Виталий Камалов: Паранойя в отношении Сети — это полезно и правильно
Сегодня во всем мире отмечается Международный день защиты информации (Computer Security Day). О том, сколько бед может натворить беспечность в Сети, и как от этих бед уберечься, рассказывает руководитель Управления информационной безопасности одного из крупных инвестиционных холдингов, преподаватель курса информационной безопасности Высшей школы бизнес-информатики НИУ ВШЭ Виталий Камалов. Опыт его работы в области IT – более 25 лет, в информационной и корпоративной безопасности – более 20 лет.
– Виталий Вильсонович, в какой мере вопросы защиты информации касаются каждого человека? Например, продавца или водителя автобуса.
У всех людей есть персональные данные, с помощью которых субъект может функционировать в обществе, извлекать выгоду либо получать убытки. Начиная от СНИЛСа, по которому сейчас можно авторизоваться (то есть зарегистрироваться и работать) в разных информационных системах, и вплоть до паспортных данных, по которым можно получить кредиты, скидки в интернет-магазинах или, наоборот, попасть в списки пользователей с негативной кредитной историей. Поэтому сейчас можно уравнять необходимость защиты своих ресурсов физических с ресурсами информационными.
Реализация информационных угроз, на мой взгляд, даже опаснее, поскольку в силу более высокой скорости распространения и более незаметного, невидимого оборота данных их утечка может нанести больший ущерб. Как пример, в отличие от бумажных денег, электронные деньги двигаются мгновенно, в любых направлениях и огромными суммами. Вы даже не заметите, как оказались должником или голодранцем. Потеря ключей от дома заставит вас в течение дня-двух сменить замок, но потеря пароля от почты в течение секунд приведет к утрате важных контактов и, как следствие, статуса, например, в профессиональном сообществе.
Маленький пример: SIM-карты, которые могут быть оформлены на вас (и без вас) по копиям или реквизитам ваших документов. Были случаи, когда моим друзьям звонили и говорили, что у них задолженность за сотовую связь. Оказывается, на них были оформлены какие-то симки, про которые они сами слыхом не слыхивали. В таком случае нужно просто оплатить долг и заблокировать эту сим-карту. И параллельно написать претензию в службу безопасности мобильного оператора. Если не вернете деньги, то хотя бы создадите имидж клиента, который внимательно отслеживает свой счет и не позволит больше навешивать на себя чужие долги.
– Откуда больше риск утечки информации для частных лиц – из бизнес-структур, госорганов, или из всевозможных соцсетей, мессенджеров, конференций, подкастов и так далее?
В общем-то, практически отовсюду. Специализированные компании, конечно, занимаются статистикой утечек и сравнениями, но когда утечка произошла, то для пострадавших уже не очень важно, был ли их риск больше или меньше.
Когда вы оставляете свои данные в информационных системах госструктур, то ваши данные могут попасть к недобросовестным лицам (от спамеров до вымогателей) в силу низкой квалификации, халатности или злого умысла работающих там людей. Когда вы заключаете договор с коммерческими структурами, ваши персональные данные также могут утечь через сотрудников или дыры в системах. И, конечно, велики шансы причинения ущерба вам же вашими же личными данными, если вы активный пользователь Интернета – через соцсети, тематические форумы, интернет-магазины и другие площадки, где вы оставляете информацию о себе.
Кстати, наиболее грамотно в области защиты информации работают, видимо, в тех компаниях, про информационные проблемы которых мы ничего не слышим: где нет утечек, нет потерь и нет претензий. Поэтому где именно работают максимально грамотно, мы, наверное, никогда и не узнаем. (И почему мы не узнаем о проблемах, мы, пожалуй, тоже не узнаем…)
– Среди части пользователей существует мнение, что, если в интернет – например, в соцсети – попали какие-то нежелательные сведения или фотографии, то всегда можно нанять специалиста, который их сможет удалить без следа. Так ли это?
У всех, кого я знаю, бытует обратное мнение. Что попало в Сеть, того уже не выковырять оттуда никогда. Потому что в силу легкости как ручного, так и автоматического копирования и тиражирования, выяснить те места, в которые ваши нежелательные данные попали и куда оказались размножены, практически невозможно.
