Надо ли бороться с «человеческим фактором»?

«Человеческий фактор» редко означает что-то хорошее. Эта идиома почти синонимична крылатой фразе «человеку свойственно ошибаться». Только кроме ошибок под человеческим фактором понимается еще халатность, склонность к коррупции и злоупотреблениям, глупость и прочие крайне неприятные вещи.

Хотя, вообще говоря, человек отличается от всего остального не только в худшую сторону, согласитесь. Если посмотреть на проблему под этим углом, то «человеческий фактор» означает всего лишь то, что при принятии решения помимо «объективных» вводных (то есть фиксируемых, «считаемых») имеет значение также мотивация. Ну а уж какая именно - это зависит от того человека, чей «фактор».

Для того чтобы человеческий фактор был не слабым, а сильным звеном информационной безопасности, мотивация защищать информацию всего лишь должна быть сильнее мотивации этого не делать.

Возьмем дистанционное банковское обслуживание. Очевидно, что корень проблем с защищенностью этого феномена лежит в том, что у банков просто нет мотивации. Не потому, что банки плохие, а по целому ряду совершенно объективных причин.

1. Банки на развитии сферы ИБ не зарабатывают. Банки зарабатывают на тех услугах,  которые  они  предоставляют
клиентам. И если у банка возникает альтернатива - ввести новую удобную, но незащищенную услугу или аналогичную услугу в защищенном виде, но неудобную, -банк выбирает первое. Безопасники в лучшем случае делают и сертифицируют хорошие, но неудобные средства защиты, а функциональщики в лучшем случае пишут удобные, но незащищенные программы. В результате, конечно, банки не развивают защищенные услуги, потому что разработка систем в защищенном исполнении - несвойственная им задача, они не умеют и не должны уметь это делать.

2. Затраты на защиту недопустимо высоки. И для банка, и для клиента. Считается, что затраты на информационную безопасность должны составлять около 20% от всех затрат на информационную систему. Сегодня средства ИБ обходятся банку в сумму, близкую к цене информационной системы, то есть почти в пять раз дороже нормы. Компьютер стоит около $400, и примерно столько же стоит электронный замок на этот компьютер. Конечно, дело здесь не в том, что вендоры дерут за свои средства втридорога. Все в комплексе: и низкая эффективность производства, и неразвитость рынка, и отсутствие достаточной квалификации у интеграторов. За защиту каждой из функций приходится платить неоднократно. Как результат - затраты банков на ИБ давно превзошли все допустимые пределы, а эффекта банкиры не чувствуют. Не лучше дела обстоят у клиента: чтобы не снизить защищенность банка, его компьютер должен быть защищен не хуже, чем банковский. Это правильно, но есть нюансы. Компьютер в банке должен быть доверенным всегда, и поэтому его защита стоит дорого. Компьютер клиента должен быть защищен надежно только на время сеанса связи с банком. Вот и приходится либо переплачивать, либо обходиться без защиты. Банк не может сказать клиенту, что сервис незащищен, и для имитации защиты предлагает клиенту использовать суррогаты вроде различных токенов, защитными функциями не обладающих, но денег стоящих. Фактически клиент остается без защиты, но со всех сторон виноватым.

Есть и другие обстоятельства, но в данном случае, думается, достаточно остановиться на этих двух, потому что все остальные все равно сведутся к тому же - к экономической оправданности затрат. Это верно и для банка, и для клиента. Потому что это - человеческий фактор.

ДИСТАНЦИОННОЕ БАНКОВСКОЕ ОБСЛУЖИВАНИЕ

Сегодня практически нет банков, клиенты которого не пострадали бы от действий хакеров, атакующих системы ДБО. Потери клиентов российских банков от таких атак составили 2,5 млрд евро. «Доходы» преступных хакерских групп составляют, по оценкам экспертов, $25-30 млн в месяц для каждой группы. В основном это те деньги, которые теряют вкладчики банков.

Теряют потому, что реальные меры безопасности по уже приведенным выше причинам подменяются имитацией защиты. Ни одна система ДБО сегодня не обеспечивает создания доверенной среды исполнения СКЗИ, в результате применение средств защиты осуществляется с нарушением обязательных условий, что и приводит к потерям. Полноценная защита слишком дорогая, клиент и сам на нее, конечно, не согласится, а усеченная - не дает ожидаемого эффекта, но применяется банками, поскольку создает у клиентов ложную, но все же уверенность в безопасности.

Вот и получается, что ответственность за финансовые потери банки переносят на клиентов, хотя понимают опасность «усеченных» решений и в целом совсем не хотят намеренно никому вредить. Клиенты соглашаются, потому что не понимают реальных рисков и потому что не видят альтернативы. И в первом и во втором случае ситуация чревата колоссальными репутационными рисками, особенно для крупных банков. При потере средств клиент испытывает огромное разочарование услугой банка и банком в целом. И тут уже его собственный «человеческий фактор» не будет считаться с тем, что «так у всех», он все равно будет винить именно тот банк, который так его подвел. Но и понимание клиентами того, что банк покрывает свои риски их деньгами, не способствует привлечению новых клиентов.

Значит ли это, что проблема не решаема и все может оставаться как есть и дальше?

Выход есть. Он основывается на простом логическом выводе: если во взаимодействии с удаленным информационным ресурсом (в случае с ДБО -с банком) пользователю необходимо решать строго определенную задачу, а не работать постоянно, причем сразу со всех компьютеров в мире, можно снизить накал борьбы и вместо того, чтобы предпринимать дорогостоящие меры по созданию доверенной вычислительной среды «навсегда», попытаться обеспечить доверенную среду выполнения задачи - доверенный сеанс связи (ДСС).

Для этого предназначено средство обеспечения доверенного сеанса (СОДС) «МАРШ!».

Применение   СОДС   «МАРШ!» в ДБО для клиента будет выглядет так:
• чтобы начать сеанс работы с банком, пользователь заканчивает свой предыдущий сеанс работы («перезагружается») и загружает компьютер с подключенным загрузочным USB-устройством «МАРШ!» (размером со среднюю флэшку);
• в оперативную память компьютера с «МАРШ!» загружается все необходимое для работы с банком, включая VPN и СКЗИ;
• все ресурсы ПК, к которому подключен «МАРШ!», кроме оперативной памяти и переферии (клавиатура, мышь, монитор), в процессе работы в доверенном сеансе связи с банком пользователю недоступны, поэтому защищенность работы они снизить не могут, пользователь работает в доверенной среде и только в рамках определенных банком задач;
• после завершения работы с банком пользователю достаточно отключить «МАРШ!» и «перезагрузиться», загрузив основную ОС своего ПК, чтобы продолжать работать  со  своим привычным программным и аппаратным окружением.

На стороне банка, конечно, доверенный сеанс связи поддерживает серверная часть СОДС «МАРШ!» - Сервер доверенного сеанса связи.

Такой подход позволит гарантированно исключить случаи утраты средств банками и их клиентами из-за хакерских атак на системы ДБО, и в то же время он абсолютно экономически оправдан -и для банка, и для клиента. Решение на базе ДСС в разы дешевле комплектов средств защиты, необходимых для оборудования отдельно взятого ПК с обеспечением аналогичного уровня защищенности. И в то же время - существенно удобнее: не требует ни изменения привычной информационной среды, ни работы с одного, раз и навсегда определенного, компьютера. Для внедрения такого решения даже не понадобится вносить изменения в системы ДБО, использующие Web-сервисы. Какой же может быть еще «человеческий фактор»?