© 2006 Cisco Systems, Inc. All rights reserved. 1/26Cisco и SAP GRC

Удобство и безопасность: как совместить несовместимое

Алексей Лукацкий

Консультант по безопасности

© 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 2/26Usability & Security

Удобство &безопасность

© 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 3/26Usability & Security

Зачем нужна система ИБ?

Для защиты

Информации

Информационных систем

Оборудования

Для обеспечения

Конфиденциальности

Целостности

Доступности

… (множество других определений)

© 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 4/26Usability & Security

Безопасность, как самоцель

Многие руководящие документы, стандарты, требования по ИБ рассматривают безопасность, как самоцель

© 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 5/26Usability & Security

Безопасность, как самоцель

© 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 6/26Usability & Security

Правильная безопасность

Информационная безопасность - это рычаг для генерации большего бизнеса и увеличения гибкости предприятия, которая позволит ему работать в тех областях, которые слишком опасны без реализации адекватной программы ИБ

© 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 7/26Usability & Security

Кто генерит бизнес?

© 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 8/26Usability & Security

Безопасность или удобство?

© 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 9/26Usability & Security

Психологическая приемлемость

© 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 10/26Usability & Security

Психологическая приемлемость

Очень важно, чтобы интерфейс взаимодействия с пользователем был удобным в использовании; чтобы пользователи запросто и «на автомате» использовали механизмы защиты правильным образом. Если образ защиты в уме пользователя будут соответствовать тем механизмам, которые он использует на практике, то ошибки будут минимизированы. Если же пользователь должен переводить представляемый им образ на совершенно иной «язык», он обязательно будет делать ошибки

Джером Зальтцер и Майкл Шредер, 1975 (!) год

© 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 11/26Usability & Security

Пароли: что плохого?

Выбирайте пароли длиной свыше 8 символов

А как их запомнить?

Используйте системы автоматической генерации паролей (8HguJ7hY)

А как их запомнить?

Пусть пароль выбирает пользователь

Тривиальные и легко угадываемые пароли

© 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 12/26Usability & Security

Почему это происходит?

Продукт разрабатывается с точки зрения разработчика, а не потребителя

Если потребители и опрашиваются, то только с точки зрения функций защиты

Тестирование проводится на предмет ошибок и дыр, но не юзабилити

Продукт выпускается в условиях жесткой конкуренции со стороны других разработчиков

В России практически никто не обращается к услугам специалистов по эргономике

© 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 13/26Usability & Security

Хорошие и плохие примеры

© 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 14/26Usability & Security

Пароли: как улучшить?

Графические пароли

Токены, смарт-карты, биометрия

© 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 15/26Usability & Security

Пароли: хочется сэкономить?

© 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 16/26Usability & Security

Microsoft

«Монополист» рынка программного обеспечения

За счет удобства для пользователя

Множество нареканий с точки зрения безопасности

Ситуация изменяется

© 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 17/26Usability & Security

Пример с ОС Windows

Что такое «signed»?

Что такое «Microsoft Code Signing PCA»?

Всегда доверять этому источнику?

А если я хочу всегда недоверять этому источнику?

Что «да» и что «нет»?

Чем это опасно?

© 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 18/26Usability & Security

Пример с ОС Windows

Как можно открыть exe-файл?

Чем это опасно?

Какие действия осуществляются по умолчанию?

© 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 19/26Usability & Security

Заключение

© 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 20/26Usability & Security

ZoneAlarm

1 миллион загрузок с сайта за первые 10 недель

Один из самых популярных продуктов для персональной Интернет-безопасности

«…чтобы даже мама могла использовать»

© 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 21/26Usability & Security

Принципы дизайна ZoneAlarm

Знайте вашу аудиторию

Думайте как ваша аудитория

Избегайте беспорядка

Избегайте сложности

Встаньте на сторону пользователя даже если конкуренты «давят» на вас со сроками

Обеспечьте обратную связь с пользователем!!!

© 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 22/26Usability & Security

Обратная связь!!!

© 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 23/26Usability & Security

Вирус bagle.aa и Cisco Security Agent

Вирус появился в апреле 2004

Не было времени на установку патча или обновлениеантивируса

Из 38,370 ПК защищенных Cisco Security Agent, около 600 было скомпрометировано – 620 пользователей открыло зараженный файл

Некоторые пользователи нажали “Yes” на вопрос «Подозрительное приложение пытается получить доступ к электронной почте. Разрешить?»

Существенное снижение времени и стоимости борьбы

А также обновление политики безопасности для снижения влияния «человеческого фактора»

© 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 24/26Usability & Security

Дополнительная информация

http://www.ischool.berkeley.edu/~rachna/security_usability.html - множество ссылок на публикации об удобстве и безопасности

Security and Usability. Lorrie Cranor,Simson Garfinkel

Publisher: O'Reilly

Pub Date: August 2005

ISBN: 0-596-00827-9

Pages: 738

© 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 25/26Usability & Security

Вопросы?

Дополнительные вопросы Вы можете задать по электронной почте security-request@cisco.comили по телефону: (495) 961-1410

© 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 26/26Usability & Security