26.03.2013

Почему пентесты все равно не помогут или зачем в ИБ нужна поведенческая психология?!

В среде некоторых специалистов по ИБ до сих пор бытует мнение, что информационная безопасность - это прежде всего технологии и именно от них зависит уровень защищенности современного предприятия; мол, именно техника первична, а все остальное вторично. В этом плане хотелось бы напомнить классический тезис о том, что безопасность системы равна безопасности самого слабого звена. А им является пресловутый человеческий фактор. Какие бы не были замки, достаточно оставить ключ под ковриком, и вся безопасность пойдет коту под хвост. Почему же пользователи оставляют ключи под ковриком? Ответ на это дает поведенческая психология (технарям-апологетам дальше можно не читать - ничего для них интересного не будет).

Возьмем простой пример. Уж сколько лет все и везде твердят о том, что надо выбирать правильные пароли. Но почему-то эффекта все эти возвания не возымели. Sony, LinkedIn, да мало ли еще примеров массовых утечек учетных записей... Почему? Традиционные лекции по ИБ не скажут об этом. А психологи скажут и говорят. Они приводят результаты очень частых экспериментов, в которых испытуемым предлагают выбор "доллар сейчас или три доллара послезавтра". Почему-то абсолютное большинство делает невыгодный выбор в пользу одного доллара, но сейчас (в России есть классная пословица "лучше синица в руках, чем журавль в небе"). Психологи отмечают, что люди предпочитают ближайшие небольшие преимущества  долгосрочным выгодам. Лучше быстро выбрать простой пароль, чем тратить усилия на создание пароля сложного. Особенно когда человека раньше не ломали.

Специалисты любят приводить хорошую аналогию. Представьте, что в квартале от вашего дома установлен знак "Уступи дорогу" и вы регулярно выполняете предписания этого знака. Но в какой-то момент времени вы, остановившись перед знаком, убеждаетесь, что машин вокруг нет и вы можете не останавливаться перед знаком. Так происходит один день. Потом второй и вновь ничего не происходит. Потом третий и вновь ничего. И так две недели, пять, десять. Бдительность людей засыпает... до часа Х. И с паролями та же ситуация. И с резервным копированием. И с приобретением антивируса. А потом мы начинаем кусать локти и думать "ну как же так". Винить тут себя не в чем, на самом деле. Это психология.И она же подсказывает, что "истории из жизни других" также не сильно помогают улучшить ситуацию - ведь мы часто думаем "с нами-то этого не случится" (это так называемое предубеждение оптимизма). Отдельные индивидуумы делают себе пометку "позже". Позже изменю пароль на более строгий. Позже куплю антивирус. Позже протестирую возможность восстановления в системе резервного копирования. Позже прочитаю эту статью. Но почему-то "позже" никогда не наступает.

Что же делать? Еще больше говорить о частоте смены и качестве паролей? Не поможет. Нужны иные механизмы. Что рекомендуют эксперты? Во-первых, давать людям больше информации о последствиях их выбора. Если я буду знать, что некачественный пароль сегодня может привести к несанкционированному доступу ко всей моей переписке в будущем, я более осмотрительно буду выбирать пароль по сравнению с ситуацией, когда система проверки качества паролей на сайте просто говорит, что мой пароль средней надежности.

Во-вторых, безопасность по умолчанию. Почему бы, например, сразу не показывать такие примеры надежных паролей "76GhbxbyDs,hfnm54#", чтобы у пользователей по умолчанию закладывалось в голову "как правильно"?

В-третьих, удобство использования. Про него я уже писал не раз. Упрощенно один из принципов создания защищенных систем, предложенный еще в 1975-м году гласит: "Стройте систему защиты таким образом, чтобы она не заставляла пользователя делать лишние, нетипичные для него действия". Человеческий мозг не привык запоминать что-то; особенно текстовое. В отличие от графической информации. Поэтому система графических паролей более эффективна, чем символьных. Но почему последние все еще так распространены? Все просто. Изначально такие системы создавались для облегчения жизни компьютеру, а не человеку. Технологии менялись, а инертность человеческого мозга нет. Поэтому даже в новых системах мы используем то, что привычно и проще реализовать, а не то, что обеспечит бОльшую защищенность (а многие эксперты по ИБ и не думают о поведенческой психологии).

Ну и наконец, стимулирование. Оно тоже может способствовать повышению уровня защищенности предприятия или отдельного гражданина. Например, почему бы оператору связи (заинтересованному в росте уровня защищенности своих абонентов) не давать скидку на месячное подключение, если абонент включит дополнительные настройки системы защиты. А какой-либо сайт может дать скидку на свои товары и услуги, если пользователь докажет, что он купил менеджер паролей или систему персональной защиты ПК? Затраты отсутствуют; потери минимальны, а выгода налицо.

Можно ли и в России внедрять такие механизмы? Да, почему нет? Например, включить соответствующие тезисы в разрабатываемые сейчас Советом Безопасности "Основные направления государственной политики в области формирования у граждан культуры информационной безопасности".

