Внезапно и без особого повода маленькая проповедь про информационную безопасность.
1. Безопасности БЫВАЕТ много.
Основные заблуждения и ошибки, чаще всего, как раз связаны с применением избыточных мер предосторожности, которые создают ложное чувство защищённости. Ниже приведу несколько ярких примеров на эту тему.
2. Зато НЕ БЫВАЕТ «просто безопасности», «безопасности в вакууме».
Нет такого понятия — «защищённая система». Всегда вопрос: защищённая относительно чего? Ключевое понятие информационной безопасности — это «модель угроз». Модель защиты должна быть адекватна модели угроз.
Если ваша информация стоит 1000 рублей, разумно ожидать, что хакер потратит не больше 999 рублей на её взлом и неразумно тратить 1001 рубль на её защиту. Не покупают сейф за $10000, чтобы хранить в нём $1000. Непонимание этого принципа приводит к самым тяжёлым последствиям: в погоне за повышением уровня безопасности «вообще» люди усложняют себе жизнь, что, в итоге, влечёт за собой снижение уровня защищённости.
Грубо говоря, сначала навыдумывают неадекватно сложных и жутко длинных паролей, потом начинают их записывать на бумажки, а после — забывать эти бумажки где попало.
Или наоборот: неадекватно оценивают модель угроз. Так, например, главным потенциальным врагом (хакером, нарушителем) для политического активиста в России является государство. И государство, безусловно, знает девичью фамилию вашей мамы. В итоге, контрольный вопрос для восстановления пароля, который надёжно защитит вас от хакера из Индии, никак не повышает вашего уровня безопасности во взаимоотношениях с государством.
3. У любых мер безопасности есть издержки.
Чем сложнее доступ к системе, тем больше своего ценного времени вы тратите на каждый вход в неё. И тем сложнее будет восстановить доступ, если что-то пойдёт не так (скажем, потеряете телефон, на котором у вас OnePassword и Google Authenticator — это прекрасные инструменты, которые, действительно, позволяют очень надёжно защитить вашу почту и соцсети, но есть ли у вас план на случай, если вы разом лишитесь доступа к обоим?).
Поэтому в каждом конкретном случае надо хорошо понимать, чем вы готовы (и не готовы) платить за безопасность данных, на какие жертвы готовы пойти, как будете восстанавливать к ним доступ сами и насколько сложно восстановить к ним доступ злоумышленнику.
4. Уровень защищённости сколь угодно большой и сложной информационной системы целиком и полностью определяется уровнем защищённости самого слабого места в ней.
Пример.
У вашей организации накоплена серьёзная база данных с чувствительной информацией: там все ваши финансы или все ваши клиенты, или что-нибудь ещё такое. Внешний периметр офигенно защищён, в сервера вбухана куча денег, двухфакторная аутентификация везде включена, вход в базу только с аппаратным токеном каким-нибудь.
И ещё есть сисадмин с зарплатой в 40 тысяч рублей, недовольный и нелояльный. Да ещё и в микрокредитах весь.
Стоимость доступа к вашим данным, в этом случае, определяется не миллионными затратами на суперхакеров, которые какими-то чудо-инструментами взломают внешний периметр, а парой десятков тысяч рублей, которые «мотивируют» этого сисадмина (секрет Полишинеля заключается в том, что, на самом деле, таких «суперхакеров» и не существует: 99% всех взломов и утечек — это инсайдеры, глупость сотрудников организации, нелепые ошибки, Джон Подеста, кликающий на фишинговое письмо или обиженный юрист Mossac Fonseca).
5. Первое место абсурдных и вредных мер безопасности в моём личном рейтинге занимают заклеенные камеры ноутбуков.
Не видел и не знаю ни одного человека с заклеенной камерой, который при этом выдрал бы с корнями микрофон. И выломал бы клавиатуру. Но ведь модель угроз, при которой вы предполагаете, что злоумышленник может получить доступ к аппаратному обеспечению вашего гаджета, никак не может подразумевать, что доступ у него есть только к камере (но не к микрофону и к устройству ввода), не так ли? Между тем, я уверен, что танцуете голышом (или совершаете иные, компрометирующие вас действия) перед камерой ноутбука вы куда реже, чем обсуждаете невдалеке от него какие-то чувствительные вещи. А это, в свою очередь, вы делаете много реже, чем вводите с клавиатуры CVC-код вашей карты...
Кейлоггер нанесёт вам самый большой ущерб, микрофон — поменьше, камера — минимальный. Но заклеив камеру, вы интуитивно начинаете вести себя перед своим ноутбуком так, будто вы в безопасности. И больше себе позволяете. Тем самым, снижая общий уровень защищённости, очевидно.
Будьте последовательны: если вы не считаете, что в вашем устройстве есть программные и аппаратные жучки, то заклеивать камеру незачем, а если вы считаете, что они есть, то, в первую очередь, подумайте не о камере, а о том, что и кому вы пишете в мессенджерах...
6. На втором месте в этом рейтинге — конечно, антивирусы.
Ау, 2019-й год на дворе! Вы когда в последний раз дискету в компьютер вставляли? Да даже и флэшку.
Файлы поступают к вам через Интернет. И если вы нажали на фишинговую ссылку или открыли сомнительное вложение, то, скорее всего, помощь антивируса запоздает. Когда вы сами, добровольно, ввели свои логин и пароль на фейковом сайте — антивирус бессилен.
Рулит базовая информационная «гигиена» (думать о том, что и зачем ты вводишь, скачиваешь и открываешь), а не ложная защищённость (поставил антивирус, думаешь, что ты защищён, расслабился, начинаешь небрежнее относиться к данным — и привет). Двухфакторная аутентификация, защищённые мессенджеры, удобное приложение для хранения (неповторяющихся) паролей и главное — голова на плечах. Осознанность в действиях и понимание того, в чём заключается модель угроз вам и вашей организации. И всё будет хорошо.
Автор: Леонид Волков.