Это не учения, боец! Добро пожаловать в реальный мир!
Единственное, что спасает нас от тотального разгула киберпреступности, это исключительно лень самих преступников. Для того, чтобы получить доступ к банковским приложениям, номерам счетов, кредитных карт и т.д., вовсе не надо писать километры сложного кода и заниматься брутфорсингом. Достаточно просто встать и взять то, что само идёт в руки.
Думаете, я шучу? Ничего подобного.
Некоторое время назад, когда я ещё работала в государственной конторе скромным инженером техподдержки, пользователь задала мне вопрос, адекватного ответа на который у меня не нашлось.
В самом деле, если пароль одинаковый, может быть, имеет смысл вообще обойтись без него? Тогда я была скромным и исключительно вежливым человеком, у меня не поворачивался язык ответить так, как стоило бы.
Задай она мне этот вопрос сейчас, я бы сказала: «Уважаемая, необходимость пароля – это сугубо техническое требование для всех машин, находящихся в домене. Без пароля обойтись невозможно. А вот ставить вам разные пароли нам запретило руководство. Почему? Потому что сто человек государственных служащих оказались не способны запомнить свой уникальный пароль из шести-семи символов».
Какие бы драконовские методы вы не применяли, люди будут записывать собственные пароли на бумажках и прикреплять их на самых видных местах. К монитору, под клавиатуру, в собственный ежедневник на первой странице. Пароли будут храниться в электронном виде на рабочем столе, на общедоступном сетевом диске или где угодно, только не в собственной голове.
Я лично наблюдала работу бухгалтера довольно крупного московского банка, у которой в текстовом документе были собраны логины и пароли абсолютно всех работников бухгалтерии.
Люди передают пароли друг другу, а, если имеют возможность изменять их, заменяют на что-то вроде Маша1961 или Вася88. Рассказывать о безопасности, о сохранении информации бесполезно, в качестве сотрудника IT-отдела можно только скрежетать зубами и упрашивать вышестоящее руководство «как-то повлиять».
В первом администратор выдавал каждому пользователю хороший пароль, состоящий из 7 цифр и букв в разном регистре. Если пользователь внезапно его забывал, то следующий пароль генерировался уже из 8 символов, и так до десяти.
После этого на стол начальства ложилась записка от администратора о служебном несоответствии сотрудника N занимаемой должности.
Во втором случае всё было ещё проще, пользователи получали пароли не от системного администратора, а от начальника службы безопасности компании. В комплекте с учетными данными шла суровая лекция на тему информационной безопасности. Повторения никто не хотел, и, как ни удивительно, ситуаций «забыл пароль, потому что он слишком сложный» там не было.
На сегодняшний день создано множество программ, которые должны обеспечивать сохранность информации. Но каким бы серьёзным не было программное обеспечение, всё упирается в человеческий фактор. Дабы не быть голословной, приведу несколько примеров из личного опыта.
Наверняка многим, имеющим хоть какое-то представление о работе банковских систем, известны vpn-ключи Амикон. Стандартный пароль на этот ключ состоит из четырёх единиц, естественно, менять его необходимо при первой же установке. Это написано в инструкции, это повторяет техподдержка, это, наконец, логично и понятно любому адекватному человеку. За время своей работы в IT я перевидала немало людей, работающих с Амиконом, пароль не менял никто. То же самое касается ключей E-token и rutoken. То же самое – в системе дистанционного банковского обслуживания (ДБО BS-Client) и других.
И дело тут не в ленивых айтишниках, которые не обращают внимания на безопасность (хотя, конечно, и таких в природе хватает).
Почему? Я только процитирую слова одной начальницы отдела: «Это слишком сложно, мои сотрудники не запомнят». Стоит ли говорить про пароль главного бухгалтера не самой маленькой компании, состоящий из трёх цифр? А про пароль «Maksim» от электронной подписи генерального директора?
Конечно, можно справедливо заметить, что некоторые программы требуют от пользователей выполнения слишком большого количества действий, связанных с безопасностью работы. В частности, для отправки платежных поручений через банк-клиент СБ РФ требуются пароль на вход в сам банк-клиент, пароль на VPN до банка и пароль на электронно-цифровую подпись. Всё это мы умножаем на число юридических лиц и число банк-клиентов (а у некоторых бухгалтеров их не один, не два и не пять), и сумма необходимых к запоминанию паролей становится внушительной. В связи с этим нет ничего удивительного в том, что бухгалтерия хранит все секретные записи в ярком ежедневнике с огромными закладками по каждому банку отдельно в верхнем ящике тумбочки рядом с рабочим компьютером.
Всё это понятно и не вызывает вопросов, но, с другой стороны, надо же понимать, что банковские приложения – это серьёзные системы, работа с которыми требует осторожности и осмотрительности. По долгу службы бухгалтер ежедневно взаимодействует с чужими деньгами и в случае утечки информации пострадать может множество людей. Стоит ли пенять в таком случае на высокие требования безопасности и неудобство работы?
