Человеческий фактор и защита информации
Александр Костинский:
В последнее время в компьютерных средствах массовой информации много говорят о вирусах, взломах известных сайтов, проблемах личной безопасности. Специалисты утверждают, что главной причиной проникновения злоумышленников в компьютерные сети оказывается обычная беспечность и неподготовленность пользователей, как рядовых, так и сотрудников информационных отделов организаций. Но эту же причину называют и специалисты по безопасности в других областях человеческой деятельности. Недаром в российских школах ввели новый предмет, "Основы безопасности жизнедеятельности". Есть ли специфика безответственного поведения человека при работе с компьютерной техникой, или здесь то же, что и обычно: переоценка надежности сложных технических устройств и недооценка опасностей, которые они несут?
Точная характеристика сложившейся ситуации дана в предисловии к энциклопедии "Личная безопасность", издательства "Аванта+":
"Современный мир наполнен опасностями нисколько не меньше, чем первобытный, только они приобрели совсем иной характер. Пешеходы не достанутся на обед хищному зверю, зато могут угодить под колеса мчащегося автомобиля. Причиной смертельного отравления оказывается, как правило, не укус змеи, а просроченное лекарство из собственной аптечки. Травмы и увечья люди получают не на горных камнепадах и речных стремнинах, а на строительных площадках и оживленных магистралях.
Люди не построили безопасный мир, а лишь заменили одни опасности другими. Но при этом расслабленные благами цивилизации, они стали чересчур беспечны, неосторожны в повседневной жизни, утратили навыки поведения в экстремальных ситуациях. У большинства из нас нет культуры безопасности".
Действительно, по данным той же энциклопедии "Личная безопасность" в России в год погибает более пятисот тысяч здоровых трудоспособных людей. Причем основные причины их смерти - не вооруженные конфликты, не природные или техногенные катастрофы. Первое место 41 процент (с большим отрывом) занимает курение. Второе, около 27 процентов - алкоголь, третье, 14 процентов - дорожно-транспортные происшествия. Стихийные бедствия - причина гибели в 4 целых, 4 десятых процентах случаев, то есть почти в десять раз меньше, чем от курения и в шесть по сравнению с алкоголем. Несмотря на это любой разговор на эту тему неизбежно наткнется на фразу вроде: "Кто не курит и не пьет, тот здоровеньким помрет".
Судя по опросам общественного мнения, вся страна дружно ненавидит гаишников. Им доверяют только два процента, меньше, чем любому другому институту власти. Конечно, это подразделение российской милиции грешно поборами на дорогах. Вместо государственного кармана многие штрафы достаются самим сотрудникам ГАИ, впоследствии перераспределяясь внутри организации. Но не стоит забывать, что нарушения-то совершаются реальные. Реально каждый день по магистралям российских городов обычные автомобили несутся со скоростью 100-120 километров в час. Реально, большинство российских водителей полно презрения к ремням безопасности, несмотря на то, что основная причина их гибели именно удар о руль, а непристегнутого пассажира недружелюбно ожидает лобовое стекло. Правила дорожного движения, на которых так брутально настаивают сотрудники Госавтоинспекции в самом прямом смысле написаны кровью. Каждая строка - это миллионы погибших и искалеченных людей во всем мире. Но отделить собственную безопасность от неприязни к недостаточно щепетильным гаишникам - по-прежнему нерешаемая интеллектуальная задача для большинства наших сограждан.
Если большинство жителей России так относится к собственной жизни и здоровью, то можно представить, насколько они безразличны к неосязаемым угрозам безопасности в компьютерных сетях. Если компания-производитель сама не закроет доступ к ресурсам компьютера из внешних сетей, то он так и будет распахнут для всех желающих злоумышленников и любопытных. Сколько бы ни предупреждали системные администраторы, все равно пользователи будут открывать приложения к электронным письмам от незнакомых людей, не глядя на расширения файла. Достаточно в теме письма написать: "Помнишь меня?" или "Я тебя люблю!" Я уже не говорю, чтобы поставить и настроить на своем компьютере брандмауэр или пользоваться криптографической программой. Об этом и мечтать как-то неловко. Здесь на ум приходит сходство компьютерной безопасности с радиационной. Когда проходили первые испытания атомного оружия, не только дозиметристы, но и высшее командование выезжало непосредственно в место атомного взрыва осматривать результаты воздействия.
По-видимому, преступность в компьютерной области, так же как и в других сферах человеческой деятельности, во многом определяется не столько поведением преступника, сколько жертвы. Конечно, снимать ответственность с нарушителя не стоит, но криминалисты на большом фактическом материале пришли к выводу, что от 70 до 90 процентов всех преступлений в большей или меньшей степени спровоцировала сама жертва. Возникла даже новая область криминологии - виктимология, то есть наука о том, как поведение жертвы содействует нарушению закона. Такое впечатление, что область высоких технологий - замечательный, нетронутый край для виктимологов. Думаю, что здесь жертва провоцирует преступника в 99 процентах случаев.
