Безопасность: паранойя или разумные издержки?

В США уже много лет менеджеры крупных компаний занимаются оптимизацией рабочих процессов. Расчётливые управленцы понимают, что крайне важно сохранять высокую производительность труда в современном мире высокой конкуренции и глобализации. Регулярно обновляются уникальные системы управления персоналом, мотивации, распределения рабочего времени. Однако самым острым вопросом является вопрос о безопасности. Проблема безопасности, это проблема неизвестных издержек. Нельзя сказать в любой момент времени, что безопасность информации, либо сотрудников обеспечена достаточной степенью защиты. Всё что можно посчитать – это издержки, которые идут на её обеспечение, без оглядки на качество исполнения. Как правило, реальные корректировки данных издержек происходят лишь по факту преодоления защиты злоумышленником. Штатные же изменения происходят скорее для освоения основных фондов для этого выделяемых.

В апреле этого года в одном из c78abb03ed6d87845262d78218bb713dбанков Беларуси, охранник, набив сумки дензнаками, просто собрался и покинул рабочее место субботним вечером. Убыток банка составил порядка 850 тыс. долларов США. Группа хакеров под названием «Carbanak» за последние два года, ограбила около 100 финансовых организаций на общую сумму более 300 млн. долларов США. А ущерб от деятельности финансовых мошенников по одной только России за год составляет более 3 млрд. долларов США. Вероятно, что жертвы учатся на своём горьком опыте и производят корректировку в управлении своими финансами. Но учатся и мошенники, ведь в их руках находятся те же инструменты. Ситуация продолжает находиться в состоянии паритета. Однако есть один параметр, который неизбежно увеличивается – издержки.

С появлением и развитием интернета эта тенденция была достаточно хорошо видна. Многие вспомнят усложнение процедуры верификации тех или иных взаимодействий. Даже такие тривиальные вещи как пароли входа. Свобода выбора пароля позволяла многим в такие моменты отключать разум и вводить самые простые комбинации, зачастую состоящие из одного символа. Многие за такую халатность справедливо расплачивались. Начали появляться ограничения. Сначала это было обязательно минимальное количество символов, которое постоянно росло. Позже в требованиях к сложности пароля добавились обязательные комбинации буквенных и числовых символов. С недавнего времени к этим условиям необходим ввод и специальных символов «@#$%» или\и добавление заглавных букв. Так же повсеместно распространилась обязательная капча от роботов (зачастую может сложиться впечатление, что и от людей тоже). Подобный «прогресс» и не думает останавливаться, сегодня многие проекты продвигаю привязку с мобильным номером телефона, сначала ненавязчиво, позже в обязательном порядке.

Как изменился процент взлома? Изменился ли вообще? Вероятнее всего именно штатное изменение безопасности системы, причём связанное не с проблемами безопасности, а с ростом стоимости основных фондов. Логика принятия таких решений примерно следующая: если у нас крупный проект, либо растёт капитализация – нужно автоматически усложнить верификацию. Технический персонал, который за это отвечает, вынужден вводить такие условия без оглядки на издержки создаваемые пользователям при этом. Издержки пользователей не волнуют и инициаторов. В итоге людям приходится наслаждаться потерей личного времени на «расшифровку» очередных посланий и выполнения требований системы.

mertvaja-klaviaturaГруппа исследователей Geo Wissen посчитала, что средний офисный работник тратит в день столько же времени на процедуры верификации как средний курильщик.  А это несколько лет жизни на её протяжении (!). Кроме того много времени уходит на восстановление паролей. Эти же социологи посчитали, что среднестатистический пользователь сети, за всю свою жизнь восстанавливал пароль более десятка раз. Редкий проект или программа позволяют выбирать сложность верификации, сопоставимую с важностью или рассеяностью клиента. Унифицируясь, система безопасности заставляет проходить одинаковую процедуру для всех.

Подобные психологические нагрузки, движут массы в поиски проектов с упрощённой верификацией только ради самого факта простоты. Довольно быстро получили распространение торрент-трекеры без регистрации, фотохостинги, удалённые приложения. Ещё быстрее сайты с синхронизацией социальных сетей. Ярким контрастом стал и биткойн на фоне нагромождений защиты таких систем как, например webmoney. Вход и перевод занимают в разы меньше времени, а главное не имеют ограничений в объёмах. Такие платёжные системы как VISA так же в некотором роде пошли на уступки пользователям, организовав возврат средств, в случаях мошенничества. Вопрос компенсации при этом, решён максимально элегантно; мерчант-счета с которыми работает система, оформляются за значительные суммы (в несколько тысяч долларов США), что соответственно повышает стоимость «входа» для мошенников.

Позитивные изменения, которые ещё пока сохраняют ситуацию не доведённой до абсурда, в данном случае продиктованы рынком. Теперь же можно вспомнить о настоящем мастодонте, которому никто не составляет конкуренции – государстве. Как мы выяснили выше, практическую эффективность защиты выяснить практически невозможно. Дороги, больницы, школы, всё это более или менее можно оценить с качественной стороны, но вот вопрос безопасности оценить крайне сложно. Стоит ли добавлять при этом, что решение проблем связанных с безопасностью, является любимым занятием правительств?

Непрекращающиеся преступления, вот уже в течении веков не меняют ситуации с их решением. Но добавляют всё новых и новых забот гражданам. Досмотры, турникеты, всевозможные рейды заполонили общество и плотно в него интегрировались. И тем не менее трагедии продолжают происходить. Складывается впечатление, что нарушения безопасности и решения проблем безопасности живут отдельной жизнью независимо друг от друга. Или даже в какой то степени гармонично. Любое событие, связанное с дискредитацией текущей системы безопасности, выставляется только как её недостаточное финансирование. Как будто то бы выстроенный ранее барьер остановил преступника, а не заставил бы его идти по другому пути.

