WWW.DISSERS.RU

БЕСПЛАТНАЯ ЭЛЕКТРОННАЯ БИБЛИОТЕКА

   Добро пожаловать!

Pages:     | 1 | 2 || 4 |
Если для того, чтобы легально сделать что-то вполне понятное, приходится делать что-то совершенно непохожее, выходящее из ряда вон или противоречащее здравому смыслу, значит с законодательством в данной области явно что-то не в порядке, так что нынешние усилия Госдумы вполне оправданы. (13) Работа ведется, и это хорошо, но в нынешнем законодательстве еще много совершенно конкретных дыр и неопределенностей, так или иначе связанных с информационной безопасностью (персональные данные, их трансграничная передача, электронная цифровая подпись, электронные документы – вот только некоторые вопросы), так что этой работы хватит с лихвой и нынешним Думе, Совету Федераций, Президенту и следующим.

Последняя тенденция, о которой нельзя не упомянуть – это пугающее увеличение количества успешных взломов ресурсов (сайтов, хранилищ данных) крупных компаний.

От этого я пострадал лично, когда игровая служба Sony PlayStation Network (PSN) не работала месяц, а через 2 недели после ее взлома и отключения выяснилось, что мои персональные данные (до сих пор не ясно, содержали ли они и реквизиты банковской карты), возможно, отошли к злоумышленникам. Это именно тенденция, то есть я считаю, что она продолжится: отдельные пользователи действительно стали чаще устанавливать защитное ПО, смерившись с новыми реалиями, но компании – другое дело. Крупные компании инертны, неповоротливы, у них множество серверов и отделений в разных странах, большая численность персонала. Модернизация системы информационной безопасности международной корпорации, а эта система включает аппаратное, программное обеспечение, инструкции, регламенты и так далее, – это многомиллионный длительный проект. Если где-то обнаруживается брешь, с помощью которой хакеры проникают в одну из систем и крадут данные, то велика вероятность:

1) что взломанная система была не единственной, в которую можно проникнуть таким образом;

2) что компания не в состоянии оперативно изменить ситуацию;

3) взломщики оперативно воспользуются ситуацией.

Собственно, это было хорошо видно как раз на примере Sony. 19 апреля появились сообщения о взломе PlayStation Network, после чего она была отключена, но дело этим не кончилось: 25 мая распространяется информация о том, что взломан греческий сайт музыкального онлайн-сервиса Sony Music Entertainment и канадский сервиса Eshop японо-шведской компании Sony Ericsson; 3 июня группа хакеров, называющая себя “Lulz Security” (исполнитель оригинальных атак), похитила личные данные более миллиона пользователей сайта SonyPictures.com. Помимо Lulz Security свою лепту в атаки на Sony внесли и другие «коллективы». Поводом для агрессии теневого интернет-сообщества в отношении Sony формально стал судебный процесс между корпорацией и хакером Джорджем "Geohot" Хотцом, но давайте не романтизировать ситуацию и даже не размышлять о справедливости мести – компания действительно понесла многомиллионные убытки, но помимо этого в результате перечисленных взломов пострадали миллионы ни в чем не повинных людей.

Важно то, что хакеры не только «удумали» наказать Sony, но и смогли осуществить свои замыслы, причем между первой и последней атаками прошло больше месяца, и за это время корпорация ничего не могла сделать, чтобы их предотвратить. Помимо Sony целенаправленным атакам в последние месяцы подверглись многие зарубежные организации и компании, среди прочего – органы по борьбе с преступностью и фирмы, предоставляющие услуги в области информационной безопасности (то есть все их клиенты также оказались под угрозой). Я далек от того, чтобы делать заключения о глобальном заговоре, но мир, в котором мы живем, во многих аспектах сегодня самоорганизуется (действия, не запланированные в качестве элементов некоей единой стратегии одним автором, тем не менее, складываются в систему и ведут к куда большим последствиям, чем те, которые могли бы быть вызваны каждым из них в отдельности), а Интернет – идеальная среда для такой самоорганизации. И хотя Lulz Security заявила о самороспуске, она 1) не является единственной подобной группой, и 2) люди, входившие в нее и обладающие специфическими навыками и моральными принципами, никуда не делись. Вывод: это не конец истории, а лишь ее начало, и будет значительно хуже.

Существует еще несколько заметных тенденций, таких как повышение внимания компаний к инсайдерским угрозам (тому, чем сотрудники компании опасны для этой компании), сужение спектра безопасных в плане вирусов форматов файлов и т. д., но они довольно часто и подробно обсуждаются в технических и статистических отчетах, поэтому не будет останавливаться на них.

