Если после некоторого действия пользователя выскакивает табличка с неясным смыслом (да еще, с большой долей вероятности, на незнакомом языке) с предложением выбрать "Да" или "Нет" стоит ожидать того, что он согласится. Так и душу дьяволу продать можно...
В результате, специалисты, разрабатывающие политику безопасности компании, вынуждены чувствовать себя воспитателями детского сада для особо "одаренных" детей, рассказывая, что пальцы совать в розетку не есть хорошо. Есть ли смысл в подобных инструкциях? Проведении обучения компьютерной грамотности среди сотрудников?
Известный криптограф, Брюс Шнайдер (Bruce Schneier) в апреле 2006 высказал мнение, что это бесполезно:
Новые технологии - новые угрозы ИБ. Не стоит винить в инцидентах пользователей... Эпидемия autorun-вирусов, распространяющихся через флешки - чья это вина? Пользователя, вставившего зараженную флешку в USB-порт корпоративного компьютера, или администратора, не озаботившегося заблокировать автозапуск с флешки?
Исследователь проблем компьютерной безопасности, Маркус Ранум (Marcus Ranum) считает, что пользователь резко обучится компьютерной безопасности, как только наступит на хорошие грабли:
Всегда есть неопытные пользователи, кликающие не подумав "Да"... Но однажды наступает момент когда это "Да" больно бьет по карману, заставляя в будущем сначала думать, а потом делать.
Нужно ли учить рядового пользователя "не засовывать пальцы в розетку" - или достаточно сделать так, чтобы в нее нельзя было "засунуть пальцы"? Вероятно, Брюс Шнайдер прав: обучать нет смысла, если есть возможность обезопасить систему и без этого. Но с другой стороны, где гарантия, что администратор безопасности (или системный администратор) окажутся достаточно грамотными, чтобы предусмотреть все.
Комментариев нет:
Отправить комментарий