Надоело менять пароли и бояться QR-кодов? «Разрушители мифов» в сфере ИБ разоблачили самые бесполезные советы по кибербезопасности

leer en español

Hacklore CISA Secure by Design кибербезопасность Wi-Fi
Надоело менять пароли и бояться QR-кодов? «Разрушители мифов» в сфере ИБ разоблачили самые бесполезные советы по кибербезопасности
Hacklore CISA Secure by Design кибербезопасность Wi-Fi

Новый проект объясняет, почему привычные советы не защищают и что делать вместо этого.

image

Кампания по развенчанию популярных заблуждений в цифровой безопасности набирает обороты, и её инициаторы предлагают сосредоточиться на реальных угрозах, а не на устрашающих мифах. Группа из 86 руководителей служб безопасности и бывших сотрудников CISA запустила проект Hacklore, призванный переломить представления о киберрисках и объяснить, какие практики действительно помогают снизить вероятность взлома.

Идея возникла у бывшего советника CISA и бывшего директора по информационной безопасности Yahoo Боба Лорда, который привлёк к инициативе широкую группу представителей отрасли, включая бывшую главу CISA Джен Истерли, заместителя CISO Microsoft Джеффа Белнапа, бывшего CISO Uber Джо Салливана и руководителя разработки безопасности Chrome Парису Табриз. По словам Лорда, поводом стал очередной пример устаревших рекомендаций, которыми часто делятся даже опытные коллеги. Он отметил, что ближе к крупным распродажам и периоду активных поездок количество сомнительных советов традиционно растёт, поэтому запуск ресурса приурочили именно к этому моменту.

Участники Hacklore подчёркивают, что многие популярные угрозы представлены преувеличенно. Так, опасения по поводу публичных Wi-Fi сетей, запреты на включённый Bluetooth и отказ от сканирования QR-кодов больше напоминают фольклор, чем реальные риски. В перечень рекомендаций, которые предлагается отправить в прошлое, вошли также предостережения о «juice jacking», хотя подтверждённых случаев заражения через публичные USB-порты нет, и советы регулярно менять пароли, что в итоге лишь ослабляет безопасность и повышает вероятность их повторного использования. Не принесёт пользы и удаление cookies, поскольку это не препятствует отслеживанию и не укрепляет защиту.

Авторы инициативы предлагают сместить внимание на практики, которые действительно снижают вероятность инцидентов. Среди них обязательное использование устойчивых к фишингу вариантов многофакторной аутентификации, постепенный отказ от паролей и внедрение архитектур, способных выдерживать человеческие ошибки. Отмечается важность понятных и быстрых каналов уведомления о подозрительной активности, а реакция на такие сообщения должна быть оперативной. Ответственность за последствия ошибки не стоит перекладывать на сотрудника: если единичное действие приводит к серьёзному ущербу, это указывает на слабость системы, которую необходимо переработать.

Внимание уделено и разработчикам программного обеспечения, которым предлагается укреплять подход Secure by Design. Инициаторы Hacklore призывают производителей публиковать планы перехода к созданию более защищённого ПО, обеспечивать шифрование трафика современными протоколами, развивать программы вознаграждений за найденные уязвимости и своевременно публиковать полные и точные записи CVE.

В итоговом обращении группа отмечает, что распространение «hacklore» приносит больше вреда, чем пользы, поскольку отвлекает от мер, которые действительно уменьшают риски. По их словам, важно сосредоточиться на рекомендациях, основанных на том, как происходят реальные нарушения, а не на пугающих, но неверных представлениях о киберугрозах.