Прогнозы на прошлое В статье «Да кому нужны эти файлы» 2009 года я предлагал некоторые прогнозы по развитию глобальной ситуации с информационной безопасностью, а также рекомендации и предположения о том, что стоило бы сделать на разных уровнях для улучшения защиты отдельных пользователей и компаний. Кажется уместным рассмотреть эти заявления сегодня с точки зрения их актуальности и степени реализации в различных мероприятиях и тенденциях.

«Было бы очень неплохо, если бы пользователи Интернета стремились и имели возможность следовать «принципу минимальной информации», выдавая лишь то, что действительно необходимо для совершения нужной операции». – Этого, конечно, не произошло. С развитием социальных сетей не только разрослась угроза выбора одинаковых паролей для разных сайтов и вбивания своих ФИО и e-mail везде, где ни попадя. Сегодня ваши фотографии, друзья, увлечения, ссылки на любимые сайты, книги, фильмы и прочее – все это находится в сети. Собственно, владельцы этих сетей нас к этому подталкивают, а мы рады стараться: создаем виртуальные представительства, формируем электронные аналоги своих личностей (уже довольно давно существует термин i-identity, означающий совокупность информации в сети, описывающей лично вас).

Сетевая преступность тоже широко шагнула вперед: если раньше злоумышленников интересовали в основном данные аутентификации и информация, так или иначе касающаяся финансов, то сегодня интерес в качестве потенциального товара или инструмента для совершения будущих злодеяний представляет любая информация о вас, то есть абсолютно все, чем вы делитесь на просторах Интернета. Единственные люди, которые, похоже, постоянно борются за приватность – это производители браузеров и создатели разнообразных рекомендаций/стандартов W3C, но браузеров – десятки, стандартов – сотни, а сайтов, пытающихся обойти предупреждения браузеров и не следующих никаким стандартам по приватности, – миллионы.

«Научились же люди обращать внимание на то, кто заходит с ними в подъезд поздно ночью, и обзавелись же они средствами индивидуальной защиты. Вероятно, рано или поздно мы поголовно научимся обороняться от информационных атак точно так же, как от физических. Мысль о защите данных глубоко осядет у нас в подсознании». – Раньше я в это совершенно искренне верил. Сейчас совершенно откровенно сомневаюсь:

привыкнем к существующим атакам – появятся новые.

«… наибольшая часть проблем в области ИБ возникает на пересечении человеческой природы и природы информации, а не по злому умыслу или в результате технического сбоя (проще говоря, мы сами во всем виноваты)». – Это остается правдой, мы не привыкли беречь информацию. Каждый человек знает, что у него есть определенные физические габариты, свойства организма, некие ценные материальные предметы, и старается «вписываться» в повороты, не делать чего-то крайне опасного для тела (большую часть времени, экстремальный спорт не в счет) и держать сумку с документами, деньгами и ключами покрепче, когда путешествует по городу. Однако, если спросить человека, уверен ли он, что никто не знает его пароль к тому или иному сайту, что он не записал его в потерянном ежедневнике, далеко не каждый сможет ответить.

Боже мой, да пароли записываются именно потому, что человек не хочет их запоминать.

Не осведомлен человек о своих «информационных габаритах», а отталкиваться в части этих габаритов следует все же от того, чем какое-либо событие (взлом, заражение компьютера, потеря носителя и т. д.) может ему грозить, а не от того, что в принципе может случиться. Можно ведь защищаться по-разному (продолжая аналогию): оборонять ценности, которые носишь или не носить на себе особо ценного.

Именно стык природы человека и цифровой информации, а также их различия являются причиной тому, что некоторым вещам пользователей обучать бесполезно. «Не используйте одинаковых паролей», «выбирайте сложные пароли», «не записывайте пароли на бумаге», «никому не сообщайте данные вашей учетной записи» – это все отличные лозунги, но, давайте смотреть правде в глаза, они редко находят отклик в сердцах тех, к кому обращены.

«Честно говоря, я достаточно плохо представляю себе плакат с заголовком вроде «А ты не забыл карточку SD в ридере» или телевизионную социальную рекламу с текстом «Защищайте свои данные стойкими алгоритмами и надежными паролями!»…» – И сегодня я себе это представляю с трудом, зато вполне способен вообразить Москву, завешенную на каждом шагу растяжками и биллбордами на зданиях и придорожными стендах с рекламой Лаборатории Касперского и Dr. Web с приписками, наподобие «Национальные антивирусные средства». Странно, что этого еще не случилось.

«Я, вообще, считаю, что настало время для телевизионного канала, целиком и полностью посвященного ИТ…» – Со 2 апреля 2011 года регулярно вещает телеканал «Наука 2.0», и, хотя тематика его несравненно шире, чем та, что я предлагал, все равно это большой шаг вперед.

