Контакты
Подписка
МЕНЮ
Контакты
Подписка

Как обеспечить конфиденциальность корпоративных вычислительных сетей

Как обеспечить конфиденциальность корпоративных вычислительных сетей

В рубрику "Оборудование и технологии" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Как обеспечить конфиденциальность корпоративных вычислительных сетей

В свете последних мировых событий вопрос обеспечения информационной безопасности предприятий и организаций становится очень острым. Количество атак постоянно растет, как и ущерб от них. При этом многие организации даже не подозревают, какая информация о корпоративной сети передается за периметр компании, как она обрабатывается и для чего используется. О том, какую роль в обеспечении безопасности вычислительных сетей организации играет обеспечение их конфиденциальности, можно ли ее обеспечить и какие последствия могут быть, если не уделять этому внимание, редакция журнала Information Security совместно с ФГБУ “Национальный исследовательский центр “Институт имени Н.Е. Жуковского” узнали у экспертов отрасли.
  • Михаил Богатырев, руководитель направления по работе с клиентами, CISSP, Перспективный Мониторинг
  • Михаил Кондратьев, директор по развитию технологий АО “РНТ”
  • Дмитрий Малинкин, советник по информационной безопасности компании “Спутник”
  • Юрий Наместников, руководитель российского исследовательского центр а“ЛабораторииКасперского”
  • Михаил Рожнов, технический директор компании “Сертифицированные информационные системы”
  • Роман Семёнов, руководитель службы информационной безопасности компании “Русьтелетех”
  • Андрей Юршев, ведущий эксперт ГК InfoWatch
– Как вы считаете, сбор телеметрической информации и данных об улучшении качества программного обеспечения (ОС, офисные приложения, браузеры, драйверы и др.) и оборудования является одним из видов разведки? Какие угрозы может создавать сбор данной информации для организаций и сотрудников этих организаций?

Михаил Богатырев

– Компьютерные атаки начинаются всегда со сбора данных. Не имеет значения, каким образом эти данные собраны. Версии ОС, компонентов, установленного программного обеспечения позволят подготовить вредоносное ПО для проведения атаки. Эта информация позволит также понять, каким образом вредоносы могут быть доставлены на атакуемые узлы: через уязвимости периметра, вложения или ссылки в письмах, фишинговые сайты и т.д. С другой стороны, сбор информации, если она обезличенная, позволит производителям ПО оперативно реагировать на ошибки и сбои. Обезличивание подобных данных должно стать зоной ответственности самих организаций.

Михаил Кондратьев

– Да, без сомнения, сбор телеметрической информации и данных был и остается одним из видов разведки. Задачи подобной деятельности, как правило, противозаконны и в конечном итоге ведут к колоссальным финансовым потерям объекта разведки: ничто не мешает злоумышленникам построить сбор данных таким образом, чтобы отследить, например, как именно выстроена система безопасности предприятия и на уровне пользователей, и на уровне оборудования. Преступники могут использовать этот массив информации для формирования адаптированной системы компьютерных атак.

Дмитрий Малинкин

– Сбор телеметрических данных вырос из бесплатного Интернета. Нам кажется, что Интернет – бесплатный. Но это не так. ИT-компании, социальные сети, производители мобильных платформ владеют нашими данными – это цена за доступ к бесплатным сервисам. И если для обычных пользователей сбор телеметрических данных – это действительно благо, потому они получают бесплатные сервисы и постоянное улучшение приложений, то в рамках государства это уже представляет угрозу. В определенный момент телеметрические данные стали действительно интересны большим специализированным структурам. И они, договорившись, даже принудив большие корпорации поставлять собранную телеметрию им на обработку, начали использовать эти данные для своих целей.

Если по отдельности данные не представляют никакой угрозы национальной безопасности или конкретному человеку, то их совокупность может дать очень много информации о человеке или его деятельности. С помощью технологий Big-Data, способных из большого массива неструктурированных данных складывать нужную картинку, можно получить несанкционированный доступ к секретной информации. Или того хуже, информация может быть передана иностранной разведке и люди могут оказаться в опасности. Знаете, есть старая шутка, что 90% секретной информации находится в открытом доступе и, умея ее обрабатывать, можно найти то, что покрыто грифом секретности.

Юрий Наместников

– Основной вопрос заключается в том, анонимизируются ли собираемые данные или нет. Если данные собираются, обрабатываются и хранятся таким образом, что у компании нет возможности связать телеметрическую информацию с конкретным человеком или организацией, то риск использования такой телеметрии в противоправных целях или в целях разведки минимизирован. Пример правил, которые как раз для этого разработали, – европейский закон GDPR.

