В идеале меры реагирования на риски должны преследовать цель защиты конфиденциальности, целостности и доступности систем, сетей, услуг и данных при одновременном обеспечении удобства использования этих мер (NIST, 2018). Удобство использования цифровых устройств (т.е. легкость, с которой они могут использоваться) зачастую имеет преимущество перед безопасностью этих устройств и их содержимого (Whitten and Tygar, 1999). Однако безопасность и удобство использования не обязательно являются взаимоисключающими (Sherwood, Clark, and Lynas, 2005). Меры кибербезопасности могут обеспечивать как безопасность, так и удобство использования.
К мерам кибербезопасности относятся меры, направленные на установление личности пользователя, чтобы предотвратить несанкционированный доступ к системам, услугам и данным. Эти меры аутентификации включают в себя проверку того, «что вы знаете» (например, пароли, парольные фразы и PIN-коды), «что вы имеете» (например, смарт-карты и токены) и «кем вы являетесь» (например, биометрические данные, такие как отпечатки пальцев) (Lehtinen, Russell, Gangemi Sr., 2006; Griffin, 2015). Многофакторная аутентификация (МФА) предполагает использование двух или более таких методов аутентификации для установления личности пользователя (Andress, 2014).
Еще одним типом мер кибербезопасности является контроль доступа. Средства контроля доступа, которые устанавливают привилегии, определяют санкционированный доступ и предотвращают несанкционированный доступ, включают в себя меры аутентификации и другие меры, предназначенные для защиты имен и паролей для входа в систему, приложения, веб-сайты, социальные сети и другие онлайн-платформы и цифровые устройства (Lehtinen, Russell, Gangemi Sr., 2006). В качестве примера можно привести ограничение количества попыток ввода пароля на смартфоне. На смартфонах есть опция, которая позволяет пользователям стирать все данные на устройстве после определенного количества неудачных попыток ввода пароля. Эта функция была создана с тем, чтобы обеспечить пользователям возможность защиты данных на своих устройствах в случае кражи цифрового устройства и/или получения к ним доступа без авторизации пользователя.
Другие примеры средств контроля доступа включают в себя добавление времени ожидания при каждом неверном вводе пароля и/или ограничение количества неудачных попыток ввода пароля, которые могут быть допустимыми в течение дня, и блокирование учетных записей пользователей на некоторое время (Lehtinen, Russell, Gangemi Sr., 2006). Эти средства управления, контролирующие попытки входа в систему, предназначены для защиты от попыток получить несанкционированный доступ к учетным записям пользователей. В частности, такие временные задержки служат для защиты от атак методом «грубой силы».
Знаете ли вы?Полностью автоматизированный публичный тест Тьюринга для различения компьютеров и людей (или CAPTCHA) используется для предотвращения атак методом «грубой силы». Тем не менее, исследование показало, что рисунки CAPTCHA можно обойти (см., например, Bursztein et al., 2014; Sivakorn, Polakis and Keromytis, 2016; Gao et al., 2014). |
Атака «грубой силой» - это использование скрипта (т.е. компьютерной программы) или робота (рассматривается в модуле 2 Серии модулей по киберпреступности: «Основные виды киберпреступности») для угадывания (методом проб и ошибок) учетных данных пользователя (т.е. имени пользователя и/или пароля/кода доступа) (для получения дополнительной информации об атаках методом «грубой силы» см. Knusden and Robshaw, 2011, 95-108). При атаках «грубой силой» используются, среди прочего, общие пароли или взломанные учетные данные для входа в систему. В 2018 году было обнаружено, что функцию мастер-пароля, которая позволяла пользователям шифровать пароли, хранящиеся в браузере Mozilla Firefox (веб-браузер), можно легко взломать с использованием атаки методом «грубой силы» (Trend Micro, 2018).