ЗЫ. Это краткий пересказ с моими добавками статьи "Why It Pays to Submit to Hackers".

6 коммент.:

Юрий комментирует...

Ты описал классические проблемы теории принятия решений (в частности, теорию проспектов). Суть в нерациональном поведении при необходимости сделать выбор (об этом писал Шнайер, описывая психологию восприятия риска, по-моему даже здесь обсуждали когда-то). С предлагаемыми мерами совершенно согласен: знать зачем, знать как и при этом чтобы было удобно. Универсальный рецепт. ЗЫ Что касается пентестов, то они, как правило, включают и социальную инженерию (не только технические проверки).

toxa комментирует...

Нет никакого нерационального поведения. Суть в том, что безопасность (стойкий пароль, антивирус и пр.) не помогают людям в их работе, поэтому ими игнорируются. Чтобы человек что-то принял не из под-палки, он должен видеть, что оно ему полезно: помогает, упрощает жизнь, дает плюшку и т.п.

Разумеется, ИБ-технари этого часто не понимают. И в худшем случае получается фашизм, когда человека загоняют в рамки без права выбора, в лучшем случае -- аваренесс/обучение, построенное на запугивании ("то и это нельзя, потому что вот что будет!...").

Юрий комментирует...

Нерациональное поведение обуславливает выбор, в том числе средств и механизмов защиты. Вы когда дорогу только на зеленый свет переходите хорошо риск осознаете, а когда слабый пароль вводите - не очень. Это потому, что автомобиль и аварии Вы видите каждый день, а хакера нет, поэтому склонны считать ДТП более вероятным событием, чем взлом. Суть не в удобстве (мне не всегда удобно на зеленый ходить), а в адекватной оценке последствий. Объясните их людям и они смирятся с неудобствами.

Alexander Polyakov комментирует...

В среде некоторых специалистов по ИБ до сих пор бытует мнение, что информационная безопасность - это прежде всего бумажки и именно от них зависит уровень защищенности современного предприятия; мол, именно бумажка первична, а все остальное вторично. В этом плане хотелось бы напомнить классический тезис о том, что безопасность системы равна безопасности самого слабого звена. А им является пресловутый человеческий фактор. Бы не было бумажек, достаточно проверить cisco:cisco на маршрутизаторе , и вся безопасность пойдет коту под хвост. Почему же пользователи оставляют дефалтовые пароли? Ответ на это дает сравнительная анатомия ( бумажникам-апологетам дальше можно не читать - ничего для них интересного не будет).
Собственно ничего интересного тут и нет. Н расуж начал писать противопоставление то на пряник есть и кнут и почему бы не рубить руки сразу за такие косяки?), подход ничем не хуже описанного вами и нигде ещё не доказано достоверно и не опровергнуто что пряник или кнут являются лучшими решениями.
Можно ли и в России внедрять такие механизмы? Да, почему нет? Сталина позабыли?)

PS. Причём тут пентесты не ясно

Станислав Никитин комментирует...

Alexander Polyakov
Чтобы люди знали, что нужно ставить правильные пароли - нужно, чтобы их этому научили. Чтобы учить сотрудников, должно быть определено, чему именно учить.

Чтобы люди точно знали и могли напомнить себе о том, что забыли, все определенное и устно сказанное должно быть так или иначе задокументировано.

Чтобы люди не игнорировали обязанности по пересмотру требований к паролям, по донесению требований до работников, и в конце концов по выполнению этих требований, должна быть определена ответственность.

Чтобы к ней привлечь, она должна быть задокументирована.

Бумажки, конечно, не защищают. Но они являются одним из важных средств обеспечения защиты - справочным либо регламентирующим (в первом случае - для получения сведений, во втором - для легитимации "кнута" и "отрубания рук")

Безопасность без бумажек возможна в двух случаях: когда у вас в фирме не люди, а роботы, либо когда вся фирма целиком и полностью состоит из гуру-безопасников-универсалов в количестве пары человек.

Станислав Никитин комментирует...

Alexander Polyakov
Чтобы люди знали, что нужно ставить правильные пароли - нужно, чтобы их этому научили. Чтобы учить сотрудников, должно быть определено, чему именно учить.

Чтобы люди точно знали и могли напомнить себе о том, что забыли, все определенное и устно сказанное должно быть так или иначе задокументировано.

Чтобы люди не игнорировали обязанности по пересмотру требований к паролям, по донесению требований до работников, и в конце концов по выполнению этих требований, должна быть определена ответственность.

Чтобы к ней привлечь, она должна быть задокументирована.

Бумажки, конечно, не защищают. Но они являются одним из важных средств обеспечения защиты - справочным либо регламентирующим (в первом случае - для получения сведений, во втором - для легитимации "кнута" и "отрубания рук")

Безопасность без бумажек возможна в двух случаях: когда у вас в фирме не люди, а роботы, либо когда вся фирма целиком и полностью состоит из гуру-безопасников-универсалов в количестве пары человек.