18 Декабря, 2012

Информационная безопасность и человеческий фактор.

ctax.livejournal.com
В сегодняшнем обилии информации очень сложно выделить ту область, которая ещё не была освещена и изучена. Однако, вместе с этим существует и сложность в отборе информации по необходимым критериям – слишком велико количество «белого шума». В огромном потоке профилирующей информации мне так и не удалось найти сколь-нибудь приемлемые материалы, описывающие такую проблему как человеческий фактор, хотя его значение очень сложно переоценить. Пришлось, как это часто бывает, "изобретать велосипед". По прошествии некоторого времени я решил опубликовать некоторое исследование, поскольку считаю, что мои наработки в этом вопросе могут быть полезны моим коллегам. В то же время, данное исследование опубликовано в форме, максимально доступной для понимания не только специалистами, но и обычными пользователями.

Собственно понятие «информационная безопасность» возникло одновременно с появлением у человека средств обработки информации и осознания того факта, что ему может быть нанесён вред, если эта информация попадёт к злоумышленникам. Ещё с древних времён существовала поговорка: «Скажи мне, кто твой друг, и я скажу, кто ты» - недвусмысленно указывавшая, что простая вербальная утечка информации о контактах субъекта давала возможность судить о нём самом.
Время шло, способы обработки и передачи информации развивались. Появились рукописные средства хранения и обработки информации, затем – технологические. Уже очевидно, что в настоящее время развитие информационной безопасности обусловлено повсеместным использованием мобильных коммуникационных устройств с широким спектром решения задач и глобальным охватом в пространстве и времени, использующих беспроводные технологии доступа к информационным системам. Также очевидно, что основная масса информации сегодня предоставляется и обрабатывается в электронном виде. Таким образом, термины «безопасность информации» и «компьютерная безопасность» часто используются как взаимозаменяемые, поскольку действия специалистов в этих областях являются взаимосвязанными и имеют общие цели защиты конфиденциальности, целостности и доступности информации, хотя есть некоторые различия между ними:
  • Информационная безопасность касается конфиденциальности, целостности и доступности данных независимо от формы их представления: электронных, печатных, вербальных или любых других.
  • Компьютерная же безопасность часто сосредоточена лишь на обеспечении доступности данных в электронной форме и корректной работе информационной системы, не принимая в расчёт целостность и конфиденциальность информации, которая хранится и обрабатывается с её помощью.
Поскольку человек является потребителем информации и субъектом её обработки, всегда существовал риск, связанный с ошибкой принятия решения - например, неверно определить круг лиц с доступом к информации. Кроме того, возможности человека в исполнении тех или иных решений всегда были ограничены. Характеристики, возникающие при взаимодействии человека и любых технических систем (в том числе, систем обработки информации) часто называют «человеческий фактор». Ошибки, называемые проявлением человеческого фактора, как правило, непреднамеренны: человек выполняет ошибочные действия, расценивая их как верные или наиболее подходящие.
Разумеется, в древние времена способы защиты информации от человеческого фактора были куда проще, чем сейчас. В случае инцидента правителю страны, скажем, достаточно было перекрыть канал распространения информации путём усекновения головы, распространявшей сведения или допустившей утечку. Данный способ, являясь реакцией на инцидент, обладал, кроме того, и проактивным воздействием на возможные источники последующих утечек. Но как только появилась письменность, политики, дипломаты и военные командиры поняли, что необходимо обеспечить какой-то механизм, чтобы защитить конфиденциальность переписки и иметь некоторые средства обнаружения взлома.
Тем не менее, вплоть до середины 19-го века основные методы защиты, как правило, достигались за счет применения процедурного контроля обработки информации. Конфиденциальная информация имела метки, означающие необходимость защиты, подлежала транспортировке в присутствии доверенных лиц и хранилась в защищенной среде. Необходимость пересмотра способов контроля распространения информации возникла лишь с изобретением радио. Но в те годы человеческий фактор, частично в силу несовершенства технологий (и потому простоты схем защиты информации), ещё не являл собой столь серьёзную угрозу.

Начиная с появления компьютеров и информационных систем на их основе, человеческий фактор приобретает всё более серьёзное значение. К концу 20-го века происходит быстрый рост достижений в области телекоммуникаций, вычислительной техники и программного обеспечения, повлекший за собой резкое усложнение информационных систем и требований к навыкам их операторов. Спектр угроз для пользователей информационных систем шагнул далеко за пределы специализированных вычислительных центров.
В этих условиях мозг человека и его физиологическое состояние не претерпели сколь-либо значительных изменений – он не стал более сильным, выносливым, не стал мыслить и принимать решения быстрее. По сути, мы с вами не отличаемся от древних римлян. Но нагрузка на мозг человека в век высоких технологий возросла многократно. А значит, возросла и вероятность ошибки, вызываемой человеческим фактором.

