Эксперты лаборатории Касперского проанализировали ситуацию в области информационных угроз.
В наши дни ситуация в области информационных угроз чрезвычайно сложна.
Киберпреступники применяют разнообразные угрозы, позволяющие получать контроль над компьютерами пользователей и зарабатывать деньги незаконным путем.
В результате очень легко прийти к подходу, при котором проблема киберпреступности и пути ее решения рассматриваются исключительно с технологической точки зрения.
Как передает Bakililar.AZ, эксперты лаборатории Касперского считают , что необходимо разбираться и с человеческим аспектом киберпреступности.
Несмотря на технологическую изощренность современного вредоносного ПО, для распространения своих программ киберпреступники нередко прибегают и к использованию человеческих слабостей.
Как правило, люди – самое слабое звено в любой системе безопасности.
Простой пример – охрана жилища: можно установить в доме лучшую в мире систему защиты от взлома, но если вы не включили ее, то пользы она вам не принесет.
То же касается и безопасности при пользовании интернетом.
Киберпреступники по-прежнему активно пользуются приемами социальной инженерии, т.е. обманным путем заставляют людей делать то, что угрожает их безопасности при работе в интернете.
Это проявляется и в неизменной успешности фишинга – вида мошенничества, при котором пользователей заманивают на фальшивый вебсайт, где они сообщают свои личные данные, такие как имя пользователя, пароль, ПИН, и другую информацию, которая киберпреступникам может пригодится.
Как и карманные воры, онлайн-мошенники предпочитают места, где собирается много народа.
Учитывая, как быстро растет число пользователей Facebook, MySpace, LinkedIn, Twitter и других социальных сетей, нет ничего удивительного в том, что киберпреступники постоянно держат эти сервисы под прицелом.
О популярности социальной инженерии свидетельствует и все большая распространенность фальшивых антивирусных программ.
Одна из проблем с атаками, основанными на социальной инженерии, состоит в том, что каждая новая атака непременно отличается от предыдущей.
Поэтому пользователям трудно разобраться, что безопасно, а что нет.
Конечно, дело не только в неосведомленности людей об опасности.
Иногда возможность бесплатно загрузить аудио- или видео-контент или фотографию известной личности в обнаженном виде побуждает пользователей щелкнуть мышью по ссылке, которую следовало бы проигнорировать.
Здравый смысл зачастую подсказывает нам, что если вещь слишком хороша, то с ней что-то не так.
Однако такой здравый смысл может не привести пользователя к пониманию, что его действие – в данном случае щелчок по ссылке – может быть сопряжено с риском.
Иногда люди стараются “срезать углы”, чтобы облегчить себе жизнь, не понимая, какими с точки зрения безопасности могут быть последствия.
Это относится, в частности, к паролям.
У многих пользователей число учетных записей в онлайн-системах превышает десяток или даже два.
В результате запомнить (или даже выбрать) уникальные пароли для каждой учетной записи становится очень трудной задачей.
Поэтому очень велик соблазн использовать для всех учетных записей один и тот же пароль (иногда с вариациями) или выбирать в качестве пароля имя ребенка или супруга, или название места, с которым у человека связаны личные ассоциации и которое поэтому легко запомнить.
При этом если одна учетная запись уже взломана, киберпреступникам не составит труда получить доступ и к остальным.
Но эта опасность не очевидна для не имеющих технической подготовки работников и общественности в целом.
У проблемы паролей есть решение.
Вместо того чтобы пытаться запомнить отдельные пароли, начните с постоянной составляющей и получайте новые пароли, шифруя ее с помощью несложной формулы.
Вот пример: начните с имени онлайн-ресурса, например, “mybank”.
Затем примените следующий алгоритм: * Поменяйте четвертую букву на заглавную. * Переместите второй с конца символ в начало. * Добавьте выбранное вами число после второго символа. * Добавьте в конце выбранный вами символ (но не букву или цифру).
В результате получится следующий пароль: n1mybAk;.
С помощью этого метода можно создать уникальный пароль для каждой учетной записи, выполняя каждый раз один и тот же алгоритм, состоящий из четырех шагов.
