Гигиена информационной безопасности

Иногда я пишу в своем блоге (или в ВК) заметки про информационную безопасность. Даже есть раздел такой «Информационная безопасность» на Джолли.рф.

Конечно профессиональная деформация меняет взгляды на мир (не мировоззрение, а именно ракурс взгляда). Я как-то об этом в ВК упоминал:



Плюс каждый кулик свое болото хвалит, но для меня будущее мира (через десятки лет) связано на как минимум базовых правилах гигиены информационной безопасности. С каждый днем мир становится более и более цифровым. В «цифре» сейчас знания (от энциклопедий и поисковиков до обучения в сети), деньги (от банковской карты и систем типа SWIFT до биткойнов и в целом экономики), развлечения (от игр до ТВ), общение, работа (от работы за ПК в офисе телеработы/фрилансерства из кровати), политика (от агитации за Собянина до взлома серверов демпартии США), да даже войну между странами уже сделали гибридной и это пол-пути к войне цифровой. А там где информация — там важно уметь ее оберегать от лишних глаз. Что в условиях современного мира, на половину (а то и большего) погруженного в Сеть, все сложнее и сложнее.

И простой смертный, который не понимает основ хотя бы базовых в защите информации, может жестоко поплатиться за это.

Я не претендую на написание учебника или статуса «гуру», но постараюсь на примерах показать почему и как важна информационная безопасность.

Я употребляю защиту информации и информационную безопасность, но вообще, ключевых терминов на самом деле 3 (во всяком случае я с такими терминами согласен):
  • Информационная безопасность — наиболее комплексный термин, включает в себя процессы, которые обеспечивают безопасность информации. Как технические, так и организационные.
  • Безопасность информации — состояние информации.
  • Защита информации — деятельность, направленная на обеспечение безопасности информации.

Это вольные термины, как я их понимаю. Я придерживают именно такого формата — защита информации это некая непосредственная деятельность, которая обеспечивает безопасность информации, например, с использованием технических средств. А ИБ это уже совокупность такой деятельности. Но не забивайте голову, даже безопасники эти термины не особо разделяют. ИБ типа звучит важнее, чем просто «защита информации». В английском это Information security.

Почему я разделяю в принципе? Ну вот взяли вы скан-копию своего паспорта, заархивировали и поставили пароль. Потом послали своему товарищу. Установка пароля обеспечивает защиту информации. Но если пароль слабый, средство архивирования (привет WinRar v2) дырявое, а шлете вы на ящик, который доступен 7 миллиардам человек, то вроде бы как вы защищали свои данные, но безопасность информации в итоге не была обеспечена. Поэтому говоря об информационной безопасности (ну или системе ИБ) стоит говорить о комплексе мер, которые вы предприняли, чтобы обеспечить безопасность информации. Например, запретили получателю выкладывать скан вашего паспорта на Пикабу.

— Директор, у нас дыра в безопасности
— Ну хоть что-то у нас в безопасности
© профессиональный юмор


Есть такое правило — уровень информационной безопасности характеризуется уровнем самой слабой ее части. В 99,99% случаев самая слабая и уязвимая часть любой системы ИБ — прослойка между креслом и монитором. Мы называем их «пользователь/юзер», люди называют их «человек», а сама прослойка называет себя «ЛИЧНОСТЬ!».

Человеческий фактор — самое уязвимое звено. И все от того, что люди не придают значения к тем данным, которыми обладают. Когда я только начинал свой профессиональный путь в ИБ, то мне понравилась история-пример моего начальника Управления. Он был военный шифровальщик в прошлом и как-то они расследовали такую историю:

Служили 2 товарища в армии. Дружили семьями. Ну там дети общались, на шашлыки ходили вместе и тд и тп. Оба имели допуск к самой-самой важной информации в военной части. Для простоты назовем «военная тайна». И в один прекрасный момент из сейфа пропала папка с такой военной тайной. Обоим светил трибунал, поэтому лучшие друзья начали стучать друг на друга, обвиняя в том, что именно оппонент «потерял». К процессу подтянулись семьи и буквально за мгновение лучшие друзья стали самыми страшными врагами друг другу.