Бюджеты продолжают расти, а 753d8a283d279e5f8f7cd531c07ef435население продолжает их оплачивать. Не только своими средствами, но и временем. Один взрыв в московском метро, усилил проверку сотрудниками метрополитена и замедлил пассажиропоток в среднем на 5 минут в сутки. Если выразить данное время в рабочих часах, всех клиентов подземного транспорта, то получится порядка 38лет рабочего времени или чистый убыток в полмиллиарда долларов в год. Эта сумма,  которую люди платят ежегодно за некогда один взорванный пакет. А решилась ли проблема?

С точки зрения желающего произвести теракт, его задача усложнилась… незначительно. Является ли незначительное изменение условий для отказа от теракта? Является ли значительное изменение условий для отказа от теракта? Обход таких препятствий это только вопрос цены, которая в свою очередь не является препятствием, если есть желание.

Помимо вопроса стоимости, зачастую можно ставить вопрос о целесообразности как таковой.  В большинстве стран мира правила дорожного движения обязуют вести автомобиль с пристёгнутым ремнём безопасности. Действительно, существует статистика, согласно которой растёт процент выживаемости при столкновении на определённых скоростях. Однако, вот что странно. Оказалось, что после принятия законов обязующих пристёгиваться, количество трупов на дороге ничуть не уменьшается. Лишь недавно удалось выяснить причины подобной аномалии. Оказывается, пристёгнутые ремнем люди склонны вести автомобиль более рискованно. В свою очередь диапазон адекватных реакций за рулём в критических ситуациях снижается, водитель как бы находится в скованном положении. В итоге возрастает аварийность на дорогах как таковая, что компенсирует количество смертей уже за счёт роста общей халатности вождения.

Результаты подобных исследований в достаточной мере раскрывают более фундаментальную проблему безопасности. Нагромождение её мер смещает внутреннюю «рамку» осторожности на более рискованную позицию, чем она была до этого. Это становится возможным благодаря чувству иллюзии безопасности в новом состоянии. Даже когда мы делаем вклад в банке который подстраховывается государством, сам факт того что государство обязуется прикрыть данный банк в случае проблем, отметает у нас вопросы о его надёжности и истинном положении вещей. Между тем подобные искусственные гарантии могут приводить к трагичным последствиям (это будет темой отдельной статьи).

Может показаться, что автор статьи выступает против введения любых мер безопасности, если они настолько неэффективны, но это не так. Вывод, который можно здесь сделать, это признать что оптимальным состоянием безопасности, может являться индивидуальное решение этого вопроса. Конечно, когда речь идёт о крупной сумме на счёте, то пользователь или организация загадает пароль посложнее, и сами включат смс-подтверждение. Параноидальный пассажир метрополитена будет самостоятельно садиться в крайний вагон поезда (вероятность умереть от взрыва в метро, в девять раз ниже, чем от падения метеорита). А водитель, который не имеет опыта вождения, самостоятельно оденет ремень, увеличив свои шансы выжить в этом мире без чьей либо указки. Хотя вполне уместно оставить предупреждение.5832131

Другие статьи по теме:



Categories: Безопасность, Криминал, Стандарты

Tags: , , ,

Leave a Reply

8 Комментарий на "Безопасность: паранойя или разумные издержки?"

Notify of
avatar
Reiva
Гость
«Ярким контрастом стал и биткойн на фоне нагромождений защиты таких систем как, например webmoney.» Многие криптовалютные онлайн кошелки, также напиханы защитой под завязку, и судя по статье, произошло это из за роста и числа клиентов этих компаний? Все логично, компании не хочетса покрывать убытки в случае взломов. И практически никакой защиты нету на кошелках, которые стоят непосредственно на персональных компьютерах пользователей, банально компьютер могут увести и что тогда? Полную анархию во всем мире тоже не получитса установить, найдутса противники такой модели. Но считаю, что ответ на все кроетса именно в этом, пусть люди живут как хотят и делают то что… Read more »
Osia
Гость

Естественно чем выше безопасность тем спокойней. Хотя только каждый сам себе решает какой уровень безопасности нужен.

Gromozeka!
Гость

В статье очень правильно написано, что все издержки вытекают уже по факту взлома и до этого момента ты в принципе не знаешь защищен ли ты вообще. И это похоже на цикличный процесс, взломали — усилили защиту, взломали и ее — еще раз усилили и т.д.

ainv42
Гость

Цикл. Прошел один уровень — попал на второй. И так до бесконечности, пока ты в этой игре. Расслабился остановился — вломали, хакнули, отбросили назад.

bontyw1276
Гость

безопасности много не бывает. ее усовершенствование — бесконечный процесс, потому что на каждый новый замок кто-то сделает новую отмычку. так что не паранойя.

Monia
Гость

Придумают в конце концов такой способ защиты от взломов с помощью крови, может на основе ДНК. Чтоб не занимало много времени и взломать было невозможно.

Анонимно
Гость

Порезались и вот ключ на вашей крови и ДНК, а то и руку могут отрезать. Это защита? Защита это когда приз от взлома не окупает затрат на него.

Анонимно
Гость

Закопать на квадратном км поля сто рублей в мелких купюрах. Пусть воруют к весне и вспахивать не придется — экономия. :-))

wpDiscuz