Знаете ли вы?Атаки методом «грубой силы» могут проводиться как опытными хакерами, так и скрипт-кидди (т.е. хакерами-дилетантами, не обладающими какими-либо технологическими навыками). Хотите знать больше?INFOSEC Institute. (2018). Popular Tools for Brute-force Attacks . (Институт INFOSEC (2018). Популярные инструменты для проведения атак методом «грубой силы»). |
Пароли либо генерируются системой, либо создаются пользователем (Adams, Sasse and Lundt, 1997). Пароли, генерируемые системой (т.е. пароли, созданные программой), являются трудноугадываемыми и могут выдержать атаки парольных взломщиков (хотя это зависит от длины паролей). Проблема, связанная с паролями, генерируемыми системой, заключается в сложности их запоминания. Это приводит к тому, что пользователи записывают пароль, например, на бумагу или сохраняют его в браузере, приложении или цифровом устройстве. Поэтому пароли, создаваемые пользователем, являются более предпочтительными. Однако такие пароли, генерируемые пользователем, также могут быть трудными для запоминания. Системы, приложения и онлайн-платформы зачастую устанавливают сложные правила создания паролей, которым должны следовать пользователи, требуя, чтобы пароли соответствовали минимальной установленной длине и включали комбинации букв верхнего и нижнего регистра, цифр и символов. Таким образом, как и пароли, генерируемые системой, большинство паролей, создаваемых пользователями, являются труднозапоминаемыми.
Пользователям также рекомендуется иметь разные пароли для каждой учетной записи (US Federal Trade Commission Consumer Information, 2017). Цель этой рекомендации заключается в минимизации ущерба, причиняемого пользователям, в случае взлома данных для доступа к одной из их учетных записей. В 2017 году одна исследовательская компания обнаружила в Интернете файл с 1,4 миллиардами имен пользователей и паролей для различных социальных сетей, игр, сайтов трансляции телепередач и фильмов и других сайтов сети Интернет (Matthews, 2017). Если кто-либо из этих лиц повторно использует пароли, такая брешь в системе защиты ставит под угрозу безопасность других учетных записей в Интернете (где используются те же имя пользователя и пароль). Хотя использование разных и сложных паролей для каждой учетной записи может обеспечить определенный уровень безопасности для отдельных пользователей, это в конечном итоге отрицательно влияет на удобство их использования (т.е. на их запоминаемость). Как справедливо отмечают Адамс, Сасс и Лундт (Adams, Sasse and Lundt, 1997), «большое количество ограничений в механизмах аутентификации создают большое количество проблем, связанных с удобством использования» (p. 3).
Вместо паролей предлагается использовать различные схемы аутентификации. Использование альтернативных схем аутентификации, таких как техника биометрической идентификации, сопряжено с неблагоприятными последствиями социального и правового характера и даже последствиями для безопасности (Greenberg, 2017a; Greenberg, 2017b). В качестве примеров можно привести смартфоны Apple iPhone со сканерами TouchID, который позволяет пользователям разблокировать свои устройства с помощью отпечатка пальца, и FaceID, который, при помощи технологии распознавания лиц, позволяет пользователям разблокировать телефоны путем сканирования своего лица. В Соединенных Штатах сотрудники системы уголовного правосудия не имеют права принуждать людей предоставлять свои пароли; такая защита не распространяется на отпечатки пальцев и другие биометрические данные (см., например, дело Virginia v. Baust, 2014 и дело State v. Diamond, 2018, когда суды постановили, что лица могут быть принуждены к использованию своих отпечатков пальцев для разблокировки телефона) (для получения дополнительной информации об этой практике в Соединенных Штатах и практиках других стран, таких как Индия, Австралия и Новая Зеландия, см. вставку «Биометрия и право не свидетельствовать против самого себя» ниже).