Поэтому думайте о том, как выглядит любая ваша запись в соцсетях или в комментариях, любая фотография, в том числе размещенная вашими друзьями, с точки зрения респектабельности вашего интернет-образа. Причем, и это главное, думайте до размещения. А не сокрушайтесь после, поскольку вред, который сами себе наносят пользователи, может потом аукаться им десятилетиями, портя карьеру и личную жизнь. Особенно если они становятся публичными фигурами или бизнесменами.
Не совершайте в Сети необдуманных действий, ибо «фарш невозможно провернуть назад, и мясо из котлет не восстановишь» (с). Нежелательные для вас сведения могут не всплыть мгновенно, но они все равно где-то оседают и хранятся: в архивах провайдеров, поисковых систем, агрегаторов, «вольных парсеров», держателей разных тематических ресурсов, на локальных устройствах пользователей... Бывает, что запись мелькнет в Сети всего на несколько минут (а то и секунд), после чего ее затирают… Но никогда нет гарантий того, что кто-то не успел «качнуть» ее себе на публичный, «групповой» или локальный ресурс: сайт, компьютер, флешку, дискету (школьникам: были в каменном веке такие носители). То есть, любая попавшая в Интернет запись есть не только в месте ее размещения, но и в информационном пространстве в самом широком смысле. И если кому-то понадобится ее найти, то сделать это будет возможно. Для примера: вбейте в поисковую строку «Яндекса» свой домашний телефон – в результатах поиска увидите свой домашний адрес. Вбейте свой мобильный – увидите свое предложение о продаже велосипеда пять лет назад.
– Каковы должны быть базовые правила информационной безопасности, которые должен соблюдать каждый, как правила личной гигиены?
Это как ходьба по тонкому льду. Сначала потыкать вперед палочкой, оценить риски и тот возможный ущерб, который последует после ваших действий в электронном пространстве, взвесить все и только потом что-то размещать, входить на какие-то страницы, вводить пароли и номера кредитных карт, к чему-то присоединяться, подписываться на какие-то ресурсы, выкладывать фотографии и так далее.
Это как прыгать с вышки на мелководье или пилить сук под собой: надо каждый раз оценивать последствия. Причем, повторюсь, до, а не после.
Вот пример из жизни. Предположим, вы зашли на страничку своего банка и увидели там всплывающее окно: «Хотите кредит?». Человек в шутку отвечает: «Да, дайте мне миллиард». И практически одним щелчком отправляет запрос на такой кредит. Ему, естественно, отказали, он посмеялся и забыл. А через полгода человек, пытаясь в другом банке получить кредит на сто тысяч, получает отказ. Потому что у него уже есть негативная кредитная история – она в базе кредитных историй: в одном банке ему отказали в кредите, и от этого так просто не отделаешься.
– Но так же и до паранойи недолго дойти.
В вопросах защиты информации это только полезно. Есть такой термин «параноидальная степень защиты». Это подход, который не имеет ничего общего с психическими отклонениями. Просто он подразумевает несколько пересекающихся, подстраховывающих друг друга механизмов защиты и резервирования, несколько уровней каскадного контроля, самотестирования и так далее. Так что в отношении защиты информации паранойя – это уже, можно сказать, методологический термин. Такой подход уместен и правилен. Маленькие действия в информационном мире могут повлечь за собой практически неконтролируемые катастрофические последствия для человека или компании.
– Как быть с логинами-паролями? Как часто их менять, где хранить?
Ничего нового: для разных категорий ресурсов полезно иметь пароли разного уровня сложности. Если это банковские, иные финансовые, медицинские или глубоко личные ресурсы – то это должны быть сложные пароли: минимум двенадцать символов, среди которых буквы (заглавные и прописные), цифры и спецсимволы, так, чтобы нельзя было подобрать по словарю – для хорошего дорогого вам ресурса это необходимая норма. Такой пароль трудно подобрать перебором или аналитикой. Правила создания паролей есть в Интернете.
Для других ресурсов пароли могут быть покороче и попроще. Например, для всех своих интернет-магазинов пароли вы можете объединять общим алгоритмом создания: использовать для всех паролей, например, шесть-восемь одинаковых букв-цифр, которые невозможно подобрать по словарю, плюс несколько букв-цифр, присущих только этому магазину. Или использовать в качестве «примочки» мнемоническую запись. Это лишь один из множества алгоритмов генерации паролей.
