Никто не предложит новое решение в области безопасности до тех пор, пока не произойдет какая-то громкая ошибка.
_Все мы так или иначе пользуемся информационными технологиями, обмениваясь электронной почтой, обновляя фотографии и статусы в социальных сетях, разговаривая по Skype и составляя списки покупок в заметках телефона. О том, насколько защищена эта информация и есть ли вообще повод беспокоиться о ее сохранности, корреспонденту «Вслух.ру» рассказал генеральный директор «КБ-Информ», старший преподаватель кафедры информационной безопасности Института математики и компьютерных наук ТюмГУ Константин Бажин_.
— Константин, расскажите, какие информационные риски сопровождают современного человека, пользующегося такими благами цивилизации, как Интернет и сотовая связь?
— IT — это лишь одна из прогрессивных возможностей обеспечить человека всеми прелестями жизни здесь и сейчас. Это и причина повсеместного внедрения IT. В наши дни Интернет проникает во все, мы постоянно передаем в Сеть какую-то информацию, часто даже не задумываясь о ее потенциальном значении.
Идет к тому, что мы воссоздадим свой физический образ в виртуальном мире, как в фильме Аватар. И зависимость нашего физического образа от виртуального с каждым днем становится все сильнее и сильнее. Проще говоря, чем больше информации о нас размещено в виртуальном мире, тем больше угроз информационной безопасности существует. Если информацию можно каким-то образом использовать, на нее обязательно возникает спрос.
— Какая информация рядового гражданина может представлять ценность?
— Любая, все зависит от мотивации злоумышленника. Допустим, я представитель конкурирующей компании. Мне будут интересны данные о величине стоимости конкурсной документации, которую компания-конкурент может подать на конкурс.
Или, к примеру, я могу проанализировать лиц, которые вступают в контакт с моими конкурентами, определить слабые точки. Уже сегодня, собирая информацию об этих людях в Интернете, я могу выяснить дату рождения, перечень лиц, с которыми они общаются, их интересы.
Допустим, мы узнали личную информацию о человеке. Ее можно использовать. Дело в том, что от 60 до 80% паролей, которые ставят люди в Интернете — это дата рождения, имена детей и домашних питомцев. Комбинируя известные данные, я потенциально могу получить доступ к социальным сетям, почтовым программам.
Почему бы не пересечься с главным экономистом конкурирующей компании в месте, где она постоянно бывает и отмечается, и ненароком не рассказать о том, что я тоже собираю марки и у меня есть именно та, которая ей нужна? Наверняка, человек не сразу задумается о том, что это ловко подстроено. А я тем временем заручусь лояльным отношением.
Чаще всего информация, которую мы оставляем в Сети, безвредна, но от мотивации злоумышленника зависит многое. Мы говорим о том, с кем и где общаемся, где отдыхаем, кто в друзьях у наших друзей
— И как много у нас потенциальных недоброжелателей?
— На самом деле, инциденты, связанные с информационной безопасностью, происходят сплошь и рядом, но в силу каких-то причин мы стараемся о них не говорить. Отсюда появляется ложное ощущение безопасности. На самом же деле в организациях с завидной регулярностью воруют деньги, взламывают пароли, аккаунты, банковские системы.
Любая атака начинается со сбора персональных данных. Социальные сети сегодня — один из основных источников получения информации об объекте атаки. Впрочем, так сейчас работают даже менеджеры по продажам. Они пробивают человека по социальным сетям, находят общие связи, созваниваются и получают лояльный контакт благодаря тому, что у них находятся общие знакомые.
— В таком случае, чем больше устройств, которыми пользуется человек, подключены к Интернету, тем выше риски информационной безопасности?
— Конечно. Появление Интернета вещей влечет за собой создание новых стандартов хранения информации. Если информационным сетям доверяется управление инфраструктурными объектами, то это большие угрозы для нормальной жизни человека.
У нас недавно был перебой с электричеством в Тюмени. Я думаю, что в этот момент все поняли, как мы от него зависим. Уже сегодня в Тюмени есть электронные системы, которые управляют движением. Стоишь на перекрестке и не можешь двинуться куда-либо. И со временем проникновение таких систем в разные сферы жизни будет только увеличиваться.
Проблема в том, что даже самые продвинутые и защищенные информационные технологии легко обойти, просто подкупив человека, который их обслуживает. Не нужно тратить огромные деньги на анализ уязвимостей, хотя это тоже способ. Проще заплатить кому-то денег и получить доступ изнутри.
