Посвящается жертвам трагедии в Нью-Йорке 11 сентября

Холодной апрельской ночью затонул "TITANIK". Теплым сентябрьским утром в Нью-Йорке разрушены два небоскреба. Эти два события разделяет столетие, но у них есть много общего. Они знаменуют собой окончание "золотых" веков человечества, крушение иллюзии абсолютной безопасности и успокоенности. Скрытые причины этих событий следующие: пренебрежение жизненно важной информацией, невнимательность к предвестникам опасности, человеческая халатность, в какой-то степени корысть, уход от ответственности, появление новых факторов, представляющих опасность для жизни человека.
 
Общая безопасность человека и безопасность обеспечения его жизнедеятельности включают в себя, как большую составляющую часть, информационную безопасность. Если мы знаем, что завтра произойдет землетрясение, мы примем меры, которые позволят избежать жертв и снизить материальные убытки. И террористические акты нельзя спланировать, не владея определенной информацией. Каким образом в руках террористов оказались полетные карты? Возможны следующие варианты: злоумышленники проникли в компьютерные сети авиакомпаний и похитили карты, кто-то из сотрудников авиакомпании продал полетные карты, карты может получить любой просто по халатности сотрудников авиакомпаний. Почему, зная об опасной ледовой обстановке, корабль не снизил скорость? Этому основой могли быть честолюбие, самоуспокоенность или чья-то корысть. Почему шлюпок не хватило на всех пассажиров? Это может быть как результат неточных расчетов, экономии средств при строительстве корабля на безопасности пассажиров или полной уверенности, что корабль никогда не утонет. Но более важным является, не сколько ответы на поставленные вопросы, а факт того, что эти вопросы не были заданы до трагедий.
 
Оба события знаменуют, на мой взгляд, знаменательные события окончания "золотых" веков, когда человечеству наглядно продемонстрирована его слабость и уязвимость, невзирая на полную уверенность в своей безопасности. Пока Америка спала, темные силы планировали террористический акт, покупали или крали нужную информацию, рассчитывали траектории полетов, учили высококвалифицированных пилотов. А им некоторые граждане Америки активно помогали в этом. Дело не в том, что эти граждане плохие или хорошие, они просто не догадывались, для чего это делается. Инструктор самолета, обучавший террориста, даже не предполагал, как будет использован его опыт. И с кораблем тоже просто - обстановка была опасная, корабль плыл с высокой скоростью, но экипаж был уверен в неуязвимости судна. Расплата в обоих случаях не заставила себя ждать.
 
Человек придумал много разных безопасностей, создал компьютеры, написал много больших и умных программ, и в результате катастрофы все равно возможны. К обычным природным катаклизмам добавились техногенные и военные катастрофы. Представьте себе, что руководство страны знало, какое безобразие творится на атомной станции в Чернобыле - возможна ли была бы катастрофа. А почему руководство в Москве не знало, что творится на атомной станции, или знало, но не предпринимало никаких мер (тогда возникает вопрос – а почему?).
 
Попробуем разобраться, а что здесь не так. Если мы проанализируем существующее программное обеспечение, мы поймем, что компании разработчики автоматизированных систем предлагают инструменты построения защиты, а не решения в области защиты информации. Предлагаемые инструменты основываются на определенных отработанных стандартах, хорошо зарекомендовавших себя в специальных органах и структурах. Но готовых программных технологий защиты пока не предлагает никто, каждая компания должна построить ее сама. Возникает вопрос - а много ли специалистов знают и понимают хотя бы основы стандартов защиты информации. Можно разработать замечательные алгоритмы защиты, но против них есть еще одна слабость человека - названия компьютеров по именам сотрудников, пароли типа "123", "qwerty" и т.п., что достаточно просто подбирается злоумышленниками. Более того, Вы видели где-нибудь систему, построенную по принципу наследования прав и мониторинга информационных утечек на основе структурной схемы компании? Конечно, ее можно построить существующими средствами (инструментами) без всяких проблем, если понимать что надо строить, но попробуйте поинтересоваться схемой защиты информации у своего системного администратора, и каков результат! Итак, политика защиты информации в компьютерных сетях определяется в рамках общей системы безопасности, а не системным администратором, единственной задачей которого является строгое исполнение предписанных правил.
 
Следующий вопрос, это мониторинг информационных утечек - кто продал полетные карты террористам. Тайна? Я не думаю. Можно доказать, что не только информация имеет свойство группироваться, но и также круг лиц, пользующихся информацией, имеет тоже свойство группироваться вокруг информации. Как информация привлекает к себе разведчиков, так и разведчики привлекают к себе информацию. А Ваша информационная система позволяет построить запрос, кто и какими вопросами в Вашей компании интересовался в последнее время, как часто и что можно с помощью этой информации натворить при ее грамотном использовании? Здесь мы приходим к следующему тезису. Доступ к информации необходимо постоянно контролировать - кто, когда, как, почему и зачем, в особенности, если эта информация не является сферой профессиональных интересов и обязанностей сотрудников компании.
 
