За последнее время приходилось достаточно много общаться с людьми не из отрасли ИБ, но так или иначе переживающими за нее: общественные некоммерческие организации, преподаватели вузов, учителя школ, различные комитеты и объединения. Причем переживают они совсем по-другому поводу, чем мы: «Вот вы большие серьезные компании, рассказывающие про борьбу с киберугрозами», говорят они, «Хакеры и ddos атаки? Да 99% обычных людей это вообще не касается, зато есть большая проблема – «Кибернасилие в интернете», как вы планируете бороться с этой проблемой?». А ведь и правда, абсолютное большинство взрослых (я уж не говорю про детей) даже не задумываются над тем, как устроена сеть, по каким законам она живет, какие правила кибергигиены нужно соблюдать при использовании соцсетей и других сервисов. Уже наше поколение совершенно не задумывается откуда берется контекстная реклама, почему всплывает тот или иной баннер, относимся без особого осуждения к неожиданному появлению перед глазами порно-ролика, рекламы казино, странных ненавязчивых призывов к чему-либо. А ведь следующие поколения (миллениалы и далее) вообще воспринимают это, как само собой разумеющееся, всегда «так и было». Нормальным становится кибербуллинг, стриминг своей интимной жизни для всех, киберсекс, вербовка и зависимость от «фан-групп». Учителя и родители начинают бить тревогу только тогда, когда ситуация заходит слишком далеко. И в этом, на самом деле, не только их вина. У нас нет абсолютно никакой госполитики в отношении повышения киберграмотности населения, прививания культуры позиционирования себя и поведения в интернете, а между тем я убежден, что это уже давно насущная необходимость, как любой другой базовый предмет, изучаемый начиная с детского сада и в последствии по спирали преподаваемый на все более высоких уровнях.
Итак, дети и родители, совершенно одни по ту сторону монитора. И что большие ИБ-дядьки могут им сегодня предложить? Вообще ничего. Просвещающие инструкции интернет-сервисов? Смешно. Подумайте, сколько таких инструкций вы на своем предприятии уже написали для сотрудников, и что, они перестали открывать фишинговые письма или вставлять в компьютеры флешки, найденные перед дверью с надписью «фотки с корпортаива»? Программы родительского контроля и блокировки роскомнадзора? Пффф. 8-ми летний сын моего знакомого лекго «наютубил» на планшете, как обойти блокировку интересующего его игрового сайта, установив популярный vpn-сервис. Читать длинные user agreement, да даже просто полстраничные памятки – это не работает. Что реально работает (не кидайтесь помидорами, это не реклама) или по крайней мере делает – так это приложения по типу Сберовского, когда оно «проверяет прошивку» и «ищет вирусы» на телефоне перед тем, как дать доступ пользователю к платежным инструментам. Да, существуют огромные, в том числе, технологические, социальные и юридически проблемы в вопросах «думать за пользователя», «уберегать его от возможных действий, которыми он сам того не осознавая, может навредить себе». Отсюда потом и претензии к производителям прикладных программ, операционных систем, антивирусам, операторам связи, в конце концов, что «не уберегли» и «как же вы такое могли допустить, вы же специалисты и предоставляете мне «компьютерные услуги», значит, должны отвечать за все». Про концепцию «чистого интернета» я уже писал и это, скорее, технологические свершения будущего. И что же, мы совсем ничем не можем помочь тем, что по ту сторону монитора, кроме общих советов: воспитывайте, думайте головой, идите к психологу?
Я считаю, что можем. Прежде всего, донесением информации. Как показал мой опыт общения с не-ИБ и не-ИТ гражданами, у них информации просто 0, о том, как совершаются компьютерные преступления, какие технологии и люди (и машины) стоят за кибернасилием и т.п. Не знаю, как дела обстоят в столицах, но в моем регионе мне неизвестны сколь либо популяризируемые курсы, лекции, программы, да просто собрания на базе каких-то институтов или объединений по вопросам повышения киберграмотности. Причем не с той позиции «торговли страхом» и не с позиции нас, как ИБ-сообщества, а с точки зрения обычных пользователей: детей, студентов, учителей, родителей. Для каждой из этих групп донесение информации должно быть адаптировано и лекции должны готовиться ИБ-специалистами совместно с преподавателями, социологами, психологами. Им катастрофически не хватает нас, а мы, если не посмотрим на нашу профессию под социальным углом, так и будем обсуждать лишь «SOC’и, DDOS’ы, Bad Rabbit’ов» в своих закрытых клубах, а массовое кибернасилие в сети среди населения - только возрастать.
Итак, дети и родители, совершенно одни по ту сторону монитора. И что большие ИБ-дядьки могут им сегодня предложить? Вообще ничего. Просвещающие инструкции интернет-сервисов? Смешно. Подумайте, сколько таких инструкций вы на своем предприятии уже написали для сотрудников, и что, они перестали открывать фишинговые письма или вставлять в компьютеры флешки, найденные перед дверью с надписью «фотки с корпортаива»? Программы родительского контроля и блокировки роскомнадзора? Пффф. 8-ми летний сын моего знакомого лекго «наютубил» на планшете, как обойти блокировку интересующего его игрового сайта, установив популярный vpn-сервис. Читать длинные user agreement, да даже просто полстраничные памятки – это не работает. Что реально работает (не кидайтесь помидорами, это не реклама) или по крайней мере делает – так это приложения по типу Сберовского, когда оно «проверяет прошивку» и «ищет вирусы» на телефоне перед тем, как дать доступ пользователю к платежным инструментам. Да, существуют огромные, в том числе, технологические, социальные и юридически проблемы в вопросах «думать за пользователя», «уберегать его от возможных действий, которыми он сам того не осознавая, может навредить себе». Отсюда потом и претензии к производителям прикладных программ, операционных систем, антивирусам, операторам связи, в конце концов, что «не уберегли» и «как же вы такое могли допустить, вы же специалисты и предоставляете мне «компьютерные услуги», значит, должны отвечать за все». Про концепцию «чистого интернета» я уже писал и это, скорее, технологические свершения будущего. И что же, мы совсем ничем не можем помочь тем, что по ту сторону монитора, кроме общих советов: воспитывайте, думайте головой, идите к психологу?
Я считаю, что можем. Прежде всего, донесением информации. Как показал мой опыт общения с не-ИБ и не-ИТ гражданами, у них информации просто 0, о том, как совершаются компьютерные преступления, какие технологии и люди (и машины) стоят за кибернасилием и т.п. Не знаю, как дела обстоят в столицах, но в моем регионе мне неизвестны сколь либо популяризируемые курсы, лекции, программы, да просто собрания на базе каких-то институтов или объединений по вопросам повышения киберграмотности. Причем не с той позиции «торговли страхом» и не с позиции нас, как ИБ-сообщества, а с точки зрения обычных пользователей: детей, студентов, учителей, родителей. Для каждой из этих групп донесение информации должно быть адаптировано и лекции должны готовиться ИБ-специалистами совместно с преподавателями, социологами, психологами. Им катастрофически не хватает нас, а мы, если не посмотрим на нашу профессию под социальным углом, так и будем обсуждать лишь «SOC’и, DDOS’ы, Bad Rabbit’ов» в своих закрытых клубах, а массовое кибернасилие в сети среди населения - только возрастать.
