Почему недостаточно имен пользователей и паролей

09/02/2019

Лидеры безопасности наконец осознают, насколько серьезными являются проблемы аутентификации.

За последние несколько лет стало очевидным, что злоумышленники больше не «взламывают» учетные данные пользователей — они просто входят в систему, используя слабые, украденные или иным образом скомпрометированные учетные данные. Вот почему обнаружение в этом месяце огромного хранилища из 773 миллионов адресов электронной почты и более 21 миллиона паролей, плавающих в Dark Web, не является неожиданностью для многих экспертов по безопасности. Это просто еще одно доказательство того, что идентификация стала новым периметром безопасности и полем битвы для проведения кибератак от имени законных пользователей.

Читать далее…
Реклама

Подумайте дважды, прежде чем платить выкуп

31/01/2019

Почему накопление криптовалюты для оплаты киберпреступникам — не лучший ответ.

Представьте себе сценарий, в котором компания, оказывающая финансовые услуги, подвергается атаке с использованием вымогателей, которая захватывает ее корпоративную сеть, делает системы недоступными для пользователей и фактически останавливает бизнес. Даже после того, как должностные лица компании заплатили злоумышленникам-киберпреступникам сотни тысяч долларов в качестве выкупа, системы остаются недоступными в течение как минимум нескольких дней.

В таком случае ущерб будет включать не только оплату вымогателей, но и огромные потери, связанные с простоями, включая незавершенные транзакции, потерянную производительность сотрудников и недовольных клиентов — и это лишь некоторые из проблем.

К сожалению, такого рода ситуации случаются чаще, чем нам хотелось бы думать. И это показывает, почему обычная практика накопления криптовалюты именно для такого события часто является ошибочной стратегией.

Проблема с накоплением запасов

Уже много лет мы знаем, что организации вполне готовы платить выкуп киберпреступникам, которые захватывают данные с помощью вымогателей. В этом году компания Code42 провела опрос 1700 руководителей бизнеса, безопасности и ИТ-специалистов, чтобы выяснить, насколько широко распространена эта тенденция.

Тревожно, что почти три четверти руководителей служб безопасности и 60% руководителей компаний признались, что накапливают криптовалюту для оплаты киберпреступников в случае атаки вымогателей или взлома данных. И около восьми из десяти руководителей служб безопасности, чьи компании накапливали криптовалюту, осуществляли платежи киберпреступникам в прошлом году.

Есть много причин, по которым практику накопления криптовалюты для оплаты кибер выкупов не одобряют специалисты. Покупать криптовалюту в первую очередь рискованно, хотя бы из-за ее сильно колеблющегося курса. Кроме того, злоумышленники не гарантируют, что они расшифруют уязвимые файлы и системы.

Также важно помнить, что транзакции криптовалюты не могут быть сторнированы. Как только платеж сделан, он ушел навсегда.

Восстановите ваши данные — и ваше спокойствие.

Хотя технологии предотвращения определенно играют роль, помогая организациям смягчать последствия вымогателей, планы безопасности, которые также включают стратегии защиты от потери данных, фактически предоставляют компаниям более полную защиту. Когда мы переходим от предотвращения к защите, предприятия могут получить доступ к каждому файлу в случае атаки, что дает им другие возможности, кроме выплаты выкупа.

Несмотря на то, что с 2017 года количество атак с использованием программ-вымогателей сократилось на 30% , согласно исследованию, проведенному провайдером кибербезопасности и антивирусами «Лаборатории Касперского», эти атаки остаются особенно прибыльными для преступников. Во-первых, их недорого исполнять, и их легко осуществить. Это объясняет недавний всплеск популярности «вымогателей как услуги».

В апреле прошлого года MIT Technology Review сообщило, что только в 2015 году предприятия, зараженные вымогателями, заплатили миллионы долларов в биткойнах, что также было предпочтительной криптовалютой в серии атак WannaCry в 2017 году. WannaCry атаковал более 250 000 систем в 150 странах в организациях частного и государственного секторов, включая FedEx, Hitachi, Nissan, Министерство внутренних дел России и тысячи предприятий в Испании и Индии.

