30 мая 2012

Трансграничный маразм

Есть ли границы в интернете? Вопрос впервые был задан не вчера, но однозначного ответа на него до сих пор нет. Впрочем, для политиков и чиновников всё гораздо яснее: интернет - продолжение их страны, соответственно, и законы в нем должны работать точно те же, что и в ней. Должны, но только вот почему-то не очень-то работают.
Очередной пример из жизни преподнесли британские ученые законодатели.
На минувших выходных крупные британские веб-сайты начали работать в соответствии с новым законом, так называемым Cookie Law, который требует, чтобы при первом посещении сайта пользователь уведомлялся о том, что его действия будут отслеживаться со стороны веб-вервера. Ввиду того, что сейчас почти все сайты раздают cookie-файлы пользователям для работы с персонифицированным контентом, теоретически, закон затрагивает все сайты.
Однако на сегодня в соответствие данному закону свои сайты привели лишь крупнейшие компании, такие как британский вещатель BBC, местные газеты и журналы, а также телеканалы и интернет-СМИ. К слову сказать, сама корпорация BBC сегодня опросила ряд чиновников, ответственных за реализацию закона, и те признали, что он пока фактически не работает, так как в полной мере его поддерживают не более сотни сайтов, хотя времени на подготовку у операторов было достаточно.
Что тут можно сказать, кроме сакраментального "комментарии излишни"? Почему-то даже британцы при создании подобных законов не считают нужным советоваться со специалистами, что уже говорить об отечественных горе-законодателях с их бесчисленными поправками к закону "О персональных данных".
На самом деле, есть всё-таки какое-то рациональное зерно в этих пиратских партиях, возникающих в Европе как грибы после дождя. Всё-таки с теперешними тенденциями заботы о правообладателях и о безопасности пользователя мир безудержно сказывается в какой-то тихий (не такой уж и тихий, на самом деле) маразм, и не помешает здоровой технократии, которая поправит положение дел.
Так что, дамы и господа, самое время подумать над созданием всемирного движения специалистов по ИБ, которое поможет  разрулить многочисленные "косяки" в законодательстве многих стран. Кто за? Кто против? Кто воздержался?
Р. Идов,
аналитик компании SearchInform

25 мая 2012

Голосовые интерфейсы

Сегодня хотел бы обсудить в нашем блоге проблему безопасности голосовых интерфейсов. Для начала давайте узнаем, есть ли, в принципе, такая проблема? На первый взгляд может показаться, что её, в общем-то, как бы и нет. На самом деле, к сожалению, всё не так гладко, как хотелось бы. 
Вот первая тревожная ласточка: Компания IBM блокирует использование голосового помощника Siri, используемого в смартфоне iPhone, в своих корпоративных сетях, чтобы избежать возможной утечки конфиденциальной информации, пишет сайт Technology Review со ссылкой на директора по информационным технологиям компании Жанет Хоран (Jeanette Horan). Запрет Siri связан с опасениями, что сообщения или заметки, которые пользователь диктует с помощью этой функции, могут быть сохранены третьей стороной: при работе Siri голосовые команды передаются на серверы Apple для распознавания и обработки. Подробнее здесь.
Итак, что мы имеем? Мы имеет очередной повод задуматься над безопасностью "яблочных" решений. Это если смотреть узко. А если взглянуть немного, буквально чуть-чуть, пошире, то мы увидим то, что голосовые интерфейсы проектировались без оглядки на вопросы обеспечения информационной безопасности. Маркетологи и специалисты по юзабилити трудились с максимальной самоотдачей, а вот безопасников, как обычно, никто не спросил. Что ж, получим мы, в общем-то, знакомую уже чуть ли не до боли картину: бесконечное залатывание дырок в непродуманных изначально системах.
Впрочем, передача данных на серверы Apple - это вершина айсберга. Есть проблемы и посерьезнее. Вспомним известную SQL-инъекцию, которой болела куча сайтов ещё лет пять-шесть назад. Почему подобного рода уязвимость не может быть реализована в речевых технологиях? Почему бы не предположить, что какая-то комбинация звуков "снесет крышу" программе, которая их распознает, и позволит распространять в системе вредоносный код? А бэкдоры, которые тоже можно таким же образом активизировать?
В общем, можно как бы и порадоваться, что работа для нас будет, и деньги, соответственно, тоже. С другой стороны, огорчает, что бледнолицые братья в который раз стали на одни и те же грабли...
Р. Идов,
аналитик компании SearchInform

