пятница, 27 августа 2010 г.

О социальных сетях, закручивании гаек и осведомленности

Как и ожидалось, после обвинения социальных сетей в том, что они являются источником  утечки информации, особенно персональных данных, и началом крестового похода против них в виде закручивания гаек и запрещения использования подобных ресурсов, последовала адекватная реакция.
В ход пошло все. Пригодились и проверенных временем варианты обходов файерволов типа:
  • использования анонимайзеров 
  • "договорился с администратором - он человек добрый, разрешил"
  • принес свой модем (слава богу 3G модем не больше флешки - легко и удобно), воткнул в рабочий комп и "все равно буду пользоваться"
И пользователю по барабану, что создают огромные дыры в защите компании. По большому счету они об этом даже не задумываются.

Появились и инструменты автоматизации нелегальной передачи данных через социальные сети. Например, добрые дяди из  Технологического института Джорджии (США) разработали инструмент под названием Collage, который позволяет интернет-диссидентам вставлять скрытые с использованием стеганографии сообщения в Twitter-посты и Flickr-фотографии, чтобы обойти цензуру и обмануть "репрессивные правительства". Да здравствует демократия!
Стеганография не подходит для чатов? Пожалуйста - вот вам "Код 9" - простая система условных сигналов, что над тобой кто-то стоит и контролирует переписку и нужно сменить тему.
Короче повторяется та же ситуация что и с другими контролями.  Ввели 28-символьные пароли, которые обязательно должны включать символы английского, русского и иврита, а также цифры и минимум 5 спецсимволов, а также должны меняться каждую неделю? А мы их на стикер запишем и приклеим к монитору!
Разделили права в системе на выполняющего и проверяющего? А мы паролями обменяемся!
Карточный доступ в компанию с фиксацией времени кто когда ушел/ пришел? Сосед придет пораньше с моей карточкой отметиться, а я вечером с его, ибо он ушел пораньше!
Нет прав на установку софта? Принесем pоrtable версию!
При этом повышение осведомленности пользователей, объяснения почему вводятся нет или иные ограничения чем чревато для компании не соблюдение тех или иных правил считается излишним баловством: "все люди взрослые - должны понимать..."
Как результат, каждое "техническое" усиление безопасности в реальности приводит к появлению еще более серьезных уязвимостей и проблем с безопасностью.  

7 комментариев:

  1. К буллетпойнтам я бы еще Tor добавил, в т.ч. и portable. А если по-честному, то с таким уровнем проникновения смартфонов как в последние год-два, скоро корпоративные контроли будут попросту не актуальны =)

    Баланс между технической и административной составляющей всегда смещаю вправо -- обучение пользователей и формальное закрепление ответственности is the must.

    ОтветитьУдалить
  2. Расскажу историю из опыта... Как то обратилась к нам сотрудница, дескать подчиненные на работу забили, сидят в интернете, а им никак по правам не положено. Обратились в ИТ, мол с таких тачек куда-то лезут, посмотрите. Выяснилось, что в интернет с 3-х тачек сразу лазит сотрудник безопасности, который уже 2 недели как в отпуске. И что самое интересное, он за 2 дня до ухода в отпуск поменял пароль. В общем затеяли расследование, портабл версию изъяли, и тут началось… Откуда пароль узнали? Откуда версия? И т.д. Похоже эта версия использовалась уже года два, т.к. переходила из рук в руки. Соответственно и сохранилась история пользователей, логины и т.п. В общем знатный был тогда расстрел, причем больше всего раздали тем, кто свои пароли расскрывал. Но это я все к чему: выводы у Вас, Владимир не очень правельные. С одной стороны да, просвещенность пользователей растет… Но это и не плохо, т.к. попутно растет и ихний проффесианализм. С другой стороны требуется более серьезные мероприятия со стороны безопасности. И это тоже хорошо, потому что пользователи не знают уровень ИБ в Банке, и такие мероприятия наганяют страху, что в целом положительно сказывается на уровне ИБ. Плюс падает количество злоупотреблений на местах. И работать народ лучше начинает (т.к. больше то и заняться нечем:) ).

    ОтветитьУдалить
  3. Распространенное заблуждение. Даже заблуждения.
    Люди больше не работают из-за того,что все остальное запретили. Более того, они работу делают хуже. Поверьте моему управленческому опыту :)
    Нагоняние страха как метод соблюдения правил работает с _некоторыми_ сотрудниками. А нужно, что бы соблюдали _все_.

    ОтветитьУдалить
  4. А как вам идея ввести премии за соблюдение информационной безопасности? Например, заложить в зарплату бонус "за отсустсвие инцидентов ИБ".
    Не открыл ни разу соцсеть на работе, запомнил пароли, всегда блокировал компьютер, отходя налить чаю - имеешь право на бонус.
    А еще лучше - бонус 70% лучших сотрудников.

    ОтветитьУдалить
  5. Премия за выполнение обязанностей? Т.е. ходим на работу - просто оклад, что-то делаем - премия? Мне кажется, идея будет иметь низкую популярность в бизнесе.

    ОтветитьУдалить
  6. Так что остается? Срах - не на всех влияет, бонусы - бизнес не поймет точно...
    Остается работать и работать службе по ИБ - объяснять, разъяснять - "вдалбивать" политику иб?

    ОтветитьУдалить
  7. Однажды Сисадмин пожаловался Учителю:

    – Мы выдали всем нашим пользователям индивидуальные пароли, а они не желают хранить их в тайне. Записывают на листочках и приклеивают к мониторам. Что нам делать? Как заставить их?

    Инь Фу Во спросил:

    – Сначала скажи, почему они это делают.

    Сисадмин подумал и ответил:

    – Может быть, они не считают пароль ценным?

    – А разве пароль сам по себе ценный?

    – Не сам по себе. Ценна информация, которая под паролем.

    – Для кого она ценна?

    – Для нашего предприятия.

    – А для пользователей?

    – Для пользователей, видимо, нет.

    – Так и есть, – сказал Учитель. – Под паролем нет ничего ценного для наших работников. Надо, чтоб было.

    – Что для них ценно? – спросил Сисадмин.

    – Догадайся с трёх раз, – рассмеялся Учитель.

    Сисадмин ушёл просветлённый и сделал на корпоративном портале персональные странички для всех работников. И на тех страничках был указан размер зарплаты. Узнав об этом, все пользователи забеспокоились о своих паролях. На другой день в курилке обсуждали размер зарплаты Главбуха. На третий день ни у кого не было видно листочков с паролями.

    ОтветитьУдалить