На главную

Принципы безопасности: общее описание 2

Принцип необходимого знания и принцип минимальных привилегий Эти принципы настолько хорошо известны, что у них есть хорошо известные стандартные названия. Они и приведены выше. Принцип необходимого знания заключается в том, что каждый знает только то, что ему необходимо знать для осуществления своей работы. Никто ничего большего не рассказывает, даже если другой человек спрашивает. Мало того, желательно и здесь использовать принцип "в каждом модуле (человеке) - ошибка" и уменьшать количество людей, которым надо знать важную информацию или которые знают какую-то информацию в целом. Например. Допустим, у нас есть фирма. Мы устанавливаем в неё СЗИ (средства защиты информации). Часть СЗИ мы покупаем для этой фирмы официально через бухгалтерию и расчётный счёт. Часть СЗИ (других моделей, производителей и/или защищённости) мы покупаем через другую фирму так, чтобы об этом не знала наша бухгалтерия. Таким образом, наша бухгалтерия не знает полного состава СЗИ на нашем предприятии. Это, кстати, был принцип разделения. Ещё один аналогичный пример. Допустим, у нас есть сеть предприятия. Один администратор обслуживает всю локальную сеть и сервера нашей фирмы. То есть он знает всё. И ему это необходимо. Но мы можем вспомнить про то, что в каждом модуле (и человеке) - ошибка. И попытаться разделить информацию между двумя администраторами. Если нам не жалко денег, мы нанимаем второго администратора. Один будет обслуживать локальную сеть, а второй - важные сервера. При этом эти системы не имеют общих логинов и паролей. ---------------------------------------------------------------- Чем это плохо? Допустим, у нас есть источник информации - Евгений. Но кто этот источник знает только Александр. С одной стороны, это хорошо. Ведь никто другой не сдаст Евгения. С другой стороны, если Александр будет в командировке, больнице, тюрьме или умрёт, то Евгений не сможет передать ни ему, ни кому-то ещё срочную информацию. Также, если кто-то узнает, что именно и только Александр работает с источником, он может за ним установить плотную слежку. И тогда источник тоже будет потерян на время слежки. В конце концов, Александра можно просто убить. Таким образом, источник может быть потерян на какое-то время или навсегда. Но безопасности источника это не угрожает. В то же время, если бы об источнике знал бы ещё Виктор, то он мог бы продублировать Александра. Установить связь с Евгением тогда, когда Александра нет. Но Виктор мог бы оказаться агентом ОПГ и сдать Евгения. Евгений бы погиб. Причём точной причины никто не узнал бы. А так как Виктор считался надёжным, то он мог бы дублировать Александра и с какими-то другими источниками. Что повлекло бы за собой гибель и других источников, если они были бы. Кстати, принцип необходимого знания можно распространить и на технику. Чем меньше компьютеров и носителей информации обрабатывают информацию, тем лучше. ---------------------------------------------------------------- Ещё один пример Когда-то мой знакомый попросил меня позвонить одному должностному лицу предприятия и получить у него информацию. Сам знакомый находился далеко и не хотел тратить деньги на межгород. Я позвонил. Но должностное лицо отказалось со мной разговаривать, возмутилось. Мол, звоните другому должностному лицу. Я не знал, что сказать. Я передал это всё моему знакомому. И тут оказалось, что проблема как раз в том, что второе должностное лицо недоступно: он сам за границей, позвонить не получится. Поэтому и надо было позвонить тому лицу, которое отказалось со мной сотрудничать. Если бы я это знал, я бы мог сказать об этом при звонке, побудив лицо к сотрудничеству. Но я не знал. Информацию получить не удалось. Второй раз мы звонить не стали. То есть, из-за недостатка информации я, неожиданно, не смог выполнить простую, в общем-то, задачу. Конечно, тут ещё вопрос в дружелюбии должностного лица. Но, в любом случае, недостаток информации однозначно лишил меня возможности к какому бы то ни было манёвру. Поэтому, принцип необходимого знания хоть и хорош, но имеет очень нехорошую тенденцию. В самые экстренные или неожиданные моменты, именно когда надо чётко отработать в нестандартной ситуации, принцип необходимого знания вылезает наверх и лишает сотрудников возможности правильно решить нестандартную ситуацию. Потому что они точно не знают, что именно, для чего и как делают. Поэтому, в некоторых случаях, принцип необходимого знания нужно отложить в сторону. ---------------------------------------------------------------- Принцип минимальных привелегий аналогичен. Человеку или программе дают минимальное количество полномочий. Например, если ему не нужно заходить в какую-то комнату - то у него нет права туда заходить. Если программе не нужен выход в интернет, то для неё интернет заблокирован в фаерволе. Мало того, по умолчанию, интернет должен быть заблокирован для всех программ.
