Как информационная (не)безопасность уничтожит всех нас
То, как мы обращаемся с безопасностью в сети, это полная катастрофа. Все делается совершенно не так, как стоило бы. Главное, что никто не отрицает, что следовало бы быть повнимательнее и хотя бы не использовать один пароль для всех аккаутнов, но никто ничего не предпринимает. Почему? Потому что…
Первый принцип — удобство. Безопасность не может и не должна мешать пользовательскому опыту. То есть, если человеку удобно пользоваться сайтом, то о безопасность не должна этому мешать. Это факт. Только так можно убедить обычных, технически неподкованных пользователей заботиться о своей безопасности. Альтернатива — полное отсутствие безопасности. Как, например, практически везде сейчас.
Принцип второй — здравый рассудок. Я сталкиваюсь с тем, что люди используют один пароль для всех аккаунтов, включая рабочие. Пароль часто — нечто составное от имени, даты рождения, и словарных слов типа “любовь”. Даже если предоставить в пользование хранилище паролей, то им не пользуются.
Принцип третий — техническая составляющая. Разработчики слишком часто даже не подозревают, как их приложение будет вести себя на продакшене в сети. Слишком часто стандарты безопасности подгибаются под требования начальства и для удобства команд, экономии, клиента, в итоге, получаются небезопасные серверы и приложения.
Как часто вы сбрасываете пароли в чате? Как часто проверяете открытые исходящие и входящие порты на сервере, где лежит сайт? Как часто вы проводите аудит своего компьютера или сотрудников офиса на возможные проблемы с безопасностью? Как часто вы устанавливаете на телефон или компьютер приложения из неизвестных источников, подозрительных производителей или еще лучше, скачанных через торрент? Уверен, что многие удивятся, чего здесь такого? А ведь все это должно быть правило чрезвычайной важности.
Я уверен, что нарушение правил безопасности должно рушить карьеры, портить отношения и вводить в страх. Может параноидально, но вы должны знать каждое приложение, которое работает и подключается к сети на вашей технике дома или в офисе. Злоумышленники могут использовать одну единственную дыру в одном неизвестном приложении, потому что вам в какой-то момент показалось, что его стоит установить и попробовать.
Еще больше меня удивляет стремление людей окружать себя дешевой китайской техникой, которая слушает, записывает, снимает все окружение 24/7. Телевизоры, приставки, телефоны — все, что подключается к сети — потенциально является средством нарушения безопасности. Десятая часть всех подключенных к «интернету вещей» взломана, а может и больше.
Поэтому, блокируйте все. Все доступы всем приложениям. Чтобы они не запрашивали и как назойливо не угрожали — блокируйте, если сомневаетесь, что этому приложению вообще нужен доступ к сети. Хорошие свободные файерволы для Маков и Винды. Зачем? Если что-то случится, то вы точно будете знать, какое конченое приложение стырило ваши деньги.
Я думаю, что нет никаких ошибок. Если что-то произошло, то поздно говорить, что это ошибка. Есть только процессы, которым вы следуете или нет. Безопасность больше не шутка, это реальная жизнь. У людей воруют онлайн личности, списывают деньги с карт, уводят сайты, взламывают аккаунты и еще многое чего. Посмотрите на количество различных атак в реальном времени по всему миру.
Мне кажется, что хватит быть настолько легкомысленным.