Любой замóк можно взломать. IT-безопасность для вас и вашей библиотеки*

Мы все — мишени. Множество программ-ботов круглосуточно рыщут по интернету в поисках лёгкой добычи в виде доступа к нашим информационным ресурсам, поскольку практически вся она имеет определённую ценность и может мотивировать хакера на кражу или просто на заимствование без нашего ведома.

Об авторе
Блейк Карвер — магистр в области библиотечных наук, старший системный администратор LYRASIS, а также LISNews, LISWire и LISHost. В течение нескольких лет выступает по вопросам IT-безопасности. Статья основана на лекции, которую он прочитал на конференции Computers in Libraries в 2013 г.

Сегодня барьеры для подобных краж ниже, чем когда-либо, что только усугубляет ситуацию. Единственный способ начать задумываться о личной и библиотечной безопасности, это задать себе несколько вопросов:
• Что вы можете потерять?
• Что ваша библиотека и её пользователи могут потерять?
• В конце концов, кто они, эти «плохие парни»?
Это поможет вам осознать: всем нам есть что терять, все мы должны предпринимать определённые шаги в поддержку собственной и библиотечной безопасности. Также важно понимать, что, в принципе такого понятия, как безопасный компьютер, не существует, и мы, к сожалению, не может обеспечить 100% гарантированную защиту. Однако мы можем усилить защиту информации и снизить риск её утраты или искажения. Нам необходимо понимать, с чем надо бороться. Мы хотим уменьшить не только потенциальную частоту потерь, но и их масштабы, максимально защитить наиболее ценное.
Чтобы в этом преуспеть, мы должны помнить о двух ключевых моментах: любой замок можно взломать, а самым слабым звеном в системе безопасности является человеческий фактор.
Сначала следует поговорить о людях, которые:
• выбирают слабые пароли; не запоминая, записывают их, делятся ими и используют по несколько раз;
• доверяют электронной почте то, что не следует;
• не задумываясь отправляют то, что не следует, в “Twitter” или “Facebook”;
• опрометчиво следуют по ссылкам, не представляя, куда те могут завести;
• не поддерживают в актуальном состоянии свои компьютеры и программное обеспечение;
• подключают внешние носители информации, не имея представления об их происхождении.
Конечно, все мы хотим, чтобы наши компьютеры хорошо работали, при этом не желаем сильно нагружать себя вопросами безопасности. Всё, что нам нужно, — это надёжность без особых забот. Вместе с тем мы часто совершаем опрометчивые поступки по причине усталости или занятости: записываем пароли, находим более важные дела, чем обновление систем компьютеров и программ. Не потому, что мы ленивые, а потому, что каждый новый уровень безопасности ставит новые задачи — сложнее, чем прежде. Следует признать: большая часть сказанного выше и многое из того, что последует дальше, покажется достаточно нудным и обременительным, требующим постоянных усилий и затрат, при том что потенциальный ущерб не обязательно будет так уж велик. Налицо низкая мотивация и недопонимание важности проблемы. Люди выбирают самый простой и быстрый способ достижения цели и просто надеются на лучшее.
В большинстве случаев взлом не требует особой подготовки, фундаментальных знаний или много времени. Хакеры крадут всё, что попадает под руку, в том числе и у «простых людей».
Даже если украденное, на первый взгляд, ничего не стоит, им можно воспользоваться, чтобы причинить владельцу неприятность или, используя захваченные ресурсы, распространить вредоносное программное обеспечение (ПО) «в тёмную». В мире хватает «плохих парней», готовых платить за пароли электронной почты, логины онлайн-игр и “Facebook”, а также за доступ в компьютеры для заражения их «троянами». Годится почти всё, что у вас есть. Библиотеки становятся мишенями из-за ваших знаний информационно-библиотечных ресурсов, наличия компьютеров открытого доступа, электронных каталогов, баз данных и многого другого.
У «плохих парней», с которыми мы боремся, самые разные цели. Некоторые из них — просто обычные злоумышленники, другие — или спамеры или так называемые «тайные оптимизаторы», способные поменять позиции информационного ресурса в «объективном» интернет-рейтинге или ранжированном списке. Среди них могут быть агенты или источники «постоянной угрозы повышенной сложности», маскирующие свою деятельность с помощью легальных инструментов атакуемого ресурса, корпоративные шпионы или просто «хактивисты». Но в большинстве случаев это просто черви, тупо ищущие уязвимые фрагменты компьютерного кода. Они живут везде, и их трудно выявить, потому что они прячутся за прокси и ботнетами. В ходе недавнего опроса 583 американских компаний, проведённого Ponemon Institute*, 90% респондентов заявило, что компьютеры в их организациях взламывались, по меньшей мере, один раз в течение года.
А сейчас вспомните мой первый вопрос: «У вас есть, что терять?». Безопасность — это реальная проблема для всех нас.