Скрытность Все наши действия, по которым противник может что-либо понять, должны быть скрытны. В том числе, наши методы защиты желательно тоже скрывать. Например. Допустим, мы - банк. Грабитель посмотрел что да как, потом ворвался в банк и, угрожая оружием, начал требовать от кассиров деньги. Кассир нажал на кнопку и вся внутренняя часть зала отделилась специальной бронированной перегородкой. Здесь есть два момента. 1. Если бы грабитель знал о защите, то, возможно, он просто не пришёл бы в этот банк 2. Если бы грабитель знал о защите, возможно, он смог бы понять, как её преодолеть и подготовится к ней или вывести её из строя То есть иногда защита может быть открыта, иногда скрыта. Однако, надо понимать, что когда вы работаете конспиративно, ваша защита тоже должна быть, по возможности, скрыта. Грубо говоря, если вы будете ходить по улице в тяжёлом бронежилете, это привлечёт к вам внимание.
Следующий принцип я называю принципом неадекватности реагирования. Это как? И зачем нам неадекватно реагировать? Этим способом мы хотим обеспечить некоторые особенности нашего поведения * Скрытность * Массированность сил и средств, резкость реагирования * Неожиданность * Устойчивость к наветам * Устойчивость к скрытности и манипуляциям Представим себе, что у нас неожиданно пропал источник информации. Что мы можем сделать? Начать его искать? Проверить его квартиру? Выйти на знакомых и спросить их, в чём дело? В принципе, всё это можно сделать. Хотя тут ещё вопрос состоит в том, что таким образом мы можем привлечь к себе внимание. Если кто-то специально изолировал наш источник и ждёт, пока мы будем искать о нём информацию, то он может заметить нашу активность. И по ней наш источник будет раскрыт. Поэтому, всегда нужно подумать, стоит ли его искать прямо сейчас, какие способы есть и насколько они скрытны. Как вариант, при пропаже источника мы можем среагировать неадекватно. А именно: ничего не делать. Пропал и пропал. Если надо будет, сам нас найдёт. Если с ним что-то случилось, мы не можем ему помочь уже ничем. Кроме этого, мы, возможно, не сможем установить даже причину отсутствия: человек умер от яда или от естественного сердечного приступа? Поэтому, возможно, и смысла реагировать на его отсутствие нет. Тем более, если мы можем привлечь внимание. То есть реагирование, конечно, адекватное, но для кого-то, субъективно, оно может показаться неадекватным. Возможно, от нас ожидают совсем другого. Далее. Допустим, по какому-то поводу (утечке, краже) мы начинаем подозревать какого-то человека. Очень часто эти подозрения не оформляются во что-то конкретное. Но репутация человека портится. Причём эти подозрения хотя и кажутся людям обоснованными, но не соответствуют действительности. Часто люди подвергаются манипуляциям или даже ситуация так объективно складывается, что человек вправду навлекает на себя подозрения. Но реально он абсолютно честен. Первым делом, конечно, нужно подумать, не манипулирует ли кто нами? Возможно, нам специально подсказали, кому надо недоверять? Не обязательно называть при этом фамилию и место работы. Иногда достаточно намекнуть на что-то такое, что вы свяжете это с какой-то ролью, а потом и с конкретным человеком, выполняющим эту роль. Это может послужить целью отведения подозрений от кого-то другого. Раз уже есть подозреваемый, то искать другого могут уже и не стать. Однако, допустим, у нас не сложилось впечатление, что кто-то нами манипулирует. Что мы можем сделать? Возможно, противник хочет сорвать какую-то нашу операцию или просто даже плановую деятельность, загрузив нас расследованием инцидента. Поэтому, в некоторых ситуациях мы можем просто проигнорировать данное подозрение. Это неадекватно, но может быть разумным шагом. Далее. В некоторых ситуациях на подозрение мы можем реагировать массированием сил и средств. То есть мы можем проверять это подозрение гораздо большими средствами, чем о нас ожидает противник. Наконец, мы можем вообще отстранить от работы человека, который вызвал подозрения безо всякого разбирательства. Действуя резко, неожиданно и даже грубо. Например, ложные сообщения о подозрениях в некоторых фирмах часто не наказываются. Подозрения не подтверждаются. Одно за другим они приходят месяцами, а то и годами на одного и того же неугодного человека. Создают вокруг него фон, нервотрёпку. "Опять у Иванова проблемы", - думает начальник. Хотя у Иванова-то как раз никаких проблем нет и не было. Просто фон разбирательств такой, как будто у него то и дело провалы идут. И, когда Иванов, наконец-то, по-настоящему ошибается, то это становится для начальника "последней каплей" - Иванова увольняют. А возможно, его увольняют даже без ошибки, потому что начальнику показалось, что теперь ошибка очень крупная, хотя реально Иванов просто принял нестандартное решение, которое начальник не понял. В конце концов, Иванов может уйти сам, так как ему надоест постоянная нервотрёпка из-за необходимости отбиваться от обвинений. Либо начать "не ссорится" с теми, кто на него наскакивает, то есть попасть под зависимость от них, выполняя какие-то их желания. Поэтому, в некоторых ситуациях ложные сообщения, которые не прекращаются, могут повлечь за собой сначала игнорирование факта ложности сообщений. А потом большую проверку. И, если факты снова не подтвердились, отставку уже того человека, который сообщал эти факты.