Конечно, в основе любого решения, предназначенного для борьбы с вредоносным ПО, лежит технология.
Тем не менее, было бы неразумно игнорировать человеческий фактор в проблеме безопасности.
Аналогично, корпоративная стратегия безопасности не сможет быть максимально эффективной, если она не будет принимать в расчет человеческий фактор.
Необходимо найти нетривиальные способы “латания” человеческих ресурсов наряду с обеспечением безопасности цифровых.
Эта проблема затрагивает не только офисы.
Большинство пользователей, выходящих в интернет из дома, подвергаются такой же опасности.
Поэтому всему обществу в целом нужно найти способы повысить уровень осведомленности людей о риске, связанном с работой в интернете, и выработать эффективные методы минимизации этих рисков.
В “оффлайновой” жизни люди справляются с риском достаточно хорошо.
Например, у нас есть целый ряд общепринятых приемов, основанных на здравом смысле, которые мы применяем, предостерегая детей от опасности, возникающей при переходе дороги.
К сожалению, говорить о здравом смысле применительно к работе в интернете пока не приходится.
В этом нет ничего удивительного.
По сравнению с несколькими поколениями водителей и многими поколениями пешеходов, переходящих дороги, интернет – совершенно новое явление.
Люди еще только приходят к пониманию того, какую пользу им может принести интернет.
Увы, многие при этом пребывают в блаженном неведении относительно опасностей, подстерегающих их при этом.
Здесь общество сталкивается с определенным парадоксом.
Дети учатся у своих родителей множеству основанных на здравом смысле стратегий безопасности в оффлайновом мире.
Но при пользовании интернетом современные родители зачастую неспособны учить своих детей безопасности, поскольку сами не знакомы с этой “новой” технологией.
При этом дети пользоваться технологией готовы, но, как правило, плохо осведомлены об опасностях, которые таятся в интернете.
Тем не менее, нам всем вместе очень важно выработать здравый смысл при работе в интернете.
Если это удастся, нынешним детям в будущем будет куда проще обеспечить безопасность их собственных детей.
Прежде всего, важно не путать просвещение с обучением.
Научить каждого быть компьютерным специалистом совершенно нереально.
Но нужно информировать людей об интернет-угрозах и о конкретных действиях, которые можно предпринять для защиты от них.
Для компаний и других организаций просвещение сотрудников должно быть одной из ключевых составляющих эффективной стратегии обеспечения безопасности.
Как и с любым другим аспектом безопасности, недостаточно разработать стратегию, заставить сотрудников под ней подписаться и больше ничего не делать.
Важно также не воспринимать информацию о безопасности и соответствующее обучение только как проблему информационных технологий.
Уже есть ряд общедоступных ресурсов, посвященных вопросам безопасной работы в интернете.
В их число входят Get Safe Online, identitytheft.org.uk и Bank Safe Online.
Кроме того, разработчики систем безопасности как правило предлагают руководства по безопасной работе в интернете.
Важно находить способы сообщать людям те же самые идеи, минуя интернет, в частности с помощью телерекламы, подобной той, к которой прибегали в прошлом, чтобы поощрять использование ремней безопасности и бороться с пьянством за рулем. .
Киберпреступность никуда не денется: с одной стороны, она порождение интернет-эпохи, с другой – часть общей картины преступности.
Поэтому, как мне кажется, не следует мыслить категориями “победы в войне” – нужно делать все возможное, чтобы уменьшить риск.
Инициативы в области законодательства и правоохранительной практики призваны максимально затруднить деятельность киберпреступников.
Задача технологии и просвещения – свести к минимуму риск, которому подвергается общество.
Поскольку многие из современных кибератак используют свойство людей ошибаться, необходимо найти способ “залатать” эти человеческие уязвимости точно так же, как мы стремимся обеспечить безопасность компьютерных устройств.
Просвещение в области безопасности сродни работе по хозяйству: его нельзя рассматривать как задачу на один раз; напротив, эту работу нужно вести постоянно, чтобы обеспечить чистоту и безопасность окружающей среды.