Скажите, ведь правда, бесит, когда пытаешься зарегистрироваться на каком-нибудь сайте, где нужно придумать пароль, а вам раз за разом показывают сообщение «ваш пароль ненадежен, придумайте новый»?! Придумать-то можно, а вот запомнить будет проблематично, поэтому большинство людей предпочитают пароли попроще, что-то вроде 1234 или 12345678, если сайт требует не меньше 8 символов.
На самом деле, сложные пароли – это вовсе не прихоть владельцев сайта, а обеспечение информационной безопасности пользователей ресурса. Возможно, слишком сложная система информационной безопасности для какого-нибудь онлайн-караоке является избыточной. В наихудшем случае злобные хакеры могут перемешать минусовки в вашем плейлисте и спеть вместо вас, повергнув в недоумение ваших немногочисленных фанатов из числа таких же любителей петь, как и вы.
А вот если речь идет об электронном документообороте серьезной организации, «облачном» хранении важных данных, секретной переписке в мессенджерах, тут информационная безопасность не прихоть, а необходимость. Не говоря уже о защите данных, составляющих государственную тайну, или секретные разработки в сфере обороноспособности страны.
Про доктрину информационной безопасности Российской Федерации мы обязательно поговорим отдельно, а пока приглашаем вас на наши программы «Лучшие техники самообразования» и «Профайлинг», которые научат вас ориентироваться, в числе прочего, в ситуациях, когда нужно подумать о собственной безопасности дополнительно, а когда не поддаваться панике. Итак, наша сегодняшняя тема – информационная безопасность.
Что такое информационная безопасность: немного истории
Информационная безопасность – это система мер, направленная на предотвращение несанкционированного доступа, раскрытия, использования или уничтожения информации, представленной в электронном или любом другом виде. Например, сохраняемой на бумажных носителях, передаваемой в ходе телефонных переговоров или посредством радиосвязи.
Главная задача системы обеспечения информационной безопасности – это обеспечение разумного баланса конфиденциальности, целостности и доступности данных. Проще говоря, если закрыть данные полностью, хранить «за семью замками» и никого к ним не подпускать, тогда данные будут в целости и сохранности. Однако пользоваться какой-либо информацией в таком закрытом режиме будет затруднительно, а то и вовсе невозможно.
Поэтому, когда речь идет об информационной безопасности, нужно помнить, что безопасность данных – это не самоцель, а лишь средство достижения цели, которой служат данные. Любые данные собирают для чего-либо, для какого-то дела, и успех дела не должен страдать из-за искусственно затрудненного доступа. Тем более успех дела не должен страдать из-за несанкционированной утечки данных.
Поиск способов обеспечения информационной безопасности ведется с тех самых времен, как люди начали передавать друг другу информацию способами, не предполагающими личную беседу. Анналы истории и многотомник «Жизнь двенадцати Цезарей» сохранил свидетельства изобретения римским императором Гаем Юлием Цезарем собственного «шифра Цезаря» [С. Транквилл, 1993].
Параллельно с системами шифрования развивались системы дешифровки зашифрованных сообщений, а также их перехвата при пересылке. С появлением почты правительства стран начали создавать специальные организации, занятые просмотром (перлюстрацией) писем граждан.
Для справки: перлюстрация – это просмотр корреспонденции втайне от отправителя и получателя.
В Англии организация, занятая перлюстрацией? называлась «Тайная канцелярия». Истории этой структуры посвящена книга The evolution of British Sigint 1653-1939 Unknown Binding [J. Johnson, 1998]. В России аналогичные функции выполняли так называемые «черные кабинеты». Об их истории рассказывает книга «Черные кабинеты»: история российской перлюстрации. XVIII – начало XX века [В. Измозик, 2015].
Однако самой важной нуждающейся в защите информацией традиционно является военная тайна. Войны, подготовка к военным действиям стимулируют развитие систем обеспечения информационной безопасности. Шифровальная машина «Энигма», которая использовалась гитлеровской Германией в ходе Второй мировой войны, стала предметом интереса не только специалистов, но и кинематографистов.
В 1979 году мир увидел киноленту «Секрет Энигмы» режиссера Романа Венчика, в 2001 году вышел фильм «Энигма» режиссера Майкла Аптеда, а в 2014 году появился новый киношедевр «Игра в имитацию» режиссера Мортена Тильдума, также посвященный «Энигме».
