Социокультурный аспект внедрения некоторых категорий средств защиты в организациях с преимущественно женским контингентом
Если компания задумывается о внедрении токенов в своей деятельности и при этом на предприятиях работает достаточно много женщин, то в первую очередь надо думать не о том, насколько стойкая система защиты получается с внедрением токенов, а о том насколько можно вообще внедрить эти токены; насколько они будут эффективны.
Давайте посмотрим на типичную российскую компанию. Хотя, наверное, не только российскую, любую компанию. Руководящее звено, конечно же, мужчины – несмотря на равноправие, феминизм пока еще не победил до конца, и основные руководящие посты, конечно же, занимают сильная половина человечества. Среднее звено тоже, как правило, мужчины, которые не готовы уступать руководящую и направляющую роль женщине (за редким исключением). И если на Западе феминистическое движение очень сильно и в ряде компаний даже есть квота на количество «руководящих женских» постов, то в России до такой свободы пока еще очень и очень далеко. Итак, руководящее звено – мужчины, но их немного.
Основные же работники, которые выполняют операционную работу – это женщины. Могу смело предположить, что в современных офисах (а именно там обычно и внедряются проекты по информационной безопасности) гораздо больше 50% всех офисных работников - это прекрасная половина человечества. Именно они работают с компьютерами, они вводят данные в информационные системы, они получают доступ к бизнес-приложениям и т.п. И именно они должны являться главной точкой внимания со стороны службы защиты информации. Ведь, как известно, основная угроза корпоративной безопасности исходит именно изнутри и свыше половины всех инцидентов приходятся на неумышленные несанкционированные действия. Сопоставляя два факта, мы приходим к выводу, что основной аудиторией для внедряемых токенов будут именно женщины, которые по окончании проекта должны (в теории) перестать забывать свой пароль, записывать его на стикерс и приклеивать к монитору, называть его подруге и т.д.
И вот здесь нас подстерегает достаточно интересный и парадоксальный факт. С одной стороны токены ориентированы на женщин, а с другой стороны именно к женщинам-то они и неприменимы. Любой из вас может провести небольшое исследование вашего окружения и вы придете к тем же выводам. Посмотрите, как одевается обычная женщина в офисе. Это брючный костюм, либо юбка и пиджак, под ним блузка – именно так одевается современная деловая леди. Казалось бы, в чем сложности с использованием токенов в этом случае? А проблема в том, что при классическом офисном стиле одежды на ней нет карманов или они носят декоративную функцию.
Наверное, большинство читателей этой статьи либо не обращало, либо просто не задумывалось об этом, но именно так одето большинство женщин в современных офисах. И об этом также не задумываются производители средств защиты. Потратьте десять минут своего времени и обратите внимание, есть ли карманы у женщин, которые вас окружают. В большинстве случаев таких карманов на брючном костюме или юбке с пиджаком попросту нет. А если они есть, то это скорее просто декоративные клапана на карманах. Иногда конечно карманы бывают. В некоторых случаях 2-4 кармана у женщины все-таки присутствуют (у мужчины в костюме их 8-10, не считая пояса, на который тоже можно что-нибудь повесить). Мне можно возразить, что раз карманы есть, то в них можно засунуть токен - он небольшой и помещается в любой карман. И вот здесь опять ярко проявляется чисто мужской тип мышления. Так уж сложилось, что в безопасности в основном работают мужчины, которые на психологические и социальные аспекты безопасности внимания не обращают (да и не учат этому нигде). А женщина думает совершенно иначе и ей в голову не придет, даже при наличии карманов, набивать их всякой всячиной. Это мужчина может напихать в них абсолютно все – достаточно вспомнить начало романа Марка Твена про Тома Сойера (у него в карманах был и перочинный ножик, и стеклянный шарик, и даже дохлая крыса, к хвосту которой была привязана веревка, чтобы ее было удобно крутить над головой). Для мужчины карманы выполняют функцию женской сумочки, и, наверное, если вы спросите женщину, у нее вызовет недоумение, почему мы носим мелочь, ключи именно в карманах брюк, а документы во внутреннем кармане пиджака. Для нас это нормально, для женщины - нет. Для мужчины нормально носить токен в кармане или на поясе – для женщины это нонсенс. Женщина в карманах ничего не носит. Зайдите в обеденное время в столовую и посмотрите, как окружающая вас прекрасная половина человечества ходит на обед. Даже при наличии карманов мобильный телефон и кошелек она несет в руках (телефон иногда может висеть на шее).
