Глава 1. О работниках

1.1

Однажды Сисадмин пожаловался Учителю:

– Мы выдали всем нашим пользователям индивидуальные пароли, а они не желают хранить их в тайне. Записывают на листочках и приклеивают к мониторам. Что нам делать? Как заставить их?

Инь Фу Во спросил:

– Сначала скажи, почему они это делают.

Сисадмин подумал и ответил:

– Может быть, они не считают пароль ценным?

– А разве пароль сам по себе ценный?

– Не сам по себе. Ценна информация, которая под паролем.

– Для кого она ценна?

– Для нашего предприятия.

- А для пользователей?

– Для пользователей, видимо, нет.

– Так и есть, – сказал Учитель. – Под паролем нет ничего ценного для наших работников. Надо, чтоб было.

– Что для них ценно? – спросил Сисадмин.

– Догадайся с трёх раз, – рассмеялся Учитель.

Сисадмин ушёл просветлённый и сделал на корпоративном портале персональные странички для всех работников. И на тех страничках был указан размер зарплаты. Узнав об этом, все пользователи забеспокоились о своих паролях. На другой день в курилке обсуждали размер зарплаты Главбуха. На третий день ни у кого не было видно листочков с паролями.

1.2

Однажды Сисадмин пожаловался Учителю:

– Наш Техдиректор не хочет выполнять требования безопасности. Всем положено иметь антивирус, а он не ставит. Как на него повлиять?

– Попробуй его убедить, – сказал Инь Фу Во.

Сисадмин ушёл убеждать, но вскоре вернулся разочарованным:

– Я не смог убедить его, Учитель.

– Почему так случилось? – спросил Инь Фу Во и сразу же заметил. – Но только ответь честно, без пристрастия и обиды.

Сисадмин подумал, опустил глаза и тихо сказал:

– Наверное потому, что он знает об информационной безопасности больше меня.

– Ну, если Техдиректор знает больше тебя, что совсем не удивительно, – заметил Учитель, – то ему виднее, где нужен антивирус, а где нет.

– А как же тогда Политика безопасности! – воскликнул Сисадмин.

– А кто писал эту Политику?

Сисадмин потупился и сказал:

– Я.

Учитель мудро промолчал, и Сисадмин ушёл просветлённый.

1.3

Однажды в курилке пользователи стали возмущаться, что Сисадмин закрыл всем доступ на сайт "Одноклассники". Инь Фу Во услышал об этом и нахмурился.

– Почему ты закрыл людям доступ? – спросил он у Сисадмина, когда они после перекура пили кофе.

– Потому что такие сайты не нужны для работы.

– А курить нужно для работы?

– Вообще-то нет...

– А кофе пить?

– Ну...

– Ну тогда, – сказал Учитель, – открой людям доступ.

1.4

Однажды Сисадмин захотел установить в локальной сети сканер безопасности.

Инь Фу Во сказал:

– Не делай этого.

– Но почему?

– В нашей сети сто компьютеров. Сканер найдёт тебе по две-три уязвимости на каждом из них.

– Ну, да, найдёт...

– А что ты будешь делать с этими уязвимостями?

Сисадмин задумался и ничего не ответил Учителю. Сканер безопасности он не поставил.

1.5

Однажды Сисадмин пожаловался Учителю:

– Антивирус не помогает. Установлен на всех рабочих станциях и обновляется дважды в день. А всё равно каждую неделю кто-то заражается и теряет данные.

Инь Фу Во с сожалением покачал головой.

– Надо что-то делать, – продолжал Сисадмин.

Учитель слегка покивал. Сисадмин спросил:

– Что лучше: поставить всем новый многоядерный антивирус или поднять централизованную систему бэкапа?

Инь Фу Во ответил:

– Проведи курсы для пользователей.

1.6

Однажды Директор решил взять на работу Эникейщика. Инь Фу Во нашёл кандидата, поговорил с ним и остался доволен. Он сказал Директору:

– Этот человек обратил свои помыслы к учёбе. Возможно, из него получится достойный работник.

Но начальник службы безопасности стал возражать:

– У этого человека была судимость. Его нельзя брать на службу.

Тогда Инь Фу Во спросил:

– Как вы узнали об этом?

– У меня есть связи.

Почтенный Инь помрачнел лицом и сказал Директору:

– Какой из двух работников более добродетельный? Первый совершил преступление и понёс заслуженное наказание, которое могло его вразумить. Второй совершил преступление сам, подбил на совершение преступления государственного служащего, при этом не чувствует за собой вины и никогда не понесёт наказания? Какой из этих двух достоин выдвижения?

Начальник службы безопасности молча встал и вышел.

