January 16th, 2018

Сингапур

Безопасность или производительность?

Сейчас идет волна обновлений в операционных системах, которые должны закрыть выявленные уязвимости процессоров Spectre и Meltdown. Эти обновления приводят к замедлению устройств. Насколько? Пока результаты не вполне ясны. Но это общая ситуация, чем выше желаемый уровень безопасности - тем больше ресурсов требуется на ее обеспечение.

Такой подход хорошо работает для ИТ мира, в мире людей ситуация отличается. И черезмерные затраты на обеспечение безопасности могут привести к уменьшению ее общего уровня. Парадокс? Не совсем. Ведь человеческий разум как раз и специализируется на том, чтобы сделать свою работу "попроще и побыстрее", а отдаленные последствия в среднем не просчитываются. Как это выглядит на практике?



Служба безопасности одного банка создает периметр безопасности, жестко контролируюя что в него попадает. Обрезает доступ к внешней сети сотрудникам, которым, по мнению СБ он не нужен. Фильтрует исходящие письма и использует многофакторную аутентификацию. Запрещает внешние подключения. Кажется все что могли предусмотреть сделали?

К сожалению - нет. Людям необходимо оперативно обмениваться информацией для выполнения своих обязанностей. И эти люди не всегда в офисе. И у людей есть смартфоны. Поэтому фото экрана отправляется через мессенджер типа WhatsApp, Telegram и т. д. При этом если что-то утечет, то будет виноват конкретный человек, ведь служба безопасности свое дело сделала.

Вообще мессенджеры - это частое решение для быстрой коммуникации. Вроде как сотрудники всегда на связи и могут получить поручение и предоставить информацию в ответ. Есть компании, которые доверяют им, но риск срабатывает в другом месте. Очень отдаленном от времени принятия решения. Ведь если оба сотрудника, которые вели обмен информацией ушли из компании, то вся информация по их информационному обмену по проекту теряется. А там могли быть существенные части договоренностей с заказчиком, которые не отражены в других документах. Восстановить такое бывает непросто.

В других ситуациях выгода от снятия лишних проверок может дать существенный экономический эффект при небольшом увеличении уровня опасности, которое полностью покрывается за счет полученной выгоды. Одна из сетей микрокредитования убрала входной контроль заемщиков. Выдавали всем. Оказалось, что это не привело к существенному росту невозвратов, но позволило существенно сэкономить на времени проверки заемщика и существенно нарастить оборот.

Поэтому посмотрите на свои процессы прямо сейчас. От каких из них можно отказаться? А от каких не стоит?