В эру информационных технологий и всестороннего развития компьютерной техники человечество столкнулось с принципиально новыми угрозами информационной безопасности. В современных условиях для сбора и анализа личной информации о человеке не обязательно устанавливать «наружное наблюдение» или прослушивать средства связи - достаточно зайти в глобальную сеть Интернет и провести поиск в открытых источниках! А при некоторой изобретательности - злоумышленники могут завладеть накопителем данных, использование которого было завершено в связи с обновлением аппаратного обеспечения, но в котором не были соответствующим образом уничтожены целые тома конфиденциальных материалов.
Сейчас во всемирной сети легко найти отрывочные или узконаправленные публикации по определенной теме, в то время как печатные издания загромождены большим количеством теоретического материала, который редко является практически полезным для пользователей. В то же время значительное количество лиц, работающих с закрытой информации, в том числе и государственного значения, имеют катастрофически поверхностные знания фундаментальных принципов защиты электронных типов данных.
На сегодняшний день одной из важнейших задач является донесение знаний о базовых принципах безопасности в компьютерных сетях к лицам, которые имеют непосредственное отношение к информационной безопасности государства и стратегических объектов, но не являются специалистами в сфере IT.
Начнем наш обзор с социальных сетей. Яркий пример - «Вконтакте», система создана в России под руководством Павла Дурова, сейчас насчитывает около 120 миллионов пользователей из стран СНГ. По правилам этой социальной сети пользователь регистрируется, указывая (не обязательно, но так делает большинство) личные данные - место учебы, работы, отдыха, формирует круг друзей - которые могут просматривать другие пользователи. При активном пользовании социальными сетями индивид часто создает образ «идеального себя», проводит часы рабочего времени в сети, а его круг общения может расширяться молниеносно и неконтролируемо. Интересным является исследование профессора Пауля Киршнера (Paul Kirschner), который доказал факт снижения академической успеваемости на 20% студентов, которые активно пользуются социальными сетями. Очевидно, что такая ситуация может быть неприемлемой при работе с конфиденциальной информацией, а также создает угрозу для попадания индивида под влияние другого лица или сообщества.
Продолжая знакомство с угрозами информационной безопасности в компьютерных сетях, сложно обойти вниманием вопросы распространения вирусов и «троянских программ». Хотя этот вопрос является первоначальной задачей системных администраторов, нельзя не акцентировать внимание на невероятном количестве лишней и зараженной вирусами информации на компьютерах многих сотрудников государственных учреждений. Жаль, что высококвалифицированные мастера своего дела не понимают всю важность простейшей процедуры ежедневного обновления антивирусных баз и установки новых версий лицензионного программного обеспечения. До их сведения необходимо довести, что вирус может навсегда уничтожить информацию на их персональном компьютере, а некое «вредное» программное обеспечение - просканировать компьютер, за считанные минуты похитить пароли и переслать в любую часть мира конфиденциальные документы. В области защиты компьютерных сетей от подобных угроз, можно брать пример с Германии, которая отказалась от ненадежно защищенных и дорогих продуктов корпорации Microsoft (Windows, Office и др.), заменив их на модифицированные системы Linux, разработанные специально для госучреждений ФРГ.
Рассмотрим другую угрозу информационной безопасности - подход многих учреждений и частных пользователей к хранению и передаче файлов в компьютерных сетях. Так, недопустимым является факт вынесения и перезаписи на любые носители конфиденциальной информации - как бы банально это не звучало. Приведу лишь один пример: в 2008 году сотрудник британской компании-подрядчика РА Consulting потерял флэш-карту с личными данными десятков тысяч опасных преступников. Продолжая тему данных, которые необходимо передавать в компьютерных сетях - трудно обойти вниманием файлообменные веб-сервисы вроде Upload.com.ua и Rapidshare.com. Их пользователи оставляют файлы в общем хранилище, откуда затем их «скачивают» адресаты. Многие забывают, что без специальных настроек и шифрования, размещенные в таких хранилищах файлы могут быть доступны для всех пользователей, и найти их не составит труда. При решении задач передачи данных между ведомствами целесообразно внедрять закрытые частные сети.
В продолжение темы защиты электронных данных нельзя обойти вниманием и вопрос утилизации. Следует категорически запретить прекращение использования любых накопителей без их предварительной подготовки и ликвидации записанных на них данных.
И в заключении рассмотрим человеческий фактор в вопросах информационной безопасности. Трудно поспорить с тем, что передовые программные и аппаратные средства информационной безопасности не всегда могут защитить от тривиальной человеческой невнимательности и халатности. Необходимо инструктировать государственных служащих всех рангов и любого другого, кто имеет доступ к государственным и корпоративным тайнам по следующим тезисам:
- Пароль от операционной системы или ящика электронной почты не может состоять из написанного английскими буквами имени щенка, а должен представлять собой несвязную цифро-символьную комбинацию длиной более 12 символов;
- Любой пароль теряет смысл, если написать его на бумажке, приклеенный к монитору;
- Не стоит открывать все гиперссылки, поступающих от незнакомых или знакомых людей, предварительно не посмотрев саму строку гиперссылки - злоумышленники часто используют домены типа «odnoclassniki.ru», выдавая их за «odnoKlassniki.ru»;
- Не следует отвечать без предварительной проверки на запросы «администраторов» и «провайдеров», которые якобы потеряли пароль или другие данные пользователя системы или сети - таким методом чаще всего пользуются злоумышленники;
- Проблема национального масштаба - использование пиратского программного обеспечения, которое нередко включает в себя замаскированные вирусы.
Кратко рассмотрев наиболее распространенные типы угроз информационной безопасности в компьютерных сетях, можно прийти к выводу, что определяющую роль в защите информации играет сам человек. Именно от профессиональной подготовки сотрудников соответствующих департаментов и зависит информационная безопасность корпоративного и государственного сектора.
По-моему, сегодня стоит отходить от порочной практики подробной регистрации в банальном сервисе. Нужен почтовый адрес (ящик) сугубо для флирта, общения. Зачем графы - дата рождения, место рождения, город проживания, место работы, профессия, образование ...? Порой человека вынуждают выкладывать мало кому нужные личные данные. Зачем кому-то, кроме злоумышленников, знать, что человек живет один в собственной квартире на скудную пенсию? И так на каждом шагу. Хочешь кредит за пять минут? Выкладывай всю свою подноготную: место работы, паспортные и другие док. данные, доходы, расходы, инфу о собственности. Кредит банк может не дать, но при заполнении бланков в сети заемщиком структуры кредитной организации получают секретные персональные данные человека на неограниченный срок. С правом передачи их третьим лицам! Гениально вставили сей пункт банкиры в это соглашение-анкету. Потом они могут торговать этими базами кредитоспособных граждан хоть на каждом углу.
Этот пример я привел к тому, что нельзя принуждать людей к заполнению в сети строго личных данных. Все-таки кредиты стоит выдавать вдумчиво и лично в руки. Будет больше порядка. И меньше утечек конфиденциальной информации.