Обучение пользователей не решает проблемы компьютерной безопасности

Вкратце: Невозможно искоренить все опасности современного Интернета, если вынуждать пользователей самих защищаться от различного рода компьютерных атак. Окруженные такими атаками пользователи компьютеров нуждаются в защите, и технологический прогресс должен обеспечить ее.

Сегодня пользователи имеют дело с бесчисленными проблемами защиты, такими как:

  • вирусы и черви,
  • «нигерийские» атаки (электронные письма, в которых, как правило, просят помочь нелегальным путем добыть какую-либо информацию)
  • фишинг (фальсифицированные письма якобы от сервисного отдела определенной компании, в которых требуется зайти на сайт и ввести информацию о вашей учетной записи), а также
  • шпионские и рекламные модули, которые устанавливают программное обеспечение на вашем компьютере без вашего на то согласия и осведомления (многие люди даже не знают, на какие условия они соглашаются, когда кликают на вопросительные кнопочки «ОК?» на просторах Интернета; для осмысленного принятия решения пользователи должны знать, что данное ПО установится и захочет активизировать рекламные модули).

Всякий раз, когда пресса описывает подобные случаи, вы, конечно, будете видеть отчеты экспертов по защите, сочувствующих «глупым» пользователям и советующих компаниям лучше обучать своих пользователей cоответствующим предосторожностям для защиты.

Однако, обучение пользователей не должно быть главным подходом к проблемам защиты по трем причинам.

Во-первых (это наиболее важно), это не работает. Компьютерная защита слишком сложная, и «плохие парни» являются слишком хитрыми и изобретательными. Просто нереально предположить, что среднего уровня пользователи могут быть с ними наравне. Да, Вы можете сказать людям не нажимать кнопки в прикрепленных к электронному письму файлах, полученных от незнакомцев, но тогда злоумышленники начнут посылать электронную почту, которая как будто прибывает от вашего босса, жены или даже от ваших лучших друзей. А в современном офисе, вы не сможете заниматься своей работой, не используя прикрепленных файлов.

Во-вторых, обучение пользователей переносит бремя обучения на чужые плечи. Это как на Диком Западе, где ответственность за преступление была на том, кто нес оружие. В цивилизованном обществе, мы оставили этот подход в пользу полиции, чтобы она занималась преступниками. Когда есть несоответствие между технологией и людьми, ответственность не должна быть на людях; ее должны взять на себя компьютеры. Компьютеры и Интернет были развиты согласно предположениям, что каждый человек заслуживает доверия, и не будет совершать никакого преступления. Это не очевидно более, и нам, соответственно, необходимо заново разработать технологии и пересмотреть взгляды. Даже Дикий Запад, в конце концов, придерживался законов.

В-третьих, пока мы обвиняем пользователей, а не модернизируем технологию, мы никогда не осознаем реальную пользу Интернета. Вместо этого мы же предъявляем претензии к пользователям, заставляя их еще более неохотно использовать весь потенциал совремнных технологий. Изучая вопросы об удобстве и простоте работы, мы уже убедились, что люди очень неохотно дают свои адреса электронной почты. Это также справедливо для легальных сайтов электронной коммерции, которые не занимаются спамом, понимая, что потом будет труднее послать своим покупателям какие-либо «полезные» письма или сообщения для подтверждения опредленных действий.

Интернет — как бедный район города: люди находятся в осаде от постоянного потока атак и неприятных вторжений. Мы не можем позволить, чтобы пользователи чувствовали себя испуганными и запуганными; мы не хотим лишать их защиты. Опросы и Голосования Ваше мнение на эту тему ? Согласен, обучение не всегда спасает Не согласен, пользователь должен быть обучен приемам защиты И да и нет, надо искать компромисс.

Аналогия с автомобильной блокировкой.

Обычным контр-доводом к моей позиции является мнение, что разумно требовать, чтобы пользователи взяли ответственность за свою собственную защиту. Это походит на привычку людей ставить блокировку на свои автомобили, когда они паркуют их.

Эта аналогия, однако, не работает из-за различий между физическими и виртуальными мирами. В реальном мире, злоумышленники очень ограничены, и обычный пользователь должен только защитить себя от именно таких «обычных» злоумышленников. Мы не должны создавать наши дома и автомобили такими безопасными, чтобы они смогли сопротивляться попытке атаки самой крутой группы взлома из КГБ. Только в особых местах (подобно ЦРУ) должны обеспечиваться методы защиты от совместных международных усилий «плохих парней». Чтобы обеспечить такую защиту, они используют миллионы экспертов со всего мира.

