ИНФОРМАЦИОНАЯ БЕЗОПАСНОСТЬ: секреты, ценности и угрозы
Традиционный подход •
Традиционный аспект безопасности основан на профилактике уголовных элементов (нападающих)
•
Традиционные концепции безопасности строятся от нападающего и угрозы
•
Такой подход все чаще подвергается критике за неэффективность
Традиционный аспект •
Построение логики защиты от нападающего или угрозы требует досконального знания мотивов, ресурсов и обстоятельств, в которых действует нападающий
•
Такой подход относительно эффективен в вопросах ограниченной физической безопасности объекта или субъекта в ограниченных и определенных условиях
•
В остальных случаях мы часто не знаем ни нападающих, ни их мотивы, ни их ресурсы и обстоятельства
Все мечтают защищаться от прослушки и никто от выхода из строя жесткого диска
Паранойя •
Основа паранойи - информационная пустота и непонимание того, что происходит или может происходить
•
Пустота заполняется слухами, фантазиями и домыслами. Особенно интенсивно такое заполнение происходит, когда кто-то со стороны (или среда в целом) намеренно или случайно подкидывают неверную (лишнюю) информацию по теме
•
Паранойя приводит к парализации работы, перерасходу ресурсов и постепенно замещает собой основную миссию
Незащищённость и паранойя - два полюса нашего аспекта •
Незащищённость - ситуация в которой наступление рисков наиболее вероятно. Наиболее распространённые риски связаны с утратой, изъятием или компрометацией информации пользователя, а так же с идентификацией и дальнейшим преследованием физического лица в рамках системы избирательного правоприменения.
•
С паранойей следует разбираться отдельно - сегодня активисты прыгают из незащищенности прямо в паранойю, минуя золотую середину
Попавшие в паранойю совершают очень важную ошибку •
Они часто переходят в режим информационного «молчания», закрывая все каналы своих коммуникаций и пропадая с радаров системы
•
Система начинает автоматически подозревать такого активиста в чем-то очень нехорошем и против него разворачиваемся комплекс атаки во всю государственную мощь
Найти золотую середину можно если верно и системно оценивать свои настоящие риски и ценности
•
Самоанализ кратчайший путь к самообману
•
Оценка и ранжирование рисков в целом улучшают качество управления проектами и процессами
•
Работа с рисками - принцип трёх «И»: Итерационность, Интенсивность, Индивидуалность
•
Риски, от наступления которых мы будем защищаться должны быть реальными, вероятными, угрожающими
Проактивный подход •
Строится на выявлении того, что у нас есть ценного, компрометация, утрата или распространение чего повлечет для нас настоящие негативные последствия
•
Это и есть наши ценности - объект защиты
•
Кроме самих ценностей существуют связи между ними, которые так же необходимо анализировать и защищать
СХЕМА АНАЛИЗА РИСКА •
Что является ценностью?
•
Что является угрозой для ценности?
•
Кто и как может создать угрозу?
•
Что случится с нами (организацией, партнерами…) в случае наступлении угрозы?
•
Как мы будем защищать нашу ценность от этой угрозы?
СХЕМА АНАЛИЗА РИСКА •
Что является ценностью? НАШ САЙТ
•
Что является угрозой для ценности? ВЗЛОМ АДМИНПАНЕЛИ
•
Кто и как может создать угрозу? ХАКЕРЫ, НАНЯТЫЕ НЕДОБРОЖЕЛАТЕЛЯМИ ПОДБОРОМ ПАРОЛЯ
•
Что случится с нами (организацией, партнерами…) в случае наступлении угрозы? ПРОЕКТ НЕ СМОЖЕТ КОММУНИЦИРОВАТЬ С АУДИТОРИЕЙ, ИНФОРМАЦИЯ МОЖЕТ БЫТЬ СКОМПРОМЕТИРОВАНА ИЛИ УДАЛЕНА
•
Как мы будем защищать нашу ценность от этой угрозы? НАСТРОИМ В АДМИНПАНЕЛИ ДВУХФАКТОРНУЮ АВТОРИЗАЦИЮ
Ранжирование ценностей •
Нельзя одномомментно защитить сразу все ценности - это дорого и сложно, требует больших ресурсов и усилий
•
После того, как ценности и связи проанализированы, их необходимо распределить по вероятности наступления и силе последствий
Не существует оффлайна и онлайна •
Существование онлайна и оффлайна как отдельных сфер - опасный миф, который регуляторы старательно поддерживают при помощи медиа, экспертов, языка, культуры
•
Онлайн это тот же самый оффлайн с использованием технологических способов коммуникации.
•
Нет и не должно быть никаких отдельных цифровых правил безопасности, существуют только специфические инструменты