Любопытно, что беспечно себя ведут не только рядовые пользователи компьютеров и Интернета, но зачастую и специалисты по компьютерной безопасности в солидных корпорациях. Кроме обычной халатности здесь есть и объективные факторы. Один из основных - небольшой опыт большинства современных специалистов по информационным технологиям. Распространение Интернета и сетевых технологий, несмотря на общемировое торможение экономики, происходит так быстро, что профессионалов со стажем просто на всех не хватает. Вакантные места занимают люди из смежных областей, которым приходиться учиться гораздо чаще на своих ошибках, чем на чужих. Не обладают достаточными навыками оценки работы компьютерщиков многие высшие менеджеры компаний, так как в начале их карьеры информационные технологии были на втором или третьем плане, а риски, связанные с ними были невелики.
О том, какую роль играет человек в системах компьютерной безопасности организаций, я побеседовал с Максимом Отставновым, специалистом по защите информации в компьютерных сетях и редактором журнала "Компьютерра".
Какую роль играет человеческий фактор при защите информации, здесь основная угроза та же беспечность?
Максим Отставнов:
В некотором смысле, область, которая называется "защитой информации", целиком состоит из эффектов "человеческого фактора". Во-первых, информационные системы сложны, и ошибки при их проектировании и реализации неизбежны. Во-вторых, люди в массе своей не склонны креститься, пока гром не грянет, и это относится отнюдь не только к русским мужикам. Это нужно принять как данность, соответствующие риски неизбежны, и нужно думать об управлении ими и их минимизации. "Управление рисками" - гораздо более точный термин, чем "защита" или "безопасность".
Александр Костинский:
В криминологии последнего десятилетия активно изучается виктимность, то есть неразумное поведение жертвы, которая во многом сама провоцирует преступника. Какую роль играет жертва, сам человек в провоцировании киберприступности?
Максим Отставнов:
Я бы начал с того, что само слово "киберпреступность" кажется мне несколько дезориентирующим. В частности, потому что в одну кучу сваливают вещи совершенно разного порядка: невинные шутки (например, подмену каких-либо текстов или изображений, выставленных напоказ на незащищенном Web-сервере), вандализм и хулиганство (уничтожение или разглашение плохо защищенной информации) и собственно корыстные преступления, совершаемые с помощью технических приемов.
Что касается преступности, да, конечно, можно сказать, что "виктимное" поведение провоцирует потенциальных преступников. Но это совершенно не специфично для сферы высоких технологий, это вопрос, если говорить экономическим языком, эластичности предложения криминальных услуг. Если в каком-то городе жители склонны носить бумажники в задних карманах, уровень карманных краж при прочих равных условиях там будет выше. Если в какой-то отрасли склонны строить критические для бизнеса системы под какими-нибудь Microsoft Windows, при прочих равных покушений (в том числе, и корыстных) на них будет больше.
Александр Костинский:
Беспечность человека еще можно объяснить невежеством в вопросах безопасности, но беспечность фирм - ведь у них есть специальные высокооплачиваемые сотрудники, которые только этим и занимаются. Кроме того фирмы несут ощутимые убытки. Что это - некомпетентность руководства, которое халатно не прислушивается к специалистам по безопасности, или некомпетентность самих служб безопасности?
Максим Отставнов:
Поскольку такое явление наблюдается массово, наверное, можно говорить об определенном институциональном дисбалансе. Попросту говоря, существующее законодательство и контрактная культура неоптимально распределяют ответственность за ущерб от технических ошибок и упущений. Если руководство какого-то бизнеса законом или рынком поставлено в условия, в которых этот бизнес несет полную ответственность, эти вопросы так или иначе будут решаться, или бизнес просто разорится и уйдет с рынка.
Есть такой хороший пример: в расчетных сетях банков случаются так называемые "фантомные проводки" проводки, на которые клиент не давал согласия. В случае точек продажи конфликты решаются просто, поскольку последней инстанцией является чек с бумажной подписью. В случае банкоматов это гораздо сложнее. Вот два примера. В Британии бремя доказательства того, что "ты не верблюд" и не совершал мошенничества, возложено на клиента, в США наоборот, оператор системы должен представить доказательства того, что трансакция была инициирована клиентом. Как следствие, фантомных проводок в американских расчетных сетях гораздо меньше, чем в английских, а конфликты, если и возникают, решаются частным порядком.
Я думаю, что если вопрос стоит так, что фирма несет убытки, но тем не менее не решает какие-то вопросы, связанные с безопасностью, это означает, что она не все убытки несет сама.