Об истории развития всего, что связано с системами информационной безопасности, можно говорить до бесконечности. Однако пора перейти к наполнению понятия информационной безопасности. Учитывая то, что мы живем в цифровую эпоху, мы будем уделять повышенное внимание кибербезопасности, ее составляющим и всему, что с ней связано.
Области информационной безопасности: что защищать?
Итак, что подразумевает защита информационной безопасности? Что нужно защищать? В принципе, объектом защиты информационной безопасности может быть что угодно, от секретных разработок новейшего вооружения до переписки с любовницей в смартфоне.
В первую очередь под защитой должны находиться объекты критической инфраструктуры, то, без чего невозможна деятельность организации, компании, государства. Это, конечно же, средства связи и средства телекоммуникации, через которые обычно и происходит утечка данных.
Разумеется, нужную информацию можно получить не только из телефона и компьютера, но и путем старой доброй «прослушки», поэтому серьезные организации разрабатывают комплексную систему обеспечения информационной безопасности, включающую в себя защиту зданий и сооружений, занимаемых организацией, от постороннего проникновения и «прослушки».
В более широком понимании на государственном уровне к объектам критической инфраструктуры относятся все, которые обеспечивают стабильное функционирование энергетической отрасли, водоснабжения, транспорта, связи, здравоохранения, банковской сферы и всего, без чего невозможна нормальная каждодневная в сегодняшних условиях [smart-soft, 2020].
В целом, различают следующие категории объектов защиты:
- Информация (цифровые и аналоговые сигналы, электронные данные).
- Ресурсные объекты (системы программно-аппаратного обеспечения).
- Физические объекты (постройки, оборудование, территории, коммуникации, прочее).
- Пользовательские объекты, субъекты и владельцы информации.
Итак, мы разобрались, что входит в область информационной защиты и что именно нужно защищать. Узнать больше можно из статьи «Что такое информационная безопасность и какие данные она охраняет» [Е. Шпрингер, 2020]. Теперь второй вопрос – как защищать?
Система информационной безопасности: как защищать?
Для начала нужно рассмотреть основные угрозы информационной безопасности, потому что способ защиты выбирается, исходя из типа угрозы.
Разновидности угроз:
- Естественные – те, что не зависят от человека (природные и техногенные катастрофы, пожары, землетрясения, наводнения, прочее).
- Искусственные – те, что созданы человеком. Это преднамеренные угрозы (хакерское вмешательство) и непреднамеренные (неосторожность, некомпетентность).
- Внутренние – те, что возникают внутри организации.
- Внешние – те, что возникают за пределами организации.
Как защищаться от этих угроз? Тут нужно различать правовые, организационно-административные и технические аспекты. В свою очередь, технические средства подразумевают физическую, аппаратную, программную и криптографическую составляющие [smart-soft, 2020].
Понятие технических средств защиты:
- Физические средства – функционирующие вне информационных систем и препятствующие свободному доступу к ним (датчики, замки, решетки, видеокамеры, видеорегистраторы и т.п.)
- Аппаратные средства – встраиваемые устройства (контрольные системы, защита сервера и корпоративной сети, защита от прослушивания, средства обнаружения «прослушки», индикаторы поля, шумогенераторы, блокираторы диктофонов и телефонов и прочее).
- Программные средства – специальный софт (антивирусы, в том числе «облачные», технологии Data Leak Prevention, SIEM-решения).
- Криптографические – криптопровайдеры, VPN, формирование и проверка электронных ключей, электронных цифровой подписей и т.д.)
На всякий случай уточним значения некоторых терминов:
- SIEM-решения – это объединение двух технологий: SIM для управления информацией о безопасности и SEM для управления событиями безопасности.
- Data Leak Prevention – это технология профилактики утечки сведений, построенная на основе анализа потока данных, пересекающих некий условный «периметр» системы, находящейся под защитой.
Если сказать проще, когда дело касается безопасности электронных данных, тут техническим средством реализации выступают собственно компьютер, сервер и софт. Информационная безопасность организации подразумевает хранение данных на собственном или арендованном и защищенном от постороннего проникновения сервере, использование для обмена данными защищенного соединения и все, о чем мы говорили ранее.
Однако чисто физически пользователь имеет дело непосредственно с компьютером, программами, которые там инсталлированы, и сервисами, которые доступны с компьютера или телефона. Программы и сервисы запрашивают у пользователя пароль при входе, предлагают многоуровневую идентификацию, обновление антивируса и многое другое, что защищает виртуальные данные от несанкционированной утечки.
Это что касается технической стороны защиты информационной безопасности. Помимо этого, немаловажны организационно-административные меры, принимаемые в сфере информационной безопасности.
