понедельник, 18 января 2010 г.

Безопасность и здоровье

Конец 2009 года был слишком напряженным, чтобы писать что-то свое. Но все хорошо, что хорошо кончается

На Банкире обсуждаются две философски темы: ”что такое безопасность” и ”чем плоха сложившаяся в России парадигма ИБ”.  И в ходе обсуждения  мне пришла в голову мысль, что безопасность коммерческой компании можно сравнить со здравохранением в отдельно взятом государстве.

Что такое безопасность? Кто-то утверждает, что безопасность - это защищенность от угроз. Но совершенно непонятно, от каких угроз? Какие угрозы считать реальными и брать в рассчет, а какие - отметать как фантазии? Кто-то утверждает, что безопасность - это субъективное ощущение защищенности. Но ведь есть люди, которые считают безопасным кругосветное путешествие на одиночной яхте или выход в открытый космос, и что, это безопасно? Кто-то считает, что безопасность - это некое идеальное состояние, к которому компания может только бесконечно приближаться, внедряя все новые механихмы защиты. Но какое именно это идеальное состояние и когда можно заявить: "Хватит - мы достаточно приблизились"? Ответов на эти вопросы не слышно. А ведь безопасность - это не единственная отрасль, в которой можно ставить подобные вопросы, и для некоторых отраслей ответы на подобные вопросы уже даны.

Если подходить к жизни цинично и до примитивного просто, коммерческое предприятие - это инструмент повышения благосостояния и удовлетворения личных амбиций его владельца и ключевых руководителей, т.е. сравнительно небольшого в процентном соотношении  коллектива, непосредственно, сознательно и целенаправленно определяющего деятельность предприятия. Если так же цинично и упрощенно рассматривать историю общественных отношений,то государство - это инструмент повышения благосостояния и удовлетворения личных амбиций сравнительно небольшой части населения, которая непосредственно, сознательно и целенаправленно определяет его внутреннюю и внешнюю политику. Признаюсь, я не разделяю святую веру многих людей в то, что в мире есть хотя бы одно государство, политика которого определяется решением большинства или хотя бы существенной части своего населения. Скорее, лица, принимающие решения, вынуждены считаться с мнением своего населения - как работодатель считается с настроениями в трудовом коллективе - но никак не отнидь не исполняет его поручения. Решения принимают они - исходя из собственных представлений об из целесообразности. Да, государство заботится о благосостоянии, здоровье и прочих социальных благах населения, но примерно также, как работодатель заботится о благосостояниии и комфорте своих работников.

Почему нам интересно именно здравохранение? Потому что понятие "безопасность" по своим понятийным свойствам очень близко к понятию "здоровье". Собственно, а что такое здоровье? Говоря о человеке как о здоровом, врачи оперируют понятиями "норма" и "отклонение  от нормы". Наличие определенных отклонений рассматриваются как симптомы болезни - и в результате назначается лечение. Или, если эти отклонения таковы, что никакое лечение не вернет к человека к норме, человек признается инвалидом. И наличие некоторой доли людей с отклонениями от нормы здоровья вовсе не рассматривается как недостаток здравохранения.

Что же заботит государство в здоровье населения? Много чего, но прежде всего - трудоспособность. Доля трудоспособного населения - один из важнейших экономических показателей государства. Реализуя меры по охране здоровья, государство не ставит перед собой задачу привести население к каким-то эталонным показателям здоровья. Опять-таки, выражаясь цинично, государство добивается того, чтобы трудоспособным была как можно большая часть взрослого населения - но в пределах разумного. Заметим, современная наука - медицина, биология, генетика - достигли того уровня, когда теоретически возможно решить любую проблему живого организма - вплоть до конструирования новых органов или изменения отдельных свойств живых клеток. Все это - вопрос финансирования. И государство очень легко решает вопрос достаточности финансирования: оно считает принимаемые меры достаточными, если они обеспечивают наличие вот такой доли трудоспособного населения, достаточного для решения стоящих перед государством экономических задач. И вспышки заболеваний, которые регулярно происходят то тут, то там, отнюдь не являются с его точки зрения чем-то из ряда вон выходящим, оно готово с ними мириться, если они своевременно погашены и не оказали заметного влияния на экономические показатели государства. В этом случае население государства считается здоровым. В этом случе государство не будет выделять дополнительные средства здравохранению на дальнейшее улучшение здоровья (увеличение доли трудоспособного населения), поскольку эти расходые не дадут экономической отдачи, т.е. будут неоправданными, нецелесообразными.

