Известно, что в авиационных катастрофах погибает значительно меньше народу, чем в железнодорожных, а уж тем более в автомобильных. Несмотря на это существует множество людей, которые боятся летать на самолетах, а вот в поезд почти все садятся без опаски. Похоже, что такая же ситуация складывается и в области компьютерных коммуникаций: шумиха вокруг вероломных хакерских нападений создает впечатление, что именно они представляют главную угрозу безопасности сетей. На втором месте стоят службы, обеспечивающие прохождение трафика, которые вместо того, чтобы выполнять свои прямые обязанности, якобы постоянно заняты чтением чужих писем, поэтому хочется все получше зашифровать, и по возможности так, чтобы никто никогда не расшифровал. В общем, когда речь заходит о безопасности, вспоминается небезызвестная шпионская инструкция “перед прочтением сжечь”.
К счастью, несмотря на ужас при мысли о катастрофах, разрабатываются правила дорожного движения и железнодорожные инструкции. И всеобщий страх перед хакерами не сбивает с толку профессионалов, которые исследуют проблемы надежности и безопасности компьютерных сетей. Поэтому семинар “Защита информации в Web” из серии “Интернет: практическое применение”, организованный Центром гуманитарной информатики “ИнфоАрт” 29 октября, хотя и уделил некоторое внимание леденящим душу историям взломов Сети, в основном был посвящен методике и политике обеспечения безопасности.
В названиях почти всех докладов фигурировали слова “надежность” и “безопасность”, поэтому перечислять их нет смысла. К тому же семинар проходил в атмосфере живого общения, вопросы не откладывались на конец выступления, а задавались по ходу дела, и часто начиналась общая дискуссия, что не мешало работе, а даже делало ее более продуктивной.
Особенно интересными мне показались сообщения Федора Никитина (Ассоциация защиты информации “Конфидент”) и Владимира Галатенко (“Инфосистемы Джет”), которые продемонстрировали профессиональный подход к проблеме, не ограничиваясь частными решениями, а исследуя общие концепции. Главный вывод, к которому пришли оба докладчика, кажется очевидным, когда он сформулирован, и тем не менее постоянно упускается из виду: меры безопасности должны быть основаны на политике безопасности, которая, в свою очередь, должна реализовываться сверху вниз. В докладах обсуждались концепции разработки этой политики на различных уровнях функционирования сети, от физического до прикладного.
По мнению профессионалов, угроза, исходящая от хакеров, на порядок меньше опасности, связанной с невнимательным отношением персонала всех уровней к выполнению элементарных правил. Чаще всего “взлом” становится возможным не потому, что у взломщика оказалась под рукой особо качественная отмычка, а оттого, что хозяин просто забыл ключ в замке, и нашелся кто-то, кто заметил его и повернул. А случается, что безопасность нарушается не по злому умыслу, а просто по недомыслию. Видимо, в настоящее время одна из главных проблем состоит в дефиците квалифицированных работников, которые имеют специальную подготовку.
Информацию о семинарах из серии “Интернет: практическое применение” можно получить по телефону: (095) 181-9303.
Т. Б.
