О низкой ИБ-культуре пользователей (как корпоративных, так и индивидуальных) говорено много. Нужно ли ее повышать? Да, нужно. Однако больших надежд на пользовательское ИБ-самообслуживании возлагать бесполезно.
Промышленное электричество, например, существует около сотни лет. Но стали ли все мы за это время квалифицированными электриками? Нет, не стали. Разве что приучились не хвататься за оголенные провода и не совать ножницы в розетки.
Вот и с информационной безопасностью происходит то же самое. Поэтому не могу согласиться с Алексеем Сабановым (см. обзор), утверждающим, что ИБ не пришла еще в массы, что у пользователей в приоритетах иные – не ИБ – риски. Да так оно и должно быть. В массы пришла не ИБ, а инфотелекоммуникационные технологии (ИКТ), которыми мы хотим пользоваться так же просто, как электричеством, а в приоритетах у нас стоят риски гражданские и общечеловеческие.
И это не только моя, пользовательская, позиция - все крупные ИКТ-разработчики идут навстречу пользователям и уже лет десять как встраивают ИБ непосредственно в свои продукты. Например, пользователи современных ОС корпорации Microsoft могут обходиться без наложенных СЗИ: антивирус, шифрование, сетевой экран, антиспам уже есть в этих системах (конечно, мы получаем их не бесплатно, как говорит Владимир Мамыкин (см. обзор) – ОС Microsoft все-таки удовольствие недешевое, но тем не менее со всем остальным, что он сказал, согласен полностью - см обзор).
Но вот незадача, в нашей стране (да и за ее пределами) еще многие используют ПО (в том числе и операционные системы), выпущенное десятки лет назад. Для корпоративного пользовательского сегмента эту картину можно считать вообще типовой. Как быть с этим? Встроенных СЗИ в этом ПО нет, а наложенные СЗИ, способные защитить от современных ИБ-угроз, элементарно не рассчитаны на «старьё».
Что делать? Разделяю мнение тех ИБ-специалистов (есть такие!), которые согласны с тем, что ответственность за ИБ пользователей возлагается на ИБ-специалистов, что ИБ не должна быть для пользователей обременительной в работе и дорогостоящей, чтобы она была похожей на электричество из розетки.
Кстати по поводу нереальности удобства и недороговизны в ИБ.
Мы приучились таки ставить на свои компьютеры антивирусные комбайны (это по поводу нашего, пользовательского, манкирования информационной безопасностью – прогресс в повышении ИБ-культуры есть, и дальше будет). И вот, модернизируя свою персональную защиту, несколько месяцев назад я купил Norton Internet Security, годовая лицензия на который стоила немногим более 300 руб, и который можно установить на три компьютера. Дорого? Думаю, нет. В фабричные установки до сих пор не лазил, и по моим наблюдениям так поступает большинство, если не все, неквалифицированные пользователи. Удобно? Думаю, да.
Именно в ключе ответственности ИБ-специалистов за массовую ИБ (т.е. за нашу с вами, пользовательскую) высказался заместитель гендиректора ФГУП ГНИВЦ ФНС России Александр Баранов в своем выступлении "ИБ в современных реалиях" на конференции "ИнфоБЕРЕГ - 2014". (Массовая ИБ – это термин Баранова).
Его презентацию можно найти здесь: http://old.vipforum.ru/conference/1214/itogi2014/.
Однако на слайды Александр Павлович как всегда был скуп. Если понадобиться аудиозапись его выступления – обращайтесь