Суждения об информационной безопасности мудреца и учителя Инь Фу Во, записанные его учениками
Глава 1. О работниках
1.1
Однажды Сисадмин пожаловался Учителю:
– Мы выдали всем нашим пользователям индивидуальные пароли, а они не желают хранить их в тайне. Записывают на листочках и приклеивают к мониторам. Что нам делать? Как заставить их?
Инь Фу Во спросил:
– Сначала скажи, почему они это делают.
Сисадмин подумал и ответил:
– Может быть, они не считают пароль ценным?
– А разве пароль сам по себе ценный?
– Не сам по себе. Ценна информация, которая под паролем.
– Для кого она ценна?
– Для нашего предприятия.
- А для пользователей?
– Для пользователей, видимо, нет.
– Так и есть, – сказал Учитель. – Под паролем нет ничего ценного для наших работников. Надо, чтоб было.
– Что для них ценно? – спросил Сисадмин.
– Догадайся с трёх раз, – рассмеялся Учитель.
Сисадмин ушёл просветлённый и сделал на корпоративном портале персональные странички для всех работников. И на тех страничках был указан размер зарплаты. Узнав об этом, все пользователи забеспокоились о своих паролях. На другой день в курилке обсуждали размер зарплаты Главбуха. На третий день ни у кого не было видно листочков с паролями.
1.2
Однажды Сисадмин пожаловался Учителю:
– Наш Техдиректор не хочет выполнять требования безопасности. Всем положено иметь антивирус, а он не ставит. Как на него повлиять?
– Попробуй его убедить, – сказал Инь Фу Во.
Сисадмин ушёл убеждать, но вскоре вернулся разочарованным:
– Я не смог убедить его, Учитель.
– Почему так случилось? – спросил Инь Фу Во и сразу же заметил. – Но только ответь честно, без пристрастия и обиды.
Сисадмин подумал, опустил глаза и тихо сказал:
– Наверное потому, что он знает об информационной безопасности больше меня.
– Ну, если Техдиректор знает больше тебя, что совсем не удивительно, – заметил Учитель, – то ему виднее, где нужен антивирус, а где нет.
– А как же тогда Политика безопасности! – воскликнул Сисадмин.
– А кто писал эту Политику?
Сисадмин потупился и сказал:
– Я.
Учитель мудро промолчал, и Сисадмин ушёл просветлённый.
1.3
Однажды в курилке пользователи стали возмущаться, что Сисадмин закрыл всем доступ на сайт "Одноклассники". Инь Фу Во услышал об этом и нахмурился.
– Почему ты закрыл людям доступ? – спросил он у Сисадмина, когда они после перекура пили кофе.
– Потому что такие сайты не нужны для работы.
– А курить нужно для работы?
– Вообще-то нет...
– А кофе пить?
– Ну...
– Ну тогда, – сказал Учитель, – открой людям доступ.
1.4
Однажды Сисадмин захотел установить в локальной сети сканер безопасности.
Инь Фу Во сказал:
– Не делай этого.
– Но почему?
– В нашей сети сто компьютеров. Сканер найдёт тебе по две-три уязвимости на каждом из них.
– Ну, да, найдёт...
– А что ты будешь делать с этими уязвимостями?
Сисадмин задумался и ничего не ответил Учителю. Сканер безопасности он не поставил.
1.5
Однажды Сисадмин пожаловался Учителю:
– Антивирус не помогает. Установлен на всех рабочих станциях и обновляется дважды в день. А всё равно каждую неделю кто-то заражается и теряет данные.
Инь Фу Во с сожалением покачал головой.
– Надо что-то делать, – продолжал Сисадмин.
Учитель слегка покивал. Сисадмин спросил:
– Что лучше: поставить всем новый многоядерный антивирус или поднять централизованную систему бэкапа?
Инь Фу Во ответил:
– Проведи курсы для пользователей.
1.6
Однажды Директор решил взять на работу Эникейщика. Инь Фу Во нашёл кандидата, поговорил с ним и остался доволен. Он сказал Директору:
– Этот человек обратил свои помыслы к учёбе. Возможно, из него получится достойный работник.
Но начальник службы безопасности стал возражать:
– У этого человека была судимость. Его нельзя брать на службу.
Тогда Инь Фу Во спросил:
– Как вы узнали об этом?
– У меня есть связи.
Почтенный Инь помрачнел лицом и сказал Директору:
– Какой из двух работников более добродетельный? Первый совершил преступление и понёс заслуженное наказание, которое могло его вразумить. Второй совершил преступление сам, подбил на совершение преступления государственного служащего, при этом не чувствует за собой вины и никогда не понесёт наказания? Какой из этих двух достоин выдвижения?