Возможно, самая известная атака нанесла вред Национальной службе здравоохранения Великобритании (NHS) в мае 2017 года, остановив ее системы данных. Это важно, потому что человеческая жизнь находится на грани, когда медицинские учреждения не могут немедленно получить доступ к данным медицинской карты, чтобы обеспечить надлежащее обслуживание пациентов. Больницы и клиники часто становятся основными целями для злоумышленников, потому что очень важно, чтобы они восстановили системы и получили доступ к медицинским картам как можно быстрее и, как следствие, часто платили выкуп.

Обращайте внимание на предупреждения

Эти эпизоды в сочетании с аналитическими и эмпирическими данными показывают, что многим организациям еще предстоит проделать большую работу, чтобы лучше защитить себя от всех типов кибератак, включая вымогателей.

Вот некоторые предлагаемые меры:

  • Выполняйте регулярные обновления и исправления системы, чтобы уязвимые системы не использовались для запуска программ-вымогателей.
  • Регулярно выполняйте резервное копирование данных. Это позволяет вам восстановить информацию до момента атаки вымогателей.
  • Убедитесь, что все пользователи осведомлены о тактике, используемой для вымогателей и других атак. Это снизит вероятность того, что пользователи перейдут по подозрительным ссылкам и заразят их компании вымогателями.

Организации должны иметь полную видимость всех своих данных. Это включает в себя возможность поиска и исследования файлов по конечным точкам и облачным сервисам за считанные минуты, а не за дни и недели, которые обычно требуются после атаки.

Принимая эти инициативы, организации могут быть гораздо лучше подготовлены к атакам вымогателей. Это гораздо более разумный подход, чем накопление большого количества криптовалюты, которые организации могут в конечном итоге выбросить.

Оригинал


Компьютеры как оружие новой войны

30/01/2019

Да-да, именно так. Это оружие. Обоюдоострое. И если кто-то из вас воспринимает все эти гаджеты как просто средство общения, просмотра видео, коллекций домашних фото, средство общения в социальных сетях, просмотра фотографий любимых котят и щенят, то поверьте, вы ошибаетесь.
Вспомните, что всегда СМИ было средством борьбы за умы. С чего начиналась арабская весна? С призывов в социальных сетях. Не так ли?
С чего начнется хищение ваших денег? Правильно! С атаки через Интернет.
А чего стоит ваш любимый смартфон? Отслеживание ваших маршрутов передвижения никто не отменял. А если вспомнить, что 90% людей ходит по одним и тем же маршрутам, приблизительно в одно время? Зачем организовывать слежку за вами? Вы ж сами все о себе расскажете вашему любимому гаджету. Зачем организовывать прослушку? Один троян на смартфон и отслеживаем переговоры. 

Плохой пароль к резервной копии вашего смартфона и мы видим и письма и пароли и маршруты и список друзей и даже домашний адрес. Да-да. Отслеживая маршруты несложно выяснить где вы ночуете, ведь рядом с вами ваш смартфон! Да что там прослушивать… Можно еще и просматривать.
А еще проще – посмотреть за вашим ребенком… И потом шантажировать вас.
Неприятно? Больно? Страшно?
А умнее становиться не пробовали? Оно только на первый взгляд страшно. Но некоторым помогает!
Научитесь бояться! Научитесь бороться а главное – научитесь МОЛЧАТЬ!


Как создать контент для повышения осведомленности о безопасности для ваших сотрудников

29/01/2019

Человеческая ошибка остается одним из самых серьезных препятствий для безопасности предприятия. В результате многие компании внедряют учебные программы по повышению безопасности. Но они делают тренировку осведомленности правильно?

Согласно исследованию, проведенному руководителем кибербезопасности Кэлвином Ноблсом под названием «Изменение парадигмы человеческого фактора в кибербезопасности», 90 процентов инцидентов безопасности связаны с человеческой ошибкой. Эта невероятно высокая статистика заставляет задуматься: окупаются ли все инвестиции в обучение?

Когда дело доходит до обучения сотрудников, качество контента является наиболее важным фактором. Одноразовое обязательное видео не помогает снизить риск. Однако информирование конечных пользователей о киберугрозах имеет большой потенциал для управления рисками. Вот почему программы информирования о безопасности должны быть частью многоуровневой стратегии защиты.

Дай власть народу

В своем исследовании Ноблс обнаружил, что, хотя организации вкладывают значительные средства в технологии безопасности, они все еще отстают, когда дело доходит до инициатив по обучению сотрудников. Лиза Плаггемье, евангелист безопасности в Институте InfoSec, поддержала это мнение.