24 мая 2012

Двухсотый пост

Ура, наш корпоративный блог наконец-то дожил до двухсотого по счету поста. Это, конечно, не такая уж и большая цифра по сравнению с теми блогами, в которые пишут по несколько раз в день на протяжении десятка лет, но всё-таки это показывает, что наш блог - не однодневка. Нас читают, нас комментируют и даже цитируют.
Поговорить же в этот раз хотелось бы о такой проблеме, как безопасность информации на лэптопах. Не секрет, что большая часть лэптопов никак не защищаются от каких бы то ни было возможных инцидентов в сфере информационной безопасности. Даже такая элементарная вещь, как защита данных при краже ноутбука применяется считанными компаниями. Причем чем выше уровень руководителя, которому принадлежит лэптоп, тем больше вероятность, что он не будет никак защищен. "Со мной этого не произойдет", - с уверенным видом заявляет топ, оставляя ноутбук лежать на видном месте в своём джипе, уходя в магазин. И удивляется, выйдя из него, виду разбитого стекла автомобиля.
Пожалуй, культура безопасности ноутбуков сегодня - одна из наиболее низких в ИБ вообще, даже в западных странах. Может быть, пора законодательно вводить обязанность для компаний защищать свои корпоративные лэптопы? Понятно, что если кто-то из сотрудников потеряет лэптоп, то пострадает больше всего сама компания, но что, например, если на этом компьютере окажутся какие-то персональные данные? Их защиту законодательно регламентируют многие страны.
Думаю, что в будущем к этому обязательно придут, просто сейчас проблема не так заметна, как, например, проблема с безопасностью корпоративных сетей и сайтов, откуда утекают данные. Даже могу спрогнозировать срок в пять лет (плюс-минус год). Проверьте меня через это время:)
Р. Идов,
аналитик компании SearchInform

23 мая 2012

Ни слова о человеческом факторе

Любой безопасник скажет, что самое уязвимое звено в любой системе безопасности - это люди. Это, впрочем, относится не только к безопасности, но и вообще к любым системам. Бороться с человеческим фактором практически невозможно, и даже если вы создадите самую совершенную систему защиты данных, всё равно может найтись умник, который напишет пароль у себя в бложике.

Очередной раз эту очевидную истину продемонстрировала знаменитая двухфакторная система аутентификации компании Google. При желании, оказывается, можно выманить у пользователя даже тот код, который приходит к нему на телефон. Подробнее об этом здесь.
Но, при всём при этом, двухфакторная аутентификация всё-таки надежнее однофакторной. Хотя бы уже потому, что она заставляет человека немного думать при её применении. Конечно, с врожденными особенностями некоторых индивидуумов, связанных с отсутствием возможности ведения какой-либо мыслительной деятельности, это справиться не очень-то помогает, но хотя бы повышает вероятность того, что аккаунт не будет "уведен".
Конечно, это всё прописные истины, но их стоит иметь в виду всякий раз, когда разговор об информационной безопасности с далеким от неё человеком, говорящим о том, что безопасность бесполезна из-за того, что срабатывает не всегда. Понять, что такова природа любой системы безопасности, к сожалению, обычно выше умственных возможностей собеседника.
Возвращаясь к Гуглу, хочу сказать, что, на мой взгляд, не за горами то прекрасное время, когда на двухфакторную аутентификацию перейдут все более-менее значительные интернет-сервисы. Может быть, тогда проблема "уведенного аккаунта" наконец-то перестанет быть такой массовой.
Р. Идов,
аналитик компании SearchInform

22 мая 2012

Если утечка случилась

Не так давно довелось выступать в аудитории руководителей разных организаций с докладом на тему "Что делать, если утечка информации всё-таки случилась". Понятно, что господа не ИБ-шники, и некоторые моменты восприняли, скажем так, достаточно скептически. Но больше всего негодования вызвал совет сообщить об утечке тем, кто может от неё пострадать.
"То есть мой колл-центр обзванивает клиентов", - негодовал один директор, - "и говорит: мы, мол, вашу информацию немного того, но вы не бойтесь, лучше поменяйте паспорт, номер телефона и пароль от нашей системы ДБО. Кто у меня после этого вообще обслуживаться останется?".
Другой сказал, что в этом нет никакого смысла, потому что никто всё равно ничего не будет делать, чтобы себя защитить. О осадок, как известно, всё равно останется. Поэтому лучше, наоборот, дать в лапу тем, кто что-нибудь узнает, чтобы они молчали. В конце концов, утечка информации - не такой уж и криминал, особенно по российским меркам.
Аргументы о том, что если самому не рассказать, а все узнают, приняты всерьез не были. "Откуда они узнают?" - вопрошала аудитория. - "Мы не позволим информации уйти". Но позвольте, господа, вы же допустили уже одну утечку; почему вы так уверены, что не допустите и вторую?..
В общем, каюсь, но культура ИБ в массы так и не была донесена, что, конечно, печально. Но зато общение с теми, кто "по ту сторону баррикад" прекрасно иллюстрирует причины плачевного состояния культуры ИБ в России.
Р. Идов, 
аналитик компании SearchInform

16 мая 2012

А вы проверяете сотрудников в соцсетях?