Письменность разбирательства Для того, чтобы это сделать, необходимо точно фиксировать, от кого и как именно появилась информация о каких-либо утечках и т.п. Кто поддержал обвинения, кто не поддержал и так далее. Устно лучше вообще не вести никаких бесед на такие темы. Если только это не допрос. Его тоже желательно фиксировать на видео. Однако, понятно, что фиксация допроса на видео при конспиративной работе - не то, что надо. Так как при утечке данного видео злоумышленнику попадёт слишком много информации. В любом случае, разбирательство должно быть записано, чтобы потом можно было разобраться, не повторяются ли какие-либо нападения от одного человека. При этом, нужно постараться сделать так, чтобы выявлять людей, которые нападают из-за того, что ими манипулировали другие люди. В принципе, люди, которыми можно просто манипулировать тоже должны подвергаться определённой изоляции.
Рептилоиды и неадекватность реагирования Представим себе такую невероятную вещь: рептилоиды существуют. Допустим, мы защищаем государство. Что для нас важно? Защитить органы контразведки, разведки, генеральный штаб и так далее. Однако, рептилоидам нет никакого дела до этого. Им гораздо важнее какой-нибудь неизвестный нам мальчик, на котором они поставили свой биологический опыт. Таким образом объект, который мы не только не защищаем, но и готовы им незадумываясь пожертвовать ради Родины, является для них ключевым. Это - ошибка приоритизации ресурсов. Мы расставили на защищаемых ресурсах неверные приоритеты. Проблема в том, что обычно мы не можем защищать всё одинаково хорошо. В то же время, работая с более мощным и умным противником, мы не можем точно знать, куда будет направлен их удар и какие наши ресурсы будут для них интересны. Например. Кому нужно взламывать компьютеры транспортной компании? Причём никто ничего не крал ни вживую, ни из компьютера, никто ничего не изменял. Только читал - и всё. Наркомафия отслеживала контейнеры, где были замаскированы их поставки, для того, чтобы если с контейнером что-то произойдёт, узнать об этом как можно раньше. Это типичный пример ошибки приоритизации. В транспортной компании вряд ли могли даже после поллитра такое представить. Но это было. Поэтому, даже если нам кажется, что некоторые ресурсы не имеет смысл атаковать, лучше защитить их всё равно хоть как-то. Сплошность защиты может оказаться важной составляющей: именно поэтому военные скрывают и секретят всё подряд. Иногда очень сложно догадаться, о чём и как именно догадается противник по каким-то данным.
В целом общий смысл таков: мы реагируем на какие-то вещи неадекватно для противника. Неожиданно. То игнорируем, то работаем. При этом, когда работаем, мы бросаем туда гораздо больше сил и средств, чем от нас могут ожидать. И работаем совсем не там, где нас ожидает противник.
