Проходил я тут давеча тренинг по безопасности Интернета вещей и, хотя у нас это устройство не рассматривалось, задумался о том, как изменится картина безопасности после активного распространения в мире очков Google Glass или аналогичных. Да, данное устройство полезно для путешественников или для фиксации тренингов и публичных выступлений. "Акынам" Интернета тоже будет прикольно. Но вот с точки зрения безопасности устройство задает много вопросов, на которые пока нет ответов; ну или мало кто серьезно об этом задумывался.
Фиксация огромных объемов конфиденциальной информации, включая и различные переговоры и телеконференции, изучение расположения защищаемого объекта, подсматривание набираемого PIN-кода или передаваемой кассиру платежной карты... Google Glass в этом смысле гораздо более опасная штука, чем даже смартфон или флешка, которые на некоторых предприятиях могут изымать. Очки не особенно и изымешь - тут может такой вой подняться, что организация против людей с плохим зрением. А если туда добавить еще и толику ЛГБТ составляющей.... :-)
Кстати, с безопасностью и самих очков тоже не все так радужно, а они имеют доступ ко многим ресурсам под учетной записью своего владельца. Кража очков может дорого обойтись любителю инноваций. Да даже если до кражи и не дойдет, то низкий уровень защищенности и подключение к публичному хотспоту может превратить очкарика-интеллигента в секретное оружие хакеров. Шутки шутками, но готовиться к данной проблеме (или, если хотите, угрозе) стоит уже сейчас. Как минимум, надо быть готовым и оценивать риск от этих новых устройств. Как и от любых других высокотехнологичных устройств, находящихся в корпоративной или ведомственной сети. Игровые приставки, принтеры, видеокамеры, кофеварки, электрочайники, утюги... Да-да, утюги и электрочайники. На днях пробежала новость о том, что в партии китайских утюгов находится модуль, который через незащищенный Wi-Fi может распространять вирусы и спам. Факт пока неподтвержденный, но и ничего сверхъестественного я в нем не вижу.
Что делать? Что делать, что делать... Все тоже самое. Модель угроз, политики, повышение осведомленности, контроль доступа... Ничего нового не придумано. Главное, что надо сделать, так это четко прописать в политиках и довести до сотрудников и посетителей, можно ли пользоваться такого рода устройствами на территории организации. Если да, то на всей территории или только в зонах гостевого доступа (да и то с оговорками)? Остальные рекомендации идентичны стратегии BYOD (Bring Your Own Device). Стоит подумать и такой проблеме, как, что отвечать, если вас обвинят в противодействии незрячим людям? Непростой вопрос и однозначного ответа не имеющий, как и вообще стык ИБ и поведения людей.
Фиксация огромных объемов конфиденциальной информации, включая и различные переговоры и телеконференции, изучение расположения защищаемого объекта, подсматривание набираемого PIN-кода или передаваемой кассиру платежной карты... Google Glass в этом смысле гораздо более опасная штука, чем даже смартфон или флешка, которые на некоторых предприятиях могут изымать. Очки не особенно и изымешь - тут может такой вой подняться, что организация против людей с плохим зрением. А если туда добавить еще и толику ЛГБТ составляющей.... :-)
Кстати, с безопасностью и самих очков тоже не все так радужно, а они имеют доступ ко многим ресурсам под учетной записью своего владельца. Кража очков может дорого обойтись любителю инноваций. Да даже если до кражи и не дойдет, то низкий уровень защищенности и подключение к публичному хотспоту может превратить очкарика-интеллигента в секретное оружие хакеров. Шутки шутками, но готовиться к данной проблеме (или, если хотите, угрозе) стоит уже сейчас. Как минимум, надо быть готовым и оценивать риск от этих новых устройств. Как и от любых других высокотехнологичных устройств, находящихся в корпоративной или ведомственной сети. Игровые приставки, принтеры, видеокамеры, кофеварки, электрочайники, утюги... Да-да, утюги и электрочайники. На днях пробежала новость о том, что в партии китайских утюгов находится модуль, который через незащищенный Wi-Fi может распространять вирусы и спам. Факт пока неподтвержденный, но и ничего сверхъестественного я в нем не вижу.
Что делать? Что делать, что делать... Все тоже самое. Модель угроз, политики, повышение осведомленности, контроль доступа... Ничего нового не придумано. Главное, что надо сделать, так это четко прописать в политиках и довести до сотрудников и посетителей, можно ли пользоваться такого рода устройствами на территории организации. Если да, то на всей территории или только в зонах гостевого доступа (да и то с оговорками)? Остальные рекомендации идентичны стратегии BYOD (Bring Your Own Device). Стоит подумать и такой проблеме, как, что отвечать, если вас обвинят в противодействии незрячим людям? Непростой вопрос и однозначного ответа не имеющий, как и вообще стык ИБ и поведения людей.
>На днях пробежала новость о том, что в партии китайских утюгов находится модуль, который через незащищенный Wi-Fi может распространять вирусы и спам. Факт пока неподтвержденный, но и ничего сверхъестественного я в нем не вижу.
ОтветитьУдалитьКонкретно эта "новость" вызывает множество сомнений. Начиная от подозрительных таможенников, которые узрели отличие веса упаковки в несколько грамм и заканчивая самой идеей - вшить в утюг чип, который будет рассылать спам и вирусы... Бредовый способ какой-то
Решил обратить внимание и на плюсы устройства
ОтветитьУдалитьhttp://sborisov.blogspot.ru/2013/10/google-glass.html
По теме угроз. У организаций и у физических лиц - разные ценности, разные угрозы и подходы к решению.
ОтветитьУдалитьДля большинства физических лиц - не так важно что прибор будет за ними следить, зато важно чтобы он не убил током, не загорелся и не зажег квартиру, не сломался.
Для организации ценности уже другие - нельзя допустить утечки информации, нельзя чтобы одно устройство нарушило функцианирование других.
Поэтому гугл клас хорошо пойдет - если будет соединятся с корпоративными серверами. Тогда это всего лишь ещё одна критичная ИС в перечне многих.
Если только с гугловскими серверами и вся информация обрабатывается на серверах гугл - то все риски как при остальных облачных сервисах в перечне многих.
>Для большинства физических лиц - не так важно что прибор будет за ними следить
ОтветитьУдалитьВот уж не соглашусь. Один такой скандал и про массовые продажи гугл гласс можно будет забыть.
Вполне разумные опасения. Но все же полноценной шпионской техникой Гуглочки не являются. Их достаточно легко опознать и проконтролировать при доступе.
ОтветитьУдалитьGG сами по себе не ходят и снимают то, что видят глаза.
ОтветитьУдалитьЭтот комментарий был удален администратором блога.
ОтветитьУдалить