udav102 (udav102) wrote,
udav102
udav102

Categories:

Информационная безопасность для " чайника"

Информационная война, хакеры, взломы и защита от них, как сориентироваться в этом мире стремительно меняющихся реалий. Как сделать нашу жизнь безопасней, что понимается под информационной безопасностью и как с этим жить? С этими и подобными вопросами я обратился к специалисту по информационной безопасности , реализующей свои знания в этой сфере в северо-западном регионе  России Евгении N, стараясь в максимально доступной форме изложить материал.

-Евгения, в двух словах о вашей работе, цели, задачи и общая картинка поля вашей деятельности, пожалуйста.

-Наша фирма осуществляет комплекс мер и мероприятий, обеспечивающих защиту от несанкционированного доступа к конфиденциальной, секретной и так далее по степени защиты информации. "Комплекс мер" при этом - не просто слова, то есть недостаточно только установки дополнительного " железа" или обеспечения локальной сети программной защитой, нужны и важны и другие меры. То есть компьютерная безопасность лишь часть информационной.

- Так, мы похоже определились с подуровнями защиты, это определенные  девайсы, ограничивающие нежелательный доступ к вашему компьютеру . Программное обеспечение и..

- Административно- организационные мероприятия.


- И где обычно " подгорает"?

- В третьем пункте. Более девяноста процентов утечек обеспечивается элементарным несоблюдением мер безопасности и так называемым человеческим фактором. Например, фирма, обладатель конфиденциальной информации, приглашает нас сделать заключение. При этом априори утверждается, что уж у нас- то, будьте покойны, в этом деле полный порядок. Приходишь утречком, с толпой сотрудников минуешь пункт контроля на входе, заглядываешь во все кабинеты, ноль на тебя внимания. Ну и  заходишь к директору, так , ребята, а теперь мы с вами поговорим о безопасности..

Или другой случай, поехал начальник в командировку и приказывает своему сисадмину быстренько " качнуть" ему на флэшку музыку, фильм, книгу. Тот понимает, чем это грозит, раз потекло внутрь, то потечет и наружу, но ослушаться начальника не смеет и готово дело. Причем дело не только в доступе в сеть, но и во флешке, используемой в быту, на которой может быть вообще черт- те что.

- А как же гении- хакеры, ломающие любые защиты, мальчики, взламывающие Пентагон?

- Ну, там не очень простой мальчик был. Он сначала пообщался в сетях, его оценили, ну и открыли доступ к определенному программному ресурсу, который чаще всего - плод коллективного -корпоративного или государственного- творчества. Но напрасно думать, что в Пентагоне работают другие люди, так что его взлом- результат ровно такой же человеческой безалаберности. Ну и как правило, что уж тут говорить, взломщик или его помошник, вольный или невольный, сидит в соседнем кабинете.

- То есть сами виноваты?

- Совершенно верно. Наивно полагать , что американцы сделаны из другого теста.

- Мне становится страшновато. Сразу вспомнился анекдот про валенок на пульте и сакральное" бог с ней , с Голландией". Хотя в этом смысле неплохо было бы узнать про уровень и возможности пресловутых русских хакеров. Это такая страшилка для взрослых или, в свете угроз Великобритании оставить Кремль без света, без электричества может остаться и Лондон?

- Ну, за Лондон не скажу, но уровень и возможности наших хакеров действительно очень " на уровне". Это признается всеми. Это же, кстати, означает и высокий уровень защиты, потому что  в принципе защита информации и ее взлом- две стороны одной медали. То есть тот , кто может взломать, может и защитить. И наоборот.

За хакерами охотятся, и отнюдь не всегда с целью пресечь их деятельность. Вот такие истории вовсе не редкость. Более того у русских хакеров есть свои предприятия, официально ведущие деятельность по проверке и защите информации в том числе и в США и имеющие мировую известность. В узких кругах.

В США, кстати, где я была сразу после президентских выборов и в разгар скандалов со взломами серверов демократов и Госдепартамента друзья меня так и представляли, русский хакер. В шутку конечно. В этих взломах они точно сами виноваты.

Вообще - то это пример действий злоумышленников по линии социальной инженерии.

- Это как?

В данном случае использованы возможности месседжеров, электронной почты и прочих инструментов общения в интернете, по которым вполне возможно не только взломать аккуанты, но составить психологический портрет,  определить место работы, должность, уровень посвященности в государственную или корпоративную тайну. Ну и ,само собой, сети имеют и обратное влияние и могут формировать личность. И тогда получается Керчь. Хотя уже и известно, что там замешаны сети другого рода, секта, но чем конкретно обернулась и стало  электронное общение в поведении керчинского стрелка мы пока не знаем. По крайней мере свои ноутбук и телефон он спрятал и постарался уничтожить, что как бы намекает: именно там надо искать корни и сам механизм воздействия. И связи само- собой.

Ну и общее правило, если работа связана с закрытыми данными не стоит таскать туда навороченные смартфоны и планшеты, чревато. Как и использовать для служебной переписки свою почту, как госпожа Клинтон.

Одна из последних тем Натальи Касперской  именно защита от воздействий в сфере социальной инженерии. Очень широкая тема.