«Бывают времена, когда люди спасают день, и бывают времена, когда технологии спасают день, но люди могут что-то знать, не меняя своего поведения», — заявила она.

В каждой организации сотрудники открыто нарушают политики безопасности, входят в систему с использованием незащищенных общедоступных сетей, используют рабочие устройства для личных транзакций, загружают несанкционированное программное обеспечение, обмениваются паролями и неосознанно открывают вредоносные вложения от фишинговых атак. Вопрос не в том, нужно ли организациям внедрять информационные программы; скорее, организации должны думать о том, как они могут дать своим сотрудникам возможность ощутить ответственность за безопасность предприятия, что требует немного более творческого и личного подхода к обучению кибербезопасности.

Будьте изобретательны с обучением безопасности

Ноблс также обнаружил, что организационная культура повлияла на успешность снижения рисков для человека. Культура, которая ориентирована на сотрудников и на команду с открытым общением с целью создания позитивной рабочей среды, с большей вероятностью породит сотрудников, которые чувствуют себя уполномоченными и ценными. В свою очередь, они ценят организацию.

Чтобы изменить культуру организации, ее члены должны принять участие, и этот взнос должен исходить сверху вниз. Одна из важнейших задач эффективной программы повышения осведомленности — заставить всех принять реальность, заключающуюся в том, что речь идет не о преподавании безопасности, а об изменении культуры организации. Вот почему Плаггемье сказал, что информационные кампании должны больше походить на маркетинговые кампании.

«Вам нужно вызвать интерес, а контент должен быть веселым и интересным», — сказала она. «Существует множество способов настроить и передать нужное сообщение нужному человеку в нужное время, но большинство предлагаемых тренингов универсальны».

Настройте обучение для вашей компании

Проблема с универсальным обучением заключается в том, что независимо от вашей роли или создаваемых вами конечных точек каждый сотрудник проходит одинаковое обучение. Помимо того, что в этих упражнениях нет возможности отключиться, в них отсутствуют какие-либо возможности отслеживания, позволяющие проверить, действительно ли люди учатся. Неудивительно, что информационные программы не очень-то успешны.

Будь то видео, новостные рассылки, печатные издания или события, существует так много каналов, которые могут привлечь внимание людей к контенту по безопасности. Одномерный подход, в котором применяется только один из этих методов, не достигнет его полной потенциальной эффективности. Слишком часто люди, участвующие в создании программ обучения осведомленности, не думают достаточно стратегически о кампаниях, для которых они создают контент.

Распространите информацию о безопасности

Реальность такова, что многие люди не заботятся о безопасности, поэтому Плаггмьеер заявил, что крайне важно инвестировать в четкие сообщения, демонстрирующие, почему безопасность важна.

«По сравнению с другими средствами массовой информации, которые люди потребляют в своей повседневной жизни, большинство программ обучения не очень хороши», — сказала она. «Люди, которые будут заниматься чем-то юмористическим, — это те же люди, которые не воспринимают назначенные учебные модули всерьез».

Вместо того, чтобы вешать наполненный контентом плакат в комнате отдыха и ожидать, что люди его прочтут, поместите ваши сообщения о безопасности в один ряд со всем другим контентом, который люди используют в течение дня. Например, по сравнению с рекламой пива во время футбольного матча, плакат в комнате отдыха — это очевидный провал: неинтересный, не предназначенный для конкретной аудитории, и слишком серьезный.

Ваш контент должен быть креативным, но он также должен привлекать пользователей. Забавный контент становится гораздо менее забавным, если он обязателен.

«Когда вы делаете что-то обязательное, а показатель, который вы используете, — это сколько людей его выполнили, вы упускаете из виду то, как заниматься культурой, но неотъемлемая проблема заключается в том, что сотрудники службы безопасности оценивают, заинтересованы ли люди», — объяснил Плаггемье.

Геймификация быстро становится популярным способом заинтересовать сотрудников, и многие компании решают задачи, действующие в масштабах всей компании, когда департаменты играют друг против друга, чтобы выяснить, кто набрал лучшие результаты во внутренних фальсификационных кампаниях.

Инициировать культурный сдвиг

Недавний отчет (ISC2) показал, что 43 процента специалистов по безопасности используют свои навыки, полученные в ходе обучения осведомленности пользователей, два-три раза в неделю.