Биометрия и право не свидетельствовать против самого себяСогласно пятой поправке к Конституции Соединенных Штатов Америки, «никто не должен привлекаться к ответственности за караемое смертью или иным образом преступление иначе, как по представлению или обвинительному заключению Большого жюри, за исключением дел, возбуждаемых в сухопутных или военно-морских силах, либо в ополчении, когда оно призвано на действительную службу во время войны на период опасного для общества положения; никто не должен за одно и то же правонарушение дважды подвергаться угрозе лишения жизни или нарушения телесной неприкосновенности; никто не должен принуждаться в уголовном деле свидетельствовать против самого себя; никто не может быть лишен жизни, свободы или собственности без надлежащей правовой процедуры; частная собственность не должна изыматься для общественного пользования без справедливого возмещения». Одним из прав, предусмотренных пятой поправкой, является право не свидетельствовать против самого себя (в иных случаях известное как право на защиту от принуждения к самообвинению). В деле Schmerber v . California (1966) суд постановил, что «это право защищает обвиняемого только от принуждения давать показания против самого себя или иным образом представлять властям штата доказательства в форме письменных или устных свидетельских показаний» (761). Однако пятая поправка к Конституции США «не предусматривает никакой защиты от принуждения к сдаче отпечатков пальцев, фотографированию или измерению роста,… явке в суд, предстанию перед судом, позированию, демонстрации походки или определенному жестикулированию» ( United States v . Wade, 1967, 223). Более того, суды США могут обязать подсудимых сдать образец крови, слюны или голоса и многое другое ( Schmerber v . California, 1966; U . S . v . Dionisio, 1973; People v . Smith, 1982). Сославшись на дело United States v . Wade (1967), судья по делу Virginia v . Baust (2014) пришел к выводу, что, поскольку процедура снятия отпечатков пальцев не требует от подсудимого предоставления каких-либо сведений, она не подпадает под действие пятой поправки - то же самое касается предоставления ключей и ДНК подсудимого (3). В этой связи, хотя сведения о паролях защищены в соответствии с пятой поправкой, эта защита не распространяется на отпечатки пальцев (и, в более широком смысле, на другие биометрические данные). Нераспространение пятой поправки на биометрические данные было еще раз подтверждено в деле State v . Diamond (2018). Наконец, в Соединенных Штатах проверка того, «кем вы являетесь», может быть проведена в принудительном порядке (т.е. люди могут быть принуждены к сдаче отпечатков пальцев и, в более широком смысле, к сканированию лица для разблокирования смартфонов, в которых используется технология распознавания лиц), в то время как проверка того, «что вы знаете», как правило, не может проводиться принудительно в соответствии с пятой поправкой к Конституции США (поскольку это противоречит праву не свидетельствовать против самого себя). Аналогичным образом, другие страны (например, Австралия, Новая Зеландия, Индия и многие другие) и суды по правам человека (например, Европейский суд по правам человека) не рассматривают принуждение к показу лица, сдаче отпечатков пальцев или других биометрических данных (например, отпечатков ног) в качестве нарушения права не свидетельствовать против самого себя (см., например, Sorby v. Commonwealth, 1983; Новая Зеландия, King v. McLellan, 1974; Индия, State of U.P. v. Sunil, 2017; и Saunders v. United Kingdom, 1996). |
Люди считаются самым слабым звеном в цепи кибербезопасности (Crossler et al., 2013; Grossklags and Johnson, 2009; Sasse, Brostoff, and Weirich, 2001; Schneier, 2000). Более того, некоторые исследования показали, что инциденты в области кибербезопасности (т.е. утечки данных и/или атаки на сети, системы, услуги и данные) являются результатом человеческой ошибки и неспособности применить меры безопасности (Safa and Maple, 2016; Pfleeger, Sasse and Furnham, 2014; Crossler et al. 2013). В то время как большое внимание уделяется роли людей в инцидентах в области кибербезопасности, меры кибербезопасности, действовавшие в момент наступления инцидента, могут также играть некоторую роль в этом инциденте. Реальность такова, что меры кибербезопасности (то, что они фактически способны сделать) и ожидания пользователей относительно эффективности этих мер безопасности (того, что, по их мнению, они делают) часто не совпадают (Ur et al., 2016; Gunson, et al., 2011; Furnell, 2005).
В публикациях и исследованиях, посвященных взаимодействию человека и компьютера, предлагается, чтобы меры обеспечения безопасности цифровых устройств, систем, программ, приложений и онлайн-платформ разрабатывались с учетом фактора пользователей (т.е. на основе концепции проектируемой безопасности; см. Eloff and Eloff, 2002; Cranor and Garfinkel, 2005; Sasse and Flechais, 2005; Karat, Karat and Brodie, 2005; Dix et al., 2004; Balfanz, et al., 2004). Такая практика, однако, не является общепринятой. Обычной практикой является разработка систем и последующая модификация взаимодействия пользователей с системой для удовлетворения потребностей в обеспечении безопасности (Nurse et al., 2011; Yee, 2004).
Знаете ли вы ?В Европейском союзе Закон о кибербезопасности 2018 года создал «основу для европейских сертификатов кибербезопасности для продуктов, процессов и услуг» с целью поощрения проектируемой безопасности путем «включения средств обеспечения безопасности на ранних этапах… технического проектирования и разработки» цифровых устройств (European Commission, 2018). Хотите знать больше ?Прочтите: European Commission. (2018). Cybersecurity Act (Европейская комиссия (2018). Закон о кибербезопасности). |