Wednesday 2 March 2016

Три кита информационной безопасности: конфиденциальность

"Умирающий Ахиллес", скульптура Эрнесто Хертера (остров Корфу)
Вот что бывает, когда личные тайны становятся достоянием посторонних!
Недавно пообщался со знакомым, которого давно не видел. Как обычно, в ответ на вопрос о предмете моей работы собеседник многозначительно поднял брови: ах, в отделе информационной безопасности! После чего последовал рассказ о том, как он увидел военный корабль, который где-то далеко проплывал в туманной мгле. Может это и не был военный корабль, но знакомому так показалось и это произвело на него сильное впечатление.

Понимание информационной безопасности у многих людей именно такое: много тумана и за ним просвечивает какая-то страшная тайна вдалеке. Люди, которые занимаются информационной безопасностью, этот туман нагоняют и, видимо, удерживают. А между тем информационная безопасность это вещь гораздо более близкая, конкретная и даже в некотором роде скучная. Она имеет очень мало общего со сбором разведданных, к которому можно отнести информацию о наличии военного корабля в неких водах в некоторый момент времени.

Информационная безопасность это производная трех составляющих: конфиденциальности, целостности и доступности информации. Это как три кита, удерживающие на плаву землю на старинных рисунках. Инфраструктура IT-проектов ITIL называет еще четвертого «кита»: аутентификацию деловых транзакций и обменов. Нарушение любой из этих основ нарушает информационную безопасность.

Конфиденциальность целиком посвящена охране частного пространства. Конфиденциальность семейной жизни означает необходимость предотвращения утечки информации, которая не предназначается для людей вне семьи. Например, по работе я часто имею дело с фактом того, что некая семья или отдельный человек живет на социальном обеспечении. Назовем такого человека Джоном. Казалось бы, что такого конфиденциального в том факте, что Джон сидит на соцобеспечении? Постороннему человеку может показаться, что ничего в этом факте нет. Однако для самого Джона эта информация может быть не такая безобидная. Несомненно, например, что она может иметь некоторую «общественную стигму», мол, Джон «сидит на шее у налогоплательщиков» и т.д. Объявляя всем, что у Джона такое положение, мы разглашаем его тайну, в которой кстати ничего противозаконного нет, но ее разглашение без спроса и ведома Джона может создать ему проблемы.

Другим, более распространенным путем нарушения конфиденциальности сегодня является публикация чьей-то фотографии в Интернете без согласия того, кто на фото изображен. Свое фото можно публиковать сколько хочешь, а вот для публикации фото знакомого, родственников, друзей нужно спрашивать их разрешения. Это правило касается любых других персональных данных, то есть сведений личного характера, которые относятся к "идентифицируемому индивидуалу" (фотография, номер машины, документов, сведения медицинского характера, и прочее). К конфиденциальным обычно не относятся данные, которые можно охарактеризовать, как «деловая контактная информация», то есть сведения, которые человек публикует на своей визитной карточке и раздает другим людям. Подробно о понятии «конфиденциальность» в контексте одной из основ информационной безопасности можно почитать в соответствующей статье Википедии: https://ru.wikipedia.org/wiki/Конфиденциальность.

Людям, которым не безразлична этика их поведения, важно уважать частное пространство тех, кто их окружает. Я имею право сообщать миру о себе все, что мне вздумается. За это мне придется «расхлебывать» последствия самому, и никто в этом не будет виноват, кроме меня. Окружающие не имеют права распоряжаться чужими судьбами без спроса. Проблема состоит в том, что часто сложно провести знак равенства между невинным размещением чьей-то фотографии в Интернете и решением судьбы того, кто на этом фото изображен. Однако в сухом остатке получается именно так, особенно учитывая глобальный характер Интернета. Ответственный человек этот знак равенства проводит.

Тема сохранения или нарушения конфиденциальности обыгрывается художниками с самого зарождения культуры. Аполлон решил воспользоваться в своих целях тайной Ахилла и направил стрелу Париса прямо в пятку Ахилла - его единственное уязвимое место. Санчо Панса не имел видимо понятия о конфиденциальности, когда рассказывал своим односельчанам священнику и цирюльнику содержание писем Дона Кихота к Дульсинее Тобосской. Опекуны мистера Эдварда Рочестера наоборот смогли успешно сохранить от него секрет его будущей жены Берты, у которой в роду было буйное помешательство. В результате это создало много трудностей в жизни мистера Рочестера, включая проблемы в отношениях между ним и Джейн Эйр. И так далее и тому подобное.

Из всех нарушений информационной безопасности нарушения конфиденциальности данных наверное самые распространенные, потому что их проще всего осуществить. Наши персональные данные воруются каждый день много раз - например через мобильные приложения, которые отсылают нашу идентификационную информацию "на базу". Этим занимаются свыше 80% всех мобильных приложений. Этим также занимается онлайновый бизнес, который отслеживает наши действия в Интернете, а затем предлагает нам адресную рекламу. На этом делаются некоторые деньги, но не сверхприбыли и не сверхбыстро. Преступления же в отношении конфиденциальности, или "кража личности" - перспективное в преступном смысле, но опасное занятие. Преступник, ворующий личность, рискует "нарваться" на бдительного работника и ограничен в длительности относительной безнаказанности своих преступных действий. Поэтому потенциалу монетизации нарушений конфиденциальности я дал бы среднюю категорию. Интерес к краже личных данных в преступном мире имеется, он устойчивый, довольно сильный и в ближайшее время никуда не исчезнет, однако сегодня он уступает кибер-вымогательству, то есть нарушениям доступа к ресурсам. Этой основе информационной безопасности будет посвящена другая статья.

No comments:

Post a Comment