Реагирование на корреляции и результат Когда что-то происходит мы часто можем видеть, что вокруг "крутятся" определённые люди. Причём их влияние может быть не очень понятно, но оно происходит. Часто именно так и выявляются утечки и агенты влияния. Нужно посмотреть, кто так или иначе был рядом тогда, когда мог повлиять. Кто посоветовал неверное решение? Кто подтолкнул другого человека к неверному решению? Очень важно успеть вовремя, так как не так много времени работает агент влияния, чтобы нанести значительный, непоправимый ущерб. Да и его следы иногда просто непонятно где искать. Поэтому, в некоторых ситуациях неадекватное реагирование идёт даже просто на плохо продуманное решение. Человека, который принял плохое решение исключают из группы. Очень важно именно жёсткое реагирование. Оно должно быть неадекватным, непредсказуемым. Так, чтобы агент влияния боялся бы влиять и не понимал, что происходит. Не понимал бы, когда накажут, а когда нет. Потому что смысл действий агента влияния состоит именно в том, чтобы влиять, оставаясь безнаказанным. Он совершает пусть и мелкие действия, но много и безнаказанно.
Требование высокой компетентности при групповой работе Наверно, вы видели в фильмах про гангстеров как мафиозный босс убивает подчинённого за плохо сделанную работу. Это как раз неадекватное реагирование на корреляции, только доведённое до маразма. Но для мафии в этом есть смысл. Кто знает, может он просто продался конкурентам? Или что-то делал для себя там, где надо было делать для других? Поэтому, в некоторых ситуациях очень важно хорошо продумывать решения и создавать в организации культуру ответственного принятия решений. Чтобы заранее тонко рассчитанный провал не удавалось бы выдать за плохо продуманное решение, за неудачу. Таким образом, тщательность работы и её аккуратность, когда речь идёт о групповой работе, должна быть возведена в культ до разумной степени. Там, где человек сталкивается с риском для группы, он должен его минимизировать и продумывать, как его минимизировать. Его могут убить, но группа должна остаться в неприкосновенности. Конечно, непрофессионалам, зачастую, такая тщательная работа просто недоступна: слишком мало знаний, навыка и интеллектуальных возможностей в этой сфере. Но к этому надо стремиться. Иногда ошибки должны прощаться, но часто - нет. Для более тщательной работы хорошо помогают следующие методики.
Разделение на "команды" Одному человеку, обычно, сложно разработать какую-либо операцию. Конечно, если вы просто прячетесь от назойливой рекламы корпораций, вряд ли кто-то вам поможет. Если только у вас нет такого же фаната-параноика в друзьях. Но если речь идёт о групповой работе, вы можете разделиться на несколько сторон. Допустим, мы разрабатываем план подрыва моста на занятой вражескими войсками территории. Изначально все участники разрабатывают меры по защите моста и по его атаке. Меры по защите моста обязательны. По атаке - по желанию. Все варианты предлагаются письменно. Можно предлагать варианты по нижеописанной схеме "абстракция и конкретика". Далее происходит отыгровка вариантов. Происходит приблизительное моделирование того, как будет работать разная защита на предложенных атаках и кто победил. Если не ясно, победила наша группа или нет, значит наша группа проиграла (что не означает, что решение надо выкинуть прямо сейчас). Далее, снова происходит разработка. По желанию, кто-то уходит на защиту, кто-то на атаку. Не запрещается играть за обе стороны. Однако, обычно человек акцентирует внимание на одной стороне. На основе новых идей или того, что предложено ранее, идёт разработка новых методов атаки и защиты. После нескольких итераций, будут разработаны некоторые меры. Затем проверяются экономические возможности этих мер. То есть то, будет ли противник применять эти меры. А также обсуждаются вопросы учёта особенностей поведения противника: допустим, противник любит минировать местность и, возможно, она заминирована на подходах к объекту. И так далее. Смысл в данном случае состоит в том, что игроки, скорее всего, разделятся на защитников и атакующих. Если нет, возможно, через какое-то количество итераций, более слабой группе нужно помочь. Или даже поменять местами группу атакующих и защитников. Тогда группы смогут сконцентрироваться только на задаче защиты или задаче атаки.
Абстракции и конкретика Иногда бывает так, что какой-то человек говорит абстрактный метод решения проблемы. Но не знает, как его осуществить конкретно. Грубо говоря, один говорит, что нужно перемножить 123456789987654321 на 987654321123456789. А у другого есть калькулятор :) . Поэтому, абстрактные планы также могут приниматься, даже если точно непонятно, как их реализовать. Например, один человек говорит, что нужно подплыть по реке под мостом и заминировать его снизу. Но пузырьки воздуха от акваланга их выдадут. Нужно что-то, чтобы пузырьков не было. Второй говорит: хорошо. Воспользуемся не аквалангами, а изолирующими противогазами. Многие люди хорошо работают только в таких парах. Причём не обязательно, что они всегда предлагают абстракции или всегда конкретику.