Обеспечение системы безопасности в вашей библиотеке
Словом, есть все шансы, что ваша библиотека рано или поздно станет мишенью. Не думайте, что вы находитесь в безопасности только потому, что являетесь небольшой библиотекой, ведь когда дело доходит до взлома, размер значения уже не имеет. Независимо от размера веб-приложения подвергаются воздействию некоторых типов атак в среднем каждые две минуты — так утверждает фирма по безопасности «Imperva», и любой, имеющий доступ к логам веб-сервера, согласится с этим. «Плохие парни», вооружённые автоматизированными инструментами, с лёгкостью нацеливаются на всё и вся, независимо от того, что находится внутри. Эти инструменты могут легко сканировать тысячи подключённых устройств (веб-сайты, принтеры, электронные каталоги, компьютеры, серверы и всё, что имеет IP-адрес) в поиске возможных брешей в безопасности. А они есть у всех. Кажется, что они охотятся за всем! Может быть, их задача взломать программное обеспечение. Возможно, они хотят разослать спам, заняться «тайной оптимизацией» или получить доступ к персональной информации вашего работодателя. Или анонимно проникнуть ещё куда-либо через ваш сайт. Это лишь малая часть того, что они могут сделать быстро и легко.

Почему безопасность — тяжёлая ноша?
Достижение информационной безопасности — на самом деле непростая работа. Когда доходит до защиты ваших IT-ресурсов, очень легко сделать ошибку или просто упустить что-нибудь из виду. Предполагаю, что в каждой библиотеке есть миллион проблем, о которых следовало бы беспокоиться. Жертвами взлома становятся не только простаки; ими может стать любой и каждый. Даже лучшие из нас упускают что-то из вида и совершают ошибки, приводящие к нарушениям правил безопасности.
Большинство библиотек не имеет ни средств, ни времени, ни сотрудников, чтобы обеспечить безопасность даже малому числу имеющихся ресурсов. Библиотеки побольше могут позволить себе уделить время и средства на внедрение системы безопасности, тем самым создавая новое поле для забот и беспокойств. К сожалению, расширить границы безопасности непросто. Это не означает, что вы должны отказаться от обеспечения безопасности и надеяться только на лучшее.
Каждый сотрудник вашей библиотеки обязан нести определённую долю ответственности. То, за что нарушитель платит копейки, стоит намного дороже для тех, кто пытается обеспечить защиту. Наши компьютеры подвергаются постоянному воздействию вредоносного ПО. Оно уже настолько совершенно, что способно многократно модифицироваться и вновь запускаться, оставаясь абсолютно незамеченным. Оно способно самостоятельно устанавливаться и обновляться, имеет сложный центр управления и контроля, который в итоге позволяет имитировать нормальную работу компьютера. Разработчики этих инструментов всегда на шаг впереди тех, кто обеспечивает безопасность. Ведь так легко шпионить за пользователями, используя чужие компьютеры, или сделать их частью бот сети, которая уже не раз создавала проблемы во многих точках мира.

Понимание угроз повышает вашу безопасность
Не обязательно быть экспертом по вопросам безопасности, но хорошее понимание угроз не помешает. Взгляните на свою библиотеку, обратите особое внимание на всё, что имеет IP-адрес, и попробуйте поставить себя на место злоумышленников. Вы должны думать о том, что они могут попытаться заполучить, и насколько легко это может сработать. Облегчая их задачу, вы увеличиваете вероятность нападения. Они могут пожелать заполучить имена пользователей и пароли. Или, используя SQL, создать и запустить вредоносное ПО, испортить ваш сайт.
Невозможно защититься от всех возможных атак, но важно знать, как проводятся наиболее распространённые, чтобы сфокусировать внимание на областях, которые особо уязвимы для взлома. Как только «плохие парни» находят вход, они стараются разобраться, что происходит вокруг. Сначала они пытаются понять, как всё работает. Выбирая защиту, постарайтесь сконцентрироваться на выявлении наиболее лёгких/дешёвых атак. Самое сложное для них — выяснить, что у вас есть, где это находится, и какой операционной системой вы пользуетесь. Всё это делает вашу систему уникальной, и именно эта часть работы у «плохих парней» занимает больше всего времени.
Лучше всего начать с максимального отказа в доступе, а также максимально прятать информацию. Я не имею в виду использование «безопасности через сокрытие», но рекомендую все важные данные хранить отключёнными от сети полностью. Вы также должны автоматизировать систему обнаружения и использовать такие методы, которые позволят вам зафиксировать момент проникновения в систему.
Чем раньше мы начнём относиться к информационной безопасности как к сфере, предполагающей упорную работу, а как область, требующую дополнительных непредвиденных расходов (которые хочется мимнимизировать), тем лучше. Думаю, ваши пользователи обладают неким уровнем компетенции по вопросам безопасности. Они уверены, что ваши библиотечные веб-сайты безопасны, и в случае кражи с ваших серверов их личная информация не будет продана по высокой цене.