Если кратко, тут подразумевается круг лиц, который имеет доступ к информации, объемы и права доступа для каждого, установленные административно и затем реализованные технически, права доступа в помещения, где хранится находящаяся под защитой информация, компьютеры, сервер и т.д.
Другими словами, информационная безопасность организации подразумевает, в числе прочего, доступ к информационным сведениям только надежных проверенных лиц, имеющих должную квалификацию для работы с той или иной информацией, программным обеспечением, техническими устройствами.
И, наконец, правовой аспект. Информационная безопасность в РФ регулируется конституционными положениями и рядом законов: «Об информации», «О связи», «О государственной тайне» и другими.
Кроме того, в Российской Федерации принята Доктрина информационной безопасности [Электронный фонд правовых и нормативно-технических документов, 2016]. Для справки: доктрина – это некая концепция, теория, учение, руководящий теоретический или политический принцип.
Доктрина содержит определение национальных интересов, основных информационных угроз и направлений обеспечения информационной безопасности. Пройдемся кратко по основным положениям Доктрины.
Национальные интересы:
- Права и свободы граждан, связанные с получением и использованием информации.
- Неприкосновенность частной жизни.
- Сохранность духовных ценностей.
- Стабильная работа критической информационной инфраструктуры.
- Дальнейшее развитие IT-сферы.
- Донесение до общественности достоверной информации.
- Содействие информационной безопасности на межгосударственном уровне.
Актуальные информационные угрозы:
- Вредоносные воздействия на информационную инфраструктуру.
- Деятельность спецслужб некоторых государств, связанная с технической разведкой.
- Деятельность спецслужб некоторых государств с целью дестабилизации обстановки в России.
- Предвзятая оценка ситуации в России в зарубежных СМИ.
- Препятствия в работе российских журналистов за рубежом.
- Недобросовестная пропаганда.
- Киберпреступность в кредитно-финансовой сфере.
- Посягательства на персональные данные.
- Зависимость российской промышленности от зарубежных информационных технологий.
- Недостаточный уровень собственных разработок.
- Невозможность управления Интернетом на принципах справедливости и доверия между разными государствами.
Формулировки достаточно общие, как и положено для такого типа документа, как Доктрина. С другой стороны, такая обобщенность формулировок позволяет при желании «подтянуть» под них любые выгодные власти решения, в том числе блокировку практически любого интернет-ресурса.
Впрочем, вряд ли найдется государство, которое полностью приветствует невыгодную руководству страны трактовку политических событий, принимаемых решений, экономических последствий тех или иных решений и т.д. Слишком независимые или критично настроенные СМИ практически всегда в немилости власти. Однако, в зависимости от степени демократичности государства, немилость может выражаться просто в игнорировании или в уголовном преследовании по надуманным (не политическим!) основаниям.
Сейчас, после того как мы разобрались с основными аспектами информационной безопасности, встает вопрос: а как может обезопасить себя в информационной сфере обычный гражданин?
Личная информационная безопасность для всех и каждого
Итак, какая информационная безопасность или какой уровень информационной безопасности следует обеспечить для себя самостоятельно? Что делать, чтобы ваши персональные данные не попали туда, куда не нужно? Как обеспечить информационную безопасность детей?
Для начала уточним, что понимается под личной информационной безопасностью. Информационная безопасность личности – это способность и возможность оградить себя и свой внутренний мир от различных угроз в информационной сфере. Что это за угрозы? Давайте разбираться.
Угрозы личной информационной безопасности:
- Внешние административные ограничения на получение и передачу информации (цензура СМИ, запрет на доступ к какому-либо сегменту данных, блокировка соцсетей, ограничение доступа к отдельным онлайн-ресурсам).
- Технические сбои и недоступность данных по техническим причинам.
- Утечки данных из-за собственной неосторожности либо в результате целенаправленных действий злоумышленников.
- Использование сторонними лицами ваших личных данных из открытых источников в корыстных и преступных целях.
Последний пункт, пожалуй, стоит пояснить подробнее. Сегодня даже профессиональная разведка до 90% данных берет из открытых источников, и только 10% сведений добывает из закрытых для общего доступа возможностей [Pentagonus, 2009]. Что тогда говорить об обычных квартирных ворах и мошенниках?
Нередки случаи, когда отъезд семьи в полном составе на курорт отслеживали просто через соцсети, где члены семьи хвастались купленными авиабилетами и фотками из каталога отеля, где собрались отдыхать. Ворам оставалось дождаться нужной даты и «обнести хату», имея в запасе еще 10 дней на то, чтобы скрыться и «замести следы», пока хозяева вернутся из отпуска и заявят в полицию по поводу ограбления.
