пятница, 25 апреля 2008 г.

ИТ безопасность без компьютеров.

Сразу хотелось бы рассказать, о чем этот заголовок. Дело в том, что при словах "информационная безопасность" мы почему-то представляем себе серверную, компьютер, хакера, ищущего уязвимость в декомпилированном коде. В лучшем случае это злоумышленник с краденым ноутбуком. Никто не думает, как правило, о том, что информация существует во многих других формах, не только в компьютерном/цифровом виде.

Что я имею в виду? В данном конкретном случае все, что мы сообщаем о себе другим людям. Сообщаем добровольно, не задумываясь о ее безопасности просто потому, что уже привычно ассоциируем опасность с компьютерным миром. Например, паспортные данные в великом множестве разнообразнейших организаций. Вы можете возразить: милиция, мол, и прочие власти и так могут все мои данные получить и вряд ли кому-то отдадут их просто так (момент, возможно, спорный, но сейчас не об этом). Однако здесь мы упускаем тот факт, что ежедневно мы вовлечены в различные отношения не только с организациями и людьми, но и с различными коммерческими и прочими заведениями. Возьмем пример из жизни, который отнюдь не гипотетичен.

Представим себе, что Вы решили пойти в некий фитнес клуб "Супер-Пупер-Мега-Вселенная-Фитнеса". Пришли, оформили договор и стали ходить. Одна незадача: так как в клубе большой наплыв посетителей, то клубную карту Вам пообещали выдать через пару недель, а пока Вы ходите в клуб и получаете ключи от раздевалки под залог Вашего договора. Вроде бы и ничего страшного, хотя отдавать свой документ как-то не очень хочется. Только вот спустя неделю после тренировки Вы обнаруживаете, что Вам выдали чужой договор. А Ваш, вообще говоря, выдали другому совершенно незнакомому Вам человеку. А в договоре все Ваши паспортные данные, телефон, адрес, возможно даже место работы (если Вы были настолько неосторожны, что написали его) и телефоны - мобильный, рабочий и прочее...

Конечно же, совершенно не обязательно, что человек, которому выдали по ошибке Ваши документы - злоумышленник. Вовсе необязательно, что он сможет и захочет что-то с этим сделать. Однако это только один пример, который я наблюдал. А все может быть и совершенно по-другому. И суть, конечно, не в том, что нужно никому ничего не давать.

Суть в том, что опасность раскрытия конфиденциальной информации не всегда происходит от компьютера. Мы живем, распространяя информацию и не имея над ней дальнейшего контроля, поэтому нужно стараться сводить этот "выхлоп" к минимуму и ограничивать информацию, выдаваемую организациям, не имеющим внятной политики конфиденциальности.

4 комментария:

Михаил Даньшин комментирует...

Саша привет!

Я недавно сломал телефон. Все контакты были потеряны. Благо, что большинство контактов есть в ICQ. Пишу коллективное сообщение - "пришли мне свой номер сотового". И знаешь, что? Все прислали! Никто даже не подумал, что это могу быть не я, а кто-то, кто украл мой номер ICQ.
С таким же успехом я мог спросить и адрес, а если придумать, что-то то можно было бы выяснить и более секретные сведения.

Alexander Trofimov комментирует...

Да, это именно та проблема, о которой я и говорил. Необученность "пользователя" просто пугает. Мы просто не задумываемся о том, какие данные и куда мы раздаем вокруг себя.

Анонимный комментирует...

статья полный бред...

Alexander Trofimov комментирует...

Рад за анонимуса ;)