Архивы: по дате | по разделам | по авторам

Непристойное предложение

АрхивКомментарий дня
автор : Евгений Золотов   21.04.2003

Если верить данным недавнего опроса, проведенного среди британских офисных служащих, ситуация с информационной безопасностью в Туманном Альбионе просто аховая. И виновато в этом отнюдь не программное обеспечение, а сами пользователи.

Вспоминая какие огромные средства вкладываются в совершенствование кода программных продуктов с целью повышения их защищённости от взлома (вирусами ли, хакерами - не суть важно), становится просто жалко бедных программистов, когда понимаешь, что весь их труд - сизифов и будет сведён на нет рядовыми пользователями. Думаете, преувеличение? Ни на минуту! Замечательное тому подтверждение - результаты скромного исследования, проведённого на днях в британской столице организаторами международной конференции InfoSecurity Europe 2003. Идея чрезвычайно проста: на крупном лондонском вокзале из толпы случайных прохожих методом тупого перебора извлекали офисных служащих, делая им одно и то же непристойное предложение: прямо здесь и сейчас назвать свой основной пароль для доступа к сетевым ресурсам компании, в которой они работают. В качестве поощрения предлагалась дешёвенькая авторучка. Как вы думаете, сколько - в процентном отношении - человек согласилось и выдало секрет?

Десять процентов? Двадцать? Не торопитесь и особо не скромничайте. Подумайте. А пока - ещё одно маленькое отступление: по отношению к тем, кто отказывался назвать пароль с ходу, применялись специальные меры воздействия в виде простейших методов социального инжиниринга. Ну, вы знаете, что под этим обычно подразумевают. Здесь исследователи действовали в два этапа - сперва предлагая упрямцам сказать, к какой из типичных категорий принадлежит пароль (точнее, как он был образован - к примеру, от имени ребёнка или от года рождения), затем выпытывая сопутствующие сведения (в нашем примере - имена детей или возраст). Как там с процентами? Пятьдесят? Холодно. Раскололись девяносто процентов опрошенных. Женщины при этом оказались чуть более благонадёжны, нежели мужчины - из их числа продались за ручку "всего" 85%, тогда как сильный пол показал рекордные 95%. При этом три четверти даже не стали ломаться, а 15% несколько минут строили из себя важных персон, хотя, в конце концов, поистине непреодолимому искушению получить ту самую ручку поддались и они. Учитывая, что в аналогичном опросе год назад средний показатель "взламываемости" был лишь 65%, мы вправе засвидетельствовать беспрецедентный рост разгильдяйства среди британских работников офисного труда (впрочем, вы же не думаете, что в России дела обстоят лучшим образом?). Но, к сожалению, это только цветочки.

Вопросов каждому из полутора сотен счастливчиков было задано множество и выявили они, в частности, следующие любопытные тенденции. Две трети опрошенных используют один и тот же пароль для доступа ко всем своим личным ресурсам. При этом 12% выбирают в качестве тайного слова - совсем как в кино - банальное "password", 16% - своё имя, ещё по одной десятой приходится на любимую футбольную команду и собственный год рождения. Впрочем, к чему оригинальность, когда никакой тайны из своих паролей большинство опять же не делает? Три четверти офисных служащих в курсе, какие коды доступа используют коллеги. А если кто чего и не знает - то не прочь узнать и рассказать другим: то же самое количество опрошенных при случае обязательно заглянут в общий табель заработной платы, после чего половина из них поделится полученными сведениями с сослуживцами.

Чем это всё чревато для благосостояния работодателей, думается, объяснять не надо. А вот над чем стоит призадуматься - так это над возможными отношениями к данной проблеме работодателей и производителей софта. Помните, как ругали Microsoft за то, что компания не уделяет должного внимания надёжности своих продуктов? А, может быть, и правы были стратеги софтверного гиганта, что поступали именно так, экономя деньги на том, что всё равно будет нивелировано потом безалаберными юзверями? С работодателями разговор особый: вместо того, чтобы тратить силы, время и средства на поиск и установку надёжных программ, не лучше ли заняться обучением персонала? Подключайтесь к дискуссии, обсудим!

© ООО "Компьютерра-Онлайн", 1997-2024
При цитировании и использовании любых материалов ссылка на "Компьютерру" обязательна.