Цифровая гигиена. Том I - Владимир Федорович Безмалый

всех точек доступа. Половина из них были оборудованы средствами перехвата трафика. Мало того, большая часть перехватчиков передавала результаты на один и тот же сервер в Интернете. Мы выяснили, кому принадлежит этот адрес и провели тайные аресты. Вы были правы. Горожане и гости города использовали бесплатные точки доступа и сами отдавали свою информацию. Я доложил в имперскую службу безопасности. Думаю, вам недолго осталось служить на вашем месте. Вас ждут в столице.

– А что будет здесь? Для начала необходимо бы оборудовать остановки транспорта и места отдыха плакатами о необходимости быть внимательнее и не передавать конфиденциальную информацию.

– Позвольте об этом уже думать нам самим. Вы свободны.

– Советник, мы будем делать так, как сказал Иоганн?

– Нет! Мы уже замкнули передачу данных на себя. Теперь горожане будут передавать данные нам самим. Так куда проще, чем бегать за ними.

А вы используете бесплатный Wi – Fi? Или все же используете шифрованный трафик и одноразовые пароли? Думайте сами, что дешевле. Заплатить за трафик или заплатить за потерю данных?

Сказки о безопасности. ошибка мистера А.

– Нам срочно нужна программа поиска в больших массивах данных. Мы уже тонем в полученных данных.

– Завтра выставка производителей программного обеспечения. И там будут представители компании G, которые занимаются проблемами поиска. Кстати, там же запланирована встреча нашего руководителя ИТ господина А. с директором этой компании.

– Кто будет присутствовать на встрече с нашей стороны?

– Руководитель ИТ, руководитель ИБ, руководитель отдела баз данных. Иоганн, не морщитесь, все знают, как вы ненавидите эти формальные встречи, но нужно.

На встрече долго и упорно представители разработчиков говорили, как хорошо работает их ПО, какие они хорошие ребята, как уважают нашу компанию и прочую рекламную ерунду, обязательную в таких случаях. И пообещали прислать образец своего ПО вместе с полугодовой лицензией. Короче, все, как всегда.

Прошло три дня. Пришло программное обеспечение. Начальник ИТ стал требовать создания пилотного проекта, но руководитель ИБ резко возразил, что его служба против. Пока они не смогут провести обследование этого ПО и проверить его работу на полигоне, ни о каком пилотном проекте речи быть не может.

– Иоганн, вы что не доверяете репутации фирмы G? – спросил его директор компании.

– Нет, вы не правы. Репутации я доверяю, а вот программному обеспечению нет! И буду его проверять как любое другое!

Прошел месяц. На стол директора компании лег отчет с неутешительными выводами. Предложенное ПО систематически пыталось сливать информацию на серверы в сети Интернет. И если запретить это соединение, то программа отказывалась работать. Вывод службы ИБ был однозначен. Данное ПО предназначено не столько для поиска, сколько для хищения информации. И использовать его нельзя.

А вы всегда проверяете программное обеспечение, которое собираетесь приобретать, на наличие закладок? Или беспечно доверяете производителям?

Задумайтесь, правильно ли вы делаете? И если вы не тестируете приобретаемое ПО, то почему?

Сказки о безопасности: образование

– Иоганн, примите мои искренние поздравления по поводу защиты вашей докторской диссертации в области информационной безопасности!

– Спасибо, шеф!

– Вместе с тем должен заметить, что у меня сегодня есть не только радостный повод, но и грустный. Наша совместная служба заканчивается. Вас переводят с повышением на должность главного инспектора службы информационной безопасности в столицу. В центральный аппарат службы безопасности империи. Это открывает перед вами широкие горизонты. Я счастлив что мы служили вместе. Через три дня вы должны прибыть к новому месту службы.

– Спасибо, шеф, и до свидания! Мне было интересно служить с вами.

На новом месте Иоганну была поставлена задача. Что делать? Количество хакерских атак на граждан империи резко выросло, как и количество всевозможных гаджетов. Нужно понять, что делать дальше, так как большинство пользователей как частных, так и корпоративных с трудом ориентируется в собственной безопасности.