Учения и предварительные проверки После того, как было решено воспользоваться изолирующими противогазами, надо проверить, действительно ли изолирующие противогазы пригодны для длительного дыхания под водой. Поэтому, если есть возможность, должны быть проведены такие проверки. Однако, нужно понимать, что на этих проверках тоже можно случайно попасться. То есть они увеличивают риск провала. Аналогично. Допустим, мы предполагаем, что определённые подходы к мосту заминированы. Есть ли какие-либо доказательства этого? Например, по каким-то дорожкам никто не ходит и их охраняют. Но охрана сменяется не по этим дорожкам. Необходимо, чтобы все элементы работы были проверены. Чтобы порядок работ был ясен всем. В частности, в авиации, в обучении, есть такая вещь как "пеший по лётному". Когда лётчики становятся в звено и начинают на земле отрабатывать манёвры, как будто делают их в воздухе. Манёвры можно делать даже на бумаге. При этом нужно учитывать, что могут возникнуть случайности: отказы, столкновение с противником, неожиданная тревога по другому поводу. Применяя принцип абстракции и конкретики здесь также можно подумать и об абстрактных проблемах. Грубо говоря, мы не знаем, что произошло, но нашим водолазам нет возможности двигаться. Ни назад, ни вперёд. Некоторое время они будут стоять. То есть нужно им запас по времени дать. В минировании произошли проблемы: тоже задержка. Уронили мелкий элемент мины (крепежа) на дно. Найти не смогли. Не смогли прикрепить мину. Не смогли взять с собой снаряжение или уничтожить его. Пришлось где-то оставить. По нему их могут найти. Попали в оцепление, хотя должны были уйти до него. Отказ противогаза под водой. Заблудились. Были обнаружены и попали в окружение. Кто-то из пловцов выдохся и не может поддерживать темп. Кто-то ранен. Мина не взорвалась. Встретили решётку под водой или другое препятствие. Не смогли подплыть. Пришлось уйти по неразведанному пути отхода. И т.п. На все эти варианты, в идеале, нужно проработать свой план. Например, на мине не должно быть отпечатков пальцев. Если она не взорвётся и её найдут, то должно быть непонятно, откуда она взялась. Там вообще не должно быть ничего, что указывало бы на то, кто это сделал. Пока прорабатываются альтернативные варианты, могут быть предложены новые идеи на счёт основного. При этом, конечно, альтернативный вариант может быть проработан и проверен в меньшей степени, чем основной. Или вообще не проверен, если это слишком сложно или опасно.
Суд Ещё один приём, который может вам помочь работать более тщательно. Представьте себе, что вас судят за неудачу. Можно даже представить себе, что вы погибли, и судят за неудачу вас заочно. Прокурор или какой-нибудь ваш недоброжелатель делает всё, для того, чтобы выставить вас виновным. Вы и то не сделали, и то могли сделать, но не сделали. И так далее. Никаких презумпций невиновности он не знает и никогда о них не слышал. Это беспринципный человек, который хватает любую возможность. Ну, разумеется, речь идёт о возможностях объективно вас обвинить. То есть факты он не искажает, возможно, только лишь накладывает на вас дополнительную ответственность.
У меня нет права на проигрыш! У вас нет права на ошибку. Если вы проиграете, погибнете и вы, и ваши товарищи. Возможно, весь мир. Кто знает? Вы не можете ошибиться. Вы должны сделать всё так, чтобы с гарантией победить. Вы должны обеспечить гарантию. Однако, иногда использование такого пункта приводит к слишком медленным решениям по типу государственных реформ, которые изменяют документы, но не изменяют сути.
Игра После того, как вы воспользовались предыдущим пунктом, иногда надо расслабится. Представьте себе, что жизнь - это игра. В ней можно сохранится и загружаться. Возможно даже, в ней есть читы. Пофантазируйте, что бы вы делали, если бы могли летать? Если бы у вас был тяжёлый бомбардировщик? Гранатомёт? Танк? Что, если бы вы могли видеть сквозь стены. После игры можно посмотреть, что обеспечило вам победу. Например, если вы видели сквозь стены, нельзя ли поставить наблюдателей (или камеры) и обеспечить какое-то приближение к такому видению?
Зачем нужны принципы безопасности?.