Ин-
38 у
тернет, что просто не знаете, что пользователи находят такой интерес оскорбительным, либо б) вы все знаете, но персональные данные нужны вам (для какой-то другой цели) так сильно, что вы готовы оскорбить пользователей, лишь бы заполучить эти данные.
Получается, что, запрашивая избыточную информацию, вы готовы к трем весьма неприятным последствиям:
• Скорее всего, вы не получите реальных данных. Как только люди поймут, что вы просите больше, чем вам необходимо, они начнут с чистой совестью сообщать вам ложные данные. Я часто говорю своим клиентам, что электронные адреса действуют на людей, занимающихся продажами, подобно героину. Электронные адреса вызывают такое привыкание, что если 10% подписчиков указывают & quot-Barney Rubble& quot- в поле & quot-Имя"-, то торговцы этому не удивляются.
• Вы получаете меньше заполненных форм. Зависимость простая: чем меньше данных вы запрашиваете, тем больше форм вернутся к вам заполненными. Обычно люди, странствующие по Всемирной паутине, очень торопятся, и если им кажется, что форма немного длиннее, чем они ожидали, то они просто не тратят на нее время.
• Мнение других людей о вас ухудшится. Те, кому ваш бюллетень и вправду нужен, прыгнут через все обручи, сколько бы их ни было, чтобы получить его. Но не сомневайтесь, что пока они будут прыгать, их мнение о вас ухудшится. А вот если бы вы спросили их только о том, что вам действительно необходимо, то установили бы с ними контакт и в ходе переписки узнали бы о них больше» [8].
Если все же, несмотря ни на что, кто-то считает, что все выданные сведения надежно хранятся и используются исключительно в неких благих целях, ему стоит ознакомиться с сообщением, озвученным
№& gt-6(18)2008
РИА «РосБизнесКонсалтинг» от 2 ноября 2008 года:
«На этот раз рядом с одним из пабов в графстве Стаффордшир была обнаружена флэш-карта с именами и паролями для важнейшей правительственной компьютерной системы. Британские власти начали расследование в связи с находкой, передает Би-би-си. [… ]
Портал Gateway обеспечивает британцам защищенный доступ к множеству услуг, в числе которых — возможность ознакомиться со своими налоговыми декларациями, пенсионными начислениями и пособиями на детей. При этом, по данным СМИ, при помощи флэш-карты нашедший ее получал доступ к личным данным 12 млн человек, зарегистрированных на сайте» [13].
Конечно, флэшка была оставлена на автостоянке около паба случайно — трудно предположить, что по злому умыслу ее выкинули, еще сложнее предположить, что она туда попала в соответствии с процедурами обеспечения информационной безопасности. Однако это не меняет сути дела, и встает другой вопрос: а каким образом данные 12 млн человек ПОПАЛИ на эту флэшку и с какой целью? СМИ не обратили на это внимание, назвав «потерей» то, чему на самом деле предшествовала «кража». Автор не знаком с политикой информационной безопасности компании Atos Origin (хозяев флэш-карты), но на 100% уверен, что она не предусматривает хранения или транспортировки подобного рода информации на подобного рода носи-теле1.
Все это достаточно серьезно и наверняка с некоторыми поправками неуникально.
Важно, что никакие технические средства Л не способны уберечь от указанных не- g приятностей или неверного потенциально опасного поведения (кроме случая в пунк- ^ те 2). На это способны только знания или В осведомленность в области информационной безопасности (security awareness) и здравый смысл.
Глубина поражения
Одна из основных причин возникновения проблем, связанных с «беззащитностью» информации, заключается в том, что многочисленные угрозы слишком легко не замечать. К примеру, если вы управляете самолетом и при этом здоровы ментально и физически, вам довольно сложно отвлечься настолько, чтобы забыть, что вы за штурвалом. Кроме того, вы заранее знаете, что будет, ЕСЛИ.
В то же время можно совершенно спокойно без всякой задней мысли каждый день носить в дамской сумочке CD-диск с внутренней информацией компании и спохватиться лишь через несколько дней после его пропажи. Другие незамысловатые случаи включают ввод данных о своей банковской карте на сомнительные сайты (а иногда и вполне благонадежные «с виду») или с сомнительных компьютеров («а вдруг повезет — и все будет честно!»). Также практикуется использование одного и того же пароля (или 2−3 паролей на все случаи жизни, «чтобы не забыть»), например, для почтового ящика и входа в интернет-банк. В таких случаях раскаяние наступает post factum, когда носители потеряны или деньги испарились. Осознание проблемы также запаздывает — только когда неприятность или катастрофа уже произошли, возникает вопрос: «Что же делать?» Ра-
1 При работе с правами пользователей корпоративных информационных систем (например, на базе SAP R/3) администраторам настоятельно рекомендуется следовать принципу «минимальных полномочий», т. е. пользователь должен иметь возможность делать только то, что ему необходимо в силу его служебных обязанностей. Было бы очень неплохо, если бы пользователи Интернета стремились и имели возможность следовать «принципу минимальной информации», выдавая лишь то, что действительно необходимо для совершения нужной операции.

