Информационная безопасность, как и любой другой вид безопасности, делится на отдельные элементы и уровни, которые пересекаются и взаимодействуют друг с другом. Зачастую большая часть проблем начинается не столько с логических ошибок в программной части или особенностями на уровне оборудования, а с людей.
Самый используемый и эффективный способ обхода любой защиты — это социальная инженерия, когда заинтересованное лицо грамотно использует информацию и психологические инструменты для получения необходимого допуска. Неожиданный звонок от «технической поддержки» или «начальства», «персонального менеджера» или «неопытного коллеги», «слезное» письмо или «невинная» картинка с котенком — это все может быть легким входом даже в самую защищенную систему.
Любите звонить подчиненным, не представляясь и требуя в жесткой форме что-то от них, а если не получаете это, то жестко наказываете? — Тогда это прекрасный инструмент для злоумышленника, ведь работник побоится узнавать детали, сомневаться и просто даст все что от него требуют в страхе от наказания.
Ваше предприятие состоит из множества сотрудников, люди недостаточно хорошо знают друг друга, а на стационарных телефонах нет определителей и нет обновленной телефонной базы офисной АТС? — Тогда и это не менее прекрасный инструмент, ведь зная немного о внутренней обстановке, можно представится новым сотрудником, которому не выдали четких инструкций и нужных инструментов, попросить их в обход стандартных процедур.
Большинство проблем нынешней информационной структуры исходит не от оборудования и программ, но от недостаточной или неправильной организации взаимодействия людей, непонимания и конфликтов между ними.
Теперь разберем другие стороны информационной безопасности — программную и аппаратную. Этот аспект также можно разделить на две части — внутреннюю и внешнюю. Внутренняя — эта та часть, что непосредственно на устройстве пользователя, а внешняя, соответственно, — за пределами устройства. Например, на удаленном сервере, облачном хранилище или другом дистанционном оборудовании.
Начнем с внутреннего аспекта. Если с «железными» компонентами бывает сложно разобраться человеку без специальных инструментов и знаний, то вот контроль программной части уже более посильная задача, которая напрямую зависит от уровня подготовки отдельного пользователя.
Сюда можно включить основы понимания работы отдельных программ, операционной системы и средствами взаимодействия с ними. Например, если в операционной среде Windows без разбора запускать все приложения расширения .exe то это может привести к неприятным последствиям. Таким образом, понимание того, какие есть типы файлов, программ и каким образом они могут повлиять на работу системы, позволяют человеку быть более осторожным и достаточно существенно снизить риск заражения и утечки информации.
Теперь стоит подробнее рассказать про внешний аспект. Любая серьезная атака имеет несколько направлений и даже если отдельная личность или даже компания прекрасно защищены, то нередко можно найти способ проникновения через сопряженные узлы.
Прекрасным примером может служить оператор сотовой связи. Отдельный индивид может соблюдать все меры предосторожности и пользоваться двухфакторной аутентификацией, но если была скомпрометирована инфраструктура его оператора, то о факте взлома или корыстного использование его данных он может никогда не узнать — как, например, отправка сообщений от его имени, их редактирование или перехват сообщения без возможности его получения неудачным индивидуумом.
Да, подобные операции требуют знаний и навыков и потому стоят дорого, а, значит, не подойдут для взлома рядового человека — затраты банально не окупятся. Однако для промышленного шпионажа вполне не редкость и более сложные методы.
Но стоит помнить про отношения к утечке персональных данных у нас в стране, о серьезном наказании за которую только недавно задумались (объем слитых данных говорит о том, что, возможно, это затронуло каждого жителя и не раз).
Таким образом, информационная безопасность не сильно отличается от любой другой. Задача защиты не сделать что-либо непроницаемым, а удорожить, усложнить и удлинить время для злоумышленника, сделав цель более рискованной и менее привлекательной.
Этого можно добиться, повышая собственную грамотность. Также важно повышать общественный контроль за ключевыми сферами. Важно еще помнить про баланс между удобством и безопасностью, обязательно учитывать его. Нам ведь не нужна трёхфакторная аутентификация, сканер сетчатки глаза, ДНК и биопараметров для доступа в курятник, сарай или на сайт с котиками?
Сергей УШАКОВ, аналитик в области информационных технологий и международных политических процессов.
Специально для PolitRUS.com.