ГлавнаяНовостиСтатьиКаталогВендорыСтандартыОбучениеКонтакты  +7 (495) 231-4831    © 


[ Список статей ] ...


WatchGuard Technoligies. Новые возможности сервисов Network Discovery и Mobile Security позволили WatchGuard значительно увеличить "Прозрачность" cети

С-Терра СиЭсПи. Защита удаленного доступа. Доверенный сеанс связи

CNews. Fortinet включает защиту уровней доступа в систему обеспечения ИБ

CNews. ИТ-подразделениям всё труднее контролировать корпоративные данные в «облаке»

Jammer.ru. Apple следит за своими поль-зователями через Yosemite

Lenta.ru. Разоблачение «Корпорации добра»

Securelist. Доставка от спамеров: опасность гарантирована

Lenta.ru. Интернет-Мерфи

3DNews. Сноуден как повод

Компьютерра. Plug&Pray: скрытая атака через USB

SecurityLab. Как я взломал роутер

Securelist. Дыры в защите корпоративной сети: облачные сервисы

Андрей Козенко, Султан Сулейманов. «Не понимают, как работает интернет»

Евгений Царев. Впечатление от PHDays 2013 или кто заказчик кибербезопасности в России?

Олег Парамонов. Десять страхов: крах интернета, Big Data, утрата знаний и другие вещи, которые пугают учёных и футурологов

Brian Donohue. Альтернативные браузеры с улучшенной защитой

Бёрд Киви. Специалисты предупреждают...

Андрей Шуклин. Big Data: новый рынок, новые перспективы

Luis Corrons. Twitter, Facebook, Apple, Microsoft… кто следующий?

Антон Носик. Лохотрон в зоне .рф

Cio.com (перевод — Елена Фирсова). Самые опасные работы в области технологий

 Исследование 

  

Социокультурный аспект внедрения некоторых категорий средств защиты в организациях с преимущественно женским контингентом

  Последнее время в прессе и на конференциях достаточно много говорится об аутентификации по аппаратным токенам. Доводы апологетов токенов в принципе понятны и очевидны. Действительно, в теории это решение является одним из лучших по соотношению цена-качество. С одной стороны оно гораздо более эффективное и стойкое с точки зрения безопасности по сравнению с обычными паролями, вводимыми с клавиатуры. А с другой стороны оно достаточно экономично по сравнению с теми же смарт-картами; даже несмотря на то, что в последнее время стоимость смарт-карт и их ридеров постепенно снижается. Токены давно и прочно заменили таблетки touch memory (iButton) и достаточно активно внедряются различными компаниями в тех или иных проектах по аутентификации доступа к приложениям, хранения сертификатов PKI и т.д. Часто можно услышать мнение, что токены – это решение даже более эффективное, надежное и защищенное, чем смарт-карты. Не буду ставить под сомнение данный факт, просто хотелось бы посмотреть на использование токенов немного с другой стороны. Речь пойдет о практическом внедрении, когда производитель свою миссию уже выполнил и даже успел распорядиться выручкой от продажи большой партии токенов, а заказчик наконец-то самостоятельно сталкивается с проблемами, о которых он сам не подумал на этапе разработки проекта, а производитель/поставщик не предупредил его обо всех подводных камнях.

  Давайте посмотрим на типичную российскую компанию. Хотя, наверное, не только российскую, любую компанию. Руководящее звено, конечно же, мужчины – несмотря на равноправие, феминизм пока еще не победил до конца, и основные руководящие посты, конечно же, занимают сильная половина человечества. Среднее звено тоже, как правило, мужчины, которые не готовы уступать руководящую и направляющую роль женщине (за редким исключением). И если на Западе феминистическое движение очень сильно и в ряде компаний даже есть квота на количество «руководящих женских» постов, то в России до такой свободы пока еще очень и очень далеко. Итак, руководящее звено – мужчины, но их немного.

  Основные же работники, которые выполняют операционную работу – это женщины. Могу смело предположить, что в современных офисах (а именно там обычно и внедряются проекты по информационной безопасности) гораздо больше 50% всех офисных работников - это прекрасная половина человечества. Именно они работают с компьютерами, они вводят данные в информационные системы, они получают доступ к бизнес-приложениям и т.п. И именно они должны являться главной точкой внимания со стороны службы защиты информации. Ведь, как известно, основная угроза корпоративной безопасности исходит именно изнутри и свыше половины всех инцидентов приходятся на неумышленные несанкционированные действия. Сопоставляя два факта, мы приходим к выводу, что основной аудиторией для внедряемых токенов будут именно женщины, которые по окончании проекта должны (в теории) перестать забывать свой пароль, записывать его на стикерс и приклеивать к монитору, называть его подруге и т.д.

  И вот здесь нас подстерегает достаточно интересный и парадоксальный факт. С одной стороны токены ориентированы на женщин, а с другой стороны именно к женщинам-то они и неприменимы. Любой из вас может провести небольшое исследование вашего окружения и вы придете к тем же выводам. Посмотрите, как одевается обычная женщина в офисе. Это брючный костюм, либо юбка и пиджак, под ним блузка – именно так одевается современная деловая леди. Казалось бы, в чем сложности с использованием токенов в этом случае? А проблема в том, что при классическом офисном стиле одежды на ней нет карманов или они носят декоративную функцию.