Я не знаю чем закончилась эта история, но вывод сделать стоит простой — какие бы вы не были бы друзья, если запахнет жаренным, то все это прекратится. Поэтому я не понимаю когда в отделах «коллеги-подружки» друг другу оставляют пароли к важным системам. Есть поговорка «Что знают трое — знают все», но правильно она звучит как «что знает 2-е — знают все». Допустим, ваша любимая коллега и не является злоумышленником, но записала в файлике «пароли.txt» на рабочем столе ваши логин и пароль к счету вашей конторы в банке, а потом подхватила вирус. И под вашими реквизитами со счета вашей организации непонятно куда улетели деньги. Ну как же так, разве вы виноваты? Вы же просто для удобства на время отпуска/похода в магазин/на обед оставили хорошему человеку логин и пароль. Ну развитие дальнейшее будет от многих факторов зависеть, но вам все равно перепадет точно. Доверять нужно себе, да и то не всегда. Самый крутой вариант из личного опыта — начальница отдела заставила всех подчиненных собрать в одну книжку все их пароли ко всем системам, чтобы не париться в случае ухода подчиненных в отпуск. «Классика», как говорил вышеупомянутый мой бывший начальник.

Очень важно смотреть на весь процесс более масштабно. Допустим, у вас есть ненужный почтовый ящик. К нему логин пароль Vasya1234 и пароль Qwerty123. Вы его создали миллиард лет назад на mail.ru. Туда валится спам, но когда-то вы указали его как один из вариантов восстановления пароля для gmail-ящика, на который у вас завязано все.

В итоге ящик на mail.ru сломали перебором когда-то очень давно и он попал к хакеру, который через него захватил ваш @gmail ящик, а через него получил доступ к вашему счету в банке, к вашему айфону/андроиду и тд и тп. А потом фотки с вашего iCloud лежат рядом с фотками Дженнифер Лоуренс с полу-прозрачным киселем на лице в каком-нибудь паблике ВК. Просто вот сейчас подумайте сколько различных сервисов завязано на ваш gmail (или другой) ящик?



Вы катаетесь на работу в московском метро и подключаетесь к Wi-Fi халявному. Ну либо делаете это из МакДака. Если после этого вы заходите куда-то не по HTTPS|FTPS и другим протоколам с end-to-end шифрованием, то с вероятностью блондинки встретить динозавра (50/50) может ВНЕЗАПНО оказаться, что MT_Free точку доступа создал невзрачный парень в капюшоне и все ваши данные он сниффером перехватывает и собирает, а потом через некоторое время использует.



Возможно у вас Android смартфон (ну с кем не бывает) и вы любите поставить на него разные приложухи. Некоторые из них требуют Root-а. А некоторых почему-то не в официальном Google Play, поэтому вы поставили галку «загружать apk из недоверенных источников». А еще на этот телефон вы получаете SMS о зарплате на карту Сбербанка. Но вы подкованный малый и не открывали интернет-банкинг в Сбере. Вы просто получаете SMS и однажды получите SMS о том, что прям в день вашей годовой премии все средства ушли на имя некого Дроп Замсенич Фунт, с карты которого через минуту в пригороде Самары снял все средства парень в капюшоне и больших очках.

Вы звоните в Сбер и там вам говорят, что операция по переводу подтверждена кодом из SMS (который троян на вашем девайсе перехватил до вас и удалил после). Вы говорите «Я же не заводил интернет-банкинг», а вам «А у вас в договоре на 100500-й странице, размещенном где-то там на сайте, сказано, что интернет-банкинг имеют все счета по-умолчанию и подписав 3.5 листочка в отделении вы давным-давно с этими правилами договора согласились».

Этот пример учит двум вещам:
1. Любое послабление/упрощение/повышение прав ведет к понижению уровня ИБ.
2. Проверяй уровень доступа и права к информационным системам, даже если уверен, что все ОК.

Если вам добрые люди (без иронии) в ВК написали, что вы потеряли карточку в магазине/забыли в банкомате и вернули ее, то это не значит, что до добрых людей вашу карточку не сфоткали (а то и соскиммили) злые люди. Поэтому в ИБ утеря и последующее возвращение секретной информации (а банковская карточка является этой «информацией», в том смысле, что содержит) все равно является компрометацией.

Вообще с появлением NFC в телефонах требование к наличию карточки в кошельке существенно снизилось. Я специально поменял свой iPhone 5s на iPhone SE только из-за NFC (Apple Pay в данном случае). Это самый безопасный способ расплатиться (не считая кэша) везде. Самый плохой способ — выпустить карту из рук. То есть дать продавщице через окошко, чтобы она на своей стороне провела ее. Чуть менее плохой — оплачивать магнитной полосой (ее легко скопировать скиммером), вместо оплаты чипом, но это все равно доставать карту из кошелька/кармана и «светить» номер карты и срок действия. Поэтому платите везде где можно с телефона (некоторые банки еще позволяют платить кольцом, браслетом, часами) по NFC. Плюс для сомнительных операций привяжите карту к счету отдельному (или выпустите виртуальную, если речь об оплате в инете) и поставьте лимиты.