Что в итоге? В карман его не положишь. К поясу он не цепляется, т.к. у него нет крепления для этого, а принадлежностей для ношения токенов на поясе я лично не встречал. И мы приходим к тому, с чего начали – токены внедрены и на стикерсах пароли уже не записываются, но только сами токены носятся не с собой, а остаются лежать рядом с компьютером. Конечно, злоумышленнику сложнее получить доступа к содержимому токена, но при четырехзначном значении кода доступа к нему, это не очень серьезная проблема. В случае неудачного подбора ПИН-кода токен будет заблокирован и злоумышленник не получит несанкционированного доступа к паролям и сертификатам, хранящимся на токене. Но с другой стороны и его владелец тоже доступа не получит, т.к. он будет заблокирован. И придется службе безопасности заниматься заменой аппаратных идентификаторов. А те, кто сталкивался с компрометацией криптографических ключей, знает, что проблема эта непростая. Конечно, существуют специальные системы управления токенами, но они борются со следствием, даже не пытаясь решить саму проблему.
Проблема же, на мой взгляд, может быть решена достаточно просто. Надо создавать токены, которые являют собой некое украшение (т.н. женская модификация системы защиты). По такому пути идут сейчас многие производители (парфюмерия, косметика, одежда, автомобили, бытовая техника и т.д.). Если на рынке можно встретить инкрустированные драгоценными и полудрагоценными камнями мобильные телефоны, то почему не поступить так и с токенами. Сделать их не просто неким элементом системы информационной безопасности, который обязательно должна носить любая женщина, собственно как и любой мужчина. А представить его как элемент красоты или престижа, который будет не стыдно повесить себе на шею, которым можно будет похвастаться перед подругами и так далее. В этом случае, конечно же, расходы компании возрастают (хотя инкрустация токена драгоценными камнями потребуется только в очень редких случаях). Но, с другой стороны, возрастает и защищенность компании. В противном случае компания от внедрения токенов только проигрывает, потому что она тратит достаточно большие деньги по сравнению, например, с использованием обычных паролей, а уровень защищенности повышается незначительно.
Однако я могу предположить, что в ближайшие год-два эта проблема так и не будет решена. Производители средств защиты не станут заниматься «украшательством». Привлекать субподрядчиков (например, из Китая) они тоже не будут, поскольку токены и так не плохо продаются (зачем же взваливать на себя дополнительные хлопоты). Компании-поставщики, например, чехлов для телефонов тоже этой областью в ближайшее время не заинтересуются, по той простой причине, что данный рынок не очень емкий по сравнению с теми же мобильными телефонами.
Фрагменты нескольких интервью с классическими представительницами сообщества «деловых леди», работающих в российских и зарубежных компаниях.
Интервью с Юлией, менеджером по работе с партнерами крупной американской компании:
А.Л.: Сколько у тебя карманов на одежде? Рассматриваем только время, когда ты находишься в офисе.
Юлия: Сейчас 4, обычно 2.
А.Л.: Нормальные или декоративные?
Юлия: Вполне даже нормальные!
А.Л.: Ты их ОБЫЧНО используешь для хранения/ношения чего-то?
Юлия: Ну телефона...чего еще носить-то в офисе?
А.Л.: ОК. А карту доступа в помещение ты где носишь?
Юлия: Прицепляю «суперспецприщепкой», ну, на карман - если ты об этом.
А.Л.: Но ты его постоянно с собой носишь? Или он на столе обычно лежит?
Юлия: Постоянно.
Интервью с Ольгой, менеджером по маркетингу информационной безопасности российского интегратора:
А.Л.: Как ты обычно одеваешься в офисе?
Ольга: Брюки+пиджак.