N96(18)2008
u о
iE
Э s
to S? Ms
?5
IE
0
1
IT
зительное отличие от случая с самолетом, не правда ли?2
Поведение человека в обращении с собственной или вверенной ему информацией со стороны иногда напоминает подкидывание монетки: была не была — оставлю свой e-mail или номер своей кредитки на этом сайте- позвоню по этому номеру, раз уж так просят (кто бы там ни был) — сообщу пароль по телефону, «видимо, это очень нужно звонящему» (и, поверьте, наверняка ему это, действительно, нужно) и т. д. Однако каждый потенциально опасный акт в обращении с информацией — это не очередное испытание Бернулли, как не является таковым попытка перебежать Кутузовский проспект в Москве при отсутствии пробок. Монетка теоретически может и миллион раз упасть орлом вверх. Но каждый небрежный поступок в обращении с информацией — это, скорее, очередной апельсин для аллергика на него: болезнь может не проявляться годами, но каждый цитрусовый плод на шаг приближает пациента к обострению, и однажды ему обязательно станет нехорошо — по-другому просто не может быть!
Все это — следствие неосведомленности или игнорирования потенциальных угроз, частично связанное с природой информации, с ее неосязаемостью, а частично с природой самого человека («пока гром не грянет… «). Вероятно, в процессе эволюции эта проблема решится. Научились же люди обращать внимание на то, кто заходит с ними в подъезд поздно ночью, и обзавелись же они средствами индивидуальной защиты. Вероятно, рано или поздно, мы научимся обороняться от информационных атак точно так же, как от физических. Мысль о защите данных глубоко укоренится в подсознании. Жал-
ко только, что до той поры пострадает много людей. Пока человеческий фактор часто играет против самого человека и его данных.
Перефразируя В. Маяковского — «Деточка, все мы немножко лошади, каждый из нас по-своему лошадь» [9], — можно заметить, что «все мы чего-то не понимаем, но каждый из нас не понимает по-своему». В смысле защиты данных можно выделить 5 категорий непонимающих:
• «наивные» -лица, которые слышали о компьютерных вирусах, но больше ни о чем не знают. Восклицание «Вирусы!» можно услышать от них при возникновении любых проблем с любой техникой — от сервера до ксерокса. О том, что такое информационная безопасность системы, они, возможно, знают, но не понимают значение этого термина-
• «игнорирующие» — пользователи, которые информированы об опасностях цифрового мира в разной степени, но в целом довольно широко (глубина — это другой вопрос). Однако по тем или иным причинам они не уделяют должного внимания тому, что делают, и далеко не всегда задумываются над верностью или безопасностью того или иного решения (открывать или не открывать ссылку в письме, например), касающегося защиты данных. Отличие их от первой категории в том, что «наивные» субъекты НИКОГДА над такими вопросами не задумываются из-за отсутствия достаточных сведений для обоснованного принятия решений. Причины же недостаточной бдительности «игнорирующих» — от расчета на «авось» до полной индифферентности-
• «недопонятые» — 1Т-специалисты, точнее — некоторые 1Т-специалисты. Во-
Еще одно отличие заключается в том, что последствия утраты, искажения или несанкционированного доступа к информации могут носить отложенный характер, так что всегда остается надежда: «А вдруг ничего и не произойдет»? По этой причине иногда меры по ликвидации последствий информационной катастрофы не принимаются («они же еще не произошли»), а сам факт происшествия может скрываться (например, в случае раскрытия информации компании).
40

№& gt-6(18)2008
первых, мы тоже люди и тоже ошибаемся, а во-вторых, не каждый специалист по информационным технологиям является специалистом в области информационной же безопасности. В мире 1 Т множество областей и специализаций, как в любой другой отрасли. Довольно часто при возникновении какой-либо проблемы с компьютером (или даже телефоном) независимо от ее природы с рабочего места или из коридора прямо на ходу выхватывается первый же попавшийся «компьютерщик» из технического отдела с расчетом, что он эту проблему решит3. Но, увы (или, наоборот, к счастью), мы далеко не всегда взаимозаменяемы. Например, специализация автора менялась со временем от программирования интерактивной компьютерной графики к симуляционному моделированию и, далее, к теории и практике человеко-машинного взаимодействия. Требовать от автора обеспечения информационной безопасности целой компании (не говоря уже о том, что защита информации предусматривает не только технические аспекты) равносильно требованию к окулисту провести операцию на легком на том основании, что «он тоже врач».
