В среде практикующих «безопасников» вопросы организационных мероприятий, работы с пользователем, зачастую воспринимается иронично и с заметным пренебрежением к их поднимающему: «ишь, очередной политрук из бывших первоотдельцев отыскался, поди-ка, CISC-у лучше настрой!». Иные вспомнят и анекдот про парторга: «...тебе-то что, рот закрыл — рабочее место убрано...» Однако, прошли годы, и, как оказалось, «парторги», во многом, были правы. Только вот говорили они «о том» - да не теми словами, и не приводили наглядные и доступные слушателям примеры. Теперь-то мы видим то, о чем они говорили — прямо у себя за окном… Но – это лирика.
А, фактически, очень часто, именно человек является последним рубежом обороны информационной системы: именно человек запустит (или не запустит) своими руками вредоносную программу, именно человек перейдет (или не перейдет) по ссылке на фишинговый ресурс, именно человек напишет (или не напишет) код, содержащий уязвимость…
Как правило, мы уделяем массу внимания технологиям, программам, настройкам и т.п., но крайне мало мы уделяем внимания фактору человека в системе безопасности (любого типа), фактору не менее важному, чем настройки сетевого экрана или системы обнаружения атаки.
Рассмотрим, например, «Закон о суверенном Рунете». Сразу по его публикации родились тонны слез, соплей и желчи, как от «либеральной общественности» (ну, с этих-то и взятки гладки), так и от совершенно, казалось бы, вменяемых людей, даже и специалистов: «...тирания, тотальная изоляция России, все на борьбу за/против...»
А все эти эмоции оттого выплеснулись, что никто из инициаторов и разработчиков данного законодательного акта не удосужился предварительно, простыми словами, на рабоче-крестьянском языке - довести до сведения широкой общественности, всех, кого этот Закон коснется прямо и косвенно, через СМИ всех типов - что это за «Закон», зачем он нужен, при каких обстоятельствах и какими методами он будет введен в действие, его плюсы и минусы. Ресурсов бы это отняло крайне немного, а вот польза — была бы весьма велика.
А #уважаемыепартнеры противник — подсуетился, и тут же взял инициативу в свои руки, породив, как через своих «агентов влияния», да и просто не слишком умных личностей - кучу глупости, дискредитируя и деморализуя (да, именно деморализуя) …
Но, помимо «информирования», есть еще и «информированность» - это то, насколько хорошо человек запомнил и усвоил то, что ему доведено, как он готов и способен применять полученные знания на практике. А то как оно бывает: «Слышал, но не понял, понял, но не так» … Вероятно, многие вспомнят про классификацию «админов», применительно к политике резервного копирования: «Админы делятся на тех, кто резервные копии не делает, уже делает, и -делает и проверяет восстановлением». Абсолютно то же можно сказать и про «пользователей», воспринимающих процесс обучения правилам ИБ лишь как досадную помеху, отвлекающую их от «повышения продаж» - «...а, сами-с-усами, незачем задалбливать ерундой всякой...» А потом, когда что-то случается — все, как всегда: аварийные выходы забиты, сигнализация не работает, охранник поручил грузчику, а тот убежал…
Помните, на securitylab.ru размещались плакаты на тему информационной безопасности? Начинание было отличное, плакаты были, в основном, актуальны, «в струю» … А что было «на местах»?
Ну — распечатали, ну — вывесили. А рассказали — зачем это, почему это, и что может быть, если не соблюдать?.. А спросили людей – а как это они поняли, поняли ли – зачем это им нужно, что будет, если не так, хорошо ли усвоили доведенное?..
С людьми надо говорить, людей нужно регулярно информировать, обучать — и, разумеется, контролировать усвоение доведенных знаний. И не избегать, и не стесняться этой «неромантичной», «не-техничной» и очень нудной работы.
