Россия, г. Москва +7 (926) 233-46-64 alex@harlamenkov.ru

Открытость, как гарант безопасности

Автор: Н. Е. Г.

Вступление

В последние годы стали особенно актуальны разговоры об электронной безопасности. Электронная безопасность, вернее забота об электронной безопасности пользователей, оказалась замечательной приманкой для повторной продажи того же самого программного обеспечения под видом новых версий. Значительную долю рынка заняли программы, отнимающие процессорное время на электронную защиту систем в ущерб выполнения задач автоматизации.

Что в итоге получили. Прикинем расходы.

 

  1. Затраты на повторную покупку новых версий тех же программ, но с улучшенной безопасностью;
  2. Затраты на приобретение дополнительных программ, контролирующих безопасность новых версий программ с улучшенной безопасностью;
  3. Затраты на обновление парка ВТ с целью повышения производительности, чтобы новые версии программ и дополнительные программы, обеспечивающие их безопасность, не замедляли выполнение практических задач автоматизации.

Не трудно догадаться, что истерия, вызванная угрозами электронной безопасности, помогает пользователям легче расстаться деньгами, которые будут потрачены на удорожание стоимости ИКТ, когда модернизация превращается в следствие, а не цель.

Взлом и защита

Комплексная задача «взлом и защита» — это игра без победителя, где для каждого нового уровня защиты будут созданы более совершенные средства взлома и наоборот, вплоть до бесконечности.

И защита, и взлом требуют соизмеримых затрат с той лишь разницей, что затраты на защиту возникают периодически и регулярно, а затраты на взлом единовременны.

Таким образом, экономика взлома более эффективна, чем экономика защиты из-за отсутствия регулярных платежей.

Иными словами, взломать дешевле, чем защититься от взлома, что ещё раз доказывает абсурдность идеи абсолютной защиты.

Заметим, что ни одна из систем обеспечения электронной безопасности не справляется с угрозами типа «человеческий фактор», и подавляющее число правонарушений в области хищения конфиденциальной информации совершается весьма банально, сотрудником предприятия при помощи обычной флешки.

Экономика рисков

Говоря об экономике электронной безопасности, консультанты часто прибегают к стоимостным оценкам различных систем безопасности, сравнивая в глазах заказчика количество, качество, производительность  подсистем по критерию цены, в т.ч. цены обслуживания, сознательно или по незнанию уводя внимание от оценки финансовых рисков.

Почему рисков? Да потому, что потери в следствие нарушения электронной безопасности вычислительных систем могут быть, а могут и не быть.

Из теории управления коммерческими рисками известно, что по характеру учёта риски бывают всего двух классов, а именно:

внешние риски:

  • несанкционированный доступ в сеть с целью нанесения ущерба;
  • несанкционированный доступ в сеть с целью баловства;
  • выход из строя вследствие отказа внешнего узла, например, узла связи;
  • ошибка поставщика программного обеспечения и т. п.

внутренние риски:

  • несанкционированная установка и использование программ;
  • посещение с рабочего места сомнительных ресурсов в сети;
  • халатное отношение к требованиям внутренней электронной безопасности;
  • низкая квалификация технического и рабочего персонала;
  • использование служебного положения для хищения коммерческой информации, и т.п.

Обратим внимание, что в основе внешних рисков лежит техногенный фактор, в то же время, как в основе внутренних рисков — человеческий.

Из той же теории управления рисками  известно, что:

  • Потери от рисков независимы друг от друга.
  • Потеря по одному направлению деятельности не обязательно увеличивает вероятность потери по другому.

Известные два класса рисков, несмотря на различие вызывающего их фактора, равновероятно угрожают бизнесу.

Страхование рисков

Традиционный подход в области безопасности информационных систем ставит упор на технологическое решение задачи, страхуя внешние риски. Страхование внутренних рисков, вызванных низкой квалификацией, низкой осведомлённостью персонала, либо не производится вообще, либо решается опять же технологически, путём установки дополнительных программ на рабочие места, приводящих к потере производительности, со всеми вытекающими последствиями.

Техногенное страхование внутренних рисков приводит к дальнейшему снижению квалификации  сотрудников.

Техногенный подход не снижает риски, что красноречиво показала вышедшая недавно MS Windows Vista. Позиционируемая, как сверх защищённая система, Windows Vista вызвала массовый downgrade пользователей на менее защищённый продукт MS Windows XP, выпущенный на рынок 8 лет назад, когда требования к электронной безопасности были иными, менее жёсткими, чем сейчас.

Создай систему, которой сможет пользоваться даже дурак, и только он захочет её использовать. Остальные проигнорируют.

В условиях, когда два взаимно увязанных процесса «взлом-защита» развиваются с возрастающим ускорением, риски, вызываемые человеческий фактором становятся более значимы. Страхование таких рисков неизбежно повлечёт увеличение расходов на обучение персонала. Но, не будем забывать, что инструктаж персонала о новом виде электронной угрозы и методах её обхода занимает значительно меньше производственного времени, чем томительное ожидания обновления или «заплатки» для техногенного метода защиты от угрозы в условиях низкой квалификации и неосведомлённости сотрудников.

