Мы не раз писали, что подавляющее большинство пользователей имеет крайне смутное представление о том, что такое информационная безопасность, и тем более о мерах по ее обеспечению.
Сотрудники Pew Research Center провели опрос 4272 взрослых граждан США. Результаты оказались весьма странные для страны, которую считают первой по части инновационных веб-разработок. Всего лишь 2% респондентов смогли верно ответить на все десять вопросов. При этом исследователи спрашивали о базовых вещах: фишинг, 2FA, HTTPS, файлы cookies, конфиденциальный режим просмотра в браузере и тому подобное.
Помимо этого, около 30% граждан знают, что означает URL, начинающийся с «https://» — что введённая на этом ресурсе информация зашифрована. Почти такой же результат по части конфиденциального режима просмотра веб-страниц в браузере. Только 24% знают, как это работает на самом деле. Удивительно, что большинство американцев даже не подозревают, кто владеет Instagram и WhatsApp. Лишь 29% ответили, что это Facebook.
Вряд ли в России / на Украине / в Казахстане / в других странах ситуация отличается. И мы не думаем, что картина будет другой, если провести опросы, например, по вопросам финансовой грамотности. Это в общем-то нормально, хотя и очень печально. Можно много рассуждать о необходимости защиты от мошенников, но тот, кому в сети интересны лишь котики, даже не заметит этих новостей. Если посмотреть на карту связей сайтов сети Интернет, то можно увидеть, что она напоминает архипелаг, где взаимодействие между островами интересов достаточно слабое.
Но как же тогда наладить безопасность пользователей, если сами они, скажем прямо, не хотят или боятся это сделать?
Созданное менее года назад Агентство кибербезопасности и охраны инфраструктуры (Cybersecurity and Infrastructure Security Agency, CISA) хочет получить право на законных основаниях запрашивать у интернет-провайдеров контактную информацию владельцев уязвимых устройств и систем.
CISA, в чьи обязанности входит предупреждение правительственных и коммерческих организаций об уязвимостях, жалуется на отсутствие возможности уведомлять коммерческие компании о проблемах с безопасностью, поскольку выявить владельца проблемной системы можно далеко не всегда. Новые полномочия позволили бы CISA предупреждать об угрозах непосредственно владельцев уязвимых критических устройств.
На данный момент агентство может запрашивать информацию, имея на руках ордер. Но, как правило, получить ордер можно только тогда, когда всё уже случилось, а хочется предотвращать возможные ИБ-инциденты – вирусные заражения, кражи денег, утечки персональных данных, взломы почты и т. д.
Злоумышленники не связаны моральными ограничениями и, найдя в сети уязвимое устройство, атакуют его. Органы защиты тоже могут сканировать сеть в поисках уязвимых устройств (и это действительно необходимо, ведь пока гром не грянул, отчеты нанятых аудиторов будут показывать лишь то, что хочет заказчик). Но вот уведомлять компанию – владельца уязвимых систем на законных основаниях они не могут.
Почему компании не хотят такого внимания к себе, это же в их интересах? Всё просто. Только представьте ситуацию: утро, секретарша приносит вам кофе. И тут врывается руководитель департамента ИБ и уведомляет, что СРОЧНО нужно внести изменения в работу средств безопасности. Кому такое понравится?