То, о чем так долго говорили, опять подтвердилось. Вторым по популярности паролем (после 123456) у пользователей является слово… «пароль» (а точнее «password»). Таковы результаты исследований Марка Барнетта, автора книги «Perfect Passwords». А все потому, что, как мне кажется, службы ИБ так и не поняли всю важность повышения осведомленности и работы с пользователями, концентрируясь на совершенно иных, как правило, технических аспектах своей работы.
Продолжаем — напишу про то, что было на лондонском
На днях в Сиднее компания Gartner, которую многие уже
Думаю, многие из вас если не знакомы с законом Гудхарта
Что-то подзатянул я с выпуском дайджеста —
Мобилизация мобилизацией, а законодательство по ИБ
Думаю, что вы слышали о взломе , , , , Microsoft, , , ?
Август месяц, время отпусков, но законодатели не спят
Почти месяц не публиковал дайджест новинок законодательства
Круто, но… Почему-то в его топ-500 ни одного пробела, дефиса и подчеркивания. Не верю! (с)
Уж хотя бы «f*ck you» и «no password» обязаны же быть.
А я верю. До сих пор бытует распространенное мнение (у пользователей), что в пароле не может быть никаких пробелов и других спецсимволов. Поэтому они и не попали в топ500
Не, в «f*ck you» или «hip-hop» более одной группы знаков, поэтому это сложные пароли, такие не проверялись.
Я думаю там провели просто опрос пользователей и тупо спросили
А вот участники одного круглого стола (http://www.sciam.com/article.cfm?id=industry-roundtable) пришли к выводу, что в долгосрочной перспективе безопасность практически не зависит от уровня осведомленности пользователя, и на фоне быстро меняющегося профиля угроз awareness program становится неэффективной. Причем, например, Диффи (да-да, тот самый) отвергает существование незыблемых принципов, о как.
В долгосрочной перспективе вообще ничто ни от кого не зависит 😉 Разумеется учить как бороться с угрозами, которые появятся лет через 15-20 сейчас бессмыслено. Но рассказать об опасности самых распространенных проблем, тем самым снизив вероятность их проявления, необходимо.
Не знаю как в долгосрочной, а вот в текущей краткосрочной перспективе осведомленность пользователей кое что решает. В качестве примера могу привести факт из собственного опыта, когда после тотально проведенного насильного обучения пользователей азам антивирусной безопасности с обязательной успешной сдачей теста результаты мониторинга антивируса (не зависящие от мнения людей) показали что количество инцидентов сократилось в полтора раза. причем без дальнейшей тенденции к увеличению.
Если людям постоянно вбивать в мозги что надо делать так то, все равно определенная часть начнет делать именно так как требуют. Если бы это не было заложено в психику человека, реклама не выжила бы 🙂
Дмитрий.