Но не нужно забывать при этом об интернет-банкинге. Конечно хорошим вариантом было бы запретить банку менять/восстанавливать доступ к вашему аккаунту в системе интернет-банкинга, но как показывает практика — это не помогает зачастую. Иногда «запрет» что-то делать без оффлайн присутствия в отделении (банка, офиса ОпСоСа) работает только на бумаге, но не в реальности.

Эту статью можно было бы писать бесконечно долго, включив, в том числе, также вопросы анонимности в сети (а с учетом уголовных дел за репосты в ВК вопрос не последний в РФ настоящего времени), но я пожалуй закончу тезисно:

1. То, что должны знать только вы — должны знать только вы. Ни семья, ни друзья, ни коллеги, никто.
2. Чем больше упущений в процессе защиты информации (в том числе и не на вашей стороне), тем больше шансов эту информацию «потерять».
3. Современный пароль должен быть хотя бы 8 символов с большими и маленькими буквами и цифрами. В идеале еще и со спец-знаками (!"$%^&*( и тд). К разным информационным сервисам — свой пароль. Вы можете для незначащих ресурсов использовать аналог Vasya1999 и пароль [email protected], но не к банковскому счету или почтовому ящику, на который завязаны важные сервисы.
4. Проверяйте наличие HTTPS у важных сайтов и не посещайте не HTTPS сайты через бесплатные точки доступа.
5. Примите как факт, что поисковые системы, ЦРУ и ФСБ следят за вами и легко определят что вы это вы, даже если зашли с другого места (никогда на работе в инете не выпадала реклама по вашим запросам, которые вы делали только дома?).
6. Единственный способ защитить данные — изолировать к ним доступ максимально. А то мы тут как-то обсуждали в Дискорде как у парня 1.5кк рублей биткойнами стащили, не удивлюсь, что он стримил с той же тачки, что и майнил. Разграничение систем и уровня доступа — важный элемент информационной безопасности. Не тестируйте левый софт на мобиле, к которой счет в банке привязан.
7. Минимизируйте вытаскивание своей банковской карты из кошелька. Один мой коллега непосредственный в день зарплаты снимает все деньги со счета. Он в ИБ банка больше 25 лет.
8. Паранойя — часть здравого смысла.
9. Левый софт (от кряков винды до игровых ботов) — заведомо дыра в безопасности.
10. Своевременное обновление ПО (особенно касающееся ИБ) — понижает шанс быть взломанным. А вот антивирусы и тд — это такое, бабушке или родителям поставить. Лучше не ходить туда, где вирусы или браузер Амиго раздают.
11. Вас в любом случае сломают. Единственный шанс защититься — сделать взлом вашей системы слишком сложным, чтобы убить интерес взломщика.
12. Самое последнее дело доверять модным штучкам типа Интернет вещей. Ну там Wi-Fi лампочки. Такие вещи делают самые далекие от ИБ люди, инфа 100%. Просто поищите в гуглах «IoT ботнет», ну или почитайте тут. Удивительно, не аналогичные профессионалы в области ИБ делают и роутеры.
13. Пароли по-умолчанию — зло абсолютное. Хуже только листик с паролями под монитором или в клавиатуре, да и то не факт.

Конечно всегда нужно держать баланс между удобством и ИБ, но лично я в своей жизни придерживаюсь правила не давать пароли важные для меня кому-либо. Второе мое правило — не получать повышенные привилегии там, где это не нужно (админ-права и тд). Третье — не ознакамливаться с информацией, которая мне не нужна (я отворачиваюсь, например, на кассе, когда кто-то вводит PIN).

Похожие публикации

Тут ничего нет

2 комментария

6uomacca
Шикарно,
аж ужасает, чего мы вытворяем своей беззаботностью — кривая вывезет, и бог спасёт чебурашку.
Читать вдумчиво и добавлять в основы поведения.
У кого-нибудь есть первые правила жизни?) Которые контролируются ежеминутно и отслеживаются, если вдруг расслабило. Если выльется в бла-бла ни о чем, и не окрашено кровью, или очень уж для закрытого пользования, то лучше не отвечать)

Джолли, спасибо, почитаю еще до полного усваивания. Это круто.
0
Комментарий отредактирован: 25 августа 2018, 01:06 (2 раза)
Jolly
Ну я вообще в жизни сторонник «Фатума». Что бы не говорил Кафл Риз про то, что нет судьбы, кроме той, что выбираешь ты сам, я считаю, что многие вещи в нашей жизни за нас выбирает судьба.

Поэтому я говорю о гигиене, а не об облачении в доспехи. Везде нужен здравый смысл затрат. Ну это как мыть руки перед едой, чтобы не провести вечер в скорой или на очке.
0