Однако если вы не делитесь личной информацией в публичной плоскости и не слишком разговорчивы от природы, это еще не значит, что вам ничего не угрожает. Зная только ваш электронный адрес, можно добыть немало информации о вас на просторах Интернета.
Технические подробности процесса – это тема для отдельной и весьма объемной статьи. Интересующимся можем предложить изучить материал «Сбор информации из открытых источников – как видят вас потенциальные злоумышленники?» [А. Борисов, 2019].
Проще говоря, если ваше финансовое положение и материальный достаток представляют хоть какой-то интерес, до вас всегда могут попытаться «добраться». Например, выслать заманчивое с учетом ваших наклонностей предложение с пересылкой якобы на сайт фирмы, а на самом деле на сайт с похожими на оригинальные фирменные доменом и дизайном.
И вам всего-то нужно перевести нужную сумму, чтобы желанный товар с большой скидкой приехал вам прямо домой. Так заодно выяснят и ваш реальный адрес проживания. Наверное, далее излишне говорить, что деньги уйдут мошенникам, товар вы не получите, а кто наведается по вашему адресу с целью выяснить, когда вы бываете дома, тоже большой вопрос.
Что делать, чтобы защитить свою информационную безопасность? Сразу скажем, что если вы желаете приобщиться к благам цивилизации и пользоваться всеми возможностями цифровых технологий, полностью застраховать себя от утечки данных вряд ли получится. Как минимум, вы вынуждены оставлять имя и контактный телефон каждый раз, когда заказываете что-либо в интернет-магазине.
И даже при полном цифровом минимализме гарантировать отсутствие «прослушки» вашего телефона, если вы кому-то интересны на предмет мошенничества, тоже невозможно. Хотя некоторые способы, «Как узнать, прослушивается ли ваш мобильный телефон» найти можно [О. Медведева, 2020].
Как же минимизировать риски в условиях всюду подстерегающих цифровых опасностей? Приведем несколько советов от экспертов, «Как защититься обычному пользователю» и чему стоит научить в плане обеспечения информационной безопасности детей [Positive Technologies, 2020].
Топ-10 советов по обеспечению личной информационной безопасности:
- Использовать лицензионный софт (программы, антивирусы) и своевременно его обновлять.
- Задействовать двухфакторную аутентификацию, если сервис предлагает такую возможность.
- Предпочитать сложные пароли, разные для разных сервисов, и менять их раз в полгода-год.
- Для повседневной работы в операционной системе использовать учетную запись без привилегий администратора.
- Во избежание потери информации дублировать ее на жестком диске и в облачном хранилище с защищенным доступом.
- Не открывать или проверять антивирусом перед открытием все письма от незнакомых адресатов.
- Воздержаться от перехода по ссылкам, присланным от незнакомых адресатов.
- Воздержаться от перехода по ссылкам, содержащимся во «всплывающей» рекламе, даже если название рекламируемой фирмы вам знакомо.
- Воздержаться от скачивания файлов с подозрительных сайтов. В частности, слишком «забитых» рекламой или навязчиво предлагающих посетить другой ресурс.
- Совершать онлайн-платежи только с проверенных сервисов и предварительно удостоверившись, что они действительно принадлежат той компании, которой вы собираетесь оплатить за товар или услугу.
Это советы на уровне программы. На уровне «железа» часто можно встретить советы заклеить или еще каким-то образом закрыть камеру смартфона и ноутбука, когда вы ей не пользуетесь. В принципе, можно просто не давать доступ к камере, микрофону и файлам на жестком диске всем приложениям подряд, которые его запрашивают.
Однако если какая-то шпионская программа «прорвется» через антивирусное «заграждение», это уже не поможет. А вот специальная «шторка» или обычная изолента с кусочком картона, чтобы не оставить клеевых пятен на оптике, поможет от видеофиксации ваших действий точно. Во всяком случае, Роскачество рекомендует поступать именно таким образом [М. Герасюкова, 2019].
Это вкратце все, что мы хотели поведать вам об основах информационной безопасности. Тема, разумеется, намного шире, и вам будет разобраться в ней намного легче, если вы пройдете наши программы «Лучшие техники самообразования» и «Профайлинг». Мы желаем, чтобы вам ничто никогда не угрожало ни в реальном, ни в виртуальном мире! И просим ответить на вопрос по теме статьи: