26 Марта, 2013

Почему пентесты все равно не помогут или зачем в ИБ нужна поведенческая психология?!

Алексей Лукацкий
В среде некоторых специалистов по ИБ до сих пор бытует мнение, что информационная безопасность - это прежде всего технологии и именно от них зависит уровень защищенности современного предприятия; мол, именно техника первична, а все остальное вторично. В этом плане хотелось бы напомнить классический тезис о том, что безопасность системы равна безопасности самого слабого звена. А им является пресловутый человеческий фактор. Какие бы не были замки, достаточно оставить ключ под ковриком, и вся безопасность пойдет коту под хвост. Почему же пользователи оставляют ключи под ковриком? Ответ на это дает поведенческая психология (технарям-апологетам дальше можно не читать - ничего для них интересного не будет).

Возьмем простой пример. Уж сколько лет все и везде твердят о том, что надо выбирать правильные пароли. Но почему-то эффекта все эти возвания не возымели. Sony, LinkedIn, да мало ли еще примеров массовых утечек учетных записей... Почему? Традиционные лекции по ИБ не скажут об этом. А психологи скажут и говорят. Они приводят результаты очень частых экспериментов, в которых испытуемым предлагают выбор "доллар сейчас или три доллара послезавтра". Почему-то абсолютное большинство делает невыгодный выбор в пользу одного доллара, но сейчас (в России есть классная пословица "лучше синица в руках, чем журавль в небе"). Психологи отмечают, что люди предпочитают ближайшие небольшие преимущества  долгосрочным выгодам. Лучше быстро выбрать простой пароль, чем тратить усилия на создание пароля сложного. Особенно когда человека раньше не ломали.

Специалисты любят приводить хорошую аналогию. Представьте, что в квартале от вашего дома установлен знак "Уступи дорогу" и вы регулярно выполняете предписания этого знака. Но в какой-то момент времени вы, остановившись перед знаком, убеждаетесь, что машин вокруг нет и вы можете не останавливаться перед знаком. Так происходит один день. Потом второй и вновь ничего не происходит. Потом третий и вновь ничего. И так две недели, пять, десять. Бдительность людей засыпает... до часа Х. И с паролями та же ситуация. И с резервным копированием. И с приобретением антивируса. А потом мы начинаем кусать локти и думать "ну как же так". Винить тут себя не в чем, на самом деле. Это психология.И она же подсказывает, что "истории из жизни других" также не сильно помогают улучшить ситуацию - ведь мы часто думаем "с нами-то этого не случится" (это так называемое предубеждение оптимизма). Отдельные индивидуумы делают себе пометку "позже". Позже изменю пароль на более строгий. Позже куплю антивирус. Позже протестирую возможность восстановления в системе резервного копирования. Позже прочитаю эту статью. Но почему-то "позже" никогда не наступает.

Что же делать? Еще больше говорить о частоте смены и качестве паролей? Не поможет. Нужны иные механизмы. Что рекомендуют эксперты? Во-первых, давать людям больше информации о последствиях их выбора. Если я буду знать, что некачественный пароль сегодня может привести к несанкционированному доступу ко всей моей переписке в будущем, я более осмотрительно буду выбирать пароль по сравнению с ситуацией, когда система проверки качества паролей на сайте просто говорит, что мой пароль средней надежности.

Во-вторых, безопасность по умолчанию. Почему бы, например, сразу не показывать такие примеры надежных паролей "76GhbxbyDs,hfnm54#", чтобы у пользователей по умолчанию закладывалось в голову "как правильно"?

В-третьих, удобство использования. Про него я уже писал не раз. Упрощенно один из принципов создания защищенных систем, предложенный еще в 1975-м году гласит: "Стройте систему защиты таким образом, чтобы она не заставляла пользователя делать лишние, нетипичные для него действия". Человеческий мозг не привык запоминать что-то; особенно текстовое. В отличие от графической информации. Поэтому система графических паролей более эффективна, чем символьных. Но почему последние все еще так распространены? Все просто. Изначально такие системы создавались для облегчения жизни компьютеру, а не человеку. Технологии менялись, а инертность человеческого мозга нет. Поэтому даже в новых системах мы используем то, что привычно и проще реализовать, а не то, что обеспечит бОльшую защищенность (а многие эксперты по ИБ и не думают о поведенческой психологии).

Ну и наконец, стимулирование. Оно тоже может способствовать повышению уровня защищенности предприятия или отдельного гражданина. Например, почему бы оператору связи (заинтересованному в росте уровня защищенности своих абонентов) не давать скидку на месячное подключение, если абонент включит дополнительные настройки системы защиты. А какой-либо сайт может дать скидку на свои товары и услуги, если пользователь докажет, что он купил менеджер паролей или систему персональной защиты ПК? Затраты отсутствуют; потери минимальны, а выгода налицо.

Можно ли и в России внедрять такие механизмы? Да, почему нет? Например, включить соответствующие тезисы в разрабатываемые сейчас Советом Безопасности "Основные направления государственной политики в области формирования у граждан культуры информационной безопасности".

ЗЫ. Это краткий пересказ с моими добавками статьи " Why It Pays to Submit to Hackers ".
или введите имя

CAPTCHA
26 Марта, 2013
...ох уж эти теоретики
В среде некоторых специалистов по ИБ до сих пор бытует мнение, что информационная безопасность - это прежде всего технологии и именно от них зависит уровень защищенности современного предприятия; мол, именно техника первична, а все остальное вторично. В этом плане хотелось бы напомнить классический тезис о том, что безопасность системы равна безопасности самого слабого звена. А им является пресловутый человеческий фактор. Начало хорошее, а дальше полный бред - если Вы начали с современных предприятий, так и приводите примеры про них, а не про обычных людей. В современных предприятиях никто не дает пользователям самим определять безопасность - устанавливать антивирус, определять сложность пароля и так далее... P.S. Есть у меня знакомый, тоже раньше любил говорить про то, что технологии вторичны закончилось тем что его современное предприятие взломали какие-то школьники.
0 |
  • Поделиться
  • Ссылка