Соискатели, ищущие работу в сфере безопасности, хотят, чтобы работодатели продолжали вкладывать средства в обучение безопасности. Уэс Симпсон, главный операционный директор (ISC) 2, сказал, что эффективное обучение осведомленности начинается с людей, которых вы нанимаете. Все чаще компании стремятся нанимать кандидатов с навыками, необходимыми для стратегического информирования о ценности безопасности во всей организации.

Эффективная программа информирования использует навыки различных людей, которые могут содействовать кибер-программе. К счастью, по словам Симпсона, кибер отходит от таинственного, пугающего, негативного аспекта организации.

Компании должны быть активными в создании гибкой программы, которая не только учитывает риски для организации, но и адаптирует обучение пользователей в этой организации для снижения этих рисков. Когда осведомленность о безопасности — это корпоративная программа, распространяемая на каждого сотрудника, где ежедневные разговоры происходят внутри компании — независимо от отдела или команды — сотрудники с большей вероятностью оценят свою ответственность перед программой.

Оригинал


Как избежать взлома при использовании PayPal

26/12/2018

Мы все хотим удобства при проведении оплат, однако потратив несколько минут на защиту ваших учетных записей, вы можете в дальнейшем избежать головной боли.

В последнее время огромную популярность приобрел сервис PayPal. Больше нет необходимости возиться с кучей платежных карт. Однако, используя преимущества таких платежных приложений, вы подвергаетесь риску взлома вашей банковской информации. Как защитить себя в этом случае? В данной статье вы сможете получить несколько советов, чтобы обезопасить свои учетные записи при использовании приложений для оплаты.

  1. Создайте сложный пароль

Увы, очень многие из нас сами виноваты. Используют один и тот же запоминающийся пароль на любом онлайн-сервисе. Сколько уже говорилось что так делать нельзя. Запомните, один сервис – один пароль. Сложный. Если вам сложно запомнить пароль, используйте менеджер паролей. Какой? Выбирайте!

Однако куда лучше если ваш онлайн-сервис будет поддерживать двухфакторную аутентификацию.

  • Настройте двухфакторную аутентификацию

Сегодня большинство одноранговых платежных приложений позволяют пользователям усиливать свою безопасность с помощью двухфакторной аутентификации. Это означает, что вы должны предоставить свой пароль и дополнительную информацию, обычно SMS-сообщение со специальным кодом (только чтобы доказать, что это действительно вы!), прежде чем вы сможете сделать платеж. Активируйте двухфакторную аутентификацию.

  • Связывайте дополнительную карту, а не основную

Я рекомендую открывать дополнительную (виртуальную) карту, не связанную с реальным банковским счетом, на которой хранить сумму, которая нужна вам на текущий день. Если же вы не планируете платить, то на ней должен быть просто 0. Хотя, безусловно, решать вам. Перевод с реальной на виртуальную осуществляется на сайте банка и не стоит вам ничего.

  • Безопасные платежи за пределами приложения

Задумайтесь, в какой среде вы осуществляете оплату. Если вы выполняете платеж через защищенный Wi-Fi или сотовую сеть, это намного безопаснее, чем если вы решите оплатить через открытый Wi-Fi.

Не забудьте о необходимости регулярно обновлять свои приложения и операционную систему. Это позволит исправить возможные уязвимости, которые могут присутствовать в более ранних версиях программного обеспечения.

  • Уведомления

Безусловно, никому не нравятся бесконечные уведомления, которые валят на телефон. Однако, когда речь идет о приложениях для оплаты, стоит задуматься о включении оповещений, чтобы вы могли узнать о возможном мошенничестве как можно раньше. Поэтому не забудьте включить SMS-оповещения о банковской активности.

  • Выйти из приложений

Не забудьте после проведения платежа не просто закрыть приложение, а полностью выйти из своего аккаунта. Ведь пока вы этого не сделали, ваша сессия все еще активна, и кто-то может украсть вашу информацию.

Безусловно, входить в систему каждый раз, когда вы хотите отправить немного денег, немного утомительно, но этот дополнительный шаг может помешать потенциальному хакеру украсть ваши с трудом заработанные деньги.