С другой стороны, страхование внутренних рисков в области электронной безопасности, снижающих влияние человеческого фактора за счёт инвестирование в квалифицированный персонал, позволяет выстраивать не только технологические, но организационные схемы обеспечения безопасности, регулируемые инструкциями для сознательных и дисциплинированных людей, что с трудом преодолевается техническими ухищрениями из вне.

Поздно пить боржом, если почки отсохли

Говорить об угрозах электронной безопасности можно сколь угодно долго, пока обозначенная угроза не проявит себя. Как правило, это случается в неподходящий момент.

Главное во время аварии — ликвидация аварии и её последствий. Не трудно представить, что при прочих равных условия быстрее ликвидируют последствия реализации электронной угрозы там, где более квалифицирован собственный персонал.

Таким образом квалификация персонала не только снижает риски электронной угрозы, но и позволяет более эффективно проводить локализацию аварий, по сравнению с аутсорсингом подобных услуг.

Время не ждёт

Не стоит себя тешить иллюзией, что существуют абсолютно защищённые системы. При выборе системы электронной безопасности следует оценивать затраты на ликвидацию последствий взлома, среди которых наиболее значимы временные затраты.

Существует ли способ сократить время ликвидации аварии и её последствий. Как показано выше, да! Существует. Для этого достаточно взвешенно спланировать бюджет на обеспечение электронной безопасности и застраховать внутренние риски, вкладывая средства в повышение квалификации собственного персонала на всех уровнях. Иными словами, инвестируя в себя, что весьма актуально во время кризиса.

Реальность нашего времени

Существование двух бизнес-моделей в IT индустрии, основанных на закрытом и на открытом исходном коде, подлила масло в огонь спорщиков о методах обеспечения безопасности электронных систем.

Существует устойчивое заблуждение, что программы с открытым кодом обладают низкой электронной безопасностью, так как их исходные коды доступны хакерам. Действительно, право доступа к свободному программному обеспечению имеют все люди на земле, в том числе и хакеры. Однако иерархическая организация и открытость международного движения OpenSource не даёт распространяться хакерским программам, а доступный исходный код позволяет службам безопасности более эффективно проверять критические места в программном обеспечении до его внедрения в промышленную эксплуатацию.

Существует всего два типа программ — большие и маленькие. Последние не могут работать при наличии ошибок.
Среди программ с открытым исходным кодом много больших программ, которые по-определению содержат ошибки. Встречаются случаи, когда не обнаруженные на этапе тестирования ошибки становятся угрозой для электронной безопасности. Известны случаи, когда ошибка в программном обеспечении являлась причиной взлома.

Возвращаясь к сказанному ранее, исключив иллюзию абсолютной безопасности, понимая, что страхование внутренних рисков более важно, чем внешних, поставив во главу угла время локализации взлома и его последствий, приходим к выводу, что соблюдая перечисленные условия открытый исходный код и свободные лицензии обеспечивают собственную безопасность лучше, чем любой запатентованный, но чужой метод, за счёт того, что снимают зависимость от поставщика программного обеспечения в критических ситуациях, позволяя оперативнее управлять ситуацией в аварийном режиме за счёт привлечения собственного, следовательно, надёжного персонала.

Чтобы не быть голословным я приведу всего лишь один пример.

  1. 10 сентября 2007 года AMD представила 4-х ядерный процессор Opteron.
  2. 3 декабря 2007 компанией AMD была опубликована информация о наличии в процессоре критической ошибки в кеше 3-го уровня.
  3. 5 декабря 2007 года были опубликованы исправления для ядра Linux;
  4. В течение декабря 2007 про аналогичные исправления для MS Windows не было известно ничего.
  5. 2 июня 2009 года поиск базе данных Microsoft исправлений по ключевым слова «Opteron» и «tlb bug» дал отрицательный результат.

Пример ни в коем случае не ставит под сомнение компетентность специалистов компании Microsoft. Он просто показывает, что планы по выпуску и обновлению версий у поставщика системы с закрытым исходным кодом, могут не совпадать планами пользователей по обеспечению электронной безопасности своих вычислительных систем.

Вместо заключения

Не желая вдаваться в пространное рассуждение, какое ПО надёжнее, свободное или нет. Оценивая риски электронной безопасности, способы их страхования и стоимость локализации взлома, отметим, что закрытое ПО ставит в зависимость от поставщика решения и способствует к снижению уровня подготовки собственного персонала. В то же время, свободное ПО даёт больше шансов к локализации последствий от взлома и поощряет повышение квалификации персонала.

Учитывая, что свободного ПО не требует лицензионных отчислений, принимаем как факт, что его использование — это инвестиции в себя, когда открытость выступает гарантом безопасности вычислительных систем.

Н. Е. Г.
Источник.

Алексей Евгеньевич Харламенков