Поделиться

понедельник, 5 октября 2009 г.

Что я изначально собирался сказать на Infosecurity'2009 Moscow и почему не сказал

Когда выяснилось, что в рамках Infosecurity'2009 будет проходить круглый стол по "Безопасному Интернету", я подготовил небольшой доклад (скорее даже - затравку) по этой проблематике, который и представляю Вашему вниманию.
Для начала было бы полезно очертить некоторые границы вопроса. Мы часто слышим или читаем сводки, новости, аналитику со словами «по таким-то оценкам процент инцидентов в области информационной безопасности, связанных с человеческим фактором, составил столько-то», однако практически никогда нельзя с уверенностью установить, что именно каждый респондент исследования имел в виду под такими инцидентами:
  • реализацию инсайдерских угроз;
  • рисков, связанных с применением социальной инженерии;
  • установку недозволенного или уязвимого ПО или неправильное/несвоевременное обновление дозволенного;
  • все вместе или что-то в отдельности.
Истина в том, что компьютеры, как и все неживое в этом мире, проектируются и создаются людьми, люди решают, какое ПО на них устанавливать, и как их использовать, поэтому все, что связано с компьютерами вообще и с информационной безопасностью в частности имеет и человеческую сторону. Дело всегда в людях – если не в потенциальных жертвах, то в злоумышленниках, и если бы компьютеры могли действовать самостоятельно, заражать и взламывать друг друга, у людей были бы совершенно иные проблемы с ними, нежели имеющиеся сегодня.

С другой стороны, было бы ошибочным утверждать, что человеческий аспект любого инцидента с информационной безопасностью всегда является определяющим: все мы знаем, что любое более-менее крупное приложение сегодня стремится соединиться с сервером в Интернет для обновления, что уязвимости в приложениях, хотя и порождаются людьми, но для большинства пользователей могут долгое время оставаться незаметными, что многие процессы происходят в скрытом режиме. Например, в конце прошлого года и в начале нынешнего было достаточно много публикаций, выражающих мнение о том, что в текущем экономическом кризисе как минимум частично повинны... суперкомпьютеры. Суть идеи в том, что развитие финансового рынка и его инструментов вкупе с развитием информационных технологий привело к ситуации, когда вручную совершать и контролировать все сделки невозможно. То есть многие, а точнее - большинство: сотни тысяч и миллионы сделок совершаются с электронными деньгами в автоматическом режиме, проходя, фактически, мимо людей (если цена такой-то ценной бумаги упала до такой-то отметки - купить/продать, если поднялась до такой-то - продать/купить). Программное обеспечение оперирует на математических моделях, предсказывая прибыли и потери с учетом рисков, но с такими моделями и программами имеются проблемы, как и с любыми другими.

Есть вещи, о которых пользователи вообще не должны, не обязаны знать. На разработчиках множество подобных грехов.

Часто говорится, что введение политики безопасности, способно свести к минимуму инциденты с информационной безопасностью, но тут нужно иметь в виду, что помимо технических мер, в такой политике часто оговариваются бессмысленные запреты, например, на запись паролей на бумаге и призывы к их запоминанию. Хорошо известно, что пользователи тяготеют к ненадежным паролям, к их записи на листочках и к использованию одного и того же пароля для авторизации в разных службах. Ситуация, когда пользователь помнит наизусть 6 уникальных паролей, включающих алфавитно-цифровые и специальные символы, по 20 символов каждый – это скорее фантазия, к тому же полностью расходящаяся с физиологией и характером мыслительных процессов большинства людей. Вины пользователей здесь нет.

Когда речь идет об обучении населения, о повышении уровня грамотности в части ИБ, перед вопросом: «Как обучать?» важно поставить вопрос: «Чему, собственно, нужно обучать людей? Чему они будут готовы научиться, и зачем им это»?

Вообще, «Информационную безопасность» стоило бы назвать «Безопасностью человека при работе с информацией», чтобы не только сотруднику в офисе, но и домашнему пользователю, играющему онлайн и посещающему сайты откровенного содержания, было с самого начала понятно, что именно его и хотят обезопасить.

Существует интересный провал в том, что большинство пользователей знает о проблемах с компьютерами в части безопасности: если спросить: «Знаешь ли ты, что вирусы, трояны, спам и так далее вообще существуют?» – он ответит утвердительно. Спросишь, знает ли он, что и у него могут быть проблемы и какие – снова утвердительно. Однако если поинтересоваться, как по его мнению факт существования всех этих вредоносных программ «вообще» «трансмутирует» непосредственно в его собственные частные неприятности, как и в какой момент это происходит – вот здесь, чаще всего, ответом будет молчание.