  • Тройная проверка деталей

Не забудьте, когда вы отправляете платеж, деньги сразу же уходят с вашего счета, и вы не можете отменить платеж. Трижды проверьте все детали, чтобы убедиться, что деньги идут в нужное место.

  • Рассмотрите возможность использования выделенного устройства для проведения платежей

Рассмотрите возможность использовать отдельный смартфон для осуществления платежей. Безусловно, это не дешевое удовольствие. Но подумайте сами, может в случае взлома вашего смартфона вы потеряете больше? Только не забудьте, что вам придется также обновлять операционную систему и приложения.

Ну и последнее. Если вы используете смартфон под управлением Android, помните, что Google обновляет операционную систему в течение двух лет с момента ее выпуска. Не выпуска вашего смартфона, а выпуска операционной системы. То есть если вы покупаете смартфон с операционной системой, которая уже год существует на рынке, помните о том, что обновления к ней будут выходить не более ОДНОГО года. Ну а как будут обновляться никому неизвестные китайские смартфоны это никому не известно. Впрочем и будут ли они вообще обновляться это тоже неизвестно!


Сказки о безопасности: Распознать лицо

25/12/2018

http://www.itweek.ru/themes/detail.php?ID=204842

— Иоганн, у нас проблема.

— Что, опять? Так надеялся хоть под Новый год отдохнуть. Что случилось?

— Вы уже слышали о стрельбе на 21-й улице? В баре «Под липой».

— Да, я прочел об этом утром, а что?

— Да там банда каких-то отморозков пристрелила мужчину. Но самое интересное не это. При нем найден смартфон. Мы вели этого курьера от самой границы и так бездарно потеряли. Проблема в том, что смартфон использует аутентификацию по Face ID. У нас нет времени ждать, пока вскроют этот смартфон, да и гарантии, что его вскроют, нет. Сможете помочь?

— Думаю да. Ирина, пригласите сюда Марка.

— Марк, нужно вскрыть телефон. Проблема в том, что мы ничего о нем не знаем. Он требует Face ID. А у хозяина выстрелом снесло полголовы. Сможем помочь?

— Думаю, да. У нас есть фотографии этого человека? Причем чем больше, тем лучше.

— Комиссар?

— Есть, конечно, причем сделаны разными камерами и с разных сторон. Я распоряжусь, и их вам немедленно доставят.

Прошло полчаса.

— Марк, вам пришло электронное письмо. Направлено на секретариат с пометкой «Марку, срочно!». От комиссара.

— Отлично, я его жду.

— Александра, будьте добры. Вы сможете сделать мне 3D-снимок головы по этим фото? В цвете.

— Безусловно. Пять минут.

— Марк, вот ваш снимок. Что сделать дальше?

— Распечатайте в натуральную величину на нашем 3D-принтере. Только в цвете.

— Понятно! А зачем, если не секрет?

— Будем подставлять эту голову смартфону. Попробуем его открыть.

Прошел еще час.

— Иоганн, с комиссара хороший кофе. С коньяком. И печенье, миндальное! Мы все сделали. Открыли смартфон, данные скачали. И знаем, куда направлялся курьер.

— Комиссар, примите мои поздравления. Мы вскрыли смартфон. Порядок!

— Мои поздравления вашим ребятам. А курьер с кофе, коньяком и печеньем уже в пути! Я сам приеду чуть позже.

Это уже совсем не фантастика. С помощью гипсового слепка головы такие смартфоны уже вскрывали.


Человеческий фактор

19/12/2018

Данная статья опубликована несколько лет назад. Что изменилось? А ничего! Поэтому решил опубликовать ее еще раз. Может кому-то наконец-то она поможет?

Человеческий фактор

Написал и задумался. Ведь сейчас сложно обойтись без поисковых систем, карт, интернет-банкинга или электронной почты. Кроме того, компьютер в современной жизни, особенно благодаря изделиям от Apple, становится показателем статуса.
2012-й вошел в историю как год, когда закончилось господство персональных ПК. Вслед за Apple и Google Microsoft сделал ставку на многообразие устройств: мобильные телефоны, планшеты, набирающие популярность телевизоры с операционной системой. Все эти устройства стремительно вытесняют компьютеры с лидирующих позиций, и все чаще вместо жесткого диска используются облачные хранилища. Широкое распространение получают социальные сети. Однако стоит понимать, что у любой технологии есть оборотная сторона. Все чаще и чаще люди сами заявляют в социальных сетях о том, что находятся в конкретном месте и описывают свою частную жизнь. Общество начинает само за собой следить. Однако стоит понимать, что оперировать можно только той информацией, которой владеешь. А ведь сегодня мы с вами прекрасно знаем, что зачастую рекламная индустрия крайне заинтересована в том, чтобы внушить нам «реальность» в соответствии со своими целями, и нельзя исключать ситуацию взлома системы и подмена информации.