1.7

Однажды Директор спросил Инь Фу Во про защиту от внутренних угроз. Тот сказал:

– Во внешнем мире есть сто человек, которые хотели бы заполучить конфиденциальную информацию из вашей сети. И есть пять, которые способны это сделать. Но эти сто вряд ли встретятся с этими пятью.

Ещё Учитель сказал:

– А в вашей внутренней сети есть пять пользователей, которые хотели бы заполучить конфиденциальную информацию. И есть сто, которые могут это сделать. И они уже встретились.

1.8

Однажды Директор пришёл к защитнику Иню за советом. Директор сказал:

– Я хотел бы заставить всех пользователей соблюдать строгие правила безопасности. Но тогда они обидятся на меня и станут хуже работать. Я хотел бы дать пользователям полную свободу. Но тогда они нахватают вирусов, разгласят конфиденциальную информацию, и наш бизнес пострадает. Как мне найти золотую середину?

Инь Фу Во ответил:

– Высота забора равна высоте самого низкого участка. Прочность цепи равна прочности слабейшего звена. Заставь самых нерадивых из пользователей соблюдать те правила безопасности, которые без принуждения соблюдают все остальные.

– Как просто! – воскликнул Директор и ушёл просветлённый.

1.9

Директор спросил почтенного Иня:

– Мне предлагают купить систему защиты от несанкционированного доступа. Стоит ли она денег, которые за неё просят?

Инь Фу Во в ответ спросил:

– Сколько у вас было случаев несанкционированного доступа за последние три года?

– Ни одного, – ответил Директор.

– А сколько ноутбуков и флэшек потеряли ваши работники за это время?

– Два ноутбука, – ответил Директор, – а флэшки никто не считал.

– Почему бы вместо этого не купить систему для шифрования информации на ноутбуках и флэшках? – сказал Инь Фу Во.

1.10

Однажды Директор спросил почтенного защитника Иня про защиту от внутренних угроз. Тот сказал:

– Внутренний враг бывает злонамеренный и неосторожный. Неосторожный враг подобен каплям дождя, что многочисленны и летят по воле ветра. От дождя легко заслониться зонтом. Злонамеренный враг подобен комару, который кусает в незащищённое место. Заслониться от него зонтом нельзя.

Директор ещё спросил:

– А какой инсайдер хуже, злонамеренный или неосторожный?

Инь Фу Во ответил:

– Нельзя так ставить вопрос. Оба они хуже.

1.11

Как-то Сисадмин спросил:

– Учитель, не желаете ли красивую картинку для вашего десктопа? У меня есть коллекция "обоев для рабочего стола" со звёздным небом и моральным законом.

– Почему ты думаешь, что мой нынешний "wallpaper" хуже? – спросил в ответ Инь Фу Во.

– Я не знаю, какая у вас картинка сейчас. Я никогда не видел вашего десктопа. У вас всегда открыто множество окон.

– Я тоже его никогда не видел, – сказал почтенный Инь. – Я работаю.

1.14

Сисадмин спросил Учителя:

– В статье написано, что любое усиление безопасности снижает лояльность работников. Это правда?

Инь Фу Во ответил:

– На самом деле усиление безопасности снижает удобство. Снижение удобства повышает усталость. Повышение усталости снижает добросовестность. А снижение добросовестности работников – это и есть то, чего следует избегать.

– Тогда что же такое лояльность? – спросил Сисадмин.

– "Лояльность", – усмехнулся Инь Фу Во, – это японцы выдумали, чтоб денег не платить.

Глава 2. О шифровании

2.1

Однажды Сисадмин спросил почтенного защитника Иня:

– Учитель, почему вы не пользуетесь ЭЦП?

– У надёжных средств ЭЦП нет сертификата. У сертифицированных нет удобства. У удобных нет надёжности, – ответил Инь Фу Во.

2.2

Инь Фу Во два дня настраивал VPN-туннель для своего персонального компьютера. Когда туннель заработал, Инь уселся, почтительно повернувшись лицом к югу, и стал читать свою френдленту.

– О, Учитель, – спросил его Сисадмин, – я не могу понять, зачем вам VPN?

– Ты разве не знаешь, что в VPN-туннеле весь трафик шифруется? – удивился Инь.

– Знаю. Но ваш туннель терминируется на обычном сервере в стране западных варваров. А далее весь ваш яшмовый трафик идёт по Сети в открытом виде.

– Сети нет дела до моего трафика, чего не скажешь о провайдере, – ответил Учитель. Видя, что Сисадмин не понял, он добавил. – Вот, например, ты доверил свои деньги банку.

Сисадмин кивнул.