— Можно ли исключить человеческий фактор вообще?
— Только если речь идет об искусственном интеллекте. Исключить человека из каких-либо цепочек — сложно. Мы ведь принимаем решения, исходя из собственного опыта.
Насколько я знаю, сейчас ведутся разработки алгоритмов, которые позволяют машинам принимать неявные решения на основе накопленной информации. Но я думаю, что компьютеры всегда кто-то будет контролировать. А когда есть человек, есть и риск ошибки.
— В каком направлении должна развиваться защита информации этом случае?
— Защита информации всегда строится на поиске золотой середины. Создаваемая защита должна соответствовать тем рискам и угрозам, которые имеются. На мой взгляд, информационная безопасность должна развиваться в направлении постоянного учета и анализа информации. Но, к сожалению, в России это направление не слишком развито.
Наш бизнес не заинтересован в защите информации, потому что многие предприниматели даже не слышали о виртуализации. Они не понимают, как можно работать, лежа на пляже в Турции. Для них бизнес существует только в классическом виде: с офисом, компьютерами.
Данная ситуация приводит к тому, что разработчики программного обеспечения не мотивированны на создание новых средств защиты информации. Малый и средний бизнес за такие новинки платить не хочет, а крупный бизнес требует готовых решений, которые можно купить за рубежом.
— Получается, прогресс IT определяет бизнес?
— Как и любой человек, бизнесмен всегда хочет делать больше с меньшими затратами. Руководитель компании хочет больше автоматизации. В последнее время и государство стимулирует развитие данного направления. Но емкость рынка у бизнеса больше, чем у государства.
IT помогают крупным компаниям сокращать расходы. К примеру, существует такое направление, как защита BYOD-устройств. Если у сотрудника есть домашний компьютер, зачем покупать для него рабочий? Пусть приходит и подключает свой. Вот тогда и возникает вопрос: а что есть вредоносного на этом ноутбуке или какую важную информацию он может на нем унести?
Все мы пользуемся почтой, приложениями, задачами на мобильных телефонах. Это удобно и эффективно, но защита портативных устройств — это тоже целое направление. Правда, вопрос в том, что никто не предложит какое-то новое решение в области безопасности до тех пор, пока не произойдет какая-то громкая ошибка.
— В таком случае информационная безопасность постоянно догоняет злоумышленников?
— Дело в том, что человеку всегда нужен какой-то стимул. А так как потребность в защите информации — не явная, пользоваться программами, которые защищают устройства, человек начинает только после того, как у него что-нибудь украдут. Человек не всегда думает о том, что за ним могут следить, что его устройства могут взломать.
— Как простому человеку защитить свои данные?
— Есть базовый набор действий, которые нужно выполнять. Антивирус — это раз, надежный пароль — два, шифрование — три. Шифрование дает возможность сохранить конфиденциальность данных даже при условии их попадания к третьим лицам.
Не используйте простые пароли, придумывайте сложные. Набирайте русскими буквами на английской раскладке целые предложения, к примеру, «Хочупорш1905года». Это будет пароль, который вряд ли есть где-то в словарях.
Не стоит впадать в паранойю, но нужно знать, что вся информация, которая о вас есть, всегда может кому-то пригодиться. Просто помните об этом.
Мы же знаем, что нас может сбить машина, когда мы переходим дорогу? Нас учат смотреть по сторонам и только потом выходить на проезжую часть. Здесь то же самое: информация, которая попадает в Сеть, потенциально может вам повредить. Контролируйте свои действия.
Последние утечки интимных фотографий знаменитостей — яркий пример. Да, облачные хранилища — это удобно, но нужно хранить там только то, что не сможет вам навредить. Снимай я какое-нибудь хоум-видео, я бы не стал его размещать в облаке.
Ключ к информационной безопасности — это осведомленность. В нашей области около 80% инцидентов происходят по причине отсутствия простейших знаний о том, что могут повлечь за собой те или иные действия и бездействие.
— Чем меньше информации о человеке находится в сетях, тем в большей безопасности он находится?
— В принципе, да. Но нужно понимать, что вам дают социальные сети и что вы потеряете, отказавшись от них. Если вам действительно нечего скрывать — ничего страшного. Но если вероятность реализации угрозы выше, чем получение бонусов, лучше не выкладывайте информацию. Отказываться от них совсем я смысла не вижу. Но надо думать и взвешивать свои решения.