Защита в нагрузку

Мы много и долго говорим, что пользовательский ПК нуждается в защите. А так ли это? Многие ИТ- и ИБ-специалисты, прочитав последнюю фразу, будут удивлены, мол, а как же?! Конечно нужно! А я задам провокационный вопрос: а зачем?
Что сегодня хранит пользователь на своем домашнем ПК? Фотографии? Фильмы, скачанные с ближайшего пиратского сервера? Ворованное ПО? Ведь в большинстве случаев домашние ПК используются для развлечений. Ну попытаются взломать, ну неприятно… Если я не использую интернет-платежи, что мне за вред от банковского трояна? Никакого! Если у меня безлимитный интернет, что мне за вред от червя, живущего на моем ПК? Скорость упала? И что? Пусть себе живет. Вирусы? Ну, заразили, подумаешь… Позову соседа, переставит ОС. Все равно ведь не купил же я ее, в конце концов. Ну упала, и что? В конце концов, поставят бесплатный антивирус. Ну и что, что реже обновляется? Зато ХАЛЯВА!
Все верно. До поры до времени. Не зря ведь говорят, пока гром не грянет, мужик не перекрестится. Вот и бегают потом, кричат, что на ПК была единственная копия диплома! Защита через неделю, а резервной копии нет. SOS! Так и хочется спросить: «А чем же вы думали, уважаемый? Ведь вас предупреждали!» А думали, что пронесет! «Флешки» вставляли вирусные (так на то ж и «флешка», чтобы вставлять!). По Интернету гуляли, порнография потребовалась, кто ж знал, что там вирусов полно! Я ж думал, раз у меня антивирус, то и не страшно. Как какой? Бесплатный! Я ж мало зарабатываю! Обновления ставили? Да нет, у меня ж «винда» пиратская, а вдруг работать перестанет?! Как почему не купил? Говорю же, зарабатываю мало. Помогите! И что самое интересное, помогают. А потом этот же пользователь уверен, что вот Вася (Петя, Маша) — крутой специалист, за бутылку коньяка компьютер починил… И после этого мы хотим, чтобы он о чем-то задумался? А зачем?
И вот тут в полный рост встает проблема BYOD — использование личных устройств на работе. Распространение принципа BYOD — использования сотрудниками личных устройств в рабочих целях — делает рынок средств администрирования мобильных устройств (Mobile Device Management, MDM) одним из самых активных в корпоративных ИТ.
Однако все популярные мобильные операционные системы страдают от ограничений, не позволяющих создать единые для всех стратегии удаленного управления и обеспечения безопасности данных. Такие выводы делают аналитики фирмы Ovum в очередном докладе Solutions Guide: Enterprise Mobile Device Management Vendors. Главной проблемой для ИТ-службы является обеспечение конфиденциальности, целостности и доступности корпоративной информации. Все это накладывает дополнительные требования на пользователя, однако сегодня он ни своими знаниями, ни умениями не успевает за развитием техники. Более того, появление интеллектуальных машин и компьютеров привело к тому, что пользователи начинают к ним относиться как к холодильнику: включил и работает. Правильно ли это? Думаю, нет.

