3 Да кому нужны эти файлы! Артюхин Валерий Викторович системный аналитик центра MIIT-Expert, научный редактор журнала Прикладная информатика, член Экспертного совета МОО ВПП ЮНЕСКО Информация для всех - Ты знаешь, как система

Книги по разным темам Pages: | 1 | 2 | 3 | 4 |

Х Скорее всего, вы не получите реальных данных. Как только люди поймут, что вы просите больше, чем вам необходимо, они начнут с чистой совестью сообщать вам ложные данные. Я часто говорю своим клиентам, что электронные адреса действуют на людей, занимающихся продажами, подобно героину. Электронные адреса вызывают такое привыкание, что если 10% подписчиков указывают Barney Rubble в поле Имя, то торговцы этому не удивляются.

Х Вы получаете меньше заполненных форм. Зависимость простая: чем меньше данных вы запрашиваете, тем больше форм вернутся к вам заполненными.

Обычно люди, странствующие по всемирной паутине, очень торопятся, и если им кажется, что форма немного длиннее, чем они ожидали, то они просто не тратят на нее время.

Х Мнение других людей о вас ухудшится. Те, кому ваш бюллетень и вправду нужен, прыгнут через все обручи, сколько бы их ни было, чтобы получить его. Но не сомневайтесь, что пока они будут прыгать, их мнение о вас ухудшится. А вот если бы вы спросили их только о том, что вам действительно необходимо, то установили бы с ними контакт и в ходе переписки узнали бы о них больше. [7] Тем же кто, не смотря ни на что, считает, что все выданные сведения надежно хранятся и используются исключительно в неких благих целях, стоит обратить внимание на новость, озвученную РИА РосБизнесКонсалтинг 2 ноября сего года (то есть ВЧЕРА):

На этот раз рядом с одним из пабов в графстве Стаффордшир была обнаружена флэш-карта с именами и паролями для важнейшей правительственной компьютерной системы. Британские власти начали расследование в связи с находкой, передает Би-би-си. [Е] Портал Gateway обеспечивает британцам защищенный доступ к множеству всевозможных услуг, в числе которых - возможность ознакомиться со своими налоговыми декларациями, пенсионными начислениями и пособиями на детей. При этом, по данным СМИ, флэш-карта могла дать нашедшему доступ к личным данным 12 млн. человек, зарегистрированных на сайте. [10] Конечно, флэшка была оставлена на автостоянке около паба случайно - трудно предположить, что выкинуть ее было злым умыслом, еще сложнее предположить, что она туда попала в соответствии с процедурами обеспечения информационной безопасности. Однако это не меняет сути дела и поднимает другой вопрос: а каким образом данные 12 млн. человек ПОПАЛИ на эту флэшку и с какой целью СМИ не обратило на это внимание, назвав потерей то, чему на самом деле предшествовала кража. Я не знаком с политикой информационной безопасности компании Atos Origin (хозяев флэш-карты), но на 100% уверен, что она не предусматривает хранения или транспортировки подобного рода информации на подобного рода носителе. Согласитесь, все это достаточно серьезно, и, наверняка, с некоторыми поправками не уникально для моей персоны. Также обратите внимание на тот важный факт, что никакие технические средства не способны были бы уберечь меня от перечисленных неприятностей или неверного потенциально опасного поведения (кроме случая в пункте 2). На это способны только знания или осведомленность в области информационной безопасности (англ. security awareness) и здравый смысл.

При работе с правами пользователей корпоративных информационных систем (например, на базе SAP R/3) администраторам настоятельно рекомендуется следовать принципу минимальных полномочий, то есть пользователь должен иметь возможность делать только то, что ему необходимо в силу его служебных обязанностей. Было бы очень неплохо, если бы пользователи Интернета стремились и имели возможность следовать принципу минимальной информации, выдавая лишь то, что действительно необходимо для совершения нужной операции.

Глубина поражения Одна из основных причин возникновения проблем, связанных с беззащитностью информации, заключается в том, что многочисленные угрозы слишком легко не замечать. К примеру, если вы управляете самолетом и при этом здоровы ментально и физически, вам довольно сложно отвлечься настолько, чтобы забыть, что вы за штурвалом. Кроме того, вы заранее знаете, что будет, ЕСЛИЕ С другой стороны можно совершенно спокойно безо всякой задней мысли день изо дня носить в дамской сумочке CD-диск с внутренней информацией компании и спохватиться лишь через несколько дней после его пропажи, да и то лишь потому, что давненько я его не видела. Другие незамысловатые случаи включают ввод данных о своей банковской карте на сомнительного вида сайтах (а иногда и вполне благонадежных с виду) или с сомнительного вида компьютеров (ла вдруг повезет и все будет честно!). Также в ходу использование одного и того же пароля (или 2-ух - 3-ех паролей на все случаи жизни, чтобы не забыть), например, для почтового ящика и входа в Интернет-банк. В таких случаях раскаяние наступает post factum, когда носители потеряны или деньги испарились.

