Меня всегда интересовал баланс «риска и доходности» в рамках публичной безопасности: какой уровень риска считать приемлемым для сохранения эффективности и производительности?
Примеры можно видеть всюду. Однажды, на одном из перекрестков одного из городов происходит несчастный случай: машина сбивает ребенка.
Общественность возмущена, чиновники города собираются на совещание, и вот результат: 60.000 долларов тратится на установку лежачих полицейских, оград и светофоров на этом перекрестке — даже, если было очевидно, что авария произошла по вине пьяного водителя и не была связана с особенностями самого перекрестка.
Я понимаю почему это происходит. Люди хотят что-то сделать, чтобы унять боль. Однако, какой смысл в оснащении одного отдельно взятого перекрестка избыточными мерами безопасности, игнорируя все остальные перекрестки в стране?
Эти мысли пришли мне голову когда я беседовал со своим другом, который работает в одной небольшой компании. Он жаловался на нового ИТ-специалиста, пришедшего к ним работать недавно.
Первое, что сделал этот парень на новом рабочем месте — объявил, что их сеть небезопасна, и ввел новые, совершенно драконовские, меры защиты. Больше у сотрудников нет возможности выбирать пароль самим; он назначается автоматически и состоит из 12 букв и цифр, идущих вперемешку, которые невозможно запомнить. И этот пароль нужно менять каждый месяц.
Он также заблокировал мессенджеры и возможность открывать почтовые вложения, а также YouTube и многие другие популярные сайты. Та фирма, кстати, занимается производством видео-контента, а значит просмотр видео-роликов в сети является неотъемлемой частью их работы. В процессе всех нововведений этот айтишник сделал работу в компании неудобной, запутанной и гораздо менее приятной.
Как вы думаете, за все время существования этой маленькой компании по производству видео-продукции, были ли у них случаи вторжения? Нет, ни разу.
Та же самая история случилась в младшей школе, где учится моя дочь. С помощью школьного сайта ученики могут проверять, что задали на дом, скачивать разные документы и т.п. Последние нововведения значительно усложнили этот процесс: пароль должен быть не короче 8 символов, состоять из цифр и букв и не содержать словарных слов.
И это в младшей школе!
Газета The Times также недавно усилила свою оборону. Раньше, чтобы зайти на свою страничку и принять или отклонить комментарии моих читателей, мне достаточно было ввести свой логин и пароль. Теперь мне нужно найти выданный мне SecurID ключ; открыть программу для подключения через VPN, которая на моем Маке работает через раз; успеть за 60 секунд ввести пароль, который высвечивается на ключе, пока не истек срок его действия; ввести свой ID; подключиться; зайти на безопасную страничку и ввести еще один логин и пароль.
Думаю, всем понятно, что модерирую комментарии к своим статьям я теперь значительно реже! Не подумайте, что я жалуюсь на свое начальство (привет, босс!) — у них есть куча причин заботиться о безопасности работы в интернете — просто к слову пришлось.
Когда-то я читал, что авиа перелеты могут быть безопасными на 100%. Да, технически это возможно. Но потребуется внедрение такого количества мер безопасности, избыточных проверок, предосторожностей и политик безопасности, что билет на самолет будет стоить 50.000 долларов, и в день будет совершаться не больше 20 полетов.
Во всем нужен баланс. Все что угодно можно сделать практически абсолютно безопасным — заплатив огромную цену и в процессе сведя на нет все удобства. У авиа перевозок сегодня хороший баланс — за 2007-2008 годы на территории США не было ни одной авиакатастрофы — и в то же время самолеты летают постоянно, а билет стоит значительно меньше 50.000 долларов.
Я отлично понимаю мотивы ИТ-специалистов: «Меня наняли для обеспечения безопасности. Если я не справлюсь, меня уволят. Удобство и скорость работы для меня вторичны».
Возможно, компаниям стоит подумать о том, чтобы нанимать в довесок ОТ-специалистов (для оптимизации технологий), которые будут сдерживать порывы специалистов по ИТ. Кого-то, кто скажет: «Да ладно, неужели это и правда необходимо?».
