Павел Затрат Редактор, Москва
До тех пор пока айфоны фотографируют собственных обладателей втайне от них, а хакеры взламывают очередной правительственный сайт, в бизнесе началась игра на выживание. Как выйти из нее победителем?
На вопросы Executive ответил Андрей Масалович – кандидат физико-математических наук, лауреат стипендии РАН «Выдающийся ученый России», член правления «ДиалогНаука», один из разработчиков интеллектуального поиска Avalanche, в прошлом – полковник ФАПСИ. Интервью с Андреем Масаловичем произошло сразу после его выступления в Дискуссионном клубе Executive в июне 2011 года.
Executive: Андрей, тем, что мобильные и другие устройства собирают информацию о пользователях, сейчас никого не поразишь. Исходя из этого вопрос следующий: а в далеком прошлом ли ведется за нами слежка?
Андрей Масалович: С какого-либо момента закончилась монополия Микрософт и началась – еще до появления гаджетов – борьба на рынках широкого потребления IT-продуктов и одолжений. Стало известно, что превосходство в данной войне будет на стороне того игрока, кто лучше остальных ощущает массовые предпочтения потребителей. Первоначально конкретный пользователь никого не интересовал, но данные о нем собирали, чтобы ее позже обобщить.
Так показались тулбары в браузерах, каковые собирали статистику посещений. Первой на этом поймали Гугл, чей тулбар пересылал с пользовательских компьютеров данные о перемещениях в сети. Скоро в пользовательском соглашении браузера Гугл Chrome открытым текстом было сообщено, что такие эти передаются и употребляются компанией в маркетинговых изучениях.
С популяризацией и приходом гаджетов обстановка обострилась: отслеживать передвижения обладателей стали посредством мобильных устройств. Их расположение фиксируется башнями сотовых операторов, даже в том случае, если аппарат находится в режиме сна. Кроме того, показавшиеся на айфонах фронтальные камеры фотографируют обладателей без их ведома и отправляют снимки в неспециализированную базу Apple.
Персональную данные сейчас сливают чуть ли не все большие поставщики гаджетов. А также если вы запретите передачу данных, компании знают, как ее взять вторым методом. К слову, накопленные базы применяют в качестве инструмента борьбы с терроризмом и не только.
Executive: Но информация довольно часто попадает не в те руки. Поведайте о настоящих угрозах.
А.М.: В масштабном замысле особенную опасность сейчас воображают средства удаленного управления, каковые под видом обновлений программ попадают в компьютеры. Такая «маскировка» вражеских вторжений делает любое устройство уязвимым. Лишь представьте себе, что произойдёт с «Сапсаном», в случае если его совокупность управления обновится и схватит вредоносную программу.
По большому счету кибервойна началась для меня 25 лет назад. Тогда еще не было Интернета, но существовал CoCom (координационный комитет по экспортному контролю – E-xecutive), что запрещал ввоз в СССР многих разработок, впредь до дисплеев большого разрешения. За многими вещами мы ездили сами.
Так, для одного трубопровода в Сибири через цепочку посредников закупили управляющее оборудование и соответствующее ПО, а американцы смотрели за тем, дабы СССР не имел возможности купить современные средства контроля. Так вот через год работы трубопровода на двух соседних компрессорных станциях в один момент отключился контроль давления. Рвануло так очень сильно, что спутники нескольких государств засекли ракетный запуск.
На уровне отдельного пользователя основной угрозой остаются утечки данных посредством установки вредоносной программы, подключения физического устройства (сниффера) и др.
Отдельная тема – банкоматы. Мошеннических схем большое количество. И пудру посыпают на клавиши, и «ливанскую петлю» вставляют, и камеры рядом устанавливают. «Прекрасная» афера произошла в Лондоне: в том месте поставили «фальшивый» банкомат, что некое время полноценно трудился – выдавал и забирал деньги, и в итоге взял нехилую базу паролей и счётов.
В какой-то момент банкомат провалился сквозь землю.
Executive: И поверь по окончании всего этого в безопасность…
А.М.: Имеется лишь иллюзия того, что кто-то занимается отечественной безопасностью. Те же самые антивирусы не могут избавить ваш компьютер от всех видов угроз. На серверах корпоративных сайтов имеется документы, в которых прописаны права доступа к той либо другой папке, так вот антивирусы их не контролируют.
А хакеры в первую очередь ищут эти файлы.