Михаил Рожнов

– Однозначно ответить на этот вопрос можно только путем изучения всего исходного кода продукта. Задача осложняется следующими моментами:

  • объем исходного кода современных продуктов очень велик;
  • автоматизировать процесс проверки логики программного продукта с использованием средств автоматизации – задача очень сложная, при этом есть вероятность ложного срабатывания как в положительную, так и в отрицательную сторону;
  • не все производители программных продуктов готовы предоставить исходный код для анализа.

Так как однозначно сделать заключение практически невозможно, то к программному обеспечению необходимо относиться как к черному ящику, который:

  • может передавать информацию, отличную от телеметрических данных, но это допустимо, так как она не является конфиденциальной;
  • имеет доступ к сетям общего пользования, но маршрут передачи данных полностью контролируется (например, использование только одного ресурса, однонаправленной передачи или VPN-соединения);
  • не имеет доступ к сетям общего пользования.

Так как трафик, передаваемый на внешние серверы, чаще всего зашифрован, то выполнить его анализ крайне сложно. Это означает, что потенциально ПО может осуществлять передачу как самих данных, так и служебной информации о пользователе, системе и окружении. Очевидно, что это может привести как к несанкционированному доступу к информации, так и к раскрытию информации об инфраструктуре с дальнейшим осуществлением атаки.

Роман Семёнов

– Любая деятельность, связанная с получением информации, может вполне справедливо считаться разведкой. Подавляющее большинство операционных систем в мире имеет иностранное происхождение (для РФ). Разработчики этих ОС получают телеметрию с устройств, что вполне можно считать сбором данных в пользу иностранного государства. Взять, к примеру, известного производителя ноутбуков. По мнению некоторой части интернет-сообщества, в базовое ПО под видом аудиодрайвера была зашита программа-кейлоггер. Последствия утечки подобного рода информации безграничны, вплоть до потери контроля над сетевой инфраструктурой.

Андрей Юршев

– Сбор телеметрической информации может служить инструментом для сбора файлов и документов из офисных приложений, в том числе как результатов контентного поиска. Также на основе собранных данных, таких как реальные IP-адреса, номера открытых портов, версии ОС, браузера и иного ПО, может быть подготовлено вторжение в инфраструктуру объекта.

– Для каких организаций сбор телеметрических и аналитических данных, в том числе собираемых Web-сервисами в Интернете (счетчики, Web-маяки и другие), является реальной угрозой информационной безопасности?

Михаил Богатырев

– Если счетчики "честные", то есть собирают только статистику, то опасности они не несут. Если в них есть заложены средства сбора данных для разведки, то они опасны для любой организации.

Михаил Кондратьев

– Сбор телеметрических и аналитических данных в первую очередь является реальной угрозой информационной безопасности банковской системы. Риски преимущественно связаны с использованием сотрудниками личных устройств связи: смартфонов, планшетов и прочие. Web-сервисы объектов с критически важной инфраструктурой анализируются злоумышленниками реже. В любом случае сбор информации о пользователях или об операционных данных сервиса – это зачастую всего лишь один из этапов подготовки масштабной кибератаки, последствия которой могут нанести значительный урон финансово-кредитной организации.

Дмитрий Малинкин

– Прежде всего это государственные организации, силовые ведомства, государственные компании, организации, у которых есть конфиденциальная информация касательно бизнеса или государства в целом. То есть бизнес-разведка тоже может подразумевать сбор открытых данных. Наверное, для любой организации, более-менее крупной, этот вопрос актуален. Может быть, для какой-нибудь управляющей компании или ЖЭК это не так важно, но, например, для городской администрации сбор телеметрических данных уже несет потенциальную угрозу.

Юрий Наместников

– В этом случае корректно говорить о потенциальной угрозе безопасности. Как было сказано выше, при некоторых условиях телеметрические данные могут позволить определить конкретных людей и их интересы, например, по вводимым в поисковики данным, посещенным Web-сайтам и т.д.

Михаил Рожнов

– Для всех. Степень угрозы информационной безопасности будет определяться типом собираемых данных и применимостью этих данных в отношении организации.