Осознание проблемы также запаздывает - только когда неприятность или катастрофа уже произошли, возникает вопрос: Что же теперь Разительное отличие от самолетного случая, не правда ли Поведение человека в обращении с его собственной или вверенной ему информацией со стороны иногда напоминает подкидывание монетки: была, не была - оставлю свой e-mail или номер своей кредитки на этом сайте; позвоню по этому номеру, раз уж так просят (кто бы там ни был); сообщу пароль по телефону, видимо, это очень нужно звонящему (и, поверьте, наверняка ему это действительно нужно) и так далее. Однако, каждый потенциально опасный акт в обращении с информацией - это не очередное испытание Бернулли, как не является таким испытанием попытка перебежать Кутузовский проспект в Москве при отсутствии пробок. Монетка теоретически может и миллион раз упасть орлом к небу. Но каждый небрежный поступок в обращении с информацией - это скорее очередной апельсин для аллергика на апельсины: болезнь может не проявляться годами, но каждый цитрусовый плод на шаг приближает пациента к обострению, и однажды ему обязательно станет нехорошо - по-другому просто не может быть! Все это - следствие неосведомленности или игнорирования потенциальных угроз, частично связанное с природой информации, с ее неосязаемостью, а частично с природой самого человека: пока гром не грянетЕ и так далее. Полагаю, что в процессе эволюции эта проблема решится. Научились же люди обращать внимание на то, кто заходит с ними в подъезд поздно ночью, и обзавелись же они средствами индивидуальной защиты. Вероятно, рано или поздно, мы поголовно научимся обороняться от информационных атак точно также, как от физических. Мысль о защите данных глубоко осядет у нас в подсознании.

Жалко только, что до той поры пострадает множество людей. Пока человеческий фактор часто играет против самого человека и его данных.

Еще одно отличие в том, что последствия утраты, искажения или несанкционированного доступа к информации могут носить отложенный характер, так что всегда остается надежда: А вдруг ничего и не произойдет По этой причине иногда меры по ликвидации последствий информационной катастрофы не принимаются (лони же еще не произошли), а сам факт происшествия может скрываться (например, в случае информации компании).

Перефразируя В.Маяковского (Деточка, все мы немножко лошади, каждый из нас по-своему лошадь [8]) можно заметить, что все мы чего-то не понимаем, но каждый из нас не понимает по-своему. В смысле защиты данных можно навскидку выделить 5 категорий непонимающих (я буду несколько утрировать):

Х Наивные - это лица, которые, слышали о компьютерных вирусахЕ и больше ни о чем. Именно это восклицание (Вирусы!) можно услышать от них при возникновении любых проблем с любой техникой от сервера до ксерокса. О том, что такое информационная безопасность системы, они, возможно, знают, но не знают, что этот термин означает.

Х Игнорирующие - это пользователи, которые информированы об опасностях цифрового мира в разной степени, но в целом довольно широко (глубина - это другой вопрос). Однако по тем или иным причинам они не уделяют должного внимания тому, что делают, и далеко не всегда задумываются над верностью или безопасностью того или иного решения (открывать или не открывать ссылку в письме, например), касающегося защиты данных. Отличие их от первой категории в том, что наивные субъекты НИКОГДА над такими вопросами не задумываются, по причине отсутствия достаточных сведений для обоснованного принятия решений. Причины же недостаточной бдительности лигнорирующих могут простираться от расчета на авось до полного наплевательства.

Х Недопонятые - это IT-специалисты, точнее - некоторые IT-специалисты. Вопервых, как уже отмечалось ранее, мы тоже люди и тоже ошибаемся, а, во-вторых, не каждый специалист по информационным технологиям является специалистом в области информационной же безопасности. В мире IT множество областей и специализаций, как в любой другой отрасли. Довольно часто при возникновении какой-либо проблемы с компьютером (или даже телефоном) вне зависимости от ее природы с рабочего места или из коридора прямо на ходу выхватывается первый же попавшийся компьютерщик их технического отдела, и ожидается, что он эту проблему решит.17 Но, увы и ах (или, наоборот - к счастью) - мы далеко не всегда взаимозаменяемы. Например, моя специализация менялась со временем от программирования интерактивной компьютерной графики к симуляционному моделированию и, далее, к теории и практике человеко-машинного взаимодействия.

Установить беззащитному пользователю антивирусное средство я, положим, могу.

Могу даже порекомендовать конкретные продукты. Но требовать от меня обеспечения информационной безопасности целой компании (не говоря уже о том, что защита информации предусматривает не только технические аспекты) равносильно требованию к окулисту провести операцию на легком на том основании, что лон тоже врач.