Более чем от половины угроз возможно защититься элементарными «средствами гигиены»: к примеру, систематично (раз в тридцать дней) поменять пароли, делать их долгими и стойкими. Стандартная неточность – показывать в качестве пароля комплект цифр (телефон, номер ICQ, дата рождения), фамилию, фразу «qwerty» и т.на следующий день. Совершенным будет сочетание больших и строчных букв, специальных символов и цифр. Ни за что нельзя пользоваться одним паролем на нескольких сайтах.
Вы не воображаете, как довольно часто пользователи всемирной сети, допуская такую неточность, попадаются на удочку преступников.
Executive: Андрей, выступая на встрече Дискуссионного клуба Executive, вы заявили, что сейчас бизнесом движет нескончаемая война. Какое место в ней занимает конкурентная разведка?
А.М.: Разведка отвечает на вопрос «Для чего?» Для чего соперникам собирать данные о вашей компании? В первую очередь, чтобы нанести атаку по ее репутации. Разведчики целенаправленно охотятся за подробностями личной судьбе начальников и показателями противозаконной деятельности компании.
Как раз исходя из этого информация о репутации должна быть запрятана оптимальнее .
Кроме этого под прицелом разведки – информация о транзакциях и тендерах как настоящих показателях деятельности компании, ее клиентские базы. В последнем случае появляется еще одна угроза – внутренняя: значительно несложнее взять эти сведенья, подкупив либо переманив сотрудников. По большому счету сейчас соперники активнее завлекают способы действия на людей – вербовку, провокацию и т.д.
Чем меньше информации о компании в сети, тем лучше. В маркетинге кроме того имеется такое понятие, как «лендинг-пейдж» – страница «приземления». Не требуется делать сайты, достаточно завести одну страницу с адресом компании, историей успеха, прайс-регистрационной формой и листом для обратной связи.
Тем компаниям, каковые выложили в Интернет громадной количество информации, нужно выстроить политику безопасности: совершить инвентаризацию всех активов компании, выяснить объекты защиты, виды угроз, факторы риска, назначить важных. В итоге обязан оказаться документ, в котором все это будет зафиксировано.
Executive: Утечки – еще одна головная боль для русского бизнеса. Каков процент компаний защищен от этого?
А.М.: В отчете McAfee написано, что 7-8% компаний смогут обезопасисть собственную тайную данные. Берусь это оспорить, по причине того, что сам отчет таен, и я могу продемонстрировать, как до него добраться. Из российских игроков такими изучениями занимается компания Натальи Касперской – Infowatch, и в ее последнем отчета была вторая цифра – 2%. В моей же практике – 0%.
За все время, что я провожу аудит утечек, мною ни разу не было подписано заключение «Утечек не найдено», не смотря на то, что среди клиентов имеется и разведслужбы. Исходя из этого никто не застрахован. То, что мы замечаем сейчас, назвать техническим противодействием мало. Скорее, это твёрдая психотерапевтическая борьба, в которую включаются опытные разведчики.
Человек, что охотится за вашими данными на аутсорсинге, мотивирован: его заработная плат начинается от 40 тыс. руб. в сутки.
В компании эту функцию обязана делать контрразведка, которая трудится под прикрытием другого подразделения компании – к примеру, отдела аналитики либо маркетинга. Ее задача – найти друзей и врагов. И чем лучше контрразведка трудится, тем больше у вашей компании обнаруживается неприятелей.
На деле же получается так, что вся ответственность лежит на работе безопасности. Это неправильно.
Случайные статьи:
Золотая Шпанская Мушка (Spanish Gold Fly) возбуждающие капли
Подборка похожих статей:
-
Осторожно! высокая концентрация e-commerce и лениных!
Кто самый предприимчивый в Российской Федерации? Верно, Ленин в 1917-м. Быть может, как раз исходя из этого E-commerce-секции на ИТ-конференции “Стачка”…
-
Осторожно: обобщения! что противопоставить манипулятору в переговорах
Александр Смирнов Начальник, Москва Обобщения как инструменты манипуляции употребляются везде. Как выявить данный прием? Александр Смирнов предлагает…
-
Осторожно! сплит-тест — это иллюзия
Мы специально применяли данный провоцирующий заголовок для привлечения вашего внимания. Этот пост вправду ответствен для любого практикующего…
-
Осторожно! 30-дневные метрики могут вас обмануть?
Вы когда-нибудь задавались вопросом, для чего нужно отслеживать метрики в бизнесе? Не обращая внимания на то, что графики и различные диаграммы…