Леонид Волков: «Маленькая проповедь про информационную безопасность»

7 октября 2019 года

Леонид Волков, мнение:

Соратник Алексея Навального публикует в Facebook небольшой ликбез на тему информационной безопасности, отмечая, что уровень защищенности большой и сложной информационной системы полностью определяется уровнем защищенности самого слабого места в ней.

"Внезапно и без особого повода маленькая проповедь про информационную безопасность.

1. Безопасности БЫВАЕТ много. Основные заблуждения и ошибки чаще всего как раз связаны с применением избыточных мер предосторожности, которые создают ложное чувство защищенности. Ниже приведу несколько ярких примеров на эту тему.

2. Зато НЕ БЫВАЕТ "просто безопасности", "безопасности в вакууме". Нет такого понятия — "защищенная система". Всегда вопрос: защищенная относительно чего? Ключевое понятие информационной безопасности — это "модель угроз". Модель защиты должна быть адекватна модели угроз. Если ваша информация стоит 1000 рублей, разумно ожидать, что хакер потратит не больше 999 рублей на ее взлом и неразумно тратить 1001 рубль на ее защиту. Не покупают сейф за $10 000, чтобы хранить в нем $1000.

Непонимание этого принципа приводит к самым тяжелым последствиям — в погоне за повышением уровнем безопасности "вообще" люди усложняют себе жизнь, что в итоге влечет за собой снижение уровня защищенности. Грубо говоря, сначала навыдумывают неадекватно сложных и жутко длинных паролей — потом начинают их записывать на бумажки и забывать эти бумажки где попало. Или, наоборот, неадекватно оценивают модель угроз — так, например, главным потенциальным врагом (хакером, нарушителем) для политического активиста в России является государство, и государство, безусловно, знает девичью фамилию вашей мамы; в итоге контрольный вопрос для восстановления пароля, который надежно защитит вас от хакера из Индии, никак не повышает вашего уровня безопасности во взаимоотношениях с государством.

3. У любых мер безопасности есть издержки. Чем сложнее доступ к системе, тем больше своего ценного времени вы тратите на каждый логин, и тем сложнее будет восстановить доступ, если что-то пойдет не так (скажем, потеряете телефон, на котором у вас OnePassword и Google Authentificator — это прекрасные инструменты, которые, действительно, позволяют очень надежно защитить вашу почту и соцсети, но есть ли у вас план на случай, если вы разом лишитесь доступа к обоим?).

Поэтому в каждом конкретном случае надо хорошо понимать, чем вы готовы и не готовы платить за безопасность данных, на какие жертвы готовы пойти, как будете восстанавливать к ним доступ сами — и насколько сложно восстановить к ним доступ злоумышленнику.

4. Уровень защищенности сколь угодно большой и сложной информационной системы целиком и полностью определяется уровнем защищенности самого слабого места в ней. Пример: у вашей организации накоплена серьезная база данных с чувствительной информацией, там все ваши финансы, или все ваши клиенты или что-нибудь еще такое. Внешний периметр офигенно защищен, в сервера вбухано кучу денег, двухфакторная аутентификация везде включена, вход в базу только с аппаратным токеном каким-нибудь. И еще есть сисадмин с зарплатой в 40 тысяч рублей, недовольный и нелояльный, да еще и в микрокредитах весь.

Стоимость доступа к вашим данным в этом случае определяется не миллионными затратами на суперхакеров, которые какими-то чудо-инструментами взломают внешний периметр, а парой десятков тысяч рублей, которые мотивируют этого сисадмина (секрет Полишинеля заключается в том, что, на самом деле, таких суперхакеров и не существует; 99% всех взломов и утечек — это инсайдеры, глупость сотрудников организации, нелепые ошибки; Джон Подеста, кликающий на фишинговое письмо или обиженный юрист Mossac Fonseca).

5. Первое место абсурдных и вредных мер безопасности в моем личном рейтинге занимают заклеенные камеры ноутбуков. Не видел и не знаю ни одного человека с заклеенной камерой, который при этом выдрал бы с корнями микрофон. И выломал бы клавиатуру. Но ведь модель угроз, при которой вы предполагаете, что злоумышленник может получить доступ к аппаратному обеспечению вашего гаджета, никак не может подразумевать, что доступ у него есть только к камере (но не к микрофону и к устройству ввода), не так ли? Между тем я уверен, что танцуете голышом и совершаете иные компрометирующие вас действия перед камерой ноутбука вы куда реже, чем обсуждаете невдалеке от него какие-то чувствительные вещи, а это, в свою очередь, вы делаете много реже, чем вводите с клавиатуры CVC-код вашей карты...

Кейлоггер нанесет вам самый большой ущерб, микрофон поменьше, камера — минимальный. Но, заклеив камеру, вы интуитивно начинаете себя вести перед своим ноутбуком будто вы в безопасности и больше себе позволяете — тем самым снижая общий уровень защищенности, очевидно. Будьте последовательны — если вы не считаете, что в вашем устройстве есть программные и аппаратные жучки, то заклеивать камеру незачем, а если вы считаете, что они есть — то, в первую очередь, подумайте не о камере, а о том, что и кому вы пишете в мессенджерах...

6. На втором месте в этом рейтинге — конечно, антивирусы. Ау, 2019 год на дворе, вы когда в последний раз дискету в компьютер вставляли? Да даже и флэшку. Файлы поступают к вам через интернет. И если вы нажали на фишинговую ссылку или открыли сомнительное вложение, то, скорее всего, помощь антивируса запоздает. Когда вы сами добровольно ввели свои логин и пароль на фейковом сайте — антивирус бессилен. Рулит базовая информационная гигиена (думать о том, что и зачем ты вводишь, скачиваешь и открываешь), а не ложная защищенность. (Поставил антивирус, думаешь, что ты защищен, и расслабился, начинаешь небрежнее относиться к данным — и привет).

Двухфакторная аутентификация, защищенные мессенджеры, удобное приложение для хранения (неповторяющихся) паролей — и, главное, голова на плечах; осознанность в действиях и понимание того, в чем заключается модель угроз ваша и вашей организации. И все будет хорошо».

[None читать оригинал]