  Наверное, большинство читателей этой статьи либо не обращало, либо просто не задумывалось об этом, но именно так одето большинство женщин в современных офисах. И об этом также не задумываются производители средств защиты. Потратьте десять минут своего времени и обратите внимание, есть ли карманы у женщин, которые вас окружают. В большинстве случаев таких карманов на брючном костюме или юбке с пиджаком попросту нет. А если они есть, то это скорее просто декоративные клапана на карманах. Иногда конечно карманы бывают. В некоторых случаях 2-4 кармана у женщины все-таки присутствуют (у мужчины в костюме их 8-10, не считая пояса, на который тоже можно что-нибудь повесить). Мне можно возразить, что раз карманы есть, то в них можно засунуть токен - он небольшой и помещается в любой карман. И вот здесь опять ярко проявляется чисто мужской тип мышления. Так уж сложилось, что в безопасности в основном работают мужчины, которые на психологические и социальные аспекты безопасности внимания не обращают (да и не учат этому нигде). А женщина думает совершенно иначе и ей в голову не придет, даже при наличии карманов, набивать их всякой всячиной. Это мужчина может напихать в них абсолютно все – достаточно вспомнить начало романа Марка Твена про Тома Сойера (у него в карманах был и перочинный ножик, и стеклянный шарик, и даже дохлая крыса, к хвосту которой была привязана веревка, чтобы ее было удобно крутить над головой). Для мужчины карманы выполняют функцию женской сумочки, и, наверное, если вы спросите женщину, у нее вызовет недоумение, почему мы носим мелочь, ключи именно в карманах брюк, а документы во внутреннем кармане пиджака. Для нас это нормально, для женщины - нет. Для мужчины нормально носить токен в кармане или на поясе – для женщины это нонсенс. Женщина в карманах ничего не носит. Зайдите в обеденное время в столовую и посмотрите, как окружающая вас прекрасная половина человечества ходит на обед. Даже при наличии карманов мобильный телефон и кошелек она несет в руках (телефон иногда может висеть на шее).

  Что в итоге? В карман его не положишь. К поясу он не цепляется, т.к. у него нет крепления для этого, а принадлежностей для ношения токенов на поясе я лично не встречал. И мы приходим к тому, с чего начали – токены внедрены и на стикерсах пароли уже не записываются, но только сами токены носятся не с собой, а остаются лежать рядом с компьютером. Конечно, злоумышленнику сложнее получить доступа к содержимому токена, но при четырехзначном значении кода доступа к нему, это не очень серьезная проблема. В случае неудачного подбора ПИН-кода токен будет заблокирован и злоумышленник не получит несанкционированного доступа к паролям и сертификатам, хранящимся на токене. Но с другой стороны и его владелец тоже доступа не получит, т.к. он будет заблокирован. И придется службе безопасности заниматься заменой аппаратных идентификаторов. А те, кто сталкивался с компрометацией криптографических ключей, знает, что проблема эта непростая. Конечно, существуют специальные системы управления токенами, но они борются со следствием, даже не пытаясь решить саму проблему.

  Проблема же, на мой взгляд, может быть решена достаточно просто. Надо создавать токены, которые являют собой некое украшение (т.н. женская модификация системы защиты). По такому пути идут сейчас многие производители (парфюмерия, косметика, одежда, автомобили, бытовая техника и т.д.). Если на рынке можно встретить инкрустированные драгоценными и полудрагоценными камнями мобильные телефоны, то почему не поступить так и с токенами. Сделать их не просто неким элементом системы информационной безопасности, который обязательно должна носить любая женщина, собственно как и любой мужчина. А представить его как элемент красоты или престижа, который будет не стыдно повесить себе на шею, которым можно будет похвастаться перед подругами и так далее. В этом случае, конечно же, расходы компании возрастают (хотя инкрустация токена драгоценными камнями потребуется только в очень редких случаях). Но, с другой стороны, возрастает и защищенность компании. В противном случае компания от внедрения токенов только проигрывает, потому что она тратит достаточно большие деньги по сравнению, например, с использованием обычных паролей, а уровень защищенности повышается незначительно.

  Однако я могу предположить, что в ближайшие год-два эта проблема так и не будет решена. Производители средств защиты не станут заниматься «украшательством». Привлекать субподрядчиков (например, из Китая) они тоже не будут, поскольку токены и так не плохо продаются (зачем же взваливать на себя дополнительные хлопоты). Компании-поставщики, например, чехлов для телефонов тоже этой областью в ближайшее время не заинтересуются, по той простой причине, что данный рынок не очень емкий по сравнению с теми же мобильными телефонами.

  Если компания задумывается о внедрении токенов в своей деятельности и при этом на предприятиях работает достаточно много женщин, то в первую очередь надо думать не о том, насколько стойкая система защиты получается с внедрением токенов, а о том насколько можно вообще внедрить эти токены; насколько они будут эффективны. Именно об этих практических аспектах информационной безопасности надо задумываться в первую очередь.

Источник: SecurityLab  




Рейтинг @Mail.ru

Rambler's Top100
Rambler's Top100