Но ведь примерно то же самое происходит и в безопасности компании. Мы можем бесконечно улучшать механизмы защиты, предотвращая все мыслимые и немыслимые угрозы, но нужно ли это бизнесу? Мы хотели бы задублировать все каналы связи, серверы и приложения, и лучше - используя для дублирования альтернативные решения, но оправданно ли это? Где критерий оправданнсти?

Этим критерием являются правила, устанавливаемые бизнесом, правила, основанные на экономических показателях. Если бизнес готов мириться с возможным дефейсом корпоративного портала (мириться осознанно, обладая информацией о всех возможных последствиях) - се ля ви, этот портал безопасен, даже если в нем есть SQL-инъекции.

И немножко о парадигме ИБ. Как я уже писал, многие российские безопасники считают, что для обеспечения безопасности информационной системы нужно отделить ее от такого опасного и непредсказуемого внешнего мира. Этим людям я бы посоветовал посмотреть на работу эпидемиологических служб.

Атака на информационную систему в чем то сродни распространению инфекционных заболеваний. Успешная атака на узел сети превращает его в плацдарм для развития атаки, ставя под угрозу все соседние с ним узлы. Точно так же инфицированный человек становится источником угрозы для тех, кто с ним контактирует. Дайте безопасникам порулить эпидемиологической защитой - и они выстроят кордоны на границе таможенной зоны государства, будут придирчиво осматривать каждого человека, проходящего паспортный контроль, ставить ему градусник и делать анализы при малейшем подозрении - и разворачивать обратно любого праздношатающегося туриста, если он не докажет, что его въезд на территорию государства непременно нужен этому государству. К счастью, эпидемиологической защитой занимаются не безопасники, а медики.

Как строится работа эпидемиологических служб? Она строится на принципе: "Будь готов к вспышке заболевания у себя пол боком". Она строится на постоянном мониторинге даных по заболеваемости в субъектах федерации, областях, районах, населенных пунктах, и даже участках, закрепленных за поликлиниками. Она строится на готовности отреагировать на вспышку заболевания в отдельном небольшом регионе, введя в нем усиленный режим. приостанавив деятельность некритичных для обеспечения жизнедеятельности предприятий, введя ограничение на проведение массовых мероприятий, направляя в регион необходимые лекарства и специалистов. Она основана на готовности ввести дополнительный контроль перемещения людей между санитарной зоной и соседними регионами, на готовности при необходимости полностью изолировать пораженный регион, введя режим чрезвычайного положения и предотвратив распространение угрозы. Она основана прежде всего на работе внутри защищаемого государства, а не на его границах. И этот подход - работает.

12 коммент.:

Анонимный 19 января 2010 г., 0:04  

>Кто-то считает, что безопасность - это некое идеальное состояние, к которому компания может только бесконечно приближаться, внедряя все новые механихмы защиты.

Камушек в мой огород ;)

>когда можно заявить: "Хватит - мы достаточно приблизились"?

Никогда. "Щит" и "меч" совершенствуются одновременно - т.ч. процесс будет идти пока есть жизнь. И соответственно никогда невозможно будет достичь абсолютной безопасности.

Жизнь - смертельно опасная штука (с)

Например: для защиты организма от вирусов можно купить скафандр "высшей защиты" и постоянно в нем ходить - но это дорого, неудобно и все равно не дает 100%-ной защиты. А можно лишь своевременно выявлять инфекцию и делать прививку. Но в обоих случаях следует еще следить за своим здоровьем и иметь необходимые лекарства для лечения при заражении...

Следовательно кроме процесса обеспечения защиты (а если точнее - то в самом этом процессе) необходимо обеспечивать систему мониторинга защищенности/вторжений (при том как на самом периметре, так и внутри периметра объекта защиты) и систему локализации последствий (в том числе те самые карантинные зоны и кордоны, "дезинфекцию"/"дератизацию"/"детоксикацию").

Т.ч. с проекцией эпидемиологического подхода я вполне согласен.

Ригель 19 января 2010 г., 0:36  

> Никогда. "Щит" и "меч"
> совершенствуются одновременно

Упускаете человеческую природу. Если пациент перестает обращаться (в силу тех или иных причин), его перестают лечить.