Справедливости ради стоит сказать, что и сами создатели многочисленных банковских приложений порой ничуть не лучше конечных пользователей. Так, к примеру, совсем недавно мне пришлось столкнуться с проблемой, связанной с программой Контур-Экстерн, системой для составления и отсылки отчетов в пенсионный фонд, Росстат, налоговую и фонд социального страхования через интернет. Ситуация следующая: в течение довольно длительного времени бухгалтерия в полном составе готовит сложный отчет в этой программе. Затем отчет подписывается электронной подписью и отправляется по адресу. После этого всякий контроль за кропотливо составленным отчетом теряется: отчет либо верен и принимается, либо неверен и отбрасывается. Вернуть отчет для работы над ошибками невозможно. Разумно предположить, что неплохо бы сохранять отчет себе на жесткий диск перед отправкой. Более того, такая возможность существует. Но проблема заключается в том, что отчет сохраняется в формате, который может прочитать только сама программа отчетов, читать она его не хочет, так как отчет уже отослан, а конвертация превращает отчет просто в набор цифр.
Я узнала, что отчет действительно нельзя просмотреть, «потому что нельзя». Вопрос, «а зачем тогда вообще есть возможность его сохранить?» остался без ответа.
Между тем, если верить информации на сайте программы, она внедрена почти на миллионе предприятий по всей России.
В самом начале я не зря упомянула про банковские карты. Большинство людей почему-то свято уверено в том, что для того, чтобы перевести деньги с карты, необходимо иметь под рукой считывающий терминал и знать уникальный пин-код, состоящий из четырёх цифр. Однако это не так, для проведения подобной операции достаточно только знать номер кредитной карты (на передней стороне карты) и код CVC2 или CVV2 (на обратной стороне). То есть вся информация для проведения банковской операции имеется у нас на самой карте. И вот именно ксерокопии карт (с двух сторон) всех сотрудников компании мне довелось как-то наблюдать на столе у бухгалтера компании. Я не знаю, для чего была необходима эта операция, но факт заключался в том, что любой желающий мог зайти в кабинет, взять со стола стопку бумаг и воспользоваться ими по своему усмотрению. Подобное не происходило только потому, что злодеев в тот момент рядом не оказалось.
Но нет, люди везде одинаковые.
Так, например, в одном из московских отделений крупного российского банка пароли от учетных записей сотрудников лежат просто на столе, причем записаны по принципу: «логин такой-то, пользователь такой-то».
В дорогой частной медицинской клинике в подмосковном городе В. установлен один и тот же пароль ко всем учетным записям МИС (Медицинская Информационная Система). А в ней, между тем, помимо экономических данных содержится вся информация о пациентах, их диагнозы, результаты анализов и обследований. На логичный вопрос системного администратора: «Почему здесь у всех пароль единичка?» был получен уникальный по своей незамутненности ответ: «А так было написано в примере в инструкции». Между тем, согласно ФЗ-152 и совместного Приказа ФСТЭК России, ФСБ России, Мининформсвязи России №55/86/20 от 13.02.2008 «Об утверждении Порядка проведения классификации информационных систем персональных данных», информация о состоянии здоровья относится к наивысшей, первой категории.
Девочки-менеджеры, где бы они ни работали, будут без вопросов передавать друг другу свои учетные данные, нимало не печалясь о том, что это противоречит политике информационной безопасности. Про именные сертификаты, хранящиеся на флешке вперемешку с музыкальными и видеофайлами, не хочется даже говорить. Бухгалтер прекрасно осведомлён о том, что в случае утери сертификата его не получится восстановить за один день, однако продолжает использовать рабочую флешку в личных целях. Увы, помочь тут может только самое серьёзное административное вмешательство, но до этого доходит только в случае уже произошедшего инцидента.
Впрочем, всё написанное выше относится не только к информационным технологиям. Множество людей считает, что с ними не случится ничего плохого, потому что «со мной такое не может случиться». Подобная точка зрения порождает фантастическую беспечность, результаты которой могут быть катастрофическими.
Лишняя безопасность никогда не помешает, береженого, как известно, и бог бережет. Для сохранения информации пользуйтесь самым надежным на сегодняшний день хранилищем – собственной головой.
«Cистема Контур-Экстерн позволяет сохранять и редактировать отчеты в пенсионный фонд, Росстат, налоговую и фонд социального страхования. Автор «личного опыта» был введён в заблуждение не вполне компетентным сотрудником техподдержки своего сервисного центра, – сообщил «Газете.Ru» руководитель проекта «Контур-Экстерн» Игорь Гольдберг. - В последнее время мы серьёзно занялись повышением качества консультаций, предоставляемых на местах, но, к сожалению, до сих пор случаются подобные инциденты. Мы приносим извинения тем, кто с этим столкнулся. И настоятельно рекомендуем в любых спорных ситуациях отсылать нам письменное сообщение, нажав на кнопку «Добро пожаловаться» в главном окне системы. На эту рассылку подписаны многие сотрудники компании СКБ Контур, вплоть до руководителей самого высокого уровня».