Х Иногда специалисты сами себя переоценивают на предмет знаний и опыта в той или иной области. В этом случае они уже самоуверенные, то есть в данном случае это недопонимание, обращенной изнутри их самих на самих же себя. Помнится, как на Такое характерно для средних компаний, поскольку в маленьких нет технических отделов, а в крупных более жестко регулируются зоны ответственности отдельных сотрудников, посредством должностных инструкций, например.

втором курсе института я вычислил наличие вируса Onehalf18 на своем домашнем компьютере по изменившемуся на долю секунды звуку работы жесткого диска при загрузке. Долго хвастался, и некоторые сокурсники меня уважали, а за что, собственно То, что я обнаружил проблему, не явилось автоматически средством от нее - средством явился антивирус. Более того, если бы этот антивирус был установлен заранее, то проблемы бы вообще не возникло.

Х Еще одним аспектом, связанным с непониманием ролей IT профиля, является то, что наличие компьютерщиков поблизости как-то успокаивает или, скорее, усыпляет бдительность. Это все равно, что иметь в запиской книжке телефон своего друга - компьютерного гения, который может исправить ВСЕ. Так вот ВСЕ исправить нельзя в принципе - в этом IT не отличаются от остальных аспектов жизни.

Х Зашоренные - это руководители, которые сильно заняты и не имеют времени на то, чтобы обсудить вопросы, связанные с защитой информации, принять решение об использовании технических средств или об организации тренингов для сотрудников.

Они часто не понимают, что и в каком объеме теряют (во всех смыслах) или могут потерять. Зашоренными могут быть наивные, лигнорирующие или недопонятые субъекты, чья зона ответственности распространяется на весь департамент, отдел или компанию. При этом в смысле своего собственного компьютера они могут быть вполне компетентны и бдительны, просто руководящая деятельность вызывает необходимость принятия более широкого круга решений, чем индивидуальная. Признаком зашоренности руководства могут быть следующие происшествия и ситуации (примеры реальны):

Х Ежедневное заполнение ящиков электронной почты 1500 сотрудников компании спам-письмами в количестве от 5 до 60 на каждый ящик (после того как база данных с этими адресами лутекла с одного из серверов в неизвестном направлении), и полное отсутствие реакции на это как со стороны начальника технического отдела, так и руководителя компании.

Х Постоянные жалобы внешних пользователей на завирусованность страниц сайта компании и отказ от применения каких-либо мер сотрудниками технического отдела на том основании, что да, Бог знает, сколько вообще страниц на всех наших сайтах и сколько времени это все займет.

Х Размещение конфиденциальных договоров всех сотрудников в корпоративной сети с доступом на чтение для всех пользователейЕ с суммами. Чтиво было весьма интересным. Недооцененные в плане заработной платы сотрудники узнали много нового, причем после прочтения и обсуждения размещенной информации с коллегами к недооцененным себя стало относить втрое больше сотрудников, чем до этого.

Х Коварные - это злоумышленники. Те, кто намеренно стремится испортить вам жизнь, улучшить ее себе или и то, и другое. Эти люди крадут ваши пароли, номера банковских карт, создают для вас вирусы, поддельные сайты и прочее, и прочее.

Заметим, что следствия деятельности первых четырех групп функционеров не ограничиваются неприятностями для них самих - из-за оплошности одного человека под Резидентный файлово-загрузочный полиморфный вирус (точнее их семейство), работавший под DOS.

Вообще, вирусов много, и их названия запоминаются редко. Однако Onehalf лет так 8 назад был широко распространен и еще более широко известен.

угрозой может оказаться безопасность всей корпоративной сети (или вашего любимого форума).

Последняя категория не вполне гармонирует с остальными, поскольку коварные, занося свои лэлектронные мечи прекрасно понимают, зачем и почему они это делают (не всегда, правда, понимают, чем им это грозит в административном и уголовном смысле).

Однако упомянуть о них стоило, во-первых, чтобы получился более полный список жертв и источников информационной угроз, а, во-вторых, чтобы подчеркнуть, что они представляют собой всего лишь ОДИН из таких источников. Все остальные источники - следствие собственной неграмотности или отсутствия бдительности.

Второй фронт В этом последнем разделе я предлагаю рассмотреть некоторые соображения по поводу того, как улучшить текущую ситуацию. Искренне надеюсь, что мне удалось проиллюстрировать 3 важных факта:

1. В настоящее время информационная безопасность касается каждого и является каждодневной составляющей жизни каждого, а не только IT-специалистов.

2. Наибольшая часть проблем в области информационной безопасности возникает на пересечении человеческой природы и природы информации, а не по злому умыслу или техническому сбою (проще говоря, мы сами во всем виноваты).

Pages: | 1 | 2 | 3 | 4 |

Книги по разным темам

Blog