Александр Костинский:
К тому что вы сейчас говорили. В информационной индустрии сложилась любопытная ситуация. Фирмы производители практически не несут ответственности за ущерб, по их вине принесенный пользователям. Существует уже пословица: зачем вирусы, когда есть Майкрософт, хотя, конечно, это относится ко многим компаниям. Как сложилась подобная ситуация и будет ли так и дальше?
Максим Отставнов:
Безопасность в каждой конкретной топологии зависит от многих факторов, которые находятся под контролем многих участников процесса, включая поставщиков оборудования и программного обеспечения, их интеграторов, системных администраторов. Прорыв безопасности происходит благодаря их сочетанию, поэтому неразумно априори называть кого-то (например, поставщика программ) "крайним". Скорее, проблема заключается в том, что очень часто "крайнего" так и не находится. Или его ищут в другом месте. Допустим, произошло вирусное поражение, и виноватым оказывается автор вируса, которого можно очень долго ловить, очень много денег на это потратить, причем очень часто государственные, а не этих компаний. Не факт, что его поймают. Вопрос в том, чтобы точка ответственности не покидала бизнес-цепочки. Она может находиться в любом месте, может распределяться контрактным образом.
Александр Костинский:
По вашему мнению, такая ситуация сложилась потому, что не оптимизированы коммерчески-юридическая сторона компьютерной безопасности: безопасности в коммерческих сетях или при использовании компьютерных программ?
Максим Отставнов:
Да, и я думаю, что на самом деле, основным перспективным путем решения всех этих проблем является введение института страхования этих рисков. Человечеством накоплен огромный опыт в плане децентрализации критических структур, их дублирования и, самое главное, управление этими рисками в финансовых терминах. Когда возникает институт страхования, когда есть страховщики, которые компенсируют эту ответственность, принимают ее на себя, то сам собой возникает рейтинг систем безопасности и рейтинг квалификации специалистов в этой области. Это не уникальная ситуация - так было во многих областях, и я уверен, что в области информационной безопасности магистральная линия лежит в этом направлении.
Александр Костинский:
Можно сказать, что компьютерная индустрия сейчас очень молодая, она еще не дошла до той стадии развития, которые может быть более медленно в силу более медленных бизнес-процессов, исторических процессов прошли другие индустрии?
Максим Отставнов:
Да.
Александр Костинский:
Какие бы основные советы вы дали бы по компьютерной безопасности, например, тем, кто пользуется ОС Windows или другими операционными системами, если есть люди, которые озабочены такой безопасностью и уже осознали, что необходимо прилагать больше усилий ?
Максим Отставнов:
Самый первый совет, который я бы дал это - перестать думать о безопасности в терминах технических, и начать думать в терминах финансовых. Посчитать, сколько будет стоить купирование (или страхование) специфических рисков при использовании того или иного средства, сравнить это со стоимостью освоения какого-то другого средства и принять правильное решение. Потому что я хотел бы еще раз подчеркнуть, что это не чисто техническая проблема. Можно, в конце концов, и Microsoft Windows запереть в "песочницу", в которой ее использование будет относительно безопасно, вопрос в том, сколько это будет стоить. Очень часто сама стоимость решения оказывается запретительной.
Александр Костинский:
Стоит ли тратить усилия на установку брандмауэров и криптографических программ на свой компьютер, они сейчас часто бесплатны, и человек, который обеспокоен своей безопасностью, оценивает свои риски, может уже сам заняться собственной безопасностью?
Максим Отставнов:
Это стоит делать, если вы хорошо понимаете, что и зачем вы делаете. Моя практика, как консультанта, даже не по отношению к индивидуальным пользователям, а по отношению к компаниям, показывает что в большинстве случаев пользователь ищет не средство для решения реальной проблемы, а "амулет", способный успокоить его и решить его психологические проблемы. Вот психологические проблемы лучше решать с помощью валерьянки.
Александр Костинский:
А не криптографических средств?
Максим Отставнов:
А не криптографических средств, потому что самый надежный замок, самый прочный засов, если он прикручен не к той двери никак вас не защитит.
Александр Костинский:
На каждом барьере какое-то количество преступников отсеивается, правда?
Максим Отставнов:
Трудно ответить на этот вопрос. В большинстве случаев, как я уже говорил, технические средства используются как амулет.
Александр Костинский:
А вообще есть какая-то специфика у компьютерной области в безопасности?