Примеры можно видеть всюду. Однажды, на одном из перекрестков одного из городов происходит несчастный случай: машина сбивает ребенка.
Общественность возмущена, чиновники города собираются на совещание, и вот результат: 60.000 долларов тратится на установку лежачих полицейских, оград и светофоров на этом перекрестке — даже, если было очевидно, что авария произошла по вине пьяного водителя и не была связана с особенностями самого перекрестка.
Я понимаю почему это происходит. Люди хотят что-то сделать, чтобы унять боль. Однако, какой смысл в оснащении одного отдельно взятого перекрестка избыточными мерами безопасности, игнорируя все остальные перекрестки в стране?
Эти мысли пришли мне голову когда я беседовал со своим другом, который работает в одной небольшой компании. Он жаловался на нового ИТ-специалиста, пришедшего к ним работать недавно.
Первое, что сделал этот парень на новом рабочем месте — объявил, что их сеть небезопасна, и ввел новые, совершенно драконовские, меры защиты. Больше у сотрудников нет возможности выбирать пароль самим; он назначается автоматически и состоит из 12 букв и цифр, идущих вперемешку, которые невозможно запомнить. И этот пароль нужно менять каждый месяц.
Он также заблокировал мессенджеры и возможность открывать почтовые вложения, а также YouTube и многие другие популярные сайты. Та фирма, кстати, занимается производством видео-контента, а значит просмотр видео-роликов в сети является неотъемлемой частью их работы. В процессе всех нововведений этот айтишник сделал работу в компании неудобной, запутанной и гораздо менее приятной.
Как вы думаете, за все время существования этой маленькой компании по производству видео-продукции, были ли у них случаи вторжения? Нет, ни разу.
Та же самая история случилась в младшей школе, где учится моя дочь. С помощью школьного сайта ученики могут проверять, что задали на дом, скачивать разные документы и т.п. Последние нововведения значительно усложнили этот процесс: пароль должен быть не короче 8 символов, состоять из цифр и букв и не содержать словарных слов.
И это в младшей школе!
Газета The Times также недавно усилила свою оборону. Раньше, чтобы зайти на свою страничку и принять или отклонить комментарии моих читателей, мне достаточно было ввести свой логин и пароль. Теперь мне нужно найти выданный мне SecurID ключ; открыть программу для подключения через VPN, которая на моем Маке работает через раз; успеть за 60 секунд ввести пароль, который высвечивается на ключе, пока не истек срок его действия; ввести свой ID; подключиться; зайти на безопасную страничку и ввести еще один логин и пароль.
Думаю, всем понятно, что модерирую комментарии к своим статьям я теперь значительно реже! Не подумайте, что я жалуюсь на свое начальство (привет, босс!) — у них есть куча причин заботиться о безопасности работы в интернете — просто к слову пришлось.
Когда-то я читал, что авиа перелеты могут быть безопасными на 100%. Да, технически это возможно. Но потребуется внедрение такого количества мер безопасности, избыточных проверок, предосторожностей и политик безопасности, что билет на самолет будет стоить 50.000 долларов, и в день будет совершаться не больше 20 полетов.
Во всем нужен баланс. Все что угодно можно сделать практически абсолютно безопасным — заплатив огромную цену и в процессе сведя на нет все удобства. У авиа перевозок сегодня хороший баланс — за 2007-2008 годы на территории США не было ни одной авиакатастрофы — и в то же время самолеты летают постоянно, а билет стоит значительно меньше 50.000 долларов.
Я отлично понимаю мотивы ИТ-специалистов: «Меня наняли для обеспечения безопасности. Если я не справлюсь, меня уволят. Удобство и скорость работы для меня вторичны».
Возможно, компаниям стоит подумать о том, чтобы нанимать в довесок ОТ-специалистов (для оптимизации технологий), которые будут сдерживать порывы специалистов по ИТ. Кого-то, кто скажет: «Да ладно, неужели это и правда необходимо?».