На совещании в службе безопасности Иоганн предложил:

– Необходимо привлечь как школы и вузы, так и телевидение, радио и прочие средства массовой информации. Создать программы обучения школьников буквально с первого класса, а на телевидении в новостях выделять отдельным блоком новости ИБ, в том числе не только что и как украдено, но и что делать для возможного предотвращения подобной атаки. Для специалистов в области ИБ предусмотреть, что если специалист в компании раз в три года не проходит соответствующие государственные курсы повышения квалификации, то он не имеет права работать по специальности, а на фирму, которая не отправила его на курсы, накладывается огромный штраф.

– Раз вы предлагаете, вам и вести передачи на ТВ, пока мы не найдем более подходящую кандидатуру.

Безусловно, работа в области образования началась далеко не сразу, но со временем граждане стали куда более внимательны, ведь самое слабое звено всегда был и будет человек.

Как мне кажется, хорошо бы чтобы вопросы обучения в области ИБ ставились на одно из ведущих мест. Увы, но сегодня техника давно и прочно обогнала знания пользователей. Уже неоднократно отмечалось, что нужно строить технические предложения таким образом, чтобы пользователь просто не смог поступить неправильно. Да вот возможно ли это? Сильно сомневаюсь!

Сказки о безопасности: на выставке

– Иоганн, скоро состоится конференция в области информационной безопасности. Там же будет выставка программного обеспечения. Вы говорили всегда, что самое слабое звено – человек. Докажите это! Необходимые для этого средства вы получите от отдела внутренних расследований.

– Задачу понял. Разрешите выполнять?

– Да что вы так официально? Я буду только рад, если вы в очередной раз заткнете рот всем этим выскочкам.

Через полчаса в кабинете руководителя службы ИБ состоялось совещание.

– Алиса, вы сможете прогуляться по выставке вместе с вашим плюшевым мишкой?

– Шеф, но откуда вы знаете? Я ведь никогда никому о нем не рассказывала.

– Алиса, я вас знаю не первый год. Вашему аналитическому складу ума может позавидовать любая электронная машина. Я знаю, что вы периодически публикуете статьи по взлому паролей. А в сочетании с вашей невинной физиономией «девочки-блондинки», играя роль непроходимой дуры, вы сможете разыграть любого мужчину. Потому и прошу просто погулять по выставке, параллельно собирая информацию, передаваемую по открытой беспроводной сети. Я верю в вас.

– Михаил, у вас другая задача. Совместно с парой сотрудников разбросать по территории конференции и прилегающей территории флешки с троянами. Посмотрим, сколько участников заразят свои ноутбуки.

И последнее. Конференция проводится три дня. На третий день запланировано ваше совместное с Алисой выступление о роли сотрудников в обеспечении ИБ. Надеюсь, что вы сможете привести там цифры с этой конференции.

Прошло первые два дня конференции. Все шло как обычно. Сонные делегаты, уставшие специалисты на выставке. Настал день третий.

После доклада Алисы и Михаила зал взорвался. Как? На них ставили эксперимент? Да еще и без их согласия? И выставили их беспечными дураками? Их? Специалистов? Да как они посмели? Да еще и вели доклад сразу и вживую, и через Интернет для всех желающих? Но дело было сделано.

Цифры, приведенные в докладе, поражали. Более 60% найденных флешек были вставлены не только в домашние ПК и ноутбуки, но и в корпоративные. Более того, около 40% из них не подверглись даже элементарной проверке на вирусы.

За два дня конференции удалось собрать пароли от персональной и корпоративной почты и даже несколько паролей интернет-банкинга. Более того, выяснилось, что около 10% использовали VPN для доступа не только к корпоративным данным, но и к персональной почте. А 20% не использовали VPN вообще. Порядка 20% использовали для доступа к личной почте двухэтапную аутентификацию.

Таком образом, служба безопасности снова подтвердила, что основное слабое звено – это сами пользователи. И вовсе не важно, какую должность они занимают.

Надеюсь вы себя в этой сказке не узнали? Ведь это всего лишь сказка, верно? Ведь вы внимательнее и умнее большинства? Не так ли?