Что имеем — не храним

На одном из форумов на замечание о безопасности и о том, что надо иметь мозги, мне было заявлено, что дело пользователя — включить и работать, а безопасность — это проблема разработчиков. Что тут ответишь? Вот вам несколько примеров, к чему это приводит.
Вспомним UAC (User Account Control) в Windows Vista/7/8. Вроде бы благое начинание — отучить пользователей работать с правами администратора. И сделано неплохо. НО! Первое, что потребовалось пользователям, — отключить UAC! Он, видите ли, мешает работать. Хотя на самом-то деле отнюдь не мешает, а наоборот, способствует более высокому уровню безопасности. Но пользователи не готовы ограничить свои потребности, хотя и требуют надежной защиты. Но так ведь не бывает!
Вспомним другой пример. Не так давно в Интернете прозвучало, что все существующие на сегодня 14-значные пароли Windows можно взломать методом грубой силы (Brute Force) за несколько часов. Вывод? Парольная система ненадежна! Но давайте говорить откровенно. Можно ли заставить пользователя применять пароль длиннее 8–9 символов, и к чему это приведет? Пароли тут же записываются на бумажку, приклеенную к монитору, клавиатуре и т.д. Или службу поддержки тут же начинает лихорадить, поскольку пользователи забывают пароли в массовом порядке. Вывод вроде бы прост — использовать системы многофакторной аутентификации. Но и тут не все так просто.
Разработчик программного обеспечения, компания Siber Systems, известная своим менеджером паролей RoboForm, провела опрос пользователей с целью узнать, как они воспринимают требования информационной безопасности в Интернете и что готовы сделать для защиты конфиденциальных данных. В опросе приняли участие жители разных стран, преимущественно США и Западной Европы. 60% из них выразили уверенность, что интернет-компании безответственно относятся к защите персональных данных своих клиентов. Каждый третий (31%) не доверяет организациям, хранящим данные в облачных сервисах. Почти 30% респондентов сказали, что хотя бы один из их аккаунтов когда-то был взломан. Чаще всего это электронная почта (53%), аккаунт в социальной сети (29%) или счет в интернет-магазине (23%). Не доверяя интернет-компаниям, казалось бы, пользователи должны полагаться на собственные силы в защите конфиденциальных данных. К сожалению, это не является очевидным фактом для большинства. Так, около 80% граждан продолжают пользоваться тем сервисом, где у них был взломан аккаунт, а каждый третий использует одинаковый пароль на работе и дома.
Но самое интересное, что не все пользователи готовы перейти на более защищенные методы аутентификации, если такие доступны на некоторых сайтах в Интернете. Например, если сервис предлагает двухфакторную аутентификацию и присылает дополнительный код на мобильный телефон, то для 13% респондентов такой метод «слишком сложный». Каждый четвертый пользователь (26%) сказал, что у него «нет времени» проходить подобные процедуры.
При этом люди вполне понимают, что подобные техники повышают их безопасность: 42% говорят, что они больше доверяют именно тем компаниям, которые предлагают двухфакторную аутентификацию для дополнительной защиты.
Еще один интересный факт обнаружился при опросе пользователей разных возрастов. Оказалось, что больше половины (55%) респондентов старше 45 лет считают собственным делом защиту персональной информации. А вот среди более молодых граждан, наоборот, больше половины (58%) считают это заботой интернет-компании.

Безопасно или удобно?

По данным недавнего исследования ZoneAlarm, в котором приняли участие 1245 человек, большинство представителей поколения Y (поколение родившихся после 1980 г.) не придают интернет-безопасности должного значения. Только 31% опрошенных считают безопасность важнейшим фактором при принятии решений, связанных с использованием компьютера. В основном же представители поколения Y отдают развлечениям и общению более высокий приоритет по сравнению с безопасностью. Тем не менее, 50% участников исследования отметили, что сталкивались с угрозами безопасности своего компьютера в течение последних двух лет.
Еще интереснее дело обстоит при использовании мобильных устройств. Сегодня существует два подхода к созданию и использованию приложений для смартфонов. Назовем их условно «закрытый» и «открытый». Что я имею ввиду? «Закрытый» — это идеология Apple и Microsoft. Каждое приложение подвергается пристальному анализу. Все приложения можно загрузить только из соответствующего магазина приложений. Сложно? Да! Безопасно? ДА! Конечно, можно сделать джейл-брейк, но это приведет к снижению уровня защищенности. А ведь делают — потому что «так удобней».
Открытый — подход Google. Да, можно загрузить приложения с Google Play, но никто не запрещает загрузить их со сторонних магазинов приложений. Удобно? Безусловно! Приложения публикуются чаще, потому как проверяются реже. Пользователь имеет полный контроль над своим мобильным устройством. К чему это привело? Уже более 30 000 экземпляров вредоносного кода существует для Android. И количество «вредителей» растет и растет.
Какой же вывод? Пока пользователь сам не осознает, что ему нужно самому обеспечивать свою безопасность, большинство технических средств практически бессильны!