Наличие подобной пропасти в части знаний об ИБ – это частный случай большого парадокса информационных технологий – отсутствие среднего звена. У нас таких провалов уйма: разработчики предполагают, что их продуктами будут пользоваться, но мало интересуются тем, насколько это будет удобно и делают страшные в своем неудобстве творения, иногда довольно крупные и дорогостоящие (провал между пользователем и разработчиком), в теории существует множество технологий разработки и доказанных на практике истин, но к ним редко обращаются, если вообще о них знают (провал между теорией и практикой разработки ПО). Сведения, доступные пользователю по теме ИБ, в большинстве опять-таки представляют собой либо новости о взломах и потерях денег (где-то в мире), либо книги и источники типа «нажми сюда и сюда». Можно при наличии некоторой фантазии сравнить отрасль ИТ с футбольным мячом: на одной половине мяча проверенные, но гипотетические сведения о том, по каким законам живет отрасль и чем дышит, а на другой – конкретные действия конкретных людей, связанных так или иначе с этой отраслью. Все бы ничего, но мяч внутри пустой – точки в разных половинках не соединены.

Наличие знаний по ИБ в области «среднего звена» («Как общечеловеческие проблемы становятся лично моими?») важно – его отсутствие всегда чревато в том числе и реализацией экономических рисков. Где-то там же в области «среднего звена» находится и «момент выбора» - тот момент в процессе работы человека за компьютером или с носителями, когда в зависимости от его действий решается дальнейшая судьба той или иной информации и самого человека.

Сегодня часто говорят о том, что молодежь лучше разбирается в информационных технологиях, чем старшие поколения. Когда мне было 4 года, моим любимым занятием была сортировка выпусков газеты «Правда» по датам и чтение вслух постановлений пленумов Верховного совета. Думаю, я тогда в политике понимал примерно столько же, сколько и сегодняшняя использующая Интернет и мобильники молодежь – в информационных технологиях (в большинстве своем)… но раскладывал и читал газеты правильно.

Нельзя сделать специалиста по информационной безопасности из каждого пользователя, даже из каждого ИТ-специалиста его нельзя сделать (часто действует «парадокс очевидных истин»: «Конечно, я знаю, что так нельзя и это чревато, но лично со мной ничего такого не случится!»), хотя некоторые технические детали при обучении могут и понадобиться – для понимания сути процесса. Сосредоточение усилий по обучению пользователей в области «среднего звена», то есть разъяснение, как и что можно выдать, подцепить, на что обратить внимание и почему, позволяет сформировать у пользователя ряд триггеров, которые заставляют его остановиться и задуматься в «момент выбора»: «Вбивать ли e-mail?», «Доверять ли сайту?», «Действительно ли это письмо от того от кого кажется?», «Вытащил ли я флэшьку?», «Заблокировал ли компьютер?» и так далее, по аналогии с взглядом в окно перед выходом на улицу или взглядом налево при переходе дороги.

Человек, так или иначе, всегда является виновником своей информационный беззащитности: он не может предотвратить все неприятности, но может хотя бы узнавать потенциальные угрозы и делать осознанный выбор, вместо того, чтобы апостериорно оправдываться: «Я нажал Ok, но не успел прочитать…»

Почему я, собственно все это не зачитал? Помимо проблем с регламентом, о которых я уже говорил, я понял в процессе мероприятия, что отраслевики вообще не считают парадигму образования пользователей за нечто весомое... или полезное. С другой стороны я подумал над тем, что, возможно, я сам ее переоцениваю, и дело здесь даже не в наличии/отсутствии разума или чего-то такого. Как весьма лаконично и метко выразился Дэвид Алан Грир в статье "Персонаж (или характер) игры" (David Alan Grier "The Character of Play" - Computer. July, 2009):
Поколения 70-х и 80-х годов имели дело непосредственно с компьютерами. Сегодняшние дети имеют дело с программами. Это совершенно другой характер взаимодействия, и вряд ли они способны нас понять!

Надо сказать, что я долгое время пытался сформулировать нечто подобное, хотя и безуспешно (стыд мне и позор). Зато такая вот пусть чужая, но емкая и правильная формулировка ставит все на свои места. Становится понятно, почему:
  • с каждым годом программистов учить все сложнее, и в целом они слабее, и это при росте интереса и распространения ИТ;
  • современные студенты-информационщики часто ругаются на компьютер, что для нас - ветеранов несколько странно;
  • никто не учится на "нигерийских письмах" и "письмах счастья";
  • все сложнее год от года обосновывать наличие в университетском курсе "Программирования на Ассемблере", без которого лично мне обучение программированию до сих пор кажется бессмысленным...
Вот такие выводы.

Комментариев нет:

Отправить комментарий