Роман Семёнов

– Для большинства организаций, связанных с обеспечением деятельности государства (связь, экономика, медицина, вооруженные силы и т.д.), передача подобного рода информации является угрозой. Появление систем, которые позволяют обрабатывать огромные неструктурированные массивы данных (BigData), заставляют обратить более пристальное внимание на отправку тех данных, которые разработчик заложил в свое программное обеспечение. Необходимо отметить, что изначально технология BigData была альтернативой классическим решениям BI (Business Intelligence), которые также были направлены на обработку достаточно большого количества информации.

Андрей Юршев

– Это может быть угрозой для крупных корпораций, научных и иных организаций, вмешательство в деятельность которых или чья внутренняя информация может быть интересна конкурирующим организациям и спецслужбам.

–Как вы считаете, полученная телеметрическая и аналитическая информация может позволить провести целенаправленные атаки на защищаемые информационные и автоматизированные системы, вычислительные сети организаций или отдельных ее сотрудников? Можно ли в таком случае считать сбор данной информации "шпионской" функциональностью?

Михаил Богатырев

– Данные о составе и версиях ОС и ПО позволят подготовить атаку. Если собирается только статистика без привязки к объектам, с которых она собрана, то использовать ее можно только при подготовке вирусных атак, которые работают "по площадям". Чем выше точность сбора информации, тем выше уровень ее "шпионскости".

Михаил Кондратьев

– Однозначно полученная злоумышленниками телеметрическая и аналитическая информация может стать базовым элементом в организации целенаправленных атак. И кроме как "шпионской" подобную деятельность никак не назвать.

Дмитрий Малинкин

– Телеметрическая информация – это совокупность данных о состоянии контролируемого или наблюдаемого объекта. Это значит, что она содержит и сведения об оборудовании, которое используется в компании, об операционной системе, о защитных инструментах – о полной инфраструктуре компании. И если вдруг в этом ПО есть уязвимости, то злоумышленники могут их использовать. Тут уже возникает опасность, что вред будет нанесен не только в виртуальной среде, но и в реальной жизни. Злоумышленники могут использовать разные схемы мошенничества, направленные против человека. Допустим, что сфера деятельности этого человека связана с финансовой ответственностью, гостайной или с обороной. Набор телеметрических данных, собранных с разных устройств, позволит понять, что это за человек, какие у него увлечения, интересы, слабые места, каков у него маршрут "дом – работа". И их можно использовать, чтобы подобраться к нему поближе, использовать его как агента или для физического уничтожения. Соответственно да, передачу телеметрических данных можно сравнить со шпионским функционалом, но с оговоркой. Как и в других случаях, есть обратная сторона медали: ведь с таким набором данных можно выявлять и ловить злоумышленников.

Юрий Наместников

– Если о сборе телеметрии сказано в соглашении об использовании программы, который осознанно принимает пользователь при установке, то назвать подобный сбор шпионским нельзя. Опять же вопрос об осознанном подтверждении отсылки телеметрии хорошо разобран в законе GDPR.

Михаил Рожнов

– В общем случае одних лишь данных, полученных путем сбора телеметрической информации, будет недостаточно. Однако эти данные могут быть применены, например, для раскрытия адресов, имен доменов и т.д.

Роман Семёнов

- Сам по себе факт сбора такой информации вряд ли можно назвать "шпионской" функциональностью. А вот ее дальнейшее использование вне озвученных целей сбора информации может нанести достаточно большой ущерб. На любую информацию найдется свой покупатель. В 2015 г. главный советник по безопасности в подразделении Microsoft Worldwide Cybersecurity & Data Protection Тим Рейнс сообщил, что Microsoft покупает на ресурсах в DarkNet у хакеров базы данных.

Андрей Юршев

- На оба эти вопроса можно ответить "да".

– Телеметрическая и аналитическая информация может собираться с систем, обеспечивающих физическую безопасность объектов, IoT-устройств, транспортных средств, средств связи (мобильных устройств) и других умных устройств и систем. Может ли данная информация также представлять угрозы безопасности организаций, объектов или их сотрудников?

Михаил Богатырев

– Информация может быть использована для разных целей. Мы встречались со случаями, когда данные о размещении транспортных средств или товаров покупались конкурентами. В таком случае речь уже идет не о компьютерной, а об экономической безопасности.

Михаил Кондратьев

– Телеметрическая и аналитическая информация может собираться практически с любых устройств, передающих данные. Утечка любых сведений, касающихся внутренней деятельности организации, ведомства или структуры, несет в себе риски. Под угрозой могут оказаться компоненты ИТ-инфраструктуры, Web-окружение, конфиденциальная и секретная информация, пароли, целые объекты и даже люди.