Организовать масштабные террористические акции, так чтобы никто не знал, невозможно - кто разрабатывал планы и собирал информацию, кто готовил пилотов и об этом тоже есть информация, кто-то производил расчеты точек ударов и интересовался алгоритмами расчетов - очевидно, террористы наследили много. А почему это никто не увидел (а может, кто-то не захотел увидеть происходящее), почему никто не задал вопрос, зачем все это делается, почему никто не попытался  предотвратить катастрофу на этапе ее подготовки - ведь не важно, что было ее объектами? Почему старший командный состав корабля вяло реагировал на айсберги, почему пренебрегли опасностью и не сбросили скорость, кого хотел удивить хозяин корабля и куда он спешил? Почему, имея в банках дорогие системы автоматизации учета, удается свершать крупные хищения. Ведь если иметь систематизированную информацию о конкурентах, партнерах, обстановке, операциях и тому подобное, что связано с деятельностью человека, то многие вещи можно предотвратить – украсть несколько миллионов долларов - это не монетку украсть из кармана. То есть, в результате мы приходим к тому, что необходимо иметь информационный мониторинг (и при этом необязательно заниматься шпионажем, девяносто процентов информации публикуется в открытых источниках и если к этому применить правильные методики анализа и агрегирования, то можно получать интересные результаты).
 
Следующим моментом является соотношение между ценой информации и стоимостью специалистов, которые ей владеют. А есть ли у Вас методики, и самое главное, оценка стоимости Вашей информации? А какую заработную плату получают сотрудники, которые ей владеют. И не возникает ли у них мысль продать ее? И если вдруг Вы узнаете о продаже информации, что ожидает таких сотрудников. А ваши идеи всегда разделяются вашими сотрудниками? Понятно, если цена продажи в десятки (сотни) раз превышает доход специалиста, то угроза увольнения его вряд ли остановит на пути продажи конфиденциальной информации (почему бы ни передать знакомому хакеру пароли доступа в банковскую сеть, доход от такой операции значительно превысит заработную плату). Очередной тезис, система сохранности информации по цене должна быть сравнима со стоимостью самой информации (представьте себе, бриллиантовый перстень очень дорогой мы храним на кухонном столе - чем не абсурд).
 
Мы все говорили о постоянных процессах. Но вот вопрос, а когда надо принимать меры и какие? Если бы управляющий кораблем имел такой бы алгоритм (закон, правило) и соответствующие полномочия, катастрофы можно было бы избежать, поскольку он был обречен ответственностью и, самое главное, правом повернуть корабль или сбросить скорость. Следовательно, необходимо иметь систему оповещения и распознавания информационного образа. То есть, своевременно определить внешнее или внутреннее воздействие на систему, чтобы породить адекватную защитную реакцию. Это те моменты, когда надо принимать некоторые меры, чтобы дом не сгорел, корабль не утонул, самолет не разбился. Мы говорим о стандартных типах (шаблонах) и системе их поиска. Примерно, как это сейчас делается в аэропортах – устанавливаются комплексные системы поиска взрывчатых веществ. А как быть с ответами на более сложные вопросы: а когда перочинный нож является орудием террора в аэропортах, а вязальная спица, а любимая зажигалка, и какой должен быть стереотип человека, способного получить отличное образование и направить самолет в жилое здание. Еще один пример, мы повесили много камер наблюдения, но нужны секунды, для того чтобы бросить пакет с опасным веществом в мусорное ведро, и это можно представить как использованную салфетку - наблюдатель задремал, отвлекся и просмотрел это событие. Следовательно, система помимо нашего участия должна среагировать на некоторые события и привлечь наше внимание (нечеткое распознавание образа - может быть все что угодно, но меры надо принимать). То есть в системе безопасности необходимо иметь систему оповещения и алгоритм распознавания образа события, то есть отнесение события к некому классификатору.
 
Как мы видим из рассуждений, большая часть тезисов подтверждает, что информационные технологии очень прочно пересекаются с деятельностью человека, с его безопасностью. Нельзя искусственно разрывать бизнес процессы и сопровождающее их информационное обеспечение. И мы говорим о целостности системы "человек – информационное обеспечение" ("человек - компьютер"), о создание интеллектуальных систем анализа и мониторинга, как эффективных орудий предотвращения социальных катаклизмов, о простоте и доступности их использования. В конечном итоге, нельзя рассматривать разные виды безопасности по отдельности. Они существуют как единое целое и только как единое целое могут обеспечить безопасность человеческого общества, поскольку мне, как специалисту в области информационного обеспечения, очевидно, что во всех крупных трагедиях самыми главными факторами являются: пренебрежение фактором человека, искусственное разделение ответственности, игнорирование должностных обязанностей, боязнь ответственности.
 
Здесь Вы можете загрузить бесплатное программное обеспечение, позволяющее на список пользователей вашей компьютерной сети создать уникальные, сложные для подбора и угадывания имя компьютера, имя пользователя и пароль.

Последнее изменение: 12.01.2003