Статья опубликована в IT Manager №2 2013 http://www.it-world.ru/tech4business/security/45018.html

Написал и задумался. Ведь сейчас сложно обойтись без поисковых систем, карт, интернет-банкинга или электронной почты. Кроме того, компьютер в современной жизни, особенно благодаря изделиям от Apple, становится показателем статуса.

2012-й вошел в историю как год, когда закончилось господство персональных ПК. Вслед за Apple и Google Microsoft сделал ставку на многообразие устройств: мобильные телефоны, планшеты, набирающие популярность телевизоры с операционной системой. Все эти устройства стремительно вытесняют компьютеры с лидирующих позиций, и все чаще вместо жесткого диска используются облачные хранилища. Широкое распространение получают социальные сети. Однако стоит понимать, что у любой технологии есть оборотная сторона. Все чаще и чаще люди сами заявляют в социальных сетях о том, что находятся в конкретном месте и описывают свою частную жизнь. Общество начинает само за собой следить. Однако стоит понимать, что оперировать можно только той информацией, которой владеешь. А ведь сегодня мы с вами прекрасно знаем, что зачастую рекламная индустрия крайне заинтересована в том, чтобы внушить нам «реальность» в соответствии со своими целями, и нельзя исключать ситуацию взлома системы и подмена информации.

Защита в нагрузку

Мы много и долго говорим, что пользовательский ПК нуждается в защите. А так ли это? Многие ИТ- и ИБ-специалисты, прочитав последнюю фразу, будут удивлены, мол, а как же?! Конечно нужно! А я задам провокационный вопрос: а зачем?

Что сегодня хранит пользователь на своем домашнем ПК? Фотографии? Фильмы, скачанные с ближайшего пиратского сервера? Ворованное ПО? Ведь в большинстве случаев домашние ПК используются для развлечений. Ну попытаются взломать, ну неприятно… Если я не использую интернет-платежи, что мне за вред от банковского трояна? Никакого! Если у меня безлимитный интернет, что мне за вред от червя, живущего на моем ПК? Скорость упала? И что? Пусть себе живет. Вирусы? Ну, заразили, подумаешь… Позову соседа, переставит ОС. Все равно ведь не купил же я ее, в конце концов. Ну упала, и что? В конце концов, поставят бесплатный антивирус. Ну и что, что реже обновляется? Зато ХАЛЯВА!

Все верно. До поры до времени. Не зря ведь говорят, пока гром не грянет, мужик не перекрестится. Вот и бегают потом, кричат, что на ПК была единственная копия диплома! Защита через неделю, а резервной копии нет. SOS! Так и хочется спросить: «А чем же вы думали, уважаемый? Ведь вас предупреждали!» А думали, что пронесет! «Флешки» вставляли вирусные (так на то ж и «флешка», чтобы вставлять!). По Интернету гуляли, порнография потребовалась, кто ж знал, что там вирусов полно! Я ж думал, раз у меня антивирус, то и не страшно. Как какой? Бесплатный! Я ж мало зарабатываю! Обновления ставили? Да нет, у меня ж «винда» пиратская, а вдруг работать перестанет?! Как почему не купил? Говорю же, зарабатываю мало. Помогите! И что самое интересное, помогают. А потом этот же пользователь уверен, что вот Вася (Петя, Маша) — крутой специалист, за бутылку коньяка компьютер починил… И после этого мы хотим, чтобы он о чем-то задумался? А зачем?

И вот тут в полный рост встает проблема BYOD — использование личных устройств на работе. Распространение принципа BYOD — использования сотрудниками личных устройств в рабочих целях — делает рынок средств администрирования мобильных устройств (Mobile Device Management, MDM) одним из самых активных в корпоративных ИТ.

Однако все популярные мобильные операционные системы страдают от ограничений, не позволяющих создать единые для всех стратегии удаленного управления и обеспечения безопасности данных. Такие выводы делают аналитики фирмы Ovum в очередном докладе Solutions Guide: Enterprise Mobile Device Management Vendors. Главной проблемой для ИТ-службы является обеспечение конфиденциальности, целостности и доступности корпоративной информации. Все это накладывает дополнительные требования на пользователя, однако сегодня он ни своими знаниями, ни умениями не успевает за развитием техники. Более того, появление интеллектуальных машин и компьютеров привело к тому, что пользователи начинают к ним относиться как к холодильнику: включил и работает. Правильно ли это? Думаю, нет.

Что имеем — не храним

На одном из форумов на замечание о безопасности и о том, что надо иметь мозги, мне было заявлено, что дело пользователя — включить и работать, а безопасность — это проблема разработчиков. Что тут ответишь? Вот вам несколько примеров, к чему это приводит.