Дмитрий Малинкин

– Интернет вещей на сегодняшний момент получил такое бурное развитие, что новые средства защиты за ним не поспевают. IoT – сегодня это одна большая проблема роста. И опять же, собирая телеметрическую информацию, и здесь можно найти слабые места, дыры в защите и использовать это против конкретных людей или против целой страны. Самый известный пример – это Stuxnet. Вирус, который через IoT инфицировал управляющую систему производства на заводе по обогащению урана в Иране, что привело к внезапному выходу из строя 1368 из 5000 работающих центрифуг. Тогда причиненный физический и экономический ущерб был сопоставим с ущербом от пресловутого удара израильских ВВС в 1981 г., как раз накануне пуска АЭС, когда была полностью разрушена вся инфраструктура предприятия. Но это 2010 г. Сейчас уже целый ряд примеров, когда из камер видеонаблюдения строят ботнет, следят за пользователями с помощью роботов-пылесосов, смарт-телевизоров и умных колонок. Все устройства из сегмента "Интернет вещей" легко "ломаются": с помощью тех же телеметрических данных о состоянии оборудования можно узнать все уязвимости устройств, а также о том, поставил ли пользователь защиту или нет. Чаще всего в камерах наблюдения, умных телевизорах и пылесосах пользователи оставляют заводские настройки, и в этом случае захватить контроль над этими устройствами – совсем не проблема. А дальше возникает целый спектр угроз.

Михаил Рожнов

– Да, конечно. Любая информация, аккумулированная и правильно обработанная, в сочетании со специальными инструментами может привести не только к несанкционированному доступу к данным, но и к промышленным угрозам.

Роман Семёнов

– В эпоху цифры можно все, в том числе и массовые атаки с использованием вроде бы не предназначенных для этого систем, которые были зафиксированы за последний год. Осенью 2016 г. появился червь и ботнет Mirai, особенностью которого являлось то, что сеть состояла из скомпрометированных устройств Интернета вещей. Широко известен также скандал с проектом "Безопасный город": тогда был получен несанкционированный доступ к системам видеоконтроля. Оба этих не связанных между собой случая достаточно наглядно показывают текущий уровень безопасности как сетей, так и отдельных типов устройств.

Андрей Юршев

– Да. Такая информация может быть интересна нарушителям для поиска способов преодоления физических и инженерно-технических мер безопасности.

– Можно ли обязать производителей ПО и оборудования предоставлять пользователям полные перечни собираемой телеметрической информации и предоставлять возможность блокировки сбора данной информации? Можно ли обязать производителей программного обеспечения и оборудования не передавать данную информацию третьим сторонам (лицам)?

Михаил Богатырев

– Можно подойти с другой стороны – в обществе должно считаться хорошим тоном, если производитель предоставляет всем перечень собираемых данных и возможность отключить сбор информации. Как обеспечить соблюдение требований технически, не совсем понятно. Каждый новый релиз несет в себе новые функции, за всем не уследишь, более того, многие программные продукты используют сторонние компоненты и вспомогательное ПО, за безопасность которых сам разработчик отвечать не может.

Михаил Кондратьев

– Теоретически производителей ПО и оборудования обязать можно. Можно даже обязать их не передавать данную информацию третьим сторонам (лицам). Но практически реализовать и проконтролировать подобные ограничения для обычного пользователя не представляется возможным. Противоправных действий при любых запретах меньше не станет.

Дмитрий Малинкин

– Комплексная проблема. Во-первых, можно. Теоретически. Но опять же не стоит забывать, что изначально телеметрия направлена на благие цели. Ведь телеметрия позволяет мониторить и поддерживать технически сложные устройства, начиная от мобильного телефона и компьютера и заканчивая большими ИТ-системами. То есть позволяет инженерам понимать, какие проблемы у устройств, получать отчеты и дорабатывать свой продукт, делать его лучше. Это положительная сторона телеметрии. Поэтому здесь нужно комбинировать технические средства и предоставлять пользователю больше возможностей и прав, например отключения отправки данных. А второе – это надо делать на законодательном, причем на международном уровне, потому что, как известно, 90% всей телеметрии стекается в Соединенные Штаты Америки как к производителю основного программного продукта. Соответственно, вся информация хранится там, поэтому нужно решать на международном уровне, нужно договариваться с американскими компаниями. Локально можно сделать только на уровне запретов – что, в общем-то, мы сейчас и наблюдаем. Без глобальных игроков тут не справиться. Хотя и здесь не все так однозначно. В эпоху "после разоблачений Сноудена" мы знаем, что спецслужбы США умеют договариваться с международными организациями, например ISO, для того чтобы проводить свои стандарты, обладающие скрытыми уязвимостями.

