Человеческий фактор
Не так давно я давал показания в Конгрессе, где объяснил, что часто пароли, как и любая другая секретная информация, разглашались не мне, а тому человеку, за которого я себя выдавал, и который лишь просил об этом.
Человек жаждет чувства полной защищенности, и это естественно. Но обратная сторона такого абсолютного безусловного желания – ложное, обманчивое ощущение собственной безопасности. Представьте себе заботливого и любящего отца, который поставил на входную дверь своего дома замок Medico, известный особой устойчивостью к взлому. Хозяин дома чувствует себя спокойно: замок защищает дом и детей от непрошенных гостей. Но как быть с бандитом, который залезет в форточкуфорточником или бандитом, который подберет код дистанционного управления гаражной дверью? "Периметр дома можно защитить надежной охранной системой", – скажете Вы. "Хорошо", – отвечу я: "Но никакой гарантии Вы не получите". Дорогие будут замки или дешевые, а наш хозяин дома все равно останется уязвимым.
Почему? Ответ прост. По-настоящему слабое звено любой системы безопасности – человеческий фактор.
Часто безопасность – всего лишь иллюзия, а иллюзия – вещь весьма опасная, особенно, если ей сопутствуют легковерие, наивность и пренебрежение. Альберт Эйнштейн, самый известный ученый двадцатого столетия, сказал так: "Только две вещи бесконечны - вселенная и человеческая глупость, и я не совсем уверен относительно первой"."Только две вещи на свете бесконечны по своей природе – вселенная и человеческая глупость", – и добавил: "…насчет вселенной я не уверен". В конце концов, успешные атаки социальной инженерии достигают цели только тогда, когда атакуемый глуп или, что бывает чаще, пренебрегает простыми приемами защиты. Подобно нашему сознательному домовладельцу, многие IT-профессионалы заблуждаются, когда думают, что фирма находится в безопасности, если системы и информация защищены межсетевыми экранами, средствами обнаружения вторжения и механизмами идентификации пользователей, вроде токенов или биометрических смарт-карточек.
Каждый, кто думает, что электронные средства безопасности, сами по себе, способны обеспечить достойную защиту – глубоко заблуждается. Хуже того, чувства такого человека притупляются иллюзией безопасности. Это похоже на полет в заоблачные высотыИкара, который, рано или поздно, но неизбежно закончится падением.
Брюс Шнайер, консультант по вопросам безопасности, однажды заметил, что "безопасность – это не конечный продукт, не товар, а процесс". Скажу больше: безопасность не технологическая задача; безопасность – проблема, связанная с человеческими и управленческими аспектами деятельности.
Разработчики постоянно совершенствуют разнообразные технологии защиты. Взломщикам становится все труднее справиться с техническими задачами, сложнее найти техническую уязвимость. И неудивительно, что хакеры все чаще пытаются использовать «человеческую» составляющую безопасности. Обычно, обойти внутренний «файервол» человека проще - риск минимальный и обходится не дороже, чем стоимость монетки, брошенной в телефонный автомат.