Проходил я тут давеча тренинг по безопасности Интернета вещей и, хотя у нас это устройство не рассматривалось, задумался о том, как изменится картина безопасности после активного распространения в мире очков Google Glass или аналогичных. Да, данное устройство полезно для путешественников или для фиксации тренингов и публичных выступлений. "Акынам" Интернета тоже будет прикольно. Но вот с точки зрения безопасности устройство задает много вопросов, на которые пока нет ответов; ну или мало кто серьезно об этом задумывался.
Фиксация огромных объемов конфиденциальной информации, включая и различные переговоры и телеконференции, изучение расположения защищаемого объекта, подсматривание набираемого PIN-кода или передаваемой кассиру платежной карты... Google Glass в этом смысле гораздо более опасная штука, чем даже смартфон или флешка, которые на некоторых предприятиях могут изымать. Очки не особенно и изымешь - тут может такой вой подняться, что организация против людей с плохим зрением. А если туда добавить еще и толику ЛГБТ составляющей.... :-)
Кстати, с безопасностью и самих очков тоже не все так радужно, а они имеют доступ ко многим ресурсам под учетной записью своего владельца. Кража очков может дорого обойтись любителю инноваций. Да даже если до кражи и не дойдет, то низкий уровень защищенности и подключение к публичному хотспоту может превратить очкарика-интеллигента в секретное оружие хакеров. Шутки шутками, но готовиться к данной проблеме (или, если хотите, угрозе) стоит уже сейчас. Как минимум, надо быть готовым и оценивать риск от этих новых устройств. Как и от любых других высокотехнологичных устройств, находящихся в корпоративной или ведомственной сети. Игровые приставки, принтеры, видеокамеры, кофеварки, электрочайники, утюги... Да-да, утюги и электрочайники. На днях пробежала новость о том, что в партии китайских утюгов находится модуль, который через незащищенный Wi-Fi может распространять вирусы и спам. Факт пока неподтвержденный, но и ничего сверхъестественного я в нем не вижу.
Что делать? Что делать, что делать... Все тоже самое. Модель угроз, политики, повышение осведомленности, контроль доступа... Ничего нового не придумано. Главное, что надо сделать, так это четко прописать в политиках и довести до сотрудников и посетителей, можно ли пользоваться такого рода устройствами на территории организации. Если да, то на всей территории или только в зонах гостевого доступа (да и то с оговорками)? Остальные рекомендации идентичны стратегии BYOD (Bring Your Own Device). Стоит подумать и такой проблеме, как, что отвечать, если вас обвинят в противодействии незрячим людям? Непростой вопрос и однозначного ответа не имеющий, как и вообще стык ИБ и поведения людей.
Фиксация огромных объемов конфиденциальной информации, включая и различные переговоры и телеконференции, изучение расположения защищаемого объекта, подсматривание набираемого PIN-кода или передаваемой кассиру платежной карты... Google Glass в этом смысле гораздо более опасная штука, чем даже смартфон или флешка, которые на некоторых предприятиях могут изымать. Очки не особенно и изымешь - тут может такой вой подняться, что организация против людей с плохим зрением. А если туда добавить еще и толику ЛГБТ составляющей.... :-)
Кстати, с безопасностью и самих очков тоже не все так радужно, а они имеют доступ ко многим ресурсам под учетной записью своего владельца. Кража очков может дорого обойтись любителю инноваций. Да даже если до кражи и не дойдет, то низкий уровень защищенности и подключение к публичному хотспоту может превратить очкарика-интеллигента в секретное оружие хакеров. Шутки шутками, но готовиться к данной проблеме (или, если хотите, угрозе) стоит уже сейчас. Как минимум, надо быть готовым и оценивать риск от этих новых устройств. Как и от любых других высокотехнологичных устройств, находящихся в корпоративной или ведомственной сети. Игровые приставки, принтеры, видеокамеры, кофеварки, электрочайники, утюги... Да-да, утюги и электрочайники. На днях пробежала новость о том, что в партии китайских утюгов находится модуль, который через незащищенный Wi-Fi может распространять вирусы и спам. Факт пока неподтвержденный, но и ничего сверхъестественного я в нем не вижу.
Что делать? Что делать, что делать... Все тоже самое. Модель угроз, политики, повышение осведомленности, контроль доступа... Ничего нового не придумано. Главное, что надо сделать, так это четко прописать в политиках и довести до сотрудников и посетителей, можно ли пользоваться такого рода устройствами на территории организации. Если да, то на всей территории или только в зонах гостевого доступа (да и то с оговорками)? Остальные рекомендации идентичны стратегии BYOD (Bring Your Own Device). Стоит подумать и такой проблеме, как, что отвечать, если вас обвинят в противодействии незрячим людям? Непростой вопрос и однозначного ответа не имеющий, как и вообще стык ИБ и поведения людей.