Вспомним UAC (User Account Control) в Windows Vista/7/8. Вроде бы благое начинание — отучить пользователей работать с правами администратора. И сделано неплохо. НО! Первое, что потребовалось пользователям, — отключить UAC! Он, видите ли, мешает работать. Хотя на самом-то деле отнюдь не мешает, а наоборот, способствует более высокому уровню безопасности. Но пользователи не готовы ограничить свои потребности, хотя и требуют надежной защиты. Но так ведь не бывает!

Вспомним другой пример. Не так давно в Интернете прозвучало, что все существующие на сегодня 14-значные пароли Windows можно взломать методом грубой силы (Brute Force) за несколько часов. Вывод? Парольная система ненадежна! Но давайте говорить откровенно. Можно ли заставить пользователя применять пароль длиннее 8–9 символов, и к чему это приведет? Пароли тут же записываются на бумажку, приклеенную к монитору, клавиатуре и т.д. Или службу поддержки тут же начинает лихорадить, поскольку пользователи забывают пароли в массовом порядке. Вывод вроде бы прост — использовать системы многофакторной аутентификации. Но и тут не все так просто.

Разработчик программного обеспечения, компания Siber Systems, известная своим менеджером паролей RoboForm, провела опрос пользователей с целью узнать, как они воспринимают требования информационной безопасности в Интернете и что готовы сделать для защиты конфиденциальных данных. В опросе приняли участие жители разных стран, преимущественно США и Западной Европы. 60% из них выразили уверенность, что интернет-компании безответственно относятся к защите персональных данных своих клиентов. Каждый третий (31%) не доверяет организациям, хранящим данные в облачных сервисах. Почти 30% респондентов сказали, что хотя бы один из их аккаунтов когда-то был взломан. Чаще всего это электронная почта (53%), аккаунт в социальной сети (29%) или счет в интернет-магазине (23%). Не доверяя интернет-компаниям, казалось бы, пользователи должны полагаться на собственные силы в защите конфиденциальных данных. К сожалению, это не является очевидным фактом для большинства. Так, около 80% граждан продолжают пользоваться тем сервисом, где у них был взломан аккаунт, а каждый третий использует одинаковый пароль на работе и дома.

Но самое интересное, что не все пользователи готовы перейти на более защищенные методы аутентификации, если такие доступны на некоторых сайтах в Интернете. Например, если сервис предлагает двухфакторную аутентификацию и присылает дополнительный код на мобильный телефон, то для 13% респондентов такой метод «слишком сложный». Каждый четвертый пользователь (26%) сказал, что у него «нет времени» проходить подобные процедуры.

При этом люди вполне понимают, что подобные техники повышают их безопасность: 42% говорят, что они больше доверяют именно тем компаниям, которые предлагают двухфакторную аутентификацию для дополнительной защиты.

Еще один интересный факт обнаружился при опросе пользователей разных возрастов. Оказалось, что больше половины (55%) респондентов старше 45 лет считают собственным делом защиту персональной информации. А вот среди более молодых граждан, наоборот, больше половины (58%) считают это заботой интернет-компании.

Безопасно или удобно?

По данным недавнего исследования ZoneAlarm, в котором приняли участие 1245 человек, большинство представителей поколения Y (поколение родившихся после 1980 г.) не придают интернет-безопасности должного значения. Только 31% опрошенных считают безопасность важнейшим фактором при принятии решений, связанных с использованием компьютера. В основном же представители поколения Y отдают развлечениям и общению более высокий приоритет по сравнению с безопасностью. Тем не менее, 50% участников исследования отметили, что сталкивались с угрозами безопасности своего компьютера в течение последних двух лет.

Еще интереснее дело обстоит при использовании мобильных устройств. Сегодня существует два подхода к созданию и использованию приложений для смартфонов. Назовем их условно «закрытый» и «открытый». Что я имею ввиду? «Закрытый» — это идеология Apple и Microsoft. Каждое приложение подвергается пристальному анализу. Все приложения можно загрузить только из соответствующего магазина приложений. Сложно? Да! Безопасно? ДА! Конечно, можно сделать джейл-брейк, но это приведет к снижению уровня защищенности. А ведь делают — потому что «так удобней».

Открытый — подход Google. Да, можно загрузить приложения с Google Play, но никто не запрещает загрузить их со сторонних магазинов приложений. Удобно? Безусловно! Приложения публикуются чаще, потому как проверяются реже. Пользователь имеет полный контроль над своим мобильным устройством. К чему это привело? Уже более 30 000 экземпляров вредоносного кода существует для Android. И количество «вредителей» растет и растет.

Какой же вывод? Пока пользователь сам не осознает, что ему нужно самому обеспечивать свою безопасность, большинство технических средств практически бессильны!