Персонал как часть решения проблемы
Люди всегда будут частью проблемы. Большинство людей не думают о безопасности, они просто хотят получать готовый результат. Важно, чтобы все сотрудники библиотеки понимали важность мер безопасности и соблюдали их в повседневной работе. Жизненно важно, чтобы они в полной мере это осознали и проходили всевозможные тренинги. Обучение правилам безопасности будет мало результативным при отсутствии личной заинтересованности. Сотрудники должны понимать — каждое их действие может повлечь последствия. Им следует изменить стиль работы и стать частью решения, а не частью проблемы. Они обязаны знать, как распознавать вредоносное ПО на компьютере общего пользования, владеть информацией об общих рисках. Они должны быть проинформированы о том, к кому следует обращаться в случае необходимости. Правильно выстроенная политика безопасности может быть эффективными, но люди при желании всегда найдут способ обойти правила. Повышение квалификации и тренинги малоэффективны, так как чаще всего люди относятся к ним без должной ответственности. Я не хочу принизить значимость обучения, но забота о безопасности должна быть востребована всеми, чтобы помочь не только в работе, но и дома и в любых других местах.
Безопасность не должна обеспечиваться только технически. Если ваши сотрудники (и, возможно, руководители) пренебрегают основными правилами безопасности, постарайтесь раз в неделю рассылать им по электронной почте вопросы — или обсуждать эти вопросы во время встреч. Вы можете начать с простых примеров, тем самым способствуя росту заинтересованности в вопросах безопасности. В течение многих лет мы были чемпионами по IT-грамотности. Сейчас пришло время повсеместно заняться внедрением IT-безопасности.
Если для вас и вашей библиотеки безопасность всегда была чем-то вторичным, надеюсь, что эта статья убедит вас: сейчас самое время пересмотреть отношение к проблеме и начать применять более эффективные правила и методы работы. Это не отнимет много времени, но осложнит работу «плохих парней», а это как раз то, что нужно, для вашей безопасности.

Пароли — сила и слабость
Пароли! Пароли! Пароли! Кажется, что с данной темой всё просто и ясно, но при ближайшем рассмотрении оказывается, что всё намного сложнее. Пароли трудно запоминать и трудно выбирать. Вы можете быть формально ограничены правилами составления паролей, что сокращает их многообразие и фактически ослабляет ваш пароль.
Всегда ли вы использовать уникальные пароли? Всегда ли они «сильные»? Требует ли присутствие библиотеки в интернете надёжных паролей для всех пользователей? Имеются ли на ваших веб-ресурсах рекомендации пользователям по составлению паролей? Что делает пароль хорошим? Являются ли сложные пароли быть более безопасными? Или уникальными? Является ли длина пароля самым главным? Я начну с того, что наиболее важные два момента — длина и уникальность паролей. Выбирайте себе пароли как можно более длинные, и никогда не используйте их более чем один раз.
Повторное использование пароля. Самое худшее, что вы можете сделать, это использовать один и тот же пароль для всего. Проще говоря, повторное использование пароля опасно. Тем самым вы позволяете любому, извлекшему ваш пароль с небезопасного сайта (и шансы, что это произойдет, возможно, даже выше, чем вы можете себе представить), использовать его и в другом месте. Ваш пароль может быть получен вследствие крупных утечек данных, и вы никогда не узнаете об этом.
Что делает пароль хорошим? Так что же делает пароль хорошим? Две простых вещи — длина и сложность. Об том стоит задуматься, так как он действительно является слабым местом. Если вы отвечаете в вашей библиотеке за разработку политики паролей, вы должны быть готовы к действиям. Заставляете ли вы людей использовать сложные и уникальные пароли? В любое время, когда вы меняете политику безопасности, люди будут искать способы обойти её. Усложнение паролей не является панацеей. Даже тогда, когда ваши пользователи обязаны использовать «хорошие» пароли, они обязательно сделают что-то попроще, например, выберут все буквы на левой стороне клавиатуры. Они станут включать ограничения в лёгкие пароли, кажущиеся более безопасными, а на деле даже ослабят вашу сеть. Так или иначе, ваша новая политика безопасности может только сделать облегчить распознавание паролей. Поскольку они слабые, их легко вскрыть без особых ухищрений, «в лоб», путём спектрального разложения (rainbowed) или словарного перебора (dictionaried), потому что они составляются так в массовом порядке, и в автоматической атаке будут вскрыты первыми. По-настоящему сильный пароль чрезвычайно сложно запомнить, и в этом вся проблема для всех, у кого их несколько. Не используйте в пароле часть своего пользовательского имени (логина). Не используйте имена членов семьи. Избегайте последовательного набора рядом стоящих клавиш на клавиатуре, использования любых реальных слов, любых сочетания настоящих слов с номером, любых реальных слов, набранных задом-наперёд.
Может быть, лучше сложные пароли? Ну, может быть. Но однозначно — лучше использовать более длинные.

