Продолжаем наблюдать за информационной войной в реал-тайм режиме. Чем жестче времена – тем очевиднее, что мельчайшие детали важны и являются звеньями одной цепи. В то же время, век информационных технологий беспощаден к тем, кто забывает о его скорости и прозрачности. Поговорим о том, какие прорехи и недоработки в мелочах становятся очевидны и бьют в ваши ворота.
Operational Security
Обратимся к свежей истории: в конце мая «Медиазона» (издание признано иноагентом) разместила результаты исследования, посвященного процессам отправки грузов с приграничных украинских регионов: какие населенные пункты, каков вес грузов, что отправляют и куда. Получилась целая «карта мародеров» (это авторское название издания). Кейс, действительно, интересный для изучения. Но предметом нашего рассуждения станет не его содержание, а то, что он демонстрирует: просчеты беспечности и точечного подход к безопасности, который в наш век должен быть системным.
В контексте этой истории вспомнился подход к организации защиты информации, называемый OPSEC. Operational security, операционная безопасность - это процесс, состоящий из пяти этапов, с довольно молодой историей.
Во время войны во Вьетнаме американцам стало ясно, что некоторые их операции проваливаются не сами по себе: что-то здесь не чисто. Обратившись к расследованию безопасности, команда «Пурпурный дракон», созданная именно для того, чтобы выявить причины, обнаружила противоречие: вьетнамцы как будто знают стратегию и тактику американцев, но ресурсов-то для этого у них точно нет: ни разведки, ни дешфировщиков. Как так? Операция по выявлению брешей показала: сами же американцы, оставляя информационный след, ненароком давали подсказку врагу.
Именно тогда подход к информационной безопасности перешел от отражения угроз к засекречиванию оперативной информации и «заметанию следов». В результате и родился подход Operational security.
Как это работает?
На первом этапе отделяется от ненужной и маркируется информация, потенциально нужная противнику, и создающая уязвимость – критическая. Это могут быть случайные сообщения о намерениях, планах. Классическое определение, введенное армией США – четыре категории: возможности, действия, ограничения (и уязвимости), намерения. Итак, промаркировали информацию.
Теперь у вас есть список критической информации. Шаг второй: анализируем предполагаемые угрозы. Угрозы категорируются в зависимости от намерений и возможностей противника. Здесь уже мы сами собираем данные о противнике, чтобы присвоить степень угрозы: какие у него ресурсы и что он собирается делать?
Третьим этапом анализируем собственные уязвимости, пошагово оцениваем свой план действий для понимания: какие наши действия (даже случайно) могут раскрыть важную информацию? Это своеобразные индикаторы, которые потенциально могу дать противнику понимание важных процессов. Теперь эти индикаторы мы сравниваем с выявленными ресурсами противника. Это две стороны одной медали: угроза – это сила противника, а уязвимость – собственная слабость. Поэтому в анализе они идут рука об руку.
Четвертый этап. Оцениваем риски. Анализируем выявленные уязвимости и предполагаем возможные для каждой из них меры предотвращения опасности. Оценив риск, исходя из его степени, и возможных последствий, нужно подобрать конкретные действия, которые вас «прикроют». Основная идея – вероятность компрометации тем больше, чем мощнее и целенаправленнее угроза, тогда как ваши риски повышаются еще и благодаря собственным уязвимостям.
Ну и завершающий этап: мало все это разработать, нужно еще и применить. Вводим оцененные риски и меры предосторожности на практике. Либо, если это касается перспективного плана операций – включать меры в конкретные планы. Причем, меры должны постоянно контролироваться – так мы контролируем саму защиту.
Что здесь является решающим?
Вот не зря всегда говорили, что болтун – находка для врага. Кроме шуток: молчание и скрытность играет на руку тому, кто стремится к победе. И ясно, что реализация классической модели OpSec невозможна без внутренней работы с участниками процесса на местах. И опять возвращаемся к аксиоме: 90% утечек происходит по ошибке персонал. Это надо повторять, как мантру. Вот где точно необходимо понимание и восприятие себя как части команды!
Сегодня подход к безопасности, взятый из американского инструментария – держать информацию об уязвимостях и слабостях в тайне, применяется повсеместно, в том числе для защиты информации в частных компаниях, от конкурентов. Информационный след в социальной сети всегда может стать оружием или ценным инструментом в стратегии врага.
История знает и провалы, которых можно было бы избежать, если бы применялась OpSec. Например, фициальная позиция российских властей на протяжении прошедших 8 лет конфликта была такова : «на востоке Украины действует народное ополчение, сопротивляясь киевскому режиму». Тем временем, российские военные позволяли себе оставлять в Instagram фотографии с соответствующими геолокациями. Ну а обсуждения а форумах каких-либо нюансов секретной работы сотрудников их близкими или размещение фото у себя в аккаунте – это вообще классика.
Или, например, такой факт: существует фитнес-трекер Strava, довольно популярный среди американских солдат. Помимо иных свойств, он загружает данные в облако. В числе прочего, в облаке оказалась подробная карта маршрутов пользователей-бегунов. Эта информация позволила по итогам ее изучения определить местоположение ряда военных баз, являвшихся секретными.
Концепция OpSec давно взята на вооружение государственными структурами. Однако, как у нас часто бывает, что что-то прописанное на бумаге работает лишь отчасти. Потому, что мало прописать правила, - важно еще и заставить их работать соответствующим образом.
А что мы видим на практике? Провал за провалом! Защитники информации, а именно госорганы, не пользуются данным подходом, хотя следовало бы. Данные находятся в открытом доступе, и их может брать кто угодно. Как и записи телефонных разговоров, которые частенько фигурируют в украинских каналах, распространяющих материалы по «спецоперации», и дискредитируют российскую сторону. Но при этом остается вопрос: если вы оставили данные открытыми, и дали другой стороне возможность ими воспользоваться, кто же кого дискредитирует? Это ли не friendly fire в действии?
Это очередное подтверждение факта, о котором мы писали ранее: тот геополитический процесс, который происходит сейчас – первый в истории, где цифровая информация и технологии стали решающими. Игнорировать это больше нельзя. Мы видим, как используют соцсети для информационной войны, как государство пытается бороться с этим, блокируя ресурсы и маркируя их «экстремистскими», но при этом также видим и бреши: беспечность там, где нужна осторожность. Такой подход заведомо провальный потому, что привычный «государственный контроль» уже не работает. На первый план в качестве угроз вышли внутренние свойства интернет-пространства: прозрачность и доступность информации и анонимность как миф. Здесь нужны соответствующие решения. Некоторые из них уже готовы, но почему-то не используются. И это – очко не в пользу нашего государства.
Учитывая актуальность такого подхода, нужно понимать, что и коммерческим компаниям неплохо бы брать его на вооружение. О том, как это лучше делать, поговорим в дальнейшем.
Оценили 16 человек
21 кармы