Иногда специалисты сами себя переоценивают на предмет знаний и опыта в той или иной области. В этом случае они уже «самоуверенные», т. е. в данном случае это «недопонимание», обращенное изнутри их самих на самих же себя. Обучаясь на втором курсе института, автор данной работы вычислил наличие вируса ОпеИаН на своем домашнем компьютере по изменившемуся на долю секунды звуку работы жесткого диска при загрузке, чем вызвал удивление и снискал уважение сокурсников. Однако было ли это уважение обусловлено объективными причинами? То, что проблема обнаружилась, не явилось автоматически средством от нее — средством явился антивирус.
Более того, если бы этот антивирус был ус- Л тановлен заранее, то проблемы бы вообще § не возникло.
Еще один аспект, связанный с непони- ^ манием ролей 1Т-профиля, — то, что наличие «компьютерщиков» как-то успокаивает или, скорее, усыпляет бдительность. Это все равно что иметь в записной книжке телефон своего друга — «компьютерного гения», который может исправить ВСЕ. Так вот, ВСЕ исправить нельзя в принципе — в этом 1 Т не отличаются от остальных аспектов жизни-
• «зашоренные» — руководители, которые очень заняты и не имеют времени на то, чтобы обсудить вопросы, связанные с защитой информации, принять решение об использовании технических средств или об организации тренингов для сотрудников. Они часто не понимают, что и в каком объеме теряют (во всех смыслах) или могут потерять. «Зашоренными» могут быть «наивные», «игнорирующие» или «недопонятые» субъекты, чья зона ответственности распространяется на весь департамент, отдел или компанию. При этом в смысле своего компьютера они могут быть вполне компетентными и бдительными, просто руководящая деятельность вызывает необходимость принятия более широкого круга решений, чем индивидуальная. Признаком «зашо-ренности» руководства могут быть следующие происшествия и ситуации (примеры реальны):
? ежедневное заполнение ящиков электронной почты 1500 сотрудников компании спам-письмами в количестве от 5 до 60 на каждый ящик (после того как база данных с этими адресами «утекла» с одного из серверов в неизвестном направлении), и полное отсутствие реакции на это со стороны как начальника техниче-
3 Такое характерно для средних компаний, поскольку в маленьких нет технических отделов, а в крупных более жестко регулируются зоны ответственности отдельных сотрудников (посредством должностных инструкций, например).

41
N96(18)2008
ского отдела, так и руководителя компании-
? постоянные жалобы внешних пользователей на «завирусованность» страниц сайта компании и отказ сотрудников технического отдела применять какие-либо меры («никто не знает, сколько вообще страниц на всех наших сайтах и сколько времени это все займет») —
? размещение конфиденциальных договоров всех сотрудников в корпоративной сети с доступом для чтения для всех пользователей… с суммами. Материал для чтения может получиться весьма интересным. Недооцененные в плане заработной платы сотрудники могут узнать много нового, причем после прочтения и обсуждения размещенной информации с коллегами к недооцененным себя будет относить втрое больше сотрудников, чем до этого-
• «коварные» — это злоумышленники, те, кто намеренно стремится испортить пользователю жизнь, улучшить ее себе или и то, и другое. Эти люди крадут пароли, номера банковских карт, создают вирусы, поддельные сайты и прочее, и прочее.
Заметим, что следствие деятельности первых четырех групп функционеров не ограничивается неприятностями для них самих — из-за оплошности одного человека под угрозой может оказаться безопасность .о всей корпоративной сети. § Последняя категория не вполне гармо-| нирует с остальными, поскольку «ковар-Ц ные», занося свои «электронные мечи», & lt-3 прекрасно понимают, зачем они это делают «к (не всегда, правда, понимая, чем это грозит | в административном и уголовном смысле). § Однако упомянуть о них стоило, во-первых, чтобы был полный список жертв и источни-¦Ц ков информационных угроз, а во-вторых, 5а чтобы подчеркнуть, что они представляют
собой всего лишь ОДИН из таких источни-
ков. Все остальные источники — следствие собственной неграмотности или отсутствия бдительности.
Второй фронт
В данном разделе будут представлены некоторые соображения по поводу того, как улучшить сложившуюся ситуацию. Итак, были отмечены три важных факта:
1) в настоящее время информационная безопасность касается каждого и является каждодневной составляющей жизни каждого, а не только IT-специалистов-
2) наибольшая часть проблем в области информационной безопасности возникает на пересечении человеческой природы и природы информации, а не по злому умыслу или техническому сбою-
3) базовые знания в области мер по защите информации (т.е. фактически по защите себя) необходимы любому представителю homo sapiens.
Не нужно быть «семи пядей во лбу», чтобы заключить: одним из важнейших средств борьбы с неприятностями в области информационной безопасности должно стать информирование пользователей. Другое дело, как это информирование осуществлять.
