 |
|
|
|
|
|
|
|
|
|
|
Техническое варварство – это способ мышления, предполагающий решение техническим способом любых проблем: моральных, нравственных, религиозных, правовых, иных гуманитарных. Данный способ преуменьшает значение отношений между людьми (либо вовсе их игнорирует), выдвигая на первый план процедурное взаимодействие. Типичным примером технического варварства является борьба с алкоголизмом через уничтожение производства спиртных напитков. В виртуальном мире характерный случай техварварства – борьба со спамом при помощи фильтров и чёрных списков, игнорируя экономические корни спама как рекламы.  |
Расхожее среди специалистов по ИБ выражение «человек – слабейшее звено» отражает как раз такой технократический подход. Рассмотрение человека в качестве звена (хоть слабейшего, хоть важнейшего) исключает гуманитарные аспекты безопасности. Это уравнивает человека с техническими устройствами или организационными схемами. Да, иной раз человек может быть столь же управляем, как устройство. Но, в отличие от устройства, он является носителем цели существования всей ИБ, всей ИС и всего предприятия. Тезис «человек – звено», возможно, упрощает рассмотрение проектов. Но теряем мы от этого больше, чем приобретаем. Tags: парадокс, политика безопасности, термины
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Недавно ваш покорный слуга консультировал по уголовному делу. Началось всё с кражи денег со счёта в электронной платёжной системе. Случай, скажу вам, довольно типичный. В связи с чем и предаю гласности. Метод хищения сложен, но вполне постижим почти любым мошенником. Троянская программа. Подсмотр пароля, отсылка его по электронной почте. Перевод средств в другую, потом в третью платёжную систему, затем обналичка. Но интересное (с точки зрения Кафедры экспериментального права) начинается потом. Потерпевший (или кто-то из его знакомых) оказался квалифицированным в ИТ человеком. Установил почтовый аккаунт злоумышленника. Каким-то образом выяснил его IP-адрес, ICQ, телефон и даже фамилию. И только после этого собрался идти в правоохранительные органы. Я б его удержал от такого неразумного шага, но ко мне обратились уже после совершения рокового визита. Преодолев первичные препятствия в виде охранника ("Чего надо? Не положено!") и дежурного ("Оставьте заявление, зайдите через неделю"), наш потерпевший добирается до отдела БЭП. И выкладывает на стол свои "доказательства", требуя немедленно покарать преступника. Вы уже догадались, чем оно обернулось? Нет ещё? ( Тогда читаем дальше. )Tags: НСД, криминалистика, парадокс, статья 138, статья 272
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Помню, когда я работал в маленьком интернет-провайдере, произошёл один любопытный случай. Владелец популярного сайта (не слишком высокоморального содержания, зато с во-о-от такой посещаемостью) предлагал другим сайтовладельцам разместить у него рекламу. А в качестве стимула, чтоб потенциальные рекламодатели быстрее принимали решение, помещал на своих страницах вот такой код: <img src="httр://сайт-жертва/какой-нибудь_рисунок" width=1 height=1>Число запросов подскакивало в сотни и тысячи раз против обычного, так что результат мало отличался от DoS-атаки. Вот тогда ваш покорный слуга впервые задумался о том, что нет чёткой границы между DoS-атакой и внезапной популярностью. Как между лекарством и ядом. Диалектика... Помню, как один клиент по собственной инициативе оплатил рекламу своего интернет-магазина, и в результате под наплывом посетителей его сайт лежал несколько дней (вместе с "соседями" по хостингу). Помню и противоположный случай, когда представитель российской поисковой системы пытался кляузничать на конкурента, обвиняя того в "проведении DoS-атаки" и в качестве подтверждения показывал логи с запросами с частотой 10 раз в минуту. Границу между злым умыслом и ошибочным расчётом можно провести, как это ни странно, с использованием уголовного законодательства. Имеется в виду та самая несовершенная и сто раз раскритикованная формулировка из статьи 272 УК про "блокирование информации". Должен приниматься во внимание не только сам факт блокирования, но также наличие умысла (прямого или косвенного) или неосторожности в действиях подозреваемого. Tags: DoS-атака, парадокс, статья 272, угрозы
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Иногда в странах Запада встречается такое явление, как притворное шифрование. Предположим, закон или иной нормативный акт требует шифровать те или иные данные, информацию, трафик, сигнал. Или даёт преференции в случае применения шифрования (например, использование шифрования позволяет избежать обязательного уведомления властей или потерпевших об утечках персональных данных). Но разработчик или оператор хочет сэкономить и поэтому вместо настоящего шифрования внедряет дешёвое решение, которое формально соответствует определению "encryption", но фактически ничего не шифрует и не защищает. Наблюдается в некоторых странах (в том числе, в России) прямо противоположное явление. Производитель применяет в своём продукте надёжное шифрование, но из-за разных бюрократических запретов вынужден делать вид, что никакого шифрования там нету. Например, обзывает его "кодированием" или "преобразованием формата". А иной раз и справку представляет об отсутствии. С точки зрения вашего покорного слуги, лучше быть, чем казаться. 