Виртуальный мир способствует нападениям злоумышленников. Взломщик, обнаруживший любую брешь в защите, может осуществить атаку на миллиарды пользователей. Поэтому каждый пользователь Сети нуждается в защите от любых компьютерных преступников.

Пользователи, конечно, станут более информированными о «процветающих» жульничествах в Интернете также, как большинство из нас знает об угонах авто и домашних кражах. Мы уже рассмотривали случай про то, как дети используют Сеть, и знаем, что они хорошо осознают опасность выдачи личной информации или загрузки сомнительного программного обеспечения. И это лишний раз говорит в пользу благоразумия — не давать свои пароли. Эта политика хороша для финансовых сайтов: они ясно дают понять, что никогда не будут высылать по электронной почте паролей клиентам, просящих их об этой информации. Такие методы необходимы, но еще не достаточны.

Мы не можем гарантировать, что системные администраторы смогут защитить свои серверы установленными последними версиями патчей («заплаток») для защиты. С одной стороны, много компаний не имеют профессиональных системных администраторов: в маленьких компаниях владелец (или менеджер) офиса часто сам же и отвечает за компьютеры. Даже компании среднего размера не могут иметь достаточного опыта защиты, потому что каждый из их специалистов обременен проектами, которые явно требуют большой команды специалистов из департамента высоких технологий (IT).

Решение: перестроить систему защиты

Единственное практическое решение состоит в том, чтобы сделать защиту встроенной особенностью для всех элементов компьютеров. Да, пришло время отказаться от предположений, что компьютерами пользуются только благородные академики, что единственная ценная информация в системе является проектами исследований, и что любые люди из сети являются университетскими коллегами.

Вместо этого нам надо предпринять несколько конкретных шагов:

  • Зашифровать всю имеющуюся информацию, кроме той, что отображается на экране. Например, никогда не отсылайте электронные письма обычным текстом или другую информацию по Интернету: любая информация, передаваемая вашей машиной, должна быть зашифрована.
  • Цифровой подписью отмечайте всю информацию, чтобы предотвратить чужое вмешательство, а также для того, чтобы можно было легко сказать, является ли определенная информация от надежного источника или нет. Это могло бы, скажем, заменить настоящие «глупые» предупреждения защиты, которые не все люди понимают. (Напр.: «Сертификат защиты истек или еще не действует» Да! И что это означает для нормального человека?)
  • Включить все параметры настройки системы защиты по умолчанию, так как большинство людей не трогают эти значения. Затем, сделайте проще процесс изменения параметров настройки так, чтобы пользователи могли получить проверенные результаты и получить приемлемый уровень защиты (без всяких дыр для несанкционированного доступа).
  • Автоматизировать все процессы обновления. Большинство антивирусов загружает новые версии антивирусных баз в background-режиме, что является уже хорошим первым шагом. Автоматизированное внесение исправлений, начатое с Windows XP SP2 — также отличное усовершенствование.
  • Повышать удобство применения компьютерной защиты и сводить ее к уровню, который мы еще не видели. Защита действительно очень сложно устроена, и это как раз то, что пользователей не заботит совсем (пока не будет слишком поздно). Интерфейс программ должен быть максимально простым. Также должны быть проведены крупномасштабные исследования в этой области.

Кроме этого, существуют еще несколько необходимых шагов (не связанных с пользовательским интерфейсом), такие как уменьшение количества системных ошибок и др.

И наконец, общество должно применить более эффективный подход: искать и привлекать к уголовной ответственности лиц, занимающихся спамерством, фишигом, написанием вирусов, мошенничеством на электронных аукционах и другими действиями, нарушающими права пользователей. Нужно привлечь специальный отдел ФБР, занимающийся этими проблемам, потому что виртуальное воздействие таких злоумышленников на экономику и на благосостояние граждан теперь гораздо больше, чем множество классических преступлений, которыми занимаются правоохранительные органы.

Систематический подход к защите является большим проектом, но это — единственно реальный способ гарантировать безопасность компьютерной информации, позволяющий людям чувствовать себя хорошо на просторах Сети.

Якоб Нильсен, 25 Октября 2004 г.
Перевод: Вадим Марин,
Tesline-Service SRL.