Причины, способствующие ошибочным действиям человека, можно объединить в несколько групп:
  • недостатки информационного обеспечения или их отсутствие (специальные обработчики таких ситуаций в программном обеспечении, наглядные материалы и инструкции). Особенно сильно эта проблема проявляется в экстремальных ситуациях и в условиях дефицита времени на принятие решения;
  • ошибки, вызванные воздействием внешних факторов (отвлечение внимания от возникшей проблемы);
  • ошибки, вызванные физическим и психологическим состоянием и свойствами человека (внезапный стресс при общей монотонной работе, эмоциональная напряжённость, импульсивность или наоборот, подавление реакции на проблему);
  • ограниченность ресурсов поддержки и исполнения принятого решения;
  • отсутствие учёта человеческого фактора в списке возможных причин инцидента.
Предположим существование некоей гипотетической типовой информационной системы в такой же гипотетической организации и выделим следующие типичные группы взаимодействия с информационной системой - а значит, источники возникновения инцидентов, связанных с человеческим фактором, внутри этой организации: руководство компании, рядовые сотрудники, специалисты ИТ и сотрудники ИБ. После этого проанализируем существующие причины как возможные угрозы применительно к источникам.

Руководство компании.
Менеджеры высшего звена в крупных компаниях, как правило, не знают, что творится с их информационными активами, не говоря уже о том, какие существуют угрозы. Исключение не составляют даже ИТ-директоры, которым, вроде бы, положено знать больше остальных. Недостаток информации – очень высокий.
Кроме того, будучи постоянно заняты во множестве разных проектов, они склонны упускать наличие проблемы в одной конкретной информационной системе, рассматривая проблемы на стратегическом уровне и делегируя полномочия своим подчинённым, непосредственно занятым в том или ином проекте. Внешние факторы – высокий.
При этом, не будучи завязаны на принятие быстрых решений в сиюминутных сложных ситуациях и не имея прямой ответственности за производимые в системе действия, они не подвержены стрессу в момент чрезвычайной ситуации, и, как следствие, психологический и физиологический факторы на них имеют куда меньшее воздействие, чем, скажем, на администраторов, отвечающих за работоспособность системы. Психологический и физиологический факторы – низкий.
С ресурсами на исполнение решения у них тоже всё всегда в порядке. Ограниченность в ресурсах - очень низкая.
Что же касается отсутствия учёта человеческого фактора, то тут раз на раз не приходится, всё зависит от конкретного руководителя. Отсутствие учёта человеческого фактора – средний.

Рядовые сотрудники – пользователи конкретной информационной системы.
Обычно эти пользователи являются основными операторами обработки информации. Поэтому часто о работе системы – во всяком случае, с точки зрения пользователя - они осведомлены куда больше, чем высшее начальство. Но при этом они очень часто не знают, какие опасности им грозят, либо знают о них лишь в общих чертах. Недостаток информации – высокий.
Поскольку информационная система является их основным рабочим инструментом, то происходит больше количество повторений одних и тех же действий, часто – на уровне автоматизма. По этой причине вероятность ошибки из-за внешнего фактора крайне невелика. Внешний фактор – очень низкий.
Стресс, если он и происходит, является, скорее, следствием конкретной ошибки или неправильного поведения самой системы, так что инциденты в этом случае система также не грозят. Психологический и физиологический факторы – низкий.
А вот невозможность исправить свои же действия при возможном отсутствии или перегруженности администратора системы может привести к катастрофе, особенно, если система не предусматривает точек восстановления или резервного копирования. Ограниченность в ресурсах - очень высокая.
Что же касается учёта человеческого фактора, то подавляющее большинство рядовых пользователей в той или иной степени уверено, что им всё по плечу, вот только «королевство маловато, разгуляться негде», поскольку администратор, если у него есть голова на плечах, заблаговременно ограничивает им права доступа. Отсутствие учёта человеческого фактора – средний.

