Нельзя зацикливаться на голых показателях и технических деталях СОНАР-2050

Хакеры мыслят творчески, а жертвы только в рамках стандартных протоколов и алгоритмов.

07
Февраля
2018

Желание спрятаться за индикаторами и показателями — самая опасная уязвимость.

Сейчас, когда у нас начинаются разговоры о кибербезопасности, люди в целом делятся на две категории. Первые произносят умные слова «эксплойт», «бэкдор», «троян» и т. д. Вторые кивают и делают вид, что всё поняли, а в голове одна только мысль: «Всё. С завтрашнего дня ставлю антивирус». Как будто это поможет.

Если мы решили взяться за кибербезопасность, нужно смотреть шире и говорить о безопасности информационной, не зацикливаясь на технических деталях. И потом: настоящий хакер будет ломать нашу систему не там, где укреплено. Приведу пример положительного взлома системы. На ИТ-конференции никак не получалось распечатать бейджики участников с длинными фамилиями. Компьютер упрямо обрезал их. Пришло несколько специалистов. Все суетились, но ничего не получалось. Тогда один человек засмеялся: «Я сейчас вашу систему взломаю без компьютера». Взял чёрный маркер и печатными буквами дописал фамилию.

А вот негативный пример. Весь мир сошёл с ума по поводу высокого уровня безопасности технологии блокчейн. Создали криптовалюту, которую якобы нельзя украсть. В ответ преступники придумали несколько способов, как похитить крипту, не залезая в блокчейн. К примеру, одни хакеры написали программу-троян. Она внимательно следит, что копируется в буфер обмена, и способна распознать секретный ключ криптокошелька. Как только видит такой ключ, передаёт заветную комбинацию символов злоумышленнику. Дальше дело техники. По отработанной схеме криптовалюта выводится в неизвестном направлении и обменивается на традиционные деньги.

В Беларуси мошенник поступил ещё проще. Пришёл на встречу к продавцу криптовалюты якобы для покупки биткоинов. Дождался, когда продавец переведёт ему крипту с помощью мобильного интернета, и грамотно сбежал, не заплатив. Просто, как гвозди. Никакие системы кибербезопасности не помогут. И всё потому, что хакеры мыслят творчески, а жертвы только в рамках стандартных протоколов и алгоритмов. Так не пойдёт. В наше время побеждает тот, кто умеет делать то, чего не умеет машина, и видит слабые места.

Другой важный аспект — культура обращения с данными, особенно персональными. Она у нас хромает не только при пользовании компьютерами. Вот, например, в белорусских школах часто от родителей требуют информацию о том, где будет их ребёнок на каникулах. Как правило, настаивают на том, чтобы сообщался точный адрес. Доходит до анекдота: родители пишут, в каком отеле они будут отдыхать в Турции, сколько у него звёзд...

Здесь мы имеем дело сразу с несколькими уязвимостями. Во-первых, такой сбор информации происходит массово, но Минобразования в этом упорно не признаётся, что подрывает доверие к власти и может быть использовано в качестве элемента антигосударственной пропаганды. Во-вторых, некоторых родителей это нервирует. Не все хотят посвящать школу в детали своей личной жизни. Кстати, вполне законное право не сообщать такую информацию. К сожалению, далеко не все школы это понимают, не все относятся к этому праву с уважением. В ответ активные родители рефлексируют в соцсетях по поводу данной инициативы системы образования. Это создаёт негативный фон, а значит, лазейку для подпитки социального бунта. В-третьих, собранная информация не всегда надёжно хранится. К ней имеют доступ посторонние, что несёт в себе самые разные риски. Например, если вся семья уезжает в дорогой отель на море в определённые даты, значит, скорее всего, в квартире никого не будет, и там есть чем поживиться. Не обращая внимания на эту скрытую проблему, мы приучаем самих себя к небрежному обращению с данными.

Ещё один пример. Представители уголовного розыска, выступая в массмедиа, советуют гражданам не сообщать никакой личной информации по телефону незнакомцам, кем бы они ни представлялись. А потом какой-нибудь незадачливый участковый по телефону просит людей назвать их паспортные данные. При этом человек этого участкового, может быть, никогда в глаза не видел. Эту недоработку и доверчивость некоторых граждан используют мошенники, когда по телефону представляются следователями и выманивают деньги.

Можно перечислять ещё много уязвимостей в нашей культуре обращения с информацией, в способах хранения данных. Пожалуй, главная причина на уровне рядового обывателя проста. Он не осознаёт ценность информации как таковой. Другая беда — любовь к обоснованию желаемых выводов через механическую привязку к числовым показателям. Повысилась рождаемость в стране — сразу делаем вывод, что это из-за пособий. Не думаем, что бывают демографические волны, связанные, например, с войнами прошлого. Создаётся обманчивое впечатление, что дырку в демографической безопасности мы можем заткнуть финансовыми вливаниями. В это время молодёжи через соцсети и прочие инструменты «вливают в уши» идеи чайлд-фри, ЛГБТ и тому подобное. Что с этим делать? Никто толком и не знает, потому что последняя инструкция ВЦСПС никаких алгоритмов на сей счёт не предлагает...