Дмитрий Стуров: Данные в соцсетях должны уметь защищать сами себя
Социальные сети давно перестали быть забавой, а превратились в мощный инструмент мгновенного обмена информацией между огромным количеством людей. Многие уже давно не заходят на новостные сайты, предпочитая подписки на новостные агентства в социальных сетях. А еще лучше — подписаться сразу на любимого спортсмена, музыканта, политика, которому симпатизируешь, — и получать новости, как говорится, «из первых уст».
В таких условиях неудивительно, что аккаунты в социальных сетях стали мишенью для атак хакеров. Последнее довольно часто приходилось слышать об успешных взломах: Associated Press, France Press, E!Online, Al Jazeera — далеко не полный список жертв подобных хакерских атак.
Иногда хакеры действуют для привлечения к себе внимания, как, например, Сирийская электронная армия, взявшая на себя ответственность за череду взломов аккаунтов новостных агентств в Twitter-е. Иногда действия преследуют какие-то более сложные цели, как http://digit.ru/trend/yakunin_internet_21062013/ " target="_blank">история с фиктивным увольнением главы РЖД Владимира Якунина.
Хакерам в любом случае важно разместить на странице новостного агентства какую-либо компрометирующую информацию, либо просто искажённые данные.
К сожалению, социальные сети на сегодняшний день не предлагают особых механизмов защиты пользователей — сложной аутентификации, подтверждение авторства. А если и предлагают, то только как дополнительную функцию. Разработчиков конечно можно понять — обычный пользователь соцсети вряд ли будет использовать такие системы. А вот для официальных лиц, корпораций и средств массовой информации данные средства наверняка нужны.
Основная задача таких специальных пользователей — организовать контроль доступа к системе публикации новостей—постов. Конечно данный контроль должен включать в себя целый комплекс мер — сложная аутентификация только один из них. Обязательно должны быть реализованы и организационные механизмы контроля — разделение полномочий, взаимный контроль и прочее.
Кроме того, возможно использовать электронную подпись для подтверждения авторства постов. К сожалению, формат далеко не всех социальных сетей даёт такую возможность, однако всегда можно разместить ссылку в посте на официальный сайт, где пресс релизы выложены с официальной электронной подписью, которую тут же можно проверить через внешний центр сертификации. Вполне возможно, что в будущем какие-то новые механизмы будут внедрены уже на уровне самих социальных сетей.
К сожалению, даже использование всех перечисленных механизмов не даёт никаких гарантий, что хакеры не получат доступ к аккаунту. Поэтому нужны новые подходы к защите, один из них — защита самого контента в аккаунте.
До последнего времени организации, стремящиеся защитить свои информационные активы, действовали одним способом — создавали защищенный периметр, помещая внутрь него все значимые ресурсы. Усилия прикладывались именно к защите данного периметра от проникновения извне, либо от неавторизованного вынесения данных за пределы периметра защиты. Однако всеобщая «мобилизация» — ноутбуки, планшеты, смартфоны — и новые возможности удаленной работы персонала со своих устройств (BYOD) — все чаще и чаще приводят к тому, что общепринятые способы защиты информации перестают работать. В таких условиях зачастую невозможно установить, где точно находится периметр защиты — например, смартфон одновременно находится и за границей периметра защиты и внутри него.
Кроме того, защита периметра не позволяет связать два достаточно важных параметра — ценность защищаемых данных и финансовые затраты на средства защиты периметра. Именно это соотношение должно помогать специалистам обосновать те или иные затраты на информационную безопасность.
В качестве концепции, позволяющей устранить вышеперечисленные недостатки, всё чаще предлагается защита, ориентированная на данные — Data Centric Security (DCS). Эта модель базируется на принципе, что основной защищаемый актив — сами данные, а не объекты IT-инфраструктуры.
Второй важный принцип — данные защищаются на всех этапах жизненного цикла. Независимо от того, хранятся ли данные, находятся ли они в процессе передачи или обработки — постоянно должен существовать некий механизм контроля за конфиденциальностью, целостностью и доступностью данных. Основная идея — прикрепить средства защиты к самим данным, дать им возможность защищать самих себя.
В качестве основного механизма защиты данных традиционно используют криптографию. Шифрование и электронная подпись позволяют минимизировать риски утечки данных, либо их искажения. Кроме этого, электронная подпись служит для подтверждения авторства документа. Но в рамках модели DCS только криптографии недостаточно. Необходимо, чтобы вместе с данными перемещался и механизм авторизации пользователей и контроль прав доступа к информации. Например, создаётся публичный документ, доступный всем для просмотра, но запрещённый для редактирования. Механизм, реализующий данное ограничение, помещается внутрь документа и является неотъемлемой его частью.
РИА Новости http://digit.ru/opinion/20130820/404547205.html#ixzz2d46nVelg