- Как страшно жить. Как в таких случаях осуществляются высшие приоритеты безопасности?

- Как раз там все достаточно просто. Берешь инструкцию и начинаешь ее выполнять. Пункт за пунктом, не пропуская ни одного и в строгой последовательности. Все " железо" тестируется на закладки, программы - так же. Доступ в сети исключается, как и подключение носителей. Системы постоянно мониторятся на утечки, проникновение и взлом. Персонал обучен и повышает квалификацию.

Другое дело уровень конфиденциальности, например,  поликлиник в условиях ограниченности средств и с выходом в сети, что необходимо хотя бы для консультаций. Тут приходится буквально изворачиваться , чтоб достигнуть необходимого уровня. Творческая работа. Ее , кстати , многие недооценивают, считая утечку индивидуальных данных на этом уровне этаким пустячком. Но , если мы имеем в виду не дедушку из глухой деревни , а действующего чиновника или служащего силовых ведомств, военного, топменеджера крупной фирмы или корпорации, то утечка данных медицинской карты - серьезное преступление, открывающее некий доступ к фигуранту, если его разрабатывают с целью получения информации. Мы , к примеру,  не знаем, каким образом идет обработка чиновников ЕС и стран Европы ведомствами США, но то , что там используются методы социальной инженерии это вполне определенно. Вообще же имеет место всеобщая , я бы сказала, эйфория и беззаботность в пользовании и защите персональных данных,  Россия не исключение.  В крупных корпорациях и ведомствах вроде начали наводить порядок, но периферия - это одна большая дыра.

-Имеет ли значение, какие операционные системы стоят на компьютере с точки зрения безопасности. Линукс, Винда , прочие?

- Никакого. Надо понимать , что если вы попали в разработку, то заниматься вами будет команда специалистов, созданная под решаемую задачу.

-Хорошо, давайте разрядим обстановку. Что - нибудь из склепа, пожалуйста.

- Так, имеем м-м  корпорацию, связанную, к примеру, с оборонкой или нефтью и там " течёт". На уровне переговоров с партнерами, носящих совершенно конфиденциальный характер. Усиливают безопасность, ограничивают доступ- течёт. Решено строить так называемое переговорное помещение. Это двойные стены , отсутствие окон , специальная аппаратура и оборудование, обеспечивающее полную изоляцию- течёт. Всё, шутки в сторону, начинается серьезная проверка от и до. Неимоверными усилиями и путем сложного многоуровнего анализа устанавливается, что под двойной дверью переговорного помещения имеется зазор в 2 см. между полотном двери и полом. То есть течет в буквальном смысле.

- И что конкретно делаете вы и ваша фирма в свете идущей и грядущей цифровизации?

- Все. От разработки архитектуры локальных сетей и инструкций по безопасности для персонала до их формирования под ключ.  Программным обеспечением, ну  и сопровождением, понятно, вплоть до выявления каналов утечек.

- О делах наших скорбных и об особенностях такого и подобного вида деятельности расскажете?

- Ну, во - первых, наше предприятие не имеет права брать  временных работников, работников с неполной занятостью, субподрядчиков и вводить прочий аутсорсинг. Как говорится , сами , все сами. Это понятно, не примуса починяем, и несем между прочим ответственность за то что делаем. Поэтому, как бизнес, деятельность достаточно сложна , оптимизации и экономия на персонале практически исключены. Это условия лицензирования. Нас проверяют сами понимаете кто, хотя и налоговая не чурается. Кстати, только на получение лицензии у нас ушел год и это было достаточно сложно.

Во- вторых, и в то же время, различные деятели, освоившие в свое время клавиатуру, частным образом консультируют, что законом не запрещено, и вполне легально кормятся на той же поляне. В принципе нам это не мешает, так как когда и если дело доходит до сертификации, то без нас не обойтись, но перенастройка и переделка под нормы безопасности требует сил и времени, что иногда вовсе не ко времени с нашим ограниченным штатом. И не всегда после умельцев с улицы клиент располагает на это финансами, а это уже само по себе не доставляет нам удовольствия, учитывая, что и оборудование,и софт должны быть в свою очередь сертифицированы и проверены.

В- третьих, наша провинция. как и всякая другая подвержена периодическому налету столичных мальчиков и девочек, которые чутко следят за распределением бюджетного финансирования на цифровизацию и меры безопасности. С лицензиями, полномочиями, что вовсе не всегда говорит о квалификации. Это зачастую один и тот же сценарий, заключение кучи контрактов и договоров , получение авансов и в редких случаях - их выполнение. Ситуация напоминает историю с обманутыми дольщиками. И опять же расхлебывать иногда приходится нам.

- Тем не менее?

- Мы отдаем себе отчет в том , что и почему делаем, наращиваем клиентскую базу, повышаем уровень компетенций и не чужды амбиций.

Спасибо, Евгения, за ваше терпение, желаю вам всяческих успехов  . С наступающим вас Новым годом , здоровья , оптимизма и удачи. 


Tags: IT-технологии
Subscribe
  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your IP address will be recorded 

  • 0 comments