Честно говоря, трудно представить себе плакат: «А ты не забыл карточку SD в риде-ре?» или телевизионную социальную рекламу: «Защищайте свои данные стойкими алгоритмами и надежными паролями!». Хотя, возможно, это будет лет через 5. Вероятно, настало время для телевизионного канала, целиком и полностью посвященного IT. Начать можно с малого: многие фрагменты новостей, приведенные в данной статье, своим первоисточником имеют телеканалы и такие известные газеты, как Washington Post и New York Times. Отечественным СМИ тоже стоило бы больше внимания уделять подобным новостям — это позволило бы поднять общественный интерес к тематике.
№& gt-6(18)2008
Настало время обучать основам мер по защите информации и подрастающее поколение. Как неоднократно отмечалось, с информацией приходится иметь дело каждому и повсеместно, от ее наличия/отсутствия и использования зависят благосостояние и безопасность граждан, поэтому целесообразно включить темы по защите информации в курс «Основы безопасности жизнедеятельности» (хотя возможны варианты — в этот курс и без того уже многое включено по весьма туманным причинам: патриотизм, семья и брак [10]. В понятии «информационная безопасность» есть хотя бы слово «безопасность», созвучное названию курса). Могут возникнуть возражения: дескать, предлагается «приучать» детей к компьютеру. Современные дети со временем сами научатся использовать компьютер, причем таким образом, какой иногда и вообразить трудно. Автор же предлагает дать им знания о том, как обезопасить себя в работе с компьютером. Например, в курс можно было бы включить такие темы, как «Обращение с носителями», «Выбор паролей», «Доверие в Интернете» и т. д. Младенец вполне может научиться есть сам, но вести себя культурно за столом его все-таки приучают.
В заключение стоит отметить, что тестирование (или другая форма контроля) знаний в области информационной безопасности должно стать неотъемлемой составляющей аттестации сотрудников компаний.
Указанные меры (порядок их реализации может быть и другой, но они должны быть комплексными и рабочими — на разных «фронтах») помогут значительно сократить число инцидентов, связанных с утечкой, порчей и несанкционированным доступом к информации.
Список литературы
1. Association for Computing Machinery ACM TechNews [В Интернете] // ACM (acm. org). Association for Computing Machinery. http: //technews. acm. org/
2. European Network and Information Security g Agency (ENISA) Obtaining support and funding Ц from senior management while planning an awareness initiative [В Интернете] // Программа ЮНЕСКО ^ «Информация для всех в России». http: //www. ifap. ru/library/book343. pdf
3. European Network and Information Security Agency (ENISA) Social Engineering: Exploiting the Weakest Links [В Интернете] // Программа ЮНЕСКО «Информация для всех в России». http: //www. ifap. ru/ library/book349. pdf
4. W3C: Web Security Context: User Interface Guidelines. http: //www. w3. org/TR/wsc-ui/
5. Артюхин В. В. W3C представила проект рекомендаций по созданию безопасных веб-интерфейсов. http: //www. ifap. ru/pr/2008/8 0818a. htm, 2008.
6. Артюхин В. В. Агентство ENISA выпустило «ИТ-менеджерский разговорник» [В Интернете] // Программа ЮНЕСКО «Информация для всех в России». http: //www. ifap. ru/pr/2008/8 1013a. htm
7. Информационная безопасность [В Интернете] // Википедия. Свободная энциклопедия. http: //ru. wikipedia. org/
8. Круг С. Веб-дизайн, или Не заставляйте меня думать! СПб.: Символ-Плюс, 2008.
9. Маяковский В. Хорошее отношение к лошадям // Навек любовью ранен. М.: Эксмо-Пресс, 1998.
10. Методические рекомендации по организации образовательного процесса в общеобразовательных учреждениях по курсу «Основы безопасности жизнедеятельности» за счет времени вариативной части базисного учебного плана [В Интернете] // Министерство образования и науки РФ. Законодательство с комментариями. ООО «НПП & quot-Гарант-Сервис"-«. http: //www. garant. ru/prime/20 070 719/6232673. htm
11. Митник К. Д., Саймон В. Л. Искусство обмана. М.: Компания АйТи, 2004.
12. МитникК.Д., Саймон В. Л. Искусство вторжения. М.: Компания АйТи, 2005.
13. В Великобритании в очередной раз потеряли секретные данные [В Интернете] // РИА «РосБизнесКонсалтинг». http: //top. rbc. ru/incidents/ 02/11/2008/257 853. shtml
14. ШнайерБ. Секреты и ложь. Безопасность данных в цифровом мире. СПб.: Питер, 2003.
ч 43

ПоказатьСвернуть
Заполнить форму текущей работой