Редакторские будни: куда девать идеи или комментарии к текстам 2

В качестве примера уместного комментария от редакции, приведу тот, который родился при работе над статьей О.С. Бондаренко, Е.А. Малиновская "Имитационная модель "хакер-администратор" (будет опубликована в "Прикладной информатике" №4 2010). Конечно, это черновой вариант в том смысле, что слова, выражения и объем будут поправлены перед включением в номер, но, в целом, тема и содержание вполне соответствуют. По-моему, я достаточно четко и лаконично определил место темы статьи в картине информационной безопасности как области компьютерной науки и отрасли.

От редакции: На компьютерную информационную безопасность и ее «естественного врага» – компьютерную преступность можно смотреть по-разному.

Взгляд на эти вещи человека, который никогда не сидел за компьютером и впервые собирается это сделать, – это либо «взгляд сквозь стену», если он ничего не знает ни о безопасности, ни об опасности, либо «взгляд в бездну», если он запуган мифами на эту тему.

С точки зрения обычного пользователя-неспециалиста, безопасность/преступность ассоциируются с состоянием его персонального компьютера или мобильного устройства (хотя необходимость опасаться за свои мобильные устройства еще не в полной мере осознана общественностью – это вопрос нескольких ближайших лет), а также со взломом учетных записей, кражей других персональных данных, исчезновением денег со счетов, ознакомлением его или ее детей с неподходящим для них контентом и тем, установлены ли на устройстве программные средства защиты от всего этого. И по сей день последний вопрос часто задается после того, как некие неприятности уже случились. Также по-прежнему встречаются случаи предельной безответственности по отношению к необходимости защиты своих данных или данных работодателя и случаи предельного заблуждения на этот счет: «Раз нет ни одного средства защиты, надежного на 100%, значит, нет смысла использовать ни одно из них» (здесь в качестве контраргумента напрашивается аналогия с противозачаточными средствами).

С точки зрения бизнесменов – потребителей услуг информационной безопасности, она – необходимая составляющая успешной деятельности (хотя понимается каждым отдельным потребителем по-своему).

С точки зрения бизнесменов – производителей указанных услуг, а также с позиции специализированных преступных организаций информационная безопасность / компьютерная преступность – это рынок, это отрасль (две отрасли), это технические средства, это умелые специалисты, действующие и с той, и с другой стороны и большие деньги.

С точки зрения любого взятого наугад специалиста по информационным технологиям, информационная безопасность является очень важной составляющей его работы, в которой он хорошо разбирается, хотя эта самооценка часто является завышенной. Настоящие специалисты именно в этой конкретной области компьютерной науки и практики применения вычислительной техники знают, что безопасность состоит не только из дисциплины в части изобретения и хранения паролей, определения подозрительных писем с гиперссылками «на глаз», самостоятельного тестирования своих сайтов на «прочность» и принятой в компании политики безопасности (в отсутствие которой можно с уверенностью говорить о том, что никакие меры безопасности не предусмотрены вообще). Она также состоит из формальных математических методов проверки стойкости шифров и оценки защищенности программного обеспечения, математических и инструментальных моделей, деревьев угроз и уязвимостей, обратной инженерии обнаруженных, то есть пойманных «зловредов» – вредоносного программного обеспечения (по выражению одного из представителей «Лаборатории Касперского») и многого другого.

Оценка защищенности или уязвимости той или иной системы – это одна из главных задач компьютерной информационной безопасности. Многие разработчики и потребители соответствующих услуг, а также ученые привлекают сторонних или своих специалистов для целенаправленного взлома тех или иных систем. Это проверка систем «на прочность» в условиях максимально приближенных к реальным – система атакуется до тех пор, пока не удается реализовать угрозу (взломать систему) или пока взломщик не сдается. Такой метод оценки защищенности систем впечатляет, однако что с позиции науки, что на практике он не слишком эффективен – один сеанс взлома занимает много времени, проверка может завершиться лишь с двумя взаимоисключающими результатами: «брешь найдена» и «брешь не найдена». Ни тот, ни другой не говорит о том, что система защищена в достаточной степени (определение этой степени в каком-либо виде – отдельная трудная задача). Таким образом, подход к оценке безопасности компьютерных систем на основе имитационных (в частности) моделей, которого придерживаются авторы данной статьи, во многих случаях (и в общем случае) представляется более уместным. Существуют сложности с составлением достаточно полных моделей угроз и методов защиты/реагирования на них, но параметры модели изменить проще, чем параметры людей – взломщиков и администраторов, а прогнать модель можно значительно быстрее, чем дождаться результатов от них.