Юрий Наместников

– Да, можно, и такие законы уже есть во многих странах. В частности, можно запросить все персональные данные, которые собрал сервис, например социальная сеть, о вас, и потребовать их удалить.

Михаил Рожнов

– Теоретически – это возможно на законодательном уровне. Но практически есть масса нюансов. Например, есть организация, которая разрабатывает программное обеспечение. На рабочих местах сотрудников этой организации стоит антивирусная защита. Антивирусная защита путем ложного срабатывания определила разрабатываемый компанией файл как вредоносный и передала его на сервер антивирусной компании для анализа. Так информация стала доступной третьей стороне. Как корректно трактовать подобную передачу данных третьей стороне, пока не совсем понятно.

Андрей Юршев

– Нужно. Но возможность исполнения – только при угрозе отказа от закупки. То есть реальный контроль и применение мер к нарушителям – это сложная задача, которая зачастую бывает только декларативной.

– Можно ли с помощью существующих средств защиты информации предотвратить отправку телеметрической и аналитической информации из корпоративной сети? Какие/какой класс СЗИ подходят для решения данной задачи?

Михаил Богатырев

– Наиболее эффективным является "воздушный зазор", т.е. отключение корпоративной сети от любых других сетей и Интернета. Но даже в этом случае необходим непрерывный мониторинг изменений состава и настроек сети, чтобы не допустить несанкционированных подключений.

Дмитрий Малинкин

– Нельзя. Увы, вся индустрия информационной безопасности направлена на борьбу с какими-то внешними и внутренними понятными угрозами. И телеметрия в этой борьбе всегда рассматривалась как легальный сбор данных, легальный трафик. Поэтому когда на огромнейшие деньги строится система защиты для большой корпорации, надо понимать, что кроме всего прочего есть огромные легальные ворота, через которые информация, в том числе конфиденциальная, может утекать. И сегодняшние средства защиты информации не рассчитаны ни на блокировку, ни на остановку сбора телеметрических данных. И потом – это не до конца изученная область: что именно собирается? Мы не можем ответить на этот вопрос, а если ответим, то возникнет следующий вопрос: а действительно ли только эти данные собираются? Дальше, если мы сможем понять всю информацию, которая собирается с помощью телеметрии, как нам определить угрозу или угрозы, как нам выявить из этого массива данных, что именно может представлять собой угрозу? Если с этой стороны подходить к вопросу, то начиная с какого момента или с какого объема данных телеметрия становится опасной? Это вопросы, на которые надо ответить на глобальном уровне.

Юрий Наместников

– Да, можно на сетевом уровне.

Михаил Рожнов

– Решение должно быть архитектурным. Простое блокирование доступа на определенные IP-адреса не решит проблему. Завтра могут появиться новые адреса, которых еще нет в списке правил фильтрации. Тем не менее решения с терминальным доступом, с контролем доступа к определенным ресурсам, однонаправленные шлюзы и VPN-соединения могут быть применимы. Блокирование доступа к сетям общего пользования – безопасный вариант. Но иногда и он становится небезопасным. Например, при обновлении баз решающих правил. Если информация о новой уязвимости не будет доставлена вовремя на контролирующее устройство, то это может привести к более серьезным последствиям, чем отправка дампа памяти некого упавшего приложения.

Роман Семёнов

– В настоящий момент есть несколько видов специализированного программного обеспечения, которое блокирует отправку подобного рода информации. К сожалению, практически все – иностранной разработки.

– Как вы считаете, стоит ли вводить в стране регулирование сбора телеметрической информации иностранными производителями ПО и оборудования, в том числе с мобильных устройств?

Михаил Богатырев

– Не стоит, это будет зря потраченное время и силы. Для особых случаев нужны особые устройства от надежных производителей, остановить же зарубежный поток технологий и гаджетов возможно только в теории.

Михаил Кондратьев

– Регулирование сбора телеме три ч еск о й информации иностранными производителями – крайне актуальная тема в России. Мы считаем, что подобную проблему можно решить путем создания единой инфраструктуры технологических данных с локализацией трафика на территории России. Доступ к этой инфраструктуре предоставлять только отечественным регуляторам, контрольно-надзорным органам, управляющим компаниям, поставщикам оборудования и сервисным компаниям.