"Уважаемый клиент, ваша справка о том, что вы не верблюд, старше 30 дней!"
Рисунок Гатиса Шлюки (http://www.karikatura.lv/)Tags: законодательство, парадокс, шифрование
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Сколько уже лет учат нас (и учим мы), как защищать информацию по науке. Сначала определение границ системы. Затем угрозы и модель злоумышленника. Потом оценка рисков. И лишь на четвёртом этапе – политика безопасности с конкретными требованиями. Когда нет соответствующей угрозы, не нужна и защита от неё. Когда защита ст оит дороже риска – тоже нафиг такую защиту. Почему же закон "О персональных данных" написан не по науке? Почему предписанные меры обходятся дороже, чем риски? Почему вводится защита от несуществующих угроз? Зачем защищать данные, которыми не интересуются злоумышленники, спрос на которые отсутствует? На днях составляли перечень рисков, касающихся персональных данных для одной информационной системы. Класс 1, между прочим. Поверите ли, все, все без исключения риски, которые мы смогли выявить – это риски несоблюдения установленных требований. Нет, ЗоПД здесь не исключение. Многие нормативные акты во многих странах создают рисков если не столько же, сколько требуют устранить, то одного порядка. Просто ЗоПД – это рафинированный случай. Когда научный подход игнорирован полностью. Tags: оценка рисков, парадокс, персональные данные, угрозы
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Вспомнилась курьёзная история. Не очень давно вашего покорного слугу позвали выступить специалистом по защите информации в уголовном процессе. ( Специалист – это такой процессуальный статус, навроде переводчика с технического на юридический.) Судья, изучив документы об образовании и опыте работы, отказал в ходатайстве. По причине отсутствия профильного (т.е. по специальности "ЗИ") образования. Когда я учился в Университете, такой специальности просто не существовало в природе. А когда она появилась, то первых слушателей, естественно, обучали преподаватели, не имеющие образования по специальности "ЗИ", и ваш покорный слуга в их числе. Читая курс по защите информации, сам я его прослушать так и не смог. Выходит, я не специалист. На том процессе в качестве специалиста выступил один из моих учеников. У него были корочки с соответствующей записью. Впрочем, в других процессах, где я участвовал, судьи принимали более адекватные решения. Tags: защита информации, обучение, парадокс
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Ваш покорный слуга постоянно наблюдает жаркие споры по поводу законности применения различных средств защиты информации. И даже сам в них участвует. Не менее напряжённые споры идут про этичность этих средств и методов. Новые технологии всегда конфликтовали с законом. В лучшем случае они выходили за пределы правового поля – в те отношения, которые законодатель ещё не урегулировал или которые ещё не существовали до возникновения соответствующих технологий. В худшем – новшества просто оказывались вне закона. Новые технологии всегда конфликтовали с моралью. Правда, мораль (этика), в отличие от закона, не имеет "белых пятен" и всегда готова выдать суждение по любому вопросу. Зато мораль более гибкая и быстрее приспосабливается к новым условиям. Бояться этих противоречий не стоит. Наличие конфликтов означает, что техника развивается, выходит в новые, до того незнаемые области. Отсутствие же конфликтов означало бы, что мы топчемся на месте. Tags: законодательство, защита информации, парадокс
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Когда ваш покорный слуга учился в Полицейской академии, мы изучали там совсекретные документы – те, что с двумя нулями в номере. Экзамен по ним сдавали, рефераты сочиняли, то, сё... Двухнулёвые тексты читать ходили в спецбиблиотеку. Выдача литературы по предъявлению служебного удостоверения. И вот однажды спецбиблиотекари спохватились и потребовали от всех курсантов принести справку о допуске к гостайне по форме номер два. Ну, справку – так справку. Отправился я к начальству и попросил. По форме номер два. На меня сначала вылупились как на сумасшедшего. Потом, поняв, что никого