Начальник службы безопасности молча встал и вышел.
1.7
Однажды Директор спросил Инь Фу Во про защиту от внутренних угроз. Тот сказал:
– Во внешнем мире есть сто человек, которые хотели бы заполучить конфиденциальную информацию из вашей сети. И есть пять, которые способны это сделать. Но эти сто вряд ли встретятся с этими пятью.
Ещё Учитель сказал:
– А в вашей внутренней сети есть пять пользователей, которые хотели бы заполучить конфиденциальную информацию. И есть сто, которые могут это сделать. И они уже встретились.
1.8
Однажды Директор пришёл к защитнику Иню за советом. Директор сказал:
– Я хотел бы заставить всех пользователей соблюдать строгие правила безопасности. Но тогда они обидятся на меня и станут хуже работать. Я хотел бы дать пользователям полную свободу. Но тогда они нахватают вирусов, разгласят конфиденциальную информацию, и наш бизнес пострадает. Как мне найти золотую середину?
Инь Фу Во ответил:
– Высота забора равна высоте самого низкого участка. Прочность цепи равна прочности слабейшего звена. Заставь самых нерадивых из пользователей соблюдать те правила безопасности, которые без принуждения соблюдают все остальные.
– Как просто! – воскликнул Директор и ушёл просветлённый.
1.9
Директор спросил почтенного Иня:
– Мне предлагают купить систему защиты от несанкционированного доступа. Стоит ли она денег, которые за неё просят?
Инь Фу Во в ответ спросил:
– Сколько у вас было случаев несанкционированного доступа за последние три года?
– Ни одного, – ответил Директор.
– А сколько ноутбуков и флэшек потеряли ваши работники за это время?
– Два ноутбука, – ответил Директор, – а флэшки никто не считал.
– Почему бы вместо этого не купить систему для шифрования информации на ноутбуках и флэшках? – сказал Инь Фу Во.
1.10
Однажды Директор спросил почтенного защитника Иня про защиту от внутренних угроз. Тот сказал:
– Внутренний враг бывает злонамеренный и неосторожный. Неосторожный враг подобен каплям дождя, что многочисленны и летят по воле ветра. От дождя легко заслониться зонтом. Злонамеренный враг подобен комару, который кусает в незащищённое место. Заслониться от него зонтом нельзя.
Директор ещё спросил:
– А какой инсайдер хуже, злонамеренный или неосторожный?
Инь Фу Во ответил:
– Нельзя так ставить вопрос. Оба они хуже.
1.11
Как-то Сисадмин спросил:
– Учитель, не желаете ли красивую картинку для вашего десктопа? У меня есть коллекция "обоев для рабочего стола" со звёздным небом и моральным законом.
– Почему ты думаешь, что мой нынешний "wallpaper" хуже? – спросил в ответ Инь Фу Во.
– Я не знаю, какая у вас картинка сейчас. Я никогда не видел вашего десктопа. У вас всегда открыто множество окон.
– Я тоже его никогда не видел, – сказал почтенный Инь. – Я работаю.
1.14
Сисадмин спросил Учителя:
– В статье написано, что любое усиление безопасности снижает лояльность работников. Это правда?
Инь Фу Во ответил:
– На самом деле усиление безопасности снижает удобство. Снижение удобства повышает усталость. Повышение усталости снижает добросовестность. А снижение добросовестности работников – это и есть то, чего следует избегать.
– Тогда что же такое лояльность? – спросил Сисадмин.
– "Лояльность", – усмехнулся Инь Фу Во, – это японцы выдумали, чтоб денег не платить.
Глава 2. О шифровании
2.1
Однажды Сисадмин спросил почтенного защитника Иня:
– Учитель, почему вы не пользуетесь ЭЦП?
– У надёжных средств ЭЦП нет сертификата. У сертифицированных нет удобства. У удобных нет надёжности, – ответил Инь Фу Во.
2.2
Инь Фу Во два дня настраивал VPN-туннель для своего персонального компьютера. Когда туннель заработал, Инь уселся, почтительно повернувшись лицом к югу, и стал читать свою френдленту.
– О, Учитель, – спросил его Сисадмин, – я не могу понять, зачем вам VPN?
– Ты разве не знаешь, что в VPN-туннеле весь трафик шифруется? – удивился Инь.
– Знаю. Но ваш туннель терминируется на обычном сервере в стране западных варваров. А далее весь ваш яшмовый трафик идёт по Сети в открытом виде.
– Сети нет дела до моего трафика, чего не скажешь о провайдере, – ответил Учитель. Видя, что Сисадмин не понял, он добавил. – Вот, например, ты доверил свои деньги банку.
Сисадмин кивнул.