Дмитрий Малинкин

– Стоит ли регулировать – вопрос очень сложный. Нужно определить ключевые вещи: с какого момента информация из безличного превращается в личное. Это, наверное, можно сделать. Второй момент – корпорации, которые собирают телеметрию, не отчитываются никому: что они собрали и что они с этой телеметрией делают. Может быть, стоит их попросить, чтобы они отчитались?! А потом проверить... То есть когда мы определим критерии, которые будут применимы к организациям, собирающим телеметрические данные, тогда будет понятно, какая информация и в какой момент становится опасной. Вот в такой момент, может быть, нужно вводить регулирование этих организаций.

Юрий Наместников

- Закон о ПД уже есть и покрывает большую часть вопросов, связанных с телеметрией.

Михаил Рожнов

- Да, стоит. Это не будет давать 100%-ную гарантию того, что данные не будут переданы за пределы, но это позволит разработчикам ПО задуматься, а нужны ли им эти данные вообще.

Стоит отметить, что ФСТЭК уже сейчас в некоторой мере затрагивает вопросы телеметрии в рамках, например, новых требований к операционным системам. Но четкого определения того, что именно является телеметрией, какие телеметрические функции допустимы, а какие нет - пока вопрос открытый.

Роман Семёнов

- Не думаю, что от этого будет хоть какой-то значимый результат. Если мы говорим о корпоративном сегменте, то специалисты в области ИБ уже решили эту проблему тем или иным образом и очередной закон в этой области может стать действительно лишним. А о регулировании в "частном" секторе не может быть и речи, т.к. мобильных устройств отечественного производства, которые используются в повседневной жизни, практически нет.

Андрей Юршев

- Да. Вопрос заключается в том, насколько реально сможем контролировать и влиять на этот процесс.

– Стоит ли на международном уровне инициировать пересмотр текущей модели монетизации Интернета?

Михаил Богатырев

– Не стоит трогать монетизацию Интернета. Эффективнее будет предоставить людям альтернативу, когда за разумную плату пользователь получит доступ к тем сервисам, которые ему нужны, с гарантированным качеством и изоляцией от тех угроз, которые несет Интернет.

Михаил Кондратьев

– Что касается международного сообщества, то инициировать пересмотр текущей модели монетизации Интернета, по моему мнению, нет никакого смысла. Времени и сил будет затрачено много, а КПД останется ничтожен. Куда более актуальный вопрос – информационная безопасность, требующая международного сотрудничества, консолидации сил, доработки регуляторных механизмов и совершенствования функций защиты от злоумышленников.

Дмитрий Малинкин

– Интернет бесплатный. И люди привыкли к тому, что Интернет бесплатный. Хотя давайте вернемся к началу нашего разговора: ИT-компании, социальные сети, производители мобильных телефонов и сервисов владеют нашими данными, и это цена за доступ к "бесплатным" сервисам. Получается, Интернет – совсем не бесплатный. Получается, что модель монетизации Интернета есть и она сейчас слегка порочная, мягко говоря, нечестная. Ведь, по сути, корпорации в Интернете зарабатывают на человеке, на его времени и его внимании. Насколько это пользователи осознают сейчас – большой вопрос. Вероятно, когда-то осознание придет. И тогда монетизация Интернета будет пересмотрена с учетом новых реалий. А пока надо работать над тем, чтобы поменять пользователям менталитет, отучить его от привычной мысли, что "Интернет бесплатный".

Михаил Рожнов

– Неформальная "слежка", скорее всего, уже никуда не уйдет. Интернет всегда будет знать, где мы работаем, что едим и чем интересуемся. Но организации и пользователи сами должны определять, какой объем информации допустим за пределами контролируемого периметра, а какой – категорически нет. На основании этого необходимо выбирать среднее между удобством и безопасностью.

Роман Семёнов

– Наш руководитель службы маркетинга Андрей Цуманов считает, что будущее монетизации Интернета связано с предоставлением в частичную эксплуатацию вычислительных мощностей пользовательских устройств в контексте туманных вычислений. Но в современных реалиях и с учетом существующих средств защиты информации мы с коллегами пока ставим жирный крест на такой концепции. Поэтому радикальные перемены в методах монетизации Интернета еще долгое время останутся на уровне разговоров и красивых фантазий.

Андрей Юршев

– Да, стоит.

Опубликовано: Журнал "Information Security/ Информационная безопасность" #6, 2017

Приобрести этот номер или подписаться

Статьи про теме