Осмотрительность в Сети
Придерживайтесь правил безопасности при работе в Сети. Обезопасить компьютер теоретически легко. Для этого надо всего лишь придерживаться трёх правил:
1. Содержать все ресурсы в исправном («пропатченном») и обновлённом состоянии;
2. Никогда ничего не доверять кому-либо или чему-либо;
3. Применять устойчивые (хорошие) пароли.
Ваш компьютер

• содержите свою операционную систему в актуальном состоянии, следите за своевременным её обновлением;
• будьте уверены, что каждая программа своевременно обновляется. Особенно не упускайте из внимания Java и продукты Adobe (например, Flash и Acrobat);
• никогда не инсталлируйте то, в безопасности чего не уверены полностью. Особенно не доверяйте ничему с торрент-сайтов или пиринговой сети (P2P). Избегайте загрузки программ с неизвестных источников;
• используйте авторитетное антивирусное ПО и (или) ПО защиты от других вредоносных программ. Как можно чаще запускайте его и обновляйте;
• никогда не доверяйте никаким ссылкам, приложениям, коротким ссылкам или чему угодно и от кого угодно до тех пор, пока не убедитесь в безопасности внутреннего содержимого;
• имейте план по восстановлению — убедитесь, что регулярно проводится резервное копирование;
• продумайте возможности изменения перечня ваших хостов и/или используйте нечто, подобное OpenDNS.
  Ваш E-mail
• никогда не открывайте приложения электронной почты, если точно не знаете, что в них содержится;
• никогда не следуйте по ссылке, если до конца не уверены, что она приведёт в безопасное место;
• проверяйте настройку почтовых фильтров и переадресовывайте полученное содержимое для проверки, если оно не прошло через фильтры;
• используйте хорошие пароли;
• выходите из сети после окончания работы с почтой;
• используйте при возможности двухфакторную аутентификацию (например, Google Authenticator для Gmail).
  Ваш браузер
• обновляйте свои браузеры до самых свежих безопасных релизов;
• храните все плагины обновленными до самых последних безопасных релизов, особенно Java и Adobe.
• ничего не устанавливайте из непроверенных источников;
• блокируйте cookies, Flash и JavaScript (используйте блокировку с осторожностью, поскольку это может привести к проблемам);
• используйте менеджеры паролей для хранения своих многочисленных паролей;
• остерегайтесь коротких ссылок;
• используйте плагины, предназначенные для поддержки вашей конфиденциальности и безопасности.
  Работа в социальных сетях
• дважды проверяйте свои приложения. Убедитесь, что вы знаете, какие приложения имеют доступ к вашим профилям;
• используйте по возможности два фактора аутентификации;
• читайте руководства Facebook в его Центре по безопасности;
• следите за настройками безопасности и конфиденциальности.
• всегда используйте хорошие пароли;
• будьте избирательными при отправке и получении запросов от «друзей». Не добавляйте в друзья кого попало;
• устанавливайте параметр «Ограничение списка друзей» даже в урезанной версии профиля;
• все, кто пользуется предложением помощи в “Facebook”, “Twitter” и Gmail, так или иначе теряют деньги.

Перевод — Лидия Павловна Прокулевич, кандидат биологических наук, Национальная библиотека Беларуси

Выражаю благодарность Александру Анатольевичу Артюшкевичу, заведующему сектором администрирования системного программного обеспечения, информационной безопасности и технического обслуживания ЛВС Национальной библиотеки Беларуси, за помощь в редактировании статьи.

* www.infotoday.com January/February, 2014, 13–16.