Максим Отставнов:
Специфика есть в том, в чем компьютеры специфичны. В основном специфика касается того, что сущности, с которыми мы имеем дело неосязаемы. Если, допустим, в плане безопасности помещений у человека есть некоторая интуиция в отношении того, чем металлическая дверь отличается от двери, сделанной из гипсокартона или из дерева, то в компьютерных системах речь идет о свойствах неосязаемых объектов, которые описываются достаточно сложной математикой, причем теми ее ветвями, в отношении которых у среднего человека нет никакой интуиции, поскольку та же теория чисел в школе практически не изучается. Я думаю, что некоторый общественный опыт и некоторая сама собой подразумевающаяся интуиция в отношении таких вещей и здравый смысл, он вырабатывается все-таки в ходе исторического процесса. Это не вопрос, во-первых, отдельного человека, если говорить о массовом пользователе, во-вторых, это не вопрос лет, это вопрос как минимум десятилетий и здесь решающую роль наверное играет позиция, занимаемая в системе образования, в разработке содержания образования.
Александр Костинский:
Это все-таки проблема выработки некоторых правил безопасности в новой неожиданной области.
Максим Отставнов:
Да. Опыт, сам опыт человека просто опережает интуицию. Жизнь очень быстра.
Александр Костинский:
Это был Максим Отставнов, специалист по безопасности в компьютерных сетях и редактор журнала "Компьютерра".
Наверное, он прав, большая роль в преодолении компьютерных преступлений принадлежит образовательным программам, которые в конце концов изменят поведение массового пользователя цифровых технологий, ведь исследование и осмысление причин распространения холеры в Лондоне в конце концов привели к современной гигиенической практике. Но на это ушло больше ста лет. Я боюсь, что стремительность развития современного мира, во многом благодаря цифровым технологиям, требует гораздо меньшего времени для внедрения цифровой гигиены. Но ведущую роль в этом должны сыграть не столько инертные государственные структуры образования, сколько крупнейшие корпорации, которые сейчас как раз весьма успешно эксплуатируют безалаберность широкого потребителя. Ведь всего за пару лет рекламные ролики смогли буквально всем втолковать, как замечательно жевательная резинка или зубная паста борется с кариесом и снижает кислотностно-щелочной баланс полости рта.
Важную роль коммерческим структурам в становлении культуры компьютерной безопасности отводит американская Коллегия по компьютерным исследованиям и телекоммуникациям, подразделение Национального исследовательского совета США. В недавно опубликованном отчете коллегия утверждает, что американские компьютерные системы становятся все более уязвимы для кибератак - в основном потому, что компании пренебрегают собственной безопасностью. Они даже не ставят патчи, то есть заплатки, на самые опасные обнаруженные дыры в программном обеспечении. В отчете говорится, что американские корпорации в 2001 году потратили более 12 миллиардов долларов на устранение повреждений, причиненных компьютерными вирусами.
Коллегия советует всем фирмам проводить регулярное тщательное тестирование своих систем безопасности, использовать более совершенные технологии идентификации пользователей и серьезно заняться тренировкой и просвещением персонала.
Вместе с тем, коллегия требует от фирм, создателей программного обеспечения, поставлять его с уже активизированными системами безопасности, так чтобы для их отключения требовались сознательные усилия. Сейчас же в большинстве случаев - наоборот: для настройки систем безопасности, там где они встроены в программный продукт, пользователь должен проявить завидное упорство. Хороший пример Windows XP.
Главной проблемой коллегия считает отсутствие у программистских компаний стимулов для необходимой реакции на проблемы безопасности их программного обеспечения. Коллегия дальновидно рекомендует возложить реальную ответственность за уязвимость информационных систем на компании - производители программного обеспечения, на поставщиков систем и системных интеграторов. Более того, коллегия предлагает в законодательном порядке заставить их извещать общественность о проблемах с безопасностью цифровых систем, особенно, если эти проблемы могут нанести серьезный ущерб обществу.
Кроме того, предлагается ужесточить ответственность поставщиков программного обеспечения за продажу заведомо уязвимых для хакеров продуктов. Одновременно, по мнению Коллегии по компьютерным исследованиям и телекоммуникациям Национального исследовательского совета США, софтверным компаниям следует сделать более простой интерфейс настройки систем информационной безопасности, которые пока еще слишком сложны для массового пользователя.
Хочется надеяться, что подобные рекомендации будут услышаны и программное обеспечение станет более надежным, а пользователи станут относиться к собственной безопасности гораздо ответственнее.
Завершить нашу передачи я хотел бы словами из энциклопедии "Личная безопасность":
"Культура безопасности усложняет жизнь не больше, чем культура общения или личная гигиена. Ведь современного человека не тяготит, что он чистит по утрам зубы, надевает свежую рубашку, моет руки перед едой, пользуется телефоном и тому подобное. Привычка, доведенная до автоматизма, избавляет от многих сложностей".
Все ссылки в тексте программ ведут на страницы лиц и организаций, не связанных с радио "Свобода"; редакция не несет ответственности за содержание этих страниц.