оскорбить я не хотел, долго смеялись. Потом объяснили, что если я буду хорошо служить и не раздражать начальство, то мне когда-нибудь, возможно сделают допуск по форме номер три (секретно). А про номер два (совсекретно) я могу даже не мечтать. Почему? Потому что молод ещё, недостоин. Не заслужил. Наконец до вашего покорного слуги дошло, что "допуск" – это надбавка к окладу (кажется, 10 и 25% соответственно). Конечно, никто её просто так не даст. Заслужить надобно. "Вторую форму" во всём нашем отделе имеют лишь двое: начальник и его первый зам (для сравнения: "блатной" табельный револьвер Р92С – пятеро). «В таком случае, – поинтересовался я, – как же мне изучать совершенно секретные приказы 004 и 007?» «Очень просто, – начальник открыл сейф. – На, изучай. Только домой лучше не уноси.» Вот... так я собирался сказать об очередном парадоксе ИБ. Казалось бы, описывая режим гостайны, законодатель хотел как лучше. А получилось так, что для одних гостайна – не тайна, а всего лишь надбавка. Для других – не тайна а всего лишь пять лет без отпуска. Для третьих – вообще ничто, ибо уголовная ответственность за разглашение предусмотрена только для тех, кто был официально допущен. С коммерческой тайной и прочей конфиденциальной информацией творится ровно та же фигня. Так что пусть коллеги не удивляются, что знают одни, а числятся другие. Tags: защита информации, парадокс
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Когда ваш покорный слуга учился на военной кафедре, мы сперва изучали технику вероятного противника. Были альбомы с фотографиями, ТТХ и сведениями о комплектовании. Затем мы перешли к отечественной технике. Тоже альбомы с фотками и ТТХ, только они почему-то были изданы в США (репринтное воспроизведение в типографии Минобороны). На недоуменные вопросы курсантов преподаватель пояснил, что все ТТХ нашей военной техники суть военный секрет и государственная тайна. Соответствующий допуск получают лишь на 4 курсе, а пока – вот. Учите по западным изданиям. Они не секретные. Но в них всё точно. Я даже не упоминаю, что это всё происходило в советские времена. Отчего-то уверен, что оно до сих пор так. Или очень похоже. К чему это я? Когда секретится всё подряд без разбора, широкими взмахами государственной длани, то в результате происходят не только забавные казусы, про которые можно потом травить байки. И не только растрата средств (секретность, она, сцуко, затратная). Происходит ещё и обесцениванье. Посмотрит работник на секретную фигню, на совершенно секретную ерунду, конфиденциальную чушь, да на бред особой важности. Разок посмотрит, другой, десятый. И решит, что всё это вообще несерьёзно. Впрочем, кто я такой, чтобы учить жить Министерство обороны? Им виднее. Но у нас, у штатских всё очень похоже организовано, только секреты пожиже, да сроки пониже. А тараканы те же. Ну, вы меня поняли... Tags: безопасность, защита информации, парадокс
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Вспоминается удивительный случай 2004 года. В одном маленьком государственном предприятии, которое работало со сведениями, содержащими гостайну, стояла сертифицированная на это дело ОС "Windows XP Pro SP1". И вот, выходит SP2, закрывающий кучу дыр для вредоносных программ, которые уже резвятся вовсю и только чудом ещё не проникли на "гос-тайные" компьютеры. Антивирусов, как вы понимаете, там нет по причине отсутствия у них сертификатов ФСБ. Сервис-пак вышел, но накатить его нельзя – система перестанет быть сертифицированной, а последствия обработки гостайны на такой системе весьма серьёзны вплоть до уголовной ответственности. Но и пренебречь патчем тоже нельзя – дыры же просто зияют, все вирусы о них знают, того и гляди не убережёшься. Не говоря уже про умышленного супостата. Ставить патч или нет? Защитить себя де-юре или де-факто? Быть или казаться? Шашечки или ехать? Страшная дилемма! Какую из двух зол выбрали сисадмины предприятия, я вам не скажу, поскольку в любом из вариантов они были неправы. Tags: защита информации, парадокс, сертификация
|
|
|
|
|
|
|
|
|
|
![[info]](http://l-stat.livejournal.com/img/userinfo.gif){kind=small}
infowatch's journal
