Поучаствовал на днях в паре срачей «кто виноват в сбое DNSSEC и что с этим делать». В очередной раз убедился в двух вещах:
— словосочетание «информационная безопасность» — это лингвистическая диверсия, отключающая мозг;
— доверять айтишникам «защиту информации» нельзя, это путь к цифровому концлагерю худшего типа.
А теперь подробности — на этой неделе в Рунете произошел крупный сбой, связанный с защитой от подмены данных в протоколе DNS, официальные органы довольно быстро отреагировали и разослали интернет-провайдерам указание — «отключите временно проверку подписей DNSSEC». Некоторые айтишники очень бурно отреагировали на это — мол, где это видано, чтобы проверки «безопасности» отключать, особенно по указанию госорганов! На разъяснения, что это нужно прежде всего для доступности интернет-сервисов пользователям, реакция была в духе «но это же небезопасно!!!11»
Так вот, подобное поведение годится для всяких там вахтеров, в лучшем случае — младшего технического персонала, которому в голову вдалбливается (в основном через жопу) несложная инструкция (стоять здесь, нажимать на эту кнопку, в случае чего звать старшего). Именно на «младшего техника» расчитаны указания типа «DNSSEC не отключать ни при каких обстоятельствах», «на сайте должен быть HTTPS» и тому подобные.
Но… даже на железной дороге, где каждый знает, что «проезд на красный свет — преступление» есть вполне себе штатные процедуры, когда под запрещающий сигнал светофора двигаться можно и даже нужно — да, они строжайше документированы, но с другой стороны — это прямо показывает, что иногда «требования безопасности» (причем настоящей, а не «информационной») приходится обходить.
И это приводит нас к определяющему элементу всей теории что безопасности, что защиты информации — к анализу рисков. Мне эти понятия казались самоочевидными — тем более, что с определений угроз и рисков начинается любой «профильный» документ по защите информации, но недавно я прочитал вот это изложение азбучных истин за авторством Лукацкого и задумался — а какие же причины заставили уважаемого специалиста влезть на табуреточку и рассказать вроде бы очевидные вещи?
https://www.it-world.ru/security/200675.html
А дело в том, что условный айтишник в принципе невыносимо далек от понимания проблем организации, вплоть до того, что искренне считает, что деньги берутся из тумбочки, а его роль — скажем, «выполнение требований регуляторов». При этом при минимальном понимании управления рисками становится очевидно реальное место всей этой «безопасности» в списке приоритетов любой организации — да, она необходима, но в подавляющем большинстве случаев многочасовой простой обойдется дороже, чем небольшое, в общем-то снижение уровня защиты DNS (да и как-то жили мы до появления DNSSEC, и ничего). На определенном уровне «айтишнику» необходимо — даже в рамках должностных обязанностей — принимать подобные решения, и очень печально, что многие так и продолжают считать «ну полежит DNS, а с ним и все остальное у нас пол-дня, пока DNSSEC не раздуплится, зато все будет защищено, как в учебнике».
А вот что на самом деле хотелось бы обсудить — так это наличие штатных процедур, позволяющих механизмы защиты данных отключать. Что должно быть основанием для этого? Сообщение в телеграме от пользователя под ником Ssh? Официальное письмо из министерства на гербовой бумаге? Звонок в Whatsapp якобы от начальника? Интересно даже, дошел ли кто-то до осознания необходимости регламентировать такие вещи.
Хотя… о чем это я, когда средний аутишник уверен, что все это его не касается, «ты не отвечаешь и тебе похер«.