«Вообще, настало время обучать основам мер по защите информации и подрастающее поколение». – Это по-прежнему верно и не только в отношении молодежи, хотя момент для всероссийской массовой компании, по-моему, безвозвратно упущен. Пугать и обучать всех подряд, внушать чувство ответственности за цифровую информацию нужно было в тот период, когда политическая машина и машина СМИ набрали полную скорость и наперегонки помчались через словарь ИТ-терминов. Как только стало модно говорить об ИТ, вот тот самый момент и был крайне благоприятным для массовых акций «в защиту информации». Самым же лучшим периодом для этого были 90-е годы, время повсеместной информатизации, когда знания в области информационной безопасности следовало «заливать» в качестве неотъемлемой части любого и каждого курса, связанного с работой на компьютере. Но тогда об этом никто не подумал, точно так же, как 80-х годах создатели протокола SMTP (от англ. Simple Mail Transfer Protocol – простой протокол передачи почты, по которому и сегодня в Интернете передается большинство писем) не подумали о необходимости аутентификации – из-за этого у нас столько спама.

Это не значит, что сейчас ничего не стоит делать. Мы многое делаем в рамках МОО «Информация для всех», что-то делаем в рамках Центра анализа рисков и экспертизы безопасности, я регулярно анализирую новые документы, рассказываю об «одноразовой» почте, «анонимайзерах», бесплатных сервисах проверки компьютера на наличие вредоносного ПО, программах для хранения базы паролей, контрольных списках ресурсов, к которым нужно поменять пароли в случае, если есть подозрение, что действующие скомпрометированы (я называю это «Протокол Омега») и так далее.

Публично, кулуарно, в рабочем порядке такая работа ведется (и, конечно, я не один ее веду), просто она могла бы иметь куда больший эффект.

«Наконец, замыкая круг, тестирование (или другая форма контроля знаний в области ИБ должно стать неотъемлемой частью аттестации сотрудников компаний». – Лично мне такое не встречалось и по сей день. Инструктаж, «welcome training», регламенты, политика безопасности – все это имеет место, как правило, но вот получения от сотрудников некоей «обратной связи», например, в рамках аттестации, мне видеть не доводилось.

Пределы роста О «пользовательском непонимании» сути происходящего, то есть процессов, касающихся информационной безопасности, к которому я каждый раз упрямо возвращаюсь, нужно сказать еще кое-что.

На мой взгляд, для того, чтобы человек хорошо чувствовал свои «информационные габариты» и выбирал для себя поведение, вписывающееся в некий гипотетический безопасный коридор, нужно, чтобы этот коридор был прямым или имел минимальное количество поворотов в заранее известных местах, а также, чтобы ширина этого коридора оставалась постоянной. Иными словами, человек может в значительной степени самостоятельно обеспечивать свою информационную безопасность или контролировать ее уровень, только если само понятие информационной безопасности перманентно и неизменно, хоть насколько-нибудь. Именно этого-то и не наблюдается… Нельзя обозреть ни глазами, ни разумом некое целое, если его границы постоянно расширяются.

Что приходило на ум людям лет 15 – 20 назад, когда речь заходила о защите информации (если вообще что-то приходило) По-моему, это были такие слова: «вирус», «битая дискета», «государственная тайна», «алгоритм шифрования», «Хакеры» (имеется в виду культовый кинотриллер 1995 года про хакеров, снятый в стиле киберпанк, одну из главных ролей в котором исполнила небезызвестная Анджелина Джоли). Я, конечно, имею в виду отечественные мысли – что в те годы было в головах у иностранцев, я не знаю. Сообщения в российских СМИ, касающиеся нашего вопроса, были редкими и касались, в основном, инцидентов за рубежом.

Но вот, не проходит и 10-ти лет, уже широко распространены банковские карты, и гражданам необходимо запоминать «пин-коды». Появились профильные журналы, газеты и сайты, посвященные вопросам защиты информации (что само по себе говорит о разрастании и актуальности проблематики). Банки ринулись в Интернет – вдобавок к паролям от FTP и BBS (англ. Bulletin Board System – электронная доска объявлений), которые пользователям нужно помнить или записывать, появились пароли для сайтов, обеспечивающих управление банковскими счетами, от сохранности и надежности которых зависит уже не только безопасность неких цифровых файлов, но и финансовое благополучие. Активно обсуждаются вопросы пиратского контента и приватности пользователей в Интернете. Инциденты случаются все чаще и не только за рубежом.

Pages:     | 1 | 2 || 4 |



© 2011 www.dissers.ru - «Бесплатная электронная библиотека»

Материалы этого сайта размещены для ознакомления, все права принадлежат их авторам.
Если Вы не согласны с тем, что Ваш материал размещён на этом сайте, пожалуйста, напишите нам, мы в течении 1-2 рабочих дней удалим его.