Менять пароли надо, поскольку периодически происходят утечки массивов паролей с самих ресурсов. Также целесообразно поменять пароль, если вы заходили на какой-то ресурс из кафе, аэропорта, гостиницы, просто с чужого компьютера. Здравствуй, паранойя. На каждом чужом компьютере стоят программы-шпионы, которые воруют ваши логины/пароли, чтобы при первой возможности испортить вам жизнь.
Чтобы не забыть свои пароли, существуют программы – электронные хранилища, в которых (под очередным паролем) находятся ваши пароли или описание алгоритмов их создания
Или все-таки сохраняйте их в голове, но тогда запоминать легче не сами пароли, а алгоритм их создания. Например, у вас длинный префикс, который вы помните, плюс идентификация по ресурсу, про которую знаете только вы. Носить в голове целиком много разных паролей, конечно, можно, но помните, что есть и так называемый «синдром первого дня после отпуска»… Короче, психически нормальным людям проще помнить алгоритм, на основании которого вы создавали пароль, чем запомнить много независимых комбинаций символов. Тогда и записывать ничего не надо. Так надежнее.
Если вы хотите непременно записывать пароли, то записи лучше хранить «не в том пространстве», в котором вы их используете. Например, пароли от электронных ресурсов можно хранить дома, записанными на бумаге. А пароль от сейфа можно хранить, наоборот, на шифрованном локальном электронном носителе, который к тому же находится не в том помещении, что и сейф. То есть, пространство, в котором вы храните пароль и пространство, в котором вы его используете, должны быть разными. Это затруднит злоумышленнику доступ к ресурсу даже при наличии пароля и даст вам время на обновление скомпрометированного ключа. Естественно, полезно пользоваться и достижениями в области защиты данных: двухфакторной аутентификацией, электронной подписью…
– Виталий Вильсонович, является ли введение госуслугами элементов единой системы электронного документооборота фактором повышенного риска?
Справедливости ради надо сказать, что именно в этой системе делается сейчас достаточно много для повышения защищенности данных. Там проблемы были, какие-то еще есть и сейчас, но именно в этой системе с защитой информации стараются работать. Привлекаются специалисты, методики, внедряются алгоритмы, и я как пользователь вижу, как прогрессирует эта система и в части защиты информации, и в области предотвращения неправомерного доступа.
Конечно, как только появляется новый ресурс, автоматически повышаются и риски, но если этот ресурс более защищен, чем остальные, то вероятная утечка будет происходить из других мест, где защита хуже.
В целом я могу сказать, что уровень защищенности во многих госструктурах растет. Есть свои проблемы роста, поскольку в программу электронного правительства входит достаточно много ресурсов, но методики там постепенно отстраиваются. Повышается качество средств авторизации, идентификации, оптимизируется порядок использования электронной подписи и многое другое. Это не только мое мнение – так считают достаточно многие весьма авторитетные специалисты в области защиты информации.
– Что можно и нужно сделать, чтобы поднять массовый уровень грамотности в области информационной безопасности? И нужно ли вообще что-то делать, или шишек набьют – сами научатся?
Нет, конечно, надо повышать «грамотность населения». Мы же учим правила дорожного движения, учимся не совать пальцы в розетку. Было бы очень хорошо преподавать основы информационной безопасности в школе. В России есть опыт проведения Всероссийского урока безопасности школьников в сети Интернет. Специалистами разработаны методички и рекомендации о том, как себя вести в социальных сетях, на форумах, в чатах: как отвечать собеседникам, как вступать в диалог и уклоняться от диалога, как отличить «нечистоплотного» собеседника (потенциального педофила, хакера, вора паролей или личных данных), как не поддаваться попыткам взлома паролей путем социальной инженерии – например, когда вам звонят якобы из банка или благотворительного фонда, говорят, что хотят вам денег начислить, не хватает только пин-кода от вашей карты… И номера карты тоже…
«Безопасность в киберпространстве» могли бы преподавать в рамках курса «Основы безопасности жизнедеятельности», но такой курс ведут в школах люди, которые, как правило, именно в информационной безопасности разбираются не всегда. Поэтому главное сейчас, на мой взгляд, – учить тех, кто будет учить, и обучаться самим, желательно не на своих ошибках.
Татьяна Рублева