– Но ты не можешь доверить все свои деньги собственной супруге, – продолжал мудрый Инь. – Почему? Потому что она может посчитать эти деньги своими. А с банком такого не случится.

Просветлённый Сисадмин ушёл поднимать себе VPN-туннель.

2.3

Сисадмин спросил Инь Фу Во:

– Правда ли, что любой шифр можно сломать?

Учитель ответил:

– Можно. Но не "шифр", а систему из четырёх: алгоритм, реализация[2], окружение[3] и оператор.

Сисадмин ещё спросил:

– А что из этих четырёх самое непрочное?

– Стыки между ними, – ответил Учитель.

2.5

Инь Фу Во сказал:

– Шифрование – это обмен большого секрета на маленький секрет. Этот маленький должен помещаться в голове. Когда пароль в голове держится хуже, чем в компьютере, шифрование не приносит пользы.

2.7

Сисадмин желал подобрать себе стойкий пароль для централизованной авторизации через radius-сервер. Он обратился за советом к Инь Фу Во.

– Как вы думаете, Учитель, пароль "史達林格勒戰役" стойкий?

Нет, – ответил мастер Инь, – это словарный пароль.

– Но такого слова нет в словарях...

– "Словарный" означает, что это сочетание символов есть в wordlists, то есть "словарях" для перебора, которые подключаются к программам криптоанализа. Эти словари составляются из всех сочетаний символов, которые когда-либо встречались в Сети.

– А пароль "Pft,bcm" подойдёт?

– Вряд ли. Он тоже словарный.

– Но как же? Это же...

– Введи это сочетание в Гугле – и сам увидишь.

Сисадмин защёлкал клавишами.

– О, да. Вы правы, Учитель.

Через некоторое время Сисадмин воскликнул:

– Учитель, я подобрал хороший пароль, которого не может быть в словарях.

Инь Фу Во кивнул.

– Я ввёл его в Гугле, – продолжал Сисадмин, – и убедился, что в Сети такого сочетания нет.

– Теперь есть.

2.10

Директор сказал:

– Зачем нам шифровать содержимое дисков? Зачем нам VPN? У нас нет противозаконной информации.

Мудрый Инь Фу Во ответил:

– Безгрешность – не результат праведности, а результат наивности.

Глава 3. Об этике

3.4

Однажды инженер Чжа Вынь сообщил:

– Я нашёл уязвимость в программе «Лин». Что вы об этом думаете, Учитель?

– Надо сообщить Производителю.

Через некоторое время Чжа Вынь снова пришёл к почтенному защитнику Иню.

– Я написал об уязвимости Производителю. Мне ответили, что закроют уязвимость только в следующей версии. Она выйдет через полгода.

Инь Фу Во помрачнел:

– Напиши им, что мы опубликуем эту уязвимость ровно через две недели.

Через три дня вышел патч к программе «Лин».

– А если бы они не выпустили патч? – спросил Сисадмин Учителя. – Вы бы позволили Чжа Выню опубликовать найденную уязвимость?

Инь Фу Во мягко улыбнулся и сказал:

– Нет. Дао информационной безопасности тем и прекрасен, что по нему нельзя идти в одиночку. Как только ты опередил других, другие ускоряют шаг. Как только ты оторвался от других, ты покинул Дао.

3.5

Прочитав статью в журнале, Учитель заметил:

– Человек не есть «слабейшее звено в информационной безопасности». Человек вообще не есть звено.

3.6

Однажды Сисадмин спросил:

– Учитель, вы всегда говорите, что надо делиться знаниями в области защиты информации со всеми, кто пожелает учиться.

Инь Фу Во кивнул.

Сисадмин продолжал:

– Но ведь бывают и опасные знания! Особенно знания в информационной безопасности.

Инь Фу Во воскликнул:

– Опасные знания?! Знание опасно для того, кто им НЕ обладает.

3.11

Однажды к почтенному защитнику Иню пришёл Хакер.

– О, мудрый Инь, – сказал он, – обучи меня своему искусству.

– Перед этим тебе придётся пройти испытание. Взломай вот этот компьютер, – и Инь Фу Во написал на листке IP-адрес.

– Но это же мой собственный компьютер! – удивился Хакер.

– Именно так, – подтвердил Учитель. – Ты должен взломать его, не используя известные тебе пароли.

Хакер за один час справился с испытанием.

– Я буду учить тебя, – сказал Инь Фу Во.

Через три года Учитель снова дал Хакеру такое же задание. Хакер не смог его выполнить.

– Теперь твоё обучение закончено, – сказал Инь Фу Во.

3.12

Инь Фу Во сказал:

– Защитник информации не ликвидирует угрозы. Он перераспределяет угрозы между людьми. От менее доверяемых к более доверяемым.