Говоря об ИБ, как о комплексном понятии - рассмотрим относительно недавнее событие, взлом «Сайтек». Казалось бы, предприятие, ведущее разработки активных инструментов в области ИБ, и его заказчики, «по умолчанию» должны понимать, с какими угрозами, в силу специфики задач, могут столкнуться, и предпринимать все возможные и невозможные меры безопасности… И, тем не менее, судя по характеру и объему опубликованных данных, вопросами этими, если и озаботились, то на самом примитивном уровне, достойном фирмы, торгующей обоями, но уж никак не «подрядчика В/Ч». Уж «железа» и «софта» там, вероятно, было на миллионы — но продумал ли кто-то концепцию безопасности подобного «института» ?.. Участвовали ли в процессе формирования системы безопасности этой фирмы и ее работ - соответствующие специалисты?..
Да, можно возрадоваться - появились, наконец-то, профильные кафедры и факультеты, готовящие специалистов в различных сферах информационной безопасности. Это хорошо. Но — а как часто встречается курс «Безопасного программирования» в «обычном» ВУЗе, на кафедре, допустим, «Прикладного программного обеспечения» ?.. А ведь именно в небезопасном коде — кроются те уязвимости, которые позволяют злоумышленникам делать свои черные дела… Многие ли преподаватели доводят до студентов необходимость написания не только эффективного, но, прежде всего, безопасного кода, как для системного, так и для прикладного ПО?.. А читают ли в «обычных» ВУЗ-ах – курс безопасности, применительно к проектированию сетей, систем обработки данных? И, если да – является ли это частной инициативой, или системным явлением, встроенным в программу преподавания соответствующих дисциплин?
Собственно, что я хочу сказать:
Прежде всего:
Государство, если уж оно так активно поднимает вопросы ИБ, должно перейти от исключительно «регламентирующе-карательной» роли (по крайней мере, в области ИБ) — к роли «активно помогающей и внедряющей», соответствующие его структуры должны начать именно диалог с людьми, с бизнесом, с ВУЗ-ами, наукой, помогать им, а не карать за несоблюдение инструкций и регламентов, им самим едва понятных, а, местами, и противоречивых.
Информационная безопасность должна перестать быть уделом лишь «состоятельных кротов»: для частных лиц, мелкого и среднего бизнеса она должна быть также доступна, пусть и не на самом высоком, но на «минимально достаточном», применительно к угрозам, уровне, большем, чем просто Windows Defender или Avast Free.
Потеря 100.000,00₽, которую не заметит корпорация с миллиардными оборотами — может быть фатальной для какого-нибудь ИП или ООО. Скажем так: лично я выступаю за снижение стоимости «лекарств и вакцин», за их большую распространенность и доступность, при максимально возможной, для данного уровня, эффективности.
Вплоть до того, что, возможно, необходимо организовать какие-то структуры и системы, спонсируемые на уровне государства, ассистирующие малому и среднему бизнесу в области ИБ, не «априори карающие за несоблюдение» - а именно помогающие людям понять, зачем это нужно, что с этим делать, как делать, внедряющие и обучающие.
Необходимо действительно обучать разработке систем, ПО (и программированию, как частному случаю) с учетом требования создания безопасной логики функционирования и кода. Если такого рода курсов нет — их надо разработать и применить, как минимум - в основных вузах, благо, нынче нет необходимости в печати бумажных «методических указаний».
То же самое, равно справедливо будет и для разработки архитектуры сетей передачи и обработки информации, управления объектами и т.д. Совершенно недопустимо, если таким объектом инфраструктуры, как котельная, управляют с помощью TeamViewer, и вообще недопустимо, если в этом не видят ничего ужасного ни разработчики, ни эксплуатанты (увы – я видел это, как видел и управление экспериментальной установкой, подключенной к Интернет «напрямую кабелем», таким же способом - с помощью TeamViewer).
И, крайне желательно, чтобы вопросами ИБ, на законодательном уровне, занимались специалисты – а не личности, с трудом отличающие адрес проживания от e-mail.
Вот только как добиться этого…