Специалисты ИТ – администраторы и разработчики конкретной информационной системы или её компонентов.
Эти люди знают, как работает система изнутри. В то же время отношение к угрозам извне у них часто пренебрежительное: «Кто нас сломает? Кому мы нужны? Пять лет работали без этого патча – и ещё столько же отработаем…». Недостаток информации – средний.
Мониторинг работоспособности системы входит в их должностные обязанности, и даже при полностью автоматическом функционировании особо отвлекаться некогда. Внешний фактор – очень низкий.
Но часто бывает, что таких систем у них много, а потому углядеть за всем сразу бывает порой достаточно проблематично. А уж если внезапно идёт атака на систему или происходит общий сбой, пользователи звонят, прибегают и стоят над душой - даже при наличии инструкции по восстановлению («да кто их в тот момент смотрит?!») велика вероятность в спешке и стрессе забыть какое-либо действие и, в результате, похоронить работу пользователей за изрядный срок. Психологический и физиологический факторы – очень высокий.
Администраторы и разработчики, как правило, достаточно хорошо знают требования к ресурсам, но ограничены «сверху», на развитии систем начальство, увы, старается экономить. Ограниченность в ресурсах - высокая.
Что же касается отсутствия учёта человеческого фактора, то большая часть знакомых мне администраторов решительно и твёрдо ограничивает пользователей в их действиях, справедливо уповая на организационные моменты в информационной безопасности и низкий общий уровень подготовки персонала организации. Отсутствие учёта человеческого фактора – низкий.

Сотрудники ИБ.
Это "первый эшелон обороны". Они могут не знать в деталях конкретную систему, зато знают, что может вызвать её неработоспособность. Они рассматривают и анализируют новые риски, описывают правила доступа к информационным ресурсам и правила их защиты. Недостатка в информации в целом они не испытывают, хотя иногда бывает, что информация, которой они обладают, уже устарела, либо угрозы, которые они описали, уже предотвращены администратором. Недостаток информации – низкий.
При этом, не работая в системах, не контролируя их с точки зрения администратора и получая информацию об их работоспособности от третьих лиц - администраторов и разработчиков - очень легко упустить момент, когда конкретная система может дать сбой. Внешний фактор – очень высокий.
Разумеется, стрессу в момент сбоя системы сотрудники, отвечающие за защиту информации, подвержены менее, чем непосредственные исполнители ремонтных работ, хотя по собственному опыту скажу: и на их долю в случае аварийной ситуации приходится немало проблем. Психологический и физиологический факторы – средний.
У сотрудников ИБ почти нет возможности влиять на ситуацию с ресурсами. Подавляющее большинство из них оставляют это на долю всё тех же системных администраторов и разработчиков, предпочитая организационные меры. В случае же острой необходимости сотрудник ИБ выступает в качестве орудия поддержки для разработчика, которому нужны ресурсы для развития системы. Кроме того, руководство часто считает защиту информации затратной статьёй и урезает настолько, насколько это возможно. Ограниченность в ресурсах - высокая.
А вот про человеческий фактор сотрудники ИБ знают не понаслышке. Каждый из них хотя бы раз в жизни хотел бы поймать «того самого криворукого продвинутого пользователя» и вправить ему конечности по своему разумению. И каждый анализ угроз заставляет его учитывать и фактор проникновения изнутри, и социальную инженерию, и прочие моменты, которые зависят от человеческого поведения. Отсутствие учёта человеческого фактора – очень низкий.

Затем я составил примерную карту рисков в зависимости от групп и их сочетаний, располагая угрозы для каждого источника и оценивая их по нисходящей пятибалльной системе (самый высокий риск – 5, самый низкий – 1):
ГруппыРуководствоПользователиАдминистраторыИнф. Безопасность
Недостаток информации5432
Воздействие внешних факторов4115
Психология и физиология2253
Ограниченность в ресурсах1544
Отсутствие учёта ЧФ среди угроз3321
Итого:
  • Недостаток информации об угрозе - 14 баллов
  • Воздействие внешних факторов на оператора системы - 11 баллов
  • Ошибки, вызванные физическим и психологическим состоянием человека - 12 баллов
  • Ограниченность в ресурсах - 14 баллов
  • Отсутствие учёта человеческого фактора в списках угроз - 9 баллов
Картины для различных организаций могут несколько различаться, я не претендую на абсолютную истину, а исхожу только из собственного опыта. Но общая схема выглядит достаточно понятно - основными предпосылками для инцидентов, в основе которых лежит человеческий фактор, являются недостаток информации о возможных угрозах и ограниченность в ресурсах для противодействия угрозам. Чуть ниже стоят психологические и физиологические реакции человека, яркой иллюстрацией которых, в частности, являются ситуации, моделируемые социальной инженерией.

Если этот материал интересен читателю, я готов описать собственный опыт нейтрализации подобных угроз и взаимодействия между различными подразделениями.
или введите имя

CAPTCHA