А.Л.: ОК. Сколько ОБЫЧНО у тебя карманов?
Ольга: 2 кармана.
А.Л.: Ты там что-то ОБЫЧНО носишь/хранишь? Или они несут декоративную функцию?
Ольга: Только декоративную.
А.Л.: А мобила? На шее или в руках?
Ольга: В сумке или в руках.
А.Л.: А в офис у вас по карточкам вход или свободный?
Ольга: По карточкам.
А.Л.: А карточку где хранишь?
Ольга: В сумке.
А.Л.: Т.е. по офису без нее ходишь?
Ольга: Ну а зачем мне она в офисе??? На улицу все равно не выхожу…
Интервью с Еленой, менеджером по PR российского PR-агентства:
А.Л.: Как ты обычно одеваешься в офисе?
Елена: Предпочитаю юбку+пиджак, Но чаще получается брюки+рубашка.
А.Л.: Сколько у тебя ОБЫЧНО карманов в этом случае?
Елена: Нет карманов.
А.Л.: Вообще? А где ты носишь мобильник?
Елена: В сумочке или в руках, А вообще он на столе лежит...
Интервью с Еленой, менеджером по работе с заказчиками крупной американской компании:
А.Л.: Т.е. брюки+пиджак или юбка+пиджак или брюки/юбка+блузка?
Елена: Ну или без пиджака...
А.Л.: А сколько у тебя ОБЫЧНО карманов при таком стиле одежде?
Елена: Я ими не пользуюсь вообще. Так что считай, что нет.
А.Л.: А где ты носишь мобильник? В руках? Или на столе оставляешь?
Елена: Или так или в сумочке, когда куда то выхожу. В кармане не ношу.
Интервью с Екатериной, менеджером по маркетингу информационной безопасности российского производителя средств защиты:
А.Л.: Сколько ОБЫЧНО у тебя карманов?
Екатерина: Сейчас 2, бывает 4. Иногда не бывает совсем. Я в разной одежде хожу в офис.
А.Л.: А у тебя карманы декоративную функцию выполняют или ты хранишь там что-нибудь?
Екатерина: Если только записку какую-то могу положить. Иногда деньги. Редко пользуюсь.
А.Л.: А мобильник куда?
Екатерина: На столе лежит. В принципе я его иногда вешаю на шнурок на шею. Женщины не носят мобильные в карманах.
А.Л.: А когда в столовую идешь? Куда телефон деваешь?
Екатерина: Иногда не беру. Иногда на шнурке. Иногда в руках.
Если компания задумывается о внедрении токенов в своей деятельности и при этом на предприятиях работает достаточно много женщин, то в первую очередь надо думать не о том, насколько стойкая система защиты получается с внедрением токенов, а о том насколько можно вообще внедрить эти токены; насколько они будут эффективны. Именно об этих практических аспектах информационной безопасности надо задумываться в первую очередь.
И при этом не надо забывать про различие культур в разных регионах нашей необъятной родины. Если в западной части России деловой стиль одежды у женщины только приветствуется, то в азиатской части нашей страны эта тема становится гораздо более актуальной. Как говорил товарищ Сухов в «Белом солнце пустыни»: «Восток – дело тонкое». Восточная женщина, соблюдающая традиции ислама, во многих случаях не может себе позволить придти на работу в деловом костюме. По тем или иным причинам она вынуждена носит пенджаб (паранжу) и другие сугубо специфичные виды исламской одежды. А там с карманами ситуация еще хуже. Факт остается фактом, мы должны учитывать все эти аспекты защиты информации и не забывать, что она «вещь в себе». Она должна быть тесно увязана с бизнесом компании, учитывать его специфику, культурные и социологические особенности. В противном случае информационная безопасность будет неэффективна, и деньги на ее обеспечение будут потрачены впустую.
Об авторе:Алексей Викторович Лукацкий, бизнес-консультант по безопасности Cisco Systems. Связаться с ним можно по тел. (495) 961-1410 или e-mail: alukatsk@cisco.com.
Ваш провайдер знает о вас больше, чем ваша девушка?