Хочу поделиться примером из жизни, которых тут как-то уже давненько не встречалось. Пример такой: некая компания тестирует в своей уютной корпоративной сети "Контур информационной безопасности" и обнаруживает, что группа сотрудников в популярнейших социальных сетях ведет не совсем приличную переписку в одной группе, посвященной этой самой компании...
Неприличность переписки, конечно, относительная, но для широкой публики компания (не самая известная, но всё же) открывается с весьма неожиданной и даже неприглядной стороны. Что, естественно, не есть здорово.
Но речь тут не столько о пользе "Контура", которая даже не обсуждается:), а о том, что компания, прошу прощения за свой французский, пощелкала клювом всё, что только можно. Ведь для того, чтобы отыскать в социальной сети группу "%COMPANYNAME% - унылое г...но" вовсе не нужны никакие контуры. Нужно просто залезть в социальную сеть и поискать по названию компании. Иногда даже не нужно лезть в эти непонятные новомодные социальные сети, придуманные специально для офисного планктона, а не для его начальников. Достаточно зайти в Яндекс и погуглить там по названию компании. Можно даже про "унылое" не дописывать - поисковик сам вас раскусит.
В общем, есть просто банальное нежелание следить за своей репутацией в интернете. И нежелание это, скажем прямо, не идет на пользу бизнесу. Почему? Думаю, объяснения излишни. Вопрос генезиса этого нежелания также весьма прост и прозрачен. Потому что никому из руководства и в голову не приходит заботиться о какой-то там репутации в какой-то там сети.
Чья недоработка?  Маркетолога? Безопасника? Топ-менеджера? Вопрос сложный. Я думаю, скорее всего, последнего, потому что именно его должен волновать облик бизнеса в глазах всех и вся. Но рассказать ему о его недоработке никто не может, вот и приходится подобными вопросами заниматься безопасникам. В общем, грустно всё это, дамы и господа...
Р. Идов,
аналитик компании SearchInform

11 мая 2012

К сверхприбылям готовы!

Весьма интересная новость, прочитанная мною сегодня, натолкнула меня на не менее интересные размышления. Одна небезызвестная фирма решила брать деньги за обновления, закрывающие дыры в системе безопасности одного из своих главных продуктов. Казалось бы, решила и решила, ну и одна дождинка ещё не дождь, и далее по списку. Но поскольку наши заокеанские друзья приучены к прецедентному праву, то и любой прецедент для них - вещь важная. А это прецедент, да ещё какой!
Ведь, по сути, что означает исправление для системы безопасности? Оно означает, что кто-то, простите, накосячил, но впоследствии осознал свою ошибку и старается загладить, насколько может, свою вину. Это как производитель, обнаруживший, что на высоких оборотах отрываются колеса, отзывает свои автомобили и бесплатно устраняет дефект, как строительная компания, по ошибке покрывшая крышу линолеумном, а пол в квартирах битумом, исправляет свои оплошности. Брать за это деньги - это за гранью добра и зла. Зато очень, очень выгодно.
Ведь можно не только продавать обновления (за крупную дырку ведь и взять можно соответственно), но и сэкономить на отделе QA, который при подобном подходе становится только вредным и лишает компанию дополнительных сверхдоходов. Теперь дело за малым - найти пользователей, которые будут готовы пользоваться продуктом, выпускаемым по такой прекрасной модели.
А вообще, конечно, иногда это и правильно - раздавать патч безопасности за деньги. Может, тогда хоть жаба задушит не ставить купленное, и все будут использовать более-менее безопасные версии любимого софта.
Р. Идов, 
аналитик компании SearchInform

05 мая 2012

Немного об интерфейсах ИБ-решений

Изменение интерфейса у любимой мною гугловой блоговой платформы (где, в отличие от ЖЖ, интерфейс есть, и над ним работают) натолкнуло на мысли об интерфейсе ИБ-систем. Который, конечно, в них не есть самое главное, но всё равно достаточно важен в силу того неизвестного, похоже, многим вендорам факта, что с их системами всё-таки, оказывается, работают люди.
 Интерфейс многих корпоративных систем давно стал притчей во языцех. Хрестоматийный пример - SAP, которая в последнее время на всех своих мероприятиях говорит даже не столько о профитах, которые её монстры сулят покупающим их монстрам, сколько о "new Apple-sexy UI". DLP-системы и прочие ИБ-инструменты, конечно, не настолько разрекламированы как образчики дикого интерфейса, но тоже могут доставить немало интересных минут пытающимся разобраться в них начинающим специалистам. Редкая DLP-система имеет внятный пользовательский интерфейс, и, без всякой рекламы скажу, что мы в этом плане молодцы, достаточно посмотреть на наши скриншоты и скриншоты конкурентов. Но речь не об этом.
Насколько важен для DLP-системы интерфейс? Готов поспорить, что большинство скажет что-то в духе "чуть более, чем никак". В том смысле, что привыкнуть можно к любому интерфейсу, после чего на неудобства перестанешь обращать внимание.
Это, конечно, так, но есть некоторые "но". Во-первых, пресловутое соотношение 80/20: 80% времени нужно 20% возможностей, а когда нужны остальные, то в системе с неудобным и нелогичным интерфейсом попробуй их ещё найди. Во-вторых, все-таки в отделе ИБ тоже есть текучка кадров, и каждый новый безопасник вынужден будет снова тратить месяцы на освоение системы, что не есть хорошо и правильно. И, наконец, в-третьих, рано или поздно вендор начнет исправлять свои косяки, и придется переучиваться.
Так что интерфейс всё-таки важен, и при выборе DLP не надо отмахиваться от него - это очень даже может "выйти боком".
Р. Идов,
аналитик компании SearchInform