Vitalii Tsybulnyk / Виталий Цыбульник

On Software Development / О софтверной разработке

About the author

    Vitalii Tsybulnyk
Vitalii Tsybulnyk is a Software Engineering Manager at Mictosoft Azure.
E-mail me Send mail

Activity

Recent comments

Disclaimer

The opinions expressed herein are my own personal opinions and do not represent my employer's view in anyway.

© Copyright 2008-2017

Даёшь дешёвую безопасность!

David Platt в своей колонке в журнале MSDN затронул замечательную тему - цену безопасности в ИТ. Более детально этот предмет изучен Cormac Herley

В человеческом обществе понятие цены имеет оттенок наживы, поэтому многие отказываются и даже считают зазорным применять это понятие ко многим аспектам жизни человека и общества, например любовь, дружба, свобода, справедливость, здоровье, и т.п. Не побоюсь показаться прагматиком или даже циником, но моё мнение - всё имеет цену, вопрос только в том чтобы правильно рассчитать формулу и подобрать верные единицы измерения цены (хотя американский доллар работает удивительно хорошо в удивительно многих случаях, он действительно не покрывает 100%).

Возвращаясь к вопросу ИТ безопасности, то даже если отбросить количество долларов выплачиваемых за всевозможные антивирусы, фаерволы, бекапы и т.п., то это далеко не покажет нам картину реальной цены, выплачиваемой ИТ пользователями за их безопасность. Реальную картину очень хорошо можно продемонстрировать по аналогии с занятиями спортом. Все мы прекрасно знаем, что если регулярно ходить в спортзал, то тело будет в хорошей форме и здоровье будет богатырское. Какова цена такого замечательного дела? Цена членства в ближайшем спортивном клубе? Думаю многие убедились на своём опыте, что это полнейшая иллюзия, что реальная цена - это многие часы вашего времени, и затраченные усилия на то, чтобы действительно посещать этот клуб. Думаю многие также убедились, что эта "скрытая" цена на самом деле на порядок выше стоимости членства в клубе, и что она на самом деле настолько высока, что многие через какое-то время отказываются её платить и бросают клуб даже ценой потери уже проплаченного годового абонемента.

Что же безопасность? Зачастую та же проблема - мы все знаем что мы должны делать чтобы быть в большей безопасности; пароли должны быть сложнее, менять их надо чаще, они должны быть разные для разных сервисов, должен быть установлен фаервол, антивирус, бекап, и т.д. и т.п. Однако большинство людей, зная всё это, сознательно этого не делают. Специалисты по ИТ безопасности разводят руками, качают головами и не могут понять беспечности и недисциплинированности пользователей. А пытался ли кто-то подсчитать реальную цену безопасности? Не в долларах потраченных на софт, а в реальных затратах времени, усилий и внимания пользователей на соблюдение всех этих процедур? Что если несоблюдение рекомендаций не есть беспечность или недисциплинированность, что если это осознанный выбор, и безопасность не нужна большинству пользователей по такой высокой цене?

Представим некий взлом, который затрагивает 1% пользователей ежегодно, и требует 10 часов их времени для восстановления системы. Любой совет по предотвращению такого рода взломов, требующий от пользователей более 1 секунды их времени в день, будет в сумме большим вредом для пользователей, чем сам взлом. Неудивительно что пользователи быстро это осознают и начнут игнорировать этот совет, как имеющий неоправданно высокую цену для них.

Подобного рода закономерности наблюдаются даже в корпоративном мире, где ИТ-отдел навязывает сотрудникам "дорогие" правила, от которых они не могут отказаться. Дэвид предлагает забавный мысленный эксперимент: представьте хозяин вашей съёмной квартиры поставил кодовый замок на дверях туалета. Вы наберёте код раз, может два, но потом вы точно что-то придумаете: будете оставлять дверь открытой чтоб она не захлопывалась, или обмотаете замок скотчем, или начнёте справлять нужду в раковину на кухне.

Поэтому авторы статей типа "101 способ предотвратить взлом почты" должны подумать дважды о том, сколько пользователей согласиться читать, помнить, и выполнять их 101 рекомендацию. В США около 180 миллионов взрослых пользователей. время которых в среднем стоит $14 в час, то есть один час времени американских пользователей стоит два с половиной миллиарда долларов! Основная причина по которой советы по поддержанию ИТ безопасности так часто просто игнорируются пользователями кроется в этом гигантском заблуждении о бесплатности времени пользователей - ресурсе, цена которого на самом деле 2.5 миллиарда баксов в час. Очень популярно считать пользователей ленивыми, безответственными, невнимательными и тяжёлыми на подъём, но вы подумайте о них как о специалисте, цена на услуги которого $2500000000 в час, и вы не захотите больше отнимать ни секунды его времени.


Categories: Books & Articles
Posted by Vitalii Tsybulnyk on Saturday, September 15, 2012 5:45 AM
Permalink | Comments (0) | Post RSSRSS comment feed

Add comment




  Country flag

b i u quote
Loading