Вот такой вот велосипед изобрелся у меня в голове на тему спама. Ваши мнения?
Возможности организационных мер в борьбе с современными информационными угрозами.
Проблемы безопасности сегодня являются одной из самых обсуждаемых тем в среде ИТ-специалистов. Спам, вирусы, хулиганы внутренние и внешние служат источником головной боли для ИТ-специалистов и руководства компаний. Выделяются деньги на очередной «сканер безопасности», смену антивирусного пакета на «более эффективный», на спам-фильтр или на новую модную железку, но... В этом «противостоянии щита и меча» щит, к сожалению, всегда отстает. Сначала появляется проблема и только потом — мероприятия по защите. При этом большинство ИТ-специалистов привыкли решать проблемы исключительно техническими мерами, роль технологий для бизнеса неоправданно завышается, сами ИТ-специалисты мало интересуются предметной стороной и организационным особенностям работы компаний. Да и руководство компаний часто относится к ИТ-специалистам как к «неизбежному злу», стараясь максимально ограничить их влияние на бизнес. Однако не стоит пренебрегать организационными мерами в области информационных технологий, и постепенно некоторые ИТ-специалисты приходят к выводу о необходимости применения таких мер защиты. Именно применения, а не пустой декларации важности таких мер. Ведь организационные меры носят прежде всего превентивный характер, позволяя снизить площадь атаки и ограничить круг лиц, имеющих возможность для атаки до того, как она случилась. Информационные системы — это не нолики и единички, это не жужжащие коробки под столами сотрудников и даже не суперкомпьютеры научных вычислительных центров. Это — люди. Информация создается человеком и человеком же потребляется. И все угрозы в информационных системах создаются людьми. Железо — всего лишь промежуточное звено в этой системе. Как когда-то «обычная» почта была промежуточным звеном в доставке бумажной корреспонденции, так теперь эти функции выполняют компьютерные сети; но отправитель и получатель - это люди. Поэтому должны быть созданы правила пользования системами, которые позволят ограничить вредное воздействие человека на техническую информационную систему и использование технических информационных систем во вред человеку.
Стоит отметить, что проблемы безопасности существуют не только в области информационных технологий. Вот перечень проблем безопасности «навскидку»: безопасность дорожного движения, безопасность массовых мероприятий, безопасность использования электронагревательных приборов и т.д. И в решении всех этих проблем основное место занимают... правила поведения, руководства пользователя. Т.е. организационные меры, направленные на обучение людей правилам безопасного поведения и обязательства людей выполнять эти правила.
Рассмотрим пример организации обмена электронными сообщениями в целях снижения объема почтового мусора (спама), получаемого компаниями или частными лицами.
Итак, отправителем и получателем письма всегда является человек. Будь то частное лицо, будь то сотрудник организации, будь то специалист, настраивающий сервер автоматической новостной рассылки или же рассылки спамерской. Для того, чтобы отправить письмо адресату, нужно знать его почтовый адрес. Как правило, адрес электронной почты организации можно обнаружить в рекламных и специализированных материалах в печатных и электронных СМИ (включая интернет-ресурсы). В этом, на мой взгляд, и заключается проблема. Опубликованные адреса электронной почты первыми становятся объектами спам-атак. Адрес известен, отправка электронных сообщений легко автоматизируется — это и создает благоприятные условия для того, чтобы на, скажем, Яндексе было «за сегодня отсеяно как спам 87% писем». Публичная доступность адреса электронной почты провоцирует спамеров. Поэтому, на мой взгляд, общедоступными должны быть только адреса web-страниц и телефонные номера компании. Безусловно, спам по телефону и факсу также возможен, но он технически сложнее и требует бОльших материальных затрат. Но как написать письмо, если не известен адрес? Как установить первый контакт? Я считаю, что первый контакт, первый «сеанс связи» должен устанавливаться по каналам, отличным от e-mail, и уже в процессе этого сеанса будет происходить обмен почтовыми адресами. Тем более, что телефонный разговор намного полезнее и информативнее для знакомства компаний с клиентами, не говоря уже о личной встрече представителей. Если же клиент не обладает возможностью позвонить, но имеет выход в интернет, то первый сеанс связи клиенту следует устанавливать с помощью веб-форм на сайте компании. При этом обязательными для заполнения должны быть поля «Фамилия», «Имя», «e-mail» и/или «телефон» — это повышает вероятность того, что автор сообщения, отправленного через веб-форму, не преследует хулиганских целей. Окончательно вменяемость клиента проверяется сотрудником компании с использованием предоставленных этим клиентом контактных данных. Если клиент действительно желает сотрудничать с компанией, ему сообщается адрес электронной почты компании, а адрес клиента заносится в «белый» лист почтовых адресов на сервере компании. Клиент также должен внести почтовый адрес компании в список «белых» адресов на своем сервере. Обращаю внимание: никаких «черных» и «серых» листов, только «белый» список. В результате получаем, что письма от неизвестных отправителей сервером будут попросту откинуты без использования специальных анти-спам решений. Экономятся деньги компании, время и нервы сотрудников. Более того, если подобные правила будут применяться массово — снизится эффективность спама как рекламоносителя, как результат — снизится и объем спама в суммарном интернет трафике.
К сожалению, есть и негативные стороны такого подхода. Во-первых, подобные мероприятия напрямую не ограничивают объем почтового трафика, это только мероприятия по фильтрации принимаемых сообщений. Во-вторых, оперативная поддержка такого «белого» листа в актуальном состоянии потребует времени и внимательности. Случайное удаление адреса из списка может лишить клиента возможности общаться с компанией. В-третьих, сотрудники многих фирм привыкли к тому, что все происходит «само», и необходимость делать дополнительные движения в работе вызовет негативную реакцию со стороны коллектива. Обе стороны в таком случае должны будут обладать уровнем компьютерной грамотности выше, чем только «sending e-mails, recieving e-mails... deleting e-mails...» © Сериал «IT-Crowd».
Описанная схема проста и очевидна, кроме того существуют технические средства проверки «адекватности» отправителя — например, по ключевому слову, которое указывается в ответном письме и которое надо указать в теме повторного сообщения. И все же...
Разработка, внедрение и использование правил использования компьютерных сетей и сервисов на корпоративном или даже государственном уровне необходимы. Именно отсутствие правил приводит к произволу в компьютерных сетях, особенно в публичной части, которой так или иначе пользуются все. Представьте, что творилось бы на дорогах, если б не существовало правил дорожного движения? На мой взгляд, будущее компьютерной безопасности именно в правилах и регламентах, контроле за их исполнением, воспитании культуры использования частных и корпоративных компьютерных систем, а не в противоборстве программистов-хулиганов и программистов-защитников.
Ответить с цитированием