– Но ты не можешь доверить все свои деньги собственной супруге, – продолжал мудрый Инь. – Почему? Потому что она может посчитать эти деньги своими. А с банком такого не случится.
Просветлённый Сисадмин ушёл поднимать себе VPN-туннель.
2.3
Сисадмин спросил Инь Фу Во:
– Правда ли, что любой шифр можно сломать?
Учитель ответил:
– Можно. Но не "шифр", а систему из четырёх: алгоритм, реализация[2], окружение[3] и оператор.
Сисадмин ещё спросил:
– А что из этих четырёх самое непрочное?
– Стыки между ними, – ответил Учитель.
2.5
Инь Фу Во сказал:
– Шифрование – это обмен большого секрета на маленький секрет. Этот маленький должен помещаться в голове. Когда пароль в голове держится хуже, чем в компьютере, шифрование не приносит пользы.
2.7
Сисадмин желал подобрать себе стойкий пароль для централизованной авторизации через radius-сервер. Он обратился за советом к Инь Фу Во.
– Как вы думаете, Учитель, пароль "史達林格勒戰役" стойкий?
Нет, – ответил мастер Инь, – это словарный пароль.
– Но такого слова нет в словарях...
– "Словарный" означает, что это сочетание символов есть в wordlists, то есть "словарях" для перебора, которые подключаются к программам криптоанализа. Эти словари составляются из всех сочетаний символов, которые когда-либо встречались в Сети.
– А пароль "Pft,bcm" подойдёт?
– Вряд ли. Он тоже словарный.
– Но как же? Это же...
– Введи это сочетание в Гугле – и сам увидишь.
Сисадмин защёлкал клавишами.
– О, да. Вы правы, Учитель.
Через некоторое время Сисадмин воскликнул:
– Учитель, я подобрал хороший пароль, которого не может быть в словарях.
Инь Фу Во кивнул.
– Я ввёл его в Гугле, – продолжал Сисадмин, – и убедился, что в Сети такого сочетания нет.
– Теперь есть.
2.10
Директор сказал:
– Зачем нам шифровать содержимое дисков? Зачем нам VPN? У нас нет противозаконной информации.
Мудрый Инь Фу Во ответил:
– Безгрешность – не результат праведности, а результат наивности.
Глава 3. Об этике
3.4
Однажды инженер Чжа Вынь сообщил:
– Я нашёл уязвимость в программе «Лин». Что вы об этом думаете, Учитель?
– Надо сообщить Производителю.
Через некоторое время Чжа Вынь снова пришёл к почтенному защитнику Иню.
– Я написал об уязвимости Производителю. Мне ответили, что закроют уязвимость только в следующей версии. Она выйдет через полгода.
Инь Фу Во помрачнел:
– Напиши им, что мы опубликуем эту уязвимость ровно через две недели.
Через три дня вышел патч к программе «Лин».
– А если бы они не выпустили патч? – спросил Сисадмин Учителя. – Вы бы позволили Чжа Выню опубликовать найденную уязвимость?
Инь Фу Во мягко улыбнулся и сказал:
– Нет. Дао информационной безопасности тем и прекрасен, что по нему нельзя идти в одиночку. Как только ты опередил других, другие ускоряют шаг. Как только ты оторвался от других, ты покинул Дао.
3.5
Прочитав статью в журнале, Учитель заметил:
– Человек не есть «слабейшее звено в информационной безопасности». Человек вообще не есть звено.
3.6
Однажды Сисадмин спросил:
– Учитель, вы всегда говорите, что надо делиться знаниями в области защиты информации со всеми, кто пожелает учиться.
Инь Фу Во кивнул.
Сисадмин продолжал:
– Но ведь бывают и опасные знания! Особенно знания в информационной безопасности.
Инь Фу Во воскликнул:
– Опасные знания?! Знание опасно для того, кто им НЕ обладает.
3.11
Однажды к почтенному защитнику Иню пришёл Хакер.
– О, мудрый Инь, – сказал он, – обучи меня своему искусству.
– Перед этим тебе придётся пройти испытание. Взломай вот этот компьютер, – и Инь Фу Во написал на листке IP-адрес.
– Но это же мой собственный компьютер! – удивился Хакер.
– Именно так, – подтвердил Учитель. – Ты должен взломать его, не используя известные тебе пароли.
Хакер за один час справился с испытанием.
– Я буду учить тебя, – сказал Инь Фу Во.
Через три года Учитель снова дал Хакеру такое же задание. Хакер не смог его выполнить.
– Теперь твоё обучение закончено, – сказал Инь Фу Во.
3.12
Инь Фу Во сказал:
– Защитник информации не ликвидирует угрозы. Он перераспределяет угрозы между людьми. От менее доверяемых к более доверяемым.