Малотавру: извините, но не осилил. В выходные обещаю еще попробовать.

Анонимный 19 января 2010 г., 1:08  

>Если пациент перестает обращаться (в силу тех или иных причин), его перестают лечить.

Если Вам не звонят родные и знакомые - значит у них все хорошо (с) Русское Радио

>Упускаете человеческую природу.

Если говорить о человеческой природе, то человеку свойственно пытаться дстичь всего и сразу, при том с минимальным приложением усилий. Т.ч. всегда найдется "грызун", который постарается "оттяпать" у Вас все нажитое "тяжелым и непосильным трудом" ;)

Ригель 19 января 2010 г., 1:28  

Я имел в виду, что заказчик ИБ - человек. Но Вы правы: и безопасники человеки, и источники атак тоже обычно.

Вот безопасность дорожного движения сразу и говорит, что занимается "совокупностью общественных отношений, возникающих в процессе перемещения людей и грузов с помощью транспортных средств или без таковых в пределах дорог", а не защитой дорожного движения.

Потому что ГАИ-шники умнее ИБ-шников.

malotavr 19 января 2010 г., 3:31  

> Камушек в мой огород ;)

Не камушек - прото цитата, пример одного из возможных определений. Просто для решения каких-то задач такого определения недостаточно, и для них требуется что-то другое.

> И соответственно никогда невозможно будет достичь абсолютной безопасности.

Поэтому меня больше интересует достижение приемлемой безопасности :)

malotavr 19 января 2010 г., 3:33  

> Малотавру: извините, но не осилил.

Кружка хорошего пива настраивает на философския лад и графоманию :)

Ригель 19 января 2010 г., 8:04  

Осилил. Действительно без стакана не разберешься.
Если бы аналогия была правильна, то информация могла бы оценить свою безопасность, как недостаточную, и потребовать позащищать ее еще. Как минимум, на обследование пришлось бы отправить, иначе не отвяжешься.
Неужели это правда с простого пива?

Dmitry Evteev 19 января 2010 г., 16:00  

Отличное сравнение ИБ с отраслью здравоохранения! В продолжение этой мысли, аудит, пентест, etc. – прививка, которой не стоит пренебрегать для предотвращения возможного заболевания;)

Сергей Гордейчик 22 января 2010 г., 0:11  

Занятно!
Особенно про эпидемии. Но!
Цитируя Ригеля "Упускаете человеческую природу.". А казенным языком - "ошибка в выборе модели злоумышленника".
Эпидемиологи противостоят, в основном, с природными угрозами (помноженными естественно на вторжение антропо- и техно-факторов в природную среду и особенностями социума).
ИБ - во многом сталкиваются с антропогенными угрозами, помноженными на все остальное.
Если эпидемии суть - антропогенные штучки, то получаем вполне себе бактериологическую войну. А на войне как на войне. "Турист" не пройдетЪ.
Хотя, конечно, после "свинского хрипа" и не разберешь - где война, а где "эпидемия".

Анонимный 23 января 2010 г., 1:37  

И не так бывает ))))

Анонимный 27 января 2010 г., 23:18  

>Если подходить к жизни цинично и до примитивного просто, коммерческое предприятие - это инструмент повышения благосостояния и удовлетворения личных амбиций его владельца и ключевых руководителей, т.е. сравнительно небольшого в процентном соотношении коллектива, непосредственно, сознательно и целенаправленно определяющего деятельность предприятия. Если так же цинично и упрощенно рассматривать историю общественных отношений,то государство - это инструмент повышения благосостояния и удовлетворения личных амбиций сравнительно небольшой части населения...
Это называется - Правило Парето (соотношение 80/20). Очень интересное и правдивое, мать его так...

UkrBizSec 12 августа 2011 г., 14:51  

Сравнение интересное. Тогда можно сравнить, например, ту же DLP-систему с лекарством. А лекарства, как известно, не все одинаково действенны. Вот моя история о том, как можно купить совершенно недейственное DLP-лекарство: http://ukrbizsec.blogspot.com/2011/07/8-mcafee-dlp.html. Надеюсь, она будет Вам интересна и полезна.

  © Blogger template 'Solitude' by Ourblogtemplates.com 2008

Back to TOP