Вчера вокруг "нашей" темы свершилось два события. Первое - очередная волна вокруг PRISM, вызванная заседанием в Совете Федерации. В Twitter'е я вел почти прямой репортаж и могу сказать, что заявления многих персонажей были предсказуемы заранее ;-) Не это стало поводом для написания заметки. И не поездка в Совбез, где обсуждался еще один интересный документ ;-) Речь пойдет об РЖД. Но не в контексте персональных данных... И даже не совсем про РЖД...
Как написали РИА Новости: "Информацию о якобы имевшей место отставке президента РЖД Владимира
Якунина, разосланную в среду вечером неизвестными лицами от имени
правительственной пресс-службы, распространили все российские
информагентства и другие крупнейшие СМИ, включая основные ТВ-каналы". В заметке РИА дан разбор полетов, а я хотел бы вспомнить свою апрельскую заметку про атаки третьего поколения. Она была написана аккурат после ложного сообщения в Twitter'е Associated Press о взрывах в Белом Доме и ранении Барака Обамы. А ведь ни фальшивое сообщение от имени Правительства, ни твит от AP, не были сюрпризом для специалистов по ИБ. Я про это писал еще в 2000-м году. И российские госорганы с этим уже тоже сталкивались. Вот два (первый и второй) примеры с Федеральной службой судебных приставов. А вот пример с Арбитражным судом.
СМИ тоже не первый раз сталкиваются с акой проблемой. В конце марта этого года в СМИ попало сообщение о задержании в США Романа Абрамовича. Сообщение не подтвердилось, но акции успели обвалиться. Аналогичная ситуация возникала и с якобы имевшем место пресс-релизом об аресте главы Сургутнефтегаза в июле 2007-го года.
Лаборатория Касперского в прошлом декабре давала советы, как бороться с такой проблемой. Но эти советы неприменимы в случаях, похожих на "якунинский". Он не имел никаких ссылок, он повторял пресс-релизы, которые Правительство действительно регулярно рассылает. А вот разумный совет "перепроверить" в случае с такого рода информационными поводами не работает. Каждое СМИ хочет быть первым - тут не до проверки - успеть бы опубликовать раньше других. Отсюда и все проблемы. Вчера на программном комитете грядущей InfoSecurity Moscow Рустем Хайретдинов как раз поднял тему, что есть множество бизнес-сценариев, когда безопасность просто лишняя, т.к. работает очень медленно. Например, при финансовых транзакциях, производимых с частотой в милисекунды. Никакая проверка ЭЦП не работает с такой скоростью; особенно с привлечением третьей доверенной стороны. И в ряде сценариев работы индустриальных объектов тоже безопасность не работает ;-( Хотя в данной ситуации проблема была бы решена, внедрив Правительство на своих почтовых серверах технологию DKIM или SPF. Если 8-й Центр ФСБ (а по идее именно он отвечает у нас за информационную безопасность Правительства) не в состоянии настроить почтовый сервер, то может быть стоило приобрести отдельные средства защиты входящей и исходящей электронной почты. Их немало на рынке представлено. Но это лирика. Заметка не об этом. Она о доверии ;-) Да-да, именно о доверии к тому, что написано в Интернет.
Мы стали слишком сильно доверять тому, что написано в Интернет, как раньше доверяли традиционным СМИ и бумаге. В нас исчезает критический фильтр, подвергающий сомнению все, что мы видим или получаем по электронной почте или через социальные медиа (Twitter, блоги, социальные сети...). Отчасти это происходит из-за того, что информации становится слишком много - мы не успеваем ее читать и анализировать. А поскольку не читать не можем (по работе, по привычке, по зависимости), то информационная перегрузка приводит к отсутствию критической оценки получаемых данных. Интернет превращается в доверенный источник - информации, данных, знаний,
инструментов (например, программного обеспечения). А мы не проверяем ;-( Напишут где-нибудь, что Путин педофил, развлекающийся с мальчиками в своих многочисленных дворцах, - верим. Напишут еще где-нибудь, что я
часами сижу на порносайтах - верим. Напишут, что компания с 4-мя процентами доли рынка вне
конкуренции и лидер отрасли - верим. Напишут, что человек по фамилии Зур первым создал межсетевой экран - верим. И чем "солиднее" источник информации, тем доверчивее мы становимся.
Я тут провел простой эксперимент ;-) Скрыл информацию о своем дне рождения в социальных сетях. А в прошлом году не скрывал. Очень существенная разница тех, кто поздравил и тех, кто нет. А все почему? Доверие к информации, опубликованной в социальной сети. Или к отсутствию информации. В этом примере, кстати, хорошо показано доверию к Интернет, как к хранилищу информации. Многие адресные книги выводят в Интернет или просто доверяют хранение этой информации социальным сетям. Ну о последствиях думать не хочется, но вдруг какая-нибудь социальная сеть одномоментно рухнет? Что будем делать с той информацией, которая там накоплена и хранится?
А вообще это философский вопрос ;-) Доверять или нет, хранить или нет? Но в случае с электронной почтой стоит хотя бы просто настроить почтовые сервера, чтобы исключить в будущем такие подставы.
ЗЫ. А вообще число таких атак будет возрастать. Стоит готовиться...
Вопрос не в том, выкладывать или нет.
ОтветитьУдалитьВопрос в том, что Достоверность информации в открытых системах стала ключевой характеристикой.
Так же показательно - для большинства Авторитетное мышление преобладает. Похоже пора включать в Политики безопасности компаний раздел на озвученную Алексеем тематику.
Алексей, а почему бы не сказать и про 8 центр ФСБ? :) По поводу давнего мифа "о всесильности КГБ/ФСБ" и супер-профессионалах, которые сидят где-там и стоят им только взяться за дело, то все в стране с преступностью станет хорошо. Вот только им кто-то мешает... "А есть ли мальчик?"
ОтветитьУдалитьА вот интересный вопрос об ущербе, связанном, например, с сообщением об отставке Якунина. Атака информационного противоборства прошла, прошла успешно. Но каков же ущерб? Самому человеку - неприятно, конечно, но не более того. Поток потенциальных инвесторов России, м.б., даже возрос бы - с учетом имеющихся сведений о дворце Якунина, превышающем стоимостью несколько годовых заработков. Смысл защищаться от таких вбросов?
ОтветитьУдалитьЕвгений, про 8-й Центр я в Твиттере уже сказал ;-)
ОтветитьУдалитьЗащищаться кому? Кто субъект защиты? А что объект?
ОтветитьУдалитьВот именно! В случае с Якуниным - это уравнение со многими неизвестными. По идее, объектом защиты является российский сегмент Интернет. Субъектом - РЖД (?), РФ (?)
ОтветитьУдалитьОчень хочется написать )))) но не буду )))) опять сорвусь на пару страниц )))))
ОтветитьУдалитьМне кажется, что тут не затронута совсем тема процедур-регламентов признания электронного документа аутентичным, а ведь есть даже ГОСТы касающихся этой темы. Вот вам и последствия, процедуры (в данном случае вера в достоверность информации в документе) неадекватно наложились на технологию (в данном случае транспорт - е-почту). Так что считаю этот инцидент весьма банальным, предсказуемым и к сожалению никого ничему не научившим, посмотрите на реакцию, каждый ещё громче задудел в свою любимую дуду, опять призывы ужесточить наказания вместо того чтобы использовать безопасные защищённые технологии.
ОтветитьУдалитьФейковость новости сильно преувеличена, просто одёрнули Дмитрия Анатольевича
ОтветитьУдалитьhttp://